第27章 IdM の Kerberos PKINIT 認証
Kerberos(PKINIT) の初期認証の公開鍵暗号化は、Kerberos の事前認証メカニズムです。Red Hat Enterprise Linux 7.4 以降、Identity Management(IdM) サーバーには、Kerberos PKINIT 認証のメカニズムが含まれています。以下のセクションでは、IdM の PKINIT 実装の概要と、IdM で PKINIT の実装を設定する方法を説明します。
27.1. IdM バージョンが異なるデフォルトの PKINIT ステータス
IdM サーバーのデフォルトの PKINIT 設定は、Red Hat Enterprise Linux(RHEL) および認証局 (CA) 設定の IdM のバージョンによって異なります。表27.1「IdM バージョンのデフォルトの PKINIT 設定」を参照してください。
RHEL のバージョン | CA 設定 | PKINIT の設定 |
---|---|---|
7.3 以前 | CA なし | ローカル PKINIT: IdM はサーバーの内部用途でのみ PKINIT を使用します。 |
7.3 以前 | 統合 CA の場合 |
IdM は、統合 IdM CA が署名した証明書を使用して PKINIT の設定を試みます。
試行に失敗すると、IdM はローカルの PKINIT のみを設定します。
|
7.4 以降 |
CA なし
IdM に提供されている外部 PKINIT 証明書がない
| ローカル PKINIT: IdM はサーバーの内部用途でのみ PKINIT を使用します。 |
7.4 以降 |
CA なし
IdM に提供される外部 PKINIT 証明書
| IdM は、外部の Kerberos 鍵配布センター (KDC) 証明書と CA 証明書を使用して PKINIT を設定します。 |
7.4 以降 | 統合 CA の場合 | IdM は、IdM CA が署名した証明書を使用して PKINIT を設定します。 |
ドメインレベル 0 では、PKINIT は無効になります。デフォルトの動作は、ローカルの PKINIT です。IdM は、サーバーでの内部目的でのみ PKINIT を使用します。7章ドメインレベルの表示と引き上げも参照してください。