第90章 IdM で標準 DNS ホスト名の使用
DNS 正規化は、潜在的なセキュリティーリスクを回避するために、Identity Management (IdM) クライアントでデフォルトで無効になっています。たとえば、攻撃者がドメインの DNS サーバーとホストを制御している場合、攻撃者は短いホスト名 (demo
など) を、侵害されたホスト (malicious.example.com
など) に解決させることができます。この場合、ユーザーは想定とは異なるサーバーに接続します。
この手順では、IdM クライアントで正規化されたホスト名を使用する方法について説明します。
90.1. ホストプリンシパルへのエイリアスの追加
デフォルトでは、ipa-client-install
コマンドを使用して登録した Identity Management (IdM) クライアントでは、サービスプリンシパルで短縮ホスト名を使用することができません。たとえば、ユーザーがサービスにアクセスするときに、host/demo@EXAMPLE.COM
ではなく、host/demo.example.com@EXAMPLE.COM
のみを使用できます。
Kerberos プリンシパルにエイリアスを追加するには、次の手順に従います。または、/etc/krb5.conf
ファイルでホスト名の正規化を有効にできます。詳細は、 クライアントのサービスプリンシパルでのホスト名の正規化の有効化 を参照してください。
前提条件
- IdM クライアントがインストールされている。
- ホスト名が、ネットワーク内で一意の名前である。
手順
admin
ユーザーとして、IdM に対して認証します。$ kinit admin
エイリアスをホストプリンシパルに追加します。たとえば、
demo
エイリアスを、demo.examle.com
ホストプリンシパルに追加するには、次のコマンドを実行します。$ ipa host-add-principal demo.example.com --principal=demo