第49章 Kerberos フラグの管理
Kerberos フラグは、Kerberos 対応ネットワーク環境内で認証メカニズム、承認レベル、およびセキュリティープロトコルを指定するために重要です。Kerberos フラグを使用すると、安全なアクセス制御を確保し、不正アクセスから保護し、異なる Kerberos 実装間の相互運用性を向上させることができます。
49.1. サービスおよびホスト向けの Kerberos フラグ
さまざまな Kerberos フラグを使用して、Kerberos チケットの動作に関する特定の側面を定義できます。これらのフラグは、サービスとホストの Kerberos プリンシパルに追加できます。
Identity Management(IdM) のプリンシパルは、以下の Kerberos フラグを受け入れます。
OK_AS_DELEGATE
このフラグを使用して、委譲用に信頼される Kerberos チケットを指定します。
Active Directory(AD) クライアントは、Kerberos チケットで
OK_AS_DELEGATE
フラグをチェックして、ユーザーの認証情報を特定サーバーに転送または委譲できるかどうかを判断します。AD は、TGT(Ticket-granting Ticket) を OK_AS_DELEGATE が設定されたサービスまたはホストにのみ転送します。このフラグを使用すると、SSSD(System Security Services デーモン) は、IdM クライアントマシンのデフォルトの Kerberos 認証情報キャッシュに AD ユーザー TGT を追加できます。REQUIRES_PRE_AUTH
このフラグを使用して、事前認証チケットのみがプリンシパルに対して認証できることを指定します。
REQUIRES_PRE_AUTH
フラグを設定すると、キー配布センター (KDC) は追加の認証を要求します。KDC は、TGT が事前認証されている場合に限り、REQUIRES_PRE_AUTH
が設定されたプリンシパルに TGT を発行します。REQUIRES_PRE_AUTH
をクリアすると、選択したサービスまたはホストの事前認証を無効にすることができます。これにより、KDC の負荷は軽減されますが、長期キーに対するブルートフォース攻撃が成功する可能性がわずかに高まります。OK_TO_AUTH_AS_DELEGATE
OK_TO_AUTH_AS_DELEGATE
フラグを使用して、サービスがユーザーの代わりに kerberos チケットを取得できることを指定します。ユーザーに代わって他のチケットを取得するには、サービスにOK_AS_DELEGATE
フラグと、キー配布センター側で許可された対応するポリシー決定が必要であることに注意してください。