第14章 Kerberos チケットポリシーの管理
Identity Management (IdM) の Kerberos チケットポリシーは、Kerberos チケットアクセス、期間、および更新に対する制限を設定します。IdM サーバーで実行している Key Distribution Center (KDC) の Kerberos チケットポリシーを設定できます。
Kerberos チケットポリシーを管理する場合、次の概念や操作を実行します。
14.1. IdM KDC のロール
Identity Management の認証メカニズムは、Key Distribution Center (KDC) が設定する Kerberos インフラストラクチャーを使用します。KDC は、認証情報を保存し、IdM ネットワーク内のエンティティーから発信されるデータの信頼性を確保する信頼できる認証局です。
各 IdM ユーザー、サービス、およびホストは Kerberos クライアントとして機能し、一意の Kerberos プリンシパル で識別されます。
-
ユーザーの場合:
identifier@REALM
(例:admin@EXAMPLE.COM
) -
サービスの場合:
service/fully-qualified-hostname@REALM
(例:http/server.example.com@EXAMPLE.COM
) -
ホストの場合:
host/fully-qualified-hostname@REALM
(例:host/client.example.com@EXAMPLE.COM
)
以下の図では、Kerberos クライアント、KDC、およびクライアントの通信先となる Kerberos を使用するアプリケーション間の通信を簡単にまとめています。
-
Kerberos クライアントは、Kerberos プリンシパルとして認証することで KDC に対して身分を証明します。たとえば、IdM ユーザーは
kinit ユーザー名
を実行し、パスワードを指定します。 - KDC はデータベースのプリンシパルを確認し、クライアントを認証し、Kerberos チケットポリシー を評価してリクエストを付与するかどうかを判断します。
- KDC は、適切なチケットポリシーに従って、ライフサイクルおよび 認証インジケーター で Ticket-Granting Ticket (TGT) を発行します。
- TGT により、クライアントは KDC から サービスチケット を要求し、ターゲットホストで Kerberos を使用するサービスと通信します。
- KDC は、クライアントの TGT が有効であるかどうかを確認し、チケットポリシーに対してサービスチケット要求を評価します。
- KDC はクライアントに サービスチケット を発行します。
- サービスチケットを使用すると、クライアントはターゲットホストのサービスと暗号化された通信を開始できます。