4.3. authconfigを使用した Kerberos (LDAP または NIS を使用)の設定
LDAP および NIS の認証ストアは、Kerberos 認証方法をサポートします。Kerberos の使用には、以下のような利点があります。
- これは、標準ポートを介した接続を許可する一方で、通信にセキュリティーレイヤーを使用します。
- SSSD で認証情報キャッシュを自動的に使用します。これにより、オフラインログインが可能になります。
注記
Kerberos 認証を使用するには、
krb5-libs パッケージおよび krb5-workstation パッケージが必要です。
4.3.1. UI での Kerberos 認証の設定
Authentication Method ドロップダウンメニューの オプションは、Kerberos レルムへの接続に必要なフィールドを自動的に開きます。
図4.2 Kerberos フィールド
- realm は、Kerberos サーバーのレルムの名前を指定します。レルムは、Kerberos を使用するネットワークで、1 つ以上の キー配布センター (KDC) と、潜在的に多数のクライアントで設定されます。
- KDC は、Kerberos チケットを発行するサーバーのコンマ区切りリストを提供します。
- 管理サーバー に は、レルムで kadmind プロセスを実行している管理サーバーのリストが表示されます。
- 必要に応じて、DNS を使用してサーバーのホスト名を解決し、レルム内で追加の KDC を見つけます。
4.3.2. コマンドラインでの Kerberos 認証の設定
LDAP および NIS の両方で、Kerberos 認証をネイティブ認証メカニズムの代わりに使用できます。少なくとも、Kerberos 認証を使用するには、レルム、KDC、および管理サーバーを指定する必要があります。また、DNS を使用してクライアント名を解決し、追加の管理サーバーを検索するオプションもあります。
[root@server ~]# authconfig NIS or LDAP options --enablekrb5 --krb5realm EXAMPLE --krb5kdc kdc.example.com:88,server.example.com:88 --krb5adminserver server.example.com:749 --enablekrb5kdcdns --enablekrb5realmdns --update
