第48章 ユーザー、ホスト、およびサービス用の Kerberos プリンシパルエイリアスの管理
新しいユーザー、ホスト、またはサービスを作成すると、以下の形式で Kerberos プリンシパルが自動的に追加されます。
- user_name@REALM
- host/host_name@REALM
- service_name/host_name@REALM
管理者は、エイリアスを使用して、ユーザー、ホスト、またはサービスが Kerberos アプリケーションに対して認証できるようにすることができます。これは、次のような状況で役立ちます。
- ユーザー名の変更後に、ユーザーが以前のユーザー名と新しいユーザー名の両方でログインする必要がある。
- IdM Kerberos レルムがメールドメインと異なる場合でも、ユーザーはメールアドレスを使用してログインする必要がある。
ユーザーの名前を変更すると、オブジェクトはエイリアスと以前の正規プリンシパル名を保持することに注意してください。
48.1. Kerberos プリンシパルエイリアスの追加
Identity Management (IdM) 環境では、エイリアス名を既存の Kerberos プリンシパルに関連付けることができます。これにより、セキュリティーが強化され、IdM ドメイン内の認証プロセスが簡素化されます。
手順
エイリアス名
useralias
をアカウントuser
に追加するには、次のように入力します。# ipa user-add-principal <user> <useralias> -------------------------------- Added new aliases to user "user" -------------------------------- User login: user Principal alias: user@IDM.EXAMPLE.COM, useralias@IDM.EXAMPLE.COM
ホストまたはサービスにエイリアスを追加するには、代わりにそれぞれ
ipa host-add-principal
またはipa service-add-principal
コマンドを使用します。エイリアス名を使用して認証する場合は、
kinit
コマンドで-C
オプションを使用します。# kinit -C <useralias> Password for <user>@IDM.EXAMPLE.COM: