Red Hat Linux 9: Red Hat Linux 徊救ガイド
涟のペ〖ジ	妈 17鞠Kerberos	肌のペ〖ジ

17.5. Keberos 5サ〖バ〖の肋年

Kerberosを菇蜜するには、呵介にサ〖バをインスト〖ルします。スレ〖ブサ〖バ〖を菇蜜するには、マスタ〖とスレ〖ブサ〖バ〖簇犯を菇蜜する拒嘿がKeberos 5 Installation Guide (/usr/share/doc/krb5-server-<バ〖ジョン戎规> ディレクトリの面)にありますので徊救してください。

答塑弄な Kerberosサ〖バを肋年するには、笆布のステップに骄います¨

Kerberos 5をインスト〖ルする涟に、箕纷票袋とDNSがサ〖バ〖で赖撅に瓢侯している祸を澄千してください。Kerberosサ〖バ〖と称クライアント粗の箕纷票袋は泼に庙罢してください。もし、サ〖バ〖とクライアントの箕纷が５尸笆惧佰なっていたら、(これはデフォルトのKeberos 5肋年箕粗です。)Kerberosクライアントはサ〖バ〖に千沮されません。この箕纷票袋は、赖惮のユ〖ザ〖と刀って、概いKerberos チケットを脱いるアタッカ〖を松贿するために涩妥です。
Keberosを脱いていない眷圭でも、ネットワ〖クでクライアント/サ〖バ〖高垂の NTP(Network Time Protocol)の肋年をすべきです。Red Hat Linuxには、词帽にインスト〖ルできる ntpパッケ〖ジが崔まれています。Network Time Protocolサ〖バの肋年に簇する拒嘿には/usr/share/doc/ntp-<version-number>/index.htmを徊救して、NTPに簇するその戮の攫鼠については http://www.eecis.udel.edu/~ntpを告枉布さい。
KDCが悸乖するように疯年している漓脱マシンに、krb5-libs, krb5-server, krb5-workstationをインスト〖ルします。このマシンは泼にセキュアであることが涩妥です。 —材墙なら、KDC笆嘲の戮のサ〖ビスは悸乖しないことが司まれます。
Kerberosを瓷妄するのに、GUI(Graphical User Interface)を蝗いたい眷圭は、 gnome-kerberosパッケ〖ジもインスト〖ルしてください。このパッケ〖ジには、krb5というチケットを瓷妄するGUIツ〖ルが崔まれています。
realm叹とドメイン-realm粗マッピングを瓤鼻するためには/etc/krb5.confと /var/keberos/krb5kdc/kdc.conf肋年ファイルを试礁してください。词帽なreamlは EXAMPLE.COMとexample.comの毋をドメイン叹 —络矢机か井矢机か、赖しいフォ〖マットを澄かめて布さい—で弥き垂え、そして KDCをkerberos.example.comからKerberosサ〖バ〖叹に恃构することで、菇蜜できます。捶浆弄に、realm叹は络矢机で、DNSホスト叹とドメイン叹は井矢机です。これらファイル妨及の拒嘿については、澈碰するマニュアルペ〖ジを徊救ください。
シェルプロンプトからkrb5_utilユ〖ティリティを蝗ってデ〖タベ〖スを侯喇します¨
/usr/kerberos/sbin/kdb5_util create -s
createコマンドはKerberos realmの赴を呈羌するために蝗脱するデ〖タベ〖スを侯喇します。-sスイッチは、マスタ〖サ〖バ〖赴を呈羌するstashファイルを侯喇します。赴を粕むためのstashファイルが痰い眷圭は、Kerberosサ〖バ〖(krb5kdc)は弹瓢する刨に、ユ〖ザ〖にマスタ〖サ〖バ〖パスワ〖ド(赴を浩栏喇するのに蝗われる)の掐蜗を楼します。

/var/kerberos/krb5kdc/kadm5.aclファイルを试礁します。このファイルはどのプリンシパルがKerberosデ〖タベ〖スにどのレベルでアクセスするかを疯める kadmindで蝗われます。驴くの眷圭、笆布の屯に办乖で试礁できます¨

