サポートコンソール開発者トライアルの開始お問い合わせ

48.6.6. Kerberos 5 クライアントの設定

Kerberos 5 クライアントの設定は、サーバーの設定とは関係ありません。少なくとも、クライアントパッケージをインストールし、各クライアントに有効な krb5.conf 設定ファイルを提供します。クライアントシステムにリモートでログインする方法として、sshslogin が推奨されていますが、Kerberos 化されたバージョンの rshrlogin は引き続き利用できますが、それらをデプロイするにはさらに多くの設定変更を行う必要があります。
  1. Kerberos クライアントと KDC の間で時刻同期が行われていることを確認します。詳細は、「Kerberos 5 サーバーの設定」 を参照してください。さらに、Kerberos クライアントプログラムを設定する前に、DNS が Kerberos クライアントで適切に機能していることを確認します。
  2. すべてのクライアントマシンにkrb5-libsおよびkrb5-workstationパッケージをインストールします。各クライアントに有効な /etc/krb5.conf ファイルを指定します(通常は、KDC で使用される同じ krb5.conf ファイルになります)。
  3. レルムのワークステーションが Kerberos を使用して、ssh または Kerberized rsh または rlogin を使用して接続するユーザーを認証する前に、Kerberos データベースに独自のホストプリンシパルが必要になります。sshdkshd、および klogind サーバープログラムはすべて、ホスト サービスのプリンシパルのキーへのアクセスが必要になります。さらに、kerberized rsh および rlogin サービスを使用するには、そのワークステーションに xinetd パッケージがインストールされている必要があります。
    kadmin を使用して、KDC 上のワークステーション用のホストプリンシパルを追加します。この場合のインスタンスはワークステーションのホスト名です。kadminaddprinc コマンドに -randkey オプションを指定してプリンシパルを作成し、それをランダムな鍵に割り当てます。 
    addprinc -randkey host/blah.example.com
    プリンシパルが作成されたので、ワークステーション 自体で kadmin を実行し、 kadmin 内で ktadd コマンドを使用すると、ワークステーション 用の鍵を抽出できるようになりました。 
    ktadd -k /etc/krb5.keytab host/blah.example.com
  4. その他の Kerberos ネットワークサービスを使用するには、まずそれらを起動する必要があります。以下は、一般的な Kerberos サービスの一覧と、そのサービスを有効にする手順です。
    • SSH - クライアントとサーバーの設定で GSSAPIAuthentication が有効になっている場合、OpenSSH は GSS-API を使用してサーバーにユーザーを認証します。クライアントでも GSSAPIDelegateCredentials が有効な場合は、ユーザーの認証情報がリモートシステムで利用可能になります。
    • rsh および rlogin: kerberized バージョンの rsh および rlogin を使用するには、klogineklogin、および kshell を有効にします。
    • telnet - kerberized Telnet を使用するには、krb5-telnet を 有効にする必要があります。
    • FTP: FTP アクセスを提供するには、ftp のルートでプリンシパルのキーを作成して展開します。インスタンスを FTP サーバーの完全修飾ホスト名に設定し、gssftp を有効にするようにしてください。
    • IMAP - kerberized IMAP サーバーを使用するには、cyrus-sasl-gssapi パッケージがインストールされている場合は、cyrus-imap パッケージも Kerberos 5 を使用します。cyrus-sasl-gssapi パッケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP は、cyrus ユーザーが /etc/krb5.keytab で適切な鍵を見つけ、プリンシパルのルートが imap ( kadminで作成された)に設定されている限り Kerberos で適切に機能します。
      cyrus-imap の代替は、dovecot パッケージにあります。これは、Red Hat Enterprise Linux にも含まれています。このパッケージには IMAP サーバーが含まれていますが、現在のところ GSS-API および Kerberos には対応していません。
    • CVS - kerberized CVS サーバーを使用するには、gserver は root が cvs のプリンシパルを使用し、それ以外の場合は CVS pserver と同じです。
    サービスを有効にする方法は、18章 を参照してください。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.