第90章 IdM で標準 DNS ホスト名の使用
DNS 正規化は、潜在的なセキュリティーリスクを回避するために、Identity Management (IdM) クライアントでデフォルトで無効になっています。たとえば、攻撃者がドメインの DNS サーバーとホストを制御している場合、攻撃者は短いホスト名 (demo など) を、侵害されたホスト (malicious.example.com など) に解決させることができます。この場合、ユーザーは想定とは異なるサーバーに接続します。
この手順では、IdM クライアントで正規化されたホスト名を使用する方法について説明します。
90.1. ホストプリンシパルへのエイリアスの追加
デフォルトでは、ipa-client-install コマンドを使用して登録した Identity Management (IdM) クライアントでは、サービスプリンシパルで短縮ホスト名を使用することができません。たとえば、ユーザーがサービスにアクセスするときに、host/demo@EXAMPLE.COM ではなく、host/demo.example.com@EXAMPLE.COM のみを使用できます。
Kerberos プリンシパルにエイリアスを追加するには、次の手順に従います。または、/etc/krb5.conf ファイルでホスト名の正規化を有効にできます。詳細は、 クライアントのサービスプリンシパルでのホスト名の正規化の有効化 を参照してください。
前提条件
- IdM クライアントがインストールされている。
- ホスト名が、ネットワーク内で一意の名前である。
手順
adminユーザーとして、IdM に対して認証します。$ kinit admin
エイリアスをホストプリンシパルに追加します。たとえば、
demoエイリアスを、demo.examle.comホストプリンシパルに追加するには、次のコマンドを実行します。$ ipa host-add-principal demo.example.com --principal=demo