*/admin@EXAMPLE.COM牋*

ほとんどのユ〖ザ〖は、デ〖タベ〖ス惧に帽办のプリンシパル(毋えばjoe@EXAMPLE.COMの毋ようにNULLあるいは鄂で∷で山绩されます。この肋年を脱いて、妈２のプリンシパルを积っているユ〖ザ〖は(毋えばjoe/admin@EXAMPLE.COMのように)adminの毋を蝗って realmのKerberosデ〖タベ〖ス惧で链涪嘎を蝗う祸ができます。

办枚、kadmindがサ〖バ〖惧で弹瓢すると、realm柒のクライアントやサ〖バ〖からkadminを弹瓢する祸で、どのユ〖ザ〖もそのサ〖ビスにアクセスできます。しかし、kadm5.aclファイルに淡很されているユ〖ザだけが、极咳のパスワ〖ド恃构笆嘲なら、どのような恃构もデ〖タ〖ベ〖スに滦して乖えます。

庙罢

	庙罢
	`kadmin`ユ〖ティリティはネットワ〖ク臂しに`kadmind`サ〖バ〖と奶慨しており、千沮を胺うためにKerberosを蝗います。碰脸、ネットワ〖ク臂しにサ〖バ〖に儡鲁する涟に、ネットワ〖クを瓷妄する妈办プリンシパルを侯喇する涩妥があります。妈办プリンシパルを侯喇するには `kadmin.local`コマンドを蝗脱します。これは泼にKDCと票じホストで蝗脱するように肋纷してあり、千沮脱にKerberosを蝗脱しません。

kadminユ〖ティリティはネットワ〖ク臂しにkadmindサ〖バ〖と奶慨しており、千沮を胺うためにKerberosを蝗います。碰脸、ネットワ〖ク臂しにサ〖バ〖に儡鲁する涟に、ネットワ〖クを瓷妄する妈办プリンシパルを侯喇する涩妥があります。妈办プリンシパルを侯喇するには kadmin.localコマンドを蝗脱します。これは泼にKDCと票じホストで蝗脱するように肋纷してあり、千沮脱にKerberosを蝗脱しません。

妈办プリンシパルを侯喇するには、KDCタ〖ミナルで肌のkadmin.localコマンドを掐蜗します¨

/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"

笆布のコマンドでKerberosを弹瓢します¨

/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start

addprincコマンドとkadmin蝗脱してユ〖ザ〖のためのプリンシパルを纳裁します。kadminとkadmin.localはKDCのコマンドラインインタ〖フェイスです。この面では、kadminプログラムを弹瓢した稿に驴くのコマンドが网脱できます。拒嘿はkadminのman ペ〖ジを告枉布さい。

システムがチケットを券乖できるか澄かめます。呵介に、kinitを悸乖してチケットを栏喇し、沮汤今キャッシュファイルに呈羌します。それからklistを蝗脱してキャッシュ柒の沮汤今办枉を山绩して、その稿、kdestroyを脱いて、キャッシュとその面咳の沮汤今を撬逮します。

庙罢

	庙罢
	デフォルトでは、`kinit`は、呵介にシステム(Kerberosサ〖バ〖ではない∷にログインした箕に蝗ったアカウントのログインユ〖ザ〖叹を脱いて、千沮しようとします。そのシステムのユ〖ザ〖叹がKerberosデ〖タベ〖スのプリンシパルと圭米していない眷圭は、エラ〖メッセ〖ジが山绩されます。この眷圭は、コマンドラインの苞眶としてプリンシパルの叹涟を `kinit`に涂えます。(`kinitprincipal`)。

デフォルトでは、kinitは、呵介にシステム(Kerberosサ〖バ〖ではない∷にログインした箕に蝗ったアカウントのログインユ〖ザ〖叹を脱いて、千沮しようとします。そのシステムのユ〖ザ〖叹がKerberosデ〖タベ〖スのプリンシパルと圭米していない眷圭は、エラ〖メッセ〖ジが山绩されます。この眷圭は、コマンドラインの苞眶としてプリンシパルの叹涟を kinitに涂えます。(kinitprincipal)。

笆惧のステップを窗位すると、Kerberosサ〖バ〖は弹瓢し侯瓢してるはずです。肌は、 Kerberosクライアントの肋年をします。

涟のペ〖ジ	ホ〖ム	肌のペ〖ジ
Kerberos と PAM	惧に提る	Kerberos 5クライアントの肋年