検索

第49章 Kerberos フラグの管理

download PDF

Kerberos フラグは、Kerberos 対応ネットワーク環境内で認証メカニズム、承認レベル、およびセキュリティープロトコルを指定するために重要です。Kerberos フラグを使用すると、安全なアクセス制御を確保し、不正アクセスから保護し、異なる Kerberos 実装間の相互運用性を向上させることができます。

49.1. サービスおよびホスト向けの Kerberos フラグ

さまざまな Kerberos フラグを使用して、Kerberos チケットの動作に関する特定の側面を定義できます。これらのフラグは、サービスとホストの Kerberos プリンシパルに追加できます。

Identity Management(IdM) のプリンシパルは、以下の Kerberos フラグを受け入れます。

  • OK_AS_DELEGATE

    このフラグを使用して、委譲用に信頼される Kerberos チケットを指定します。

    Active Directory(AD) クライアントは、Kerberos チケットで OK_AS_DELEGATE フラグをチェックして、ユーザーの認証情報を特定サーバーに転送または委譲できるかどうかを判断します。AD は、TGT(Ticket-granting Ticket) を OK_AS_DELEGATE が設定されたサービスまたはホストにのみ転送します。このフラグを使用すると、SSSD(System Security Services デーモン) は、IdM クライアントマシンのデフォルトの Kerberos 認証情報キャッシュに AD ユーザー TGT を追加できます。

  • REQUIRES_PRE_AUTH

    このフラグを使用して、事前認証チケットのみがプリンシパルに対して認証できることを指定します。

    REQUIRES_PRE_AUTH フラグを設定すると、キー配布センター (KDC) は追加の認証を要求します。KDC は、TGT が事前認証されている場合に限り、REQUIRES_PRE_AUTH が設定されたプリンシパルに TGT を発行します。

    REQUIRES_PRE_AUTH をクリアすると、選択したサービスまたはホストの事前認証を無効にすることができます。これにより、KDC の負荷は軽減されますが、長期キーに対するブルートフォース攻撃が成功する可能性がわずかに高まります。

  • OK_TO_AUTH_AS_DELEGATE

    OK_TO_AUTH_AS_DELEGATE フラグを使用して、サービスがユーザーの代わりに kerberos チケットを取得できることを指定します。ユーザーに代わって他のチケットを取得するには、サービスに OK_AS_DELEGATE フラグと、キー配布センター側で許可された対応するポリシー決定が必要であることに注意してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.