| Red Hat Linux 7.1: The オフィシャル Red Hat Linux リファレンスガイド | ||
|---|---|---|
| Prev | Chapter 9. Red Hat LinuxにおけるKerberos 5の使用 | Next |
Kerberos 5クライアントのセットアップは、サーバーのセットアップほど複雑ではありません。 ただし、最低でも、クライアントパッケージをインストールし、クライアント用に有効な krb5.conf 設定ファイルを用意する必要があります。 kerberos化されたバージョンの rsh と rlogin についても、いくつかの設定変更を行う必要があります。
KerberosクライアントとKDC間で、正しく時計の同期が取られていることを確認します。 詳細については、the section called Red Hat Linux 7.1におけるKerberos 5サーバーのセットアップを参照してください。 さらに、Kerberosクライアントのプログラムをインストールするには、Kerberosクライアント上でDNSが正しく機能していなければなりません。
realm内のすべてのクライアント上に、 krb5-libs と krb5-workstation の各パッケージをインストールします。 クライアントワークステーション用に、独自バージョンの /etc/krb5.conf を用意する必要があります。通常は、KDCが使用する krb5.conf と同じものを使用できます。
realm内の特定のワークステーションについて、kerberos化された rsh や rlogin を使用したユーザーからの接続を許可できるようにするためには、そのワークステーションに xinetd パッケージをインストールし、Kerberosデータベース内に独自のホストプリンシパルを作成しておく必要があります。 サーバープログラムの kshd と klogind も、サービスのプリンシパルの鍵に対してアクセスする必要があります。
kadmin を使用して、ワークステーション用のホストプリンシパルを追加します。 この場合のインスタンスは、ワークステーションのホスト名となります。 このプリンシパルのパスワードを再入力する必要が生じることが絶対になく、適当なパスワードを考えるために悩みたくはないはずなので、kadminの addprinc コマンドに -randkey オプションを使用することで、プリンシパルの作成とランダム鍵の割り当てを行うことができます。
addprinc -randkey host/ blah.example.com |
これでプリンシパルの作成が完了したので、ワークステーション上で kadminを実行し、kadminのktaddコマンドを使用することにより、ワークステーション用の鍵を取得することができます。
ktadd -k /etc/krb5.keytab host/ blah.example.com |
kerberos化された rsh と rlogin を使用するには、 klogin 、 eklogin 、 kshell を有効化しなければなりません。通常は、 ntsysv か chkconfig のどちらかを使用して、これらの有効化を行います。
その他のkerberos化されたネットワークサービスも起動する必要があります。 kerberos化された telnet を使用するには、 krb5-telnet を有効化しなければなりません。 ntsysv か chkconfig のいずれかのプログラムを使用して、システムで起動するように krb5-telnet サービスを設定します。
FTPアクセスを提供するには、ftpのrootによってプリンシパルの鍵を作成して取り出し、インスタンスとしてFTPサーバーのホスト名を設定します。 次に、 ntsysv か chkconfig のどちらかを使用して、 gssftp を有効化します。
imap パッケージに含まれるIMAPサーバーが /etc/krb5.keytab 内に適切な鍵を見つけた場合には、Kerberos 5を使用したGSS-API認証が使用されることになります。 プリンシパル用のrootを imap とする必要があります。 CVS gserverは、 cvs のrootを持つプリンシパルを使用していますが、他の点では pserver と同じです。
単純なKerberosのrealmをセットアップするには、これで十分なはずです。