17.4. Kerberos と PAM

現在のところ、kerberos化されたサービスは、まったくPAM(Pluggable Authentication Modules)を 利用していません。— kerberos化されたサービスは完全にPAMをバイパスします。 ただし、PAMを使用したアプリケーションでは、pam_krb5モジュール (pam_krb5パッケージで提供されます)がインストールされているならば、 認証用にKerberosを利用できます。pam_krb5パッケージには、 logingdmなどのサービスが、ユーザーを認証したり、 ユーザーのパスワードを使って初期証明書を取得したりすることを可能にする、サンプルの 設定ファイルが含まれています。ネットワークサービスに対するアクセスが、常にkerberos化 されたサービスまたはIMAPなどのGSS-APIを使用したサービスを使用して行われるならば、 そのネットワークはかなり安全だと考えることができます。

管理者は、無差別にネットワークサービスでユーザーがKerberosパスワードを使用した 認証を得る許可をしないように注意する必要があります。これらのサービスで使用する プロトコルのほとんどは、ネットワーク経由で送信する前にパスワードを暗号化しません のでKerberosシステムの価値を無駄にしてしまいます。例としては、ユーザーにTelnet上で Kerberosパスワードを使用して認証できる許可を与えるべきではありません。

次の章では、基本的なKerberosサーバーの構築方法を説明します。