Kerberos 5クライアントの設定は、サーバーの設定に比べて少なくて済みます。 最小限、 クライアントパッケージをインストールして、 有効なkrb5.conf設定ファイルを各クライアントに供給してください。 Kerberos化したrshとrlogin にも幾らかの設定変更が必要です。
KerberosクライアントとKDC間で時間同期がなされていることを確認してください。 詳細は 項19.5を参照してください。 さらに、Kerberosクライアント プログラムを設定する前に、 Kerberosクライアント上でDNSが正しく動作しているか確証してください。
全てのクライアントマシンにkrb5-libsと krb5-workstation パッケージをインストールしてください。それぞれのクライアントには、1つの有効な/etc/krb5.conf ファイルを供給してください (通常これは、KDCで使用されるのと同じ krb5.confファイルです)。
realm 内のワークステーションが Kerberos 化したrshや rloginを用いてユーザーに接続させる前に、そのワーク ステーションにxinetdパッケージをインストールして、Kerberos データベース内に自らのホストプリンシパルを持つ事が必要です。kshdとklogindサーバープログラムも、サービスプリンシパル 用の鍵にアクセスする必要があります。
kadminを使って、KDC上にワークステーション用のホストプリンシパルを追加します。 この場合のインスタンスは、ワークステーションのホスト名です。 -randkey オプションをkadminの addprincコマンドに付けて使用すると、 プリンシパルが作成されランダム鍵が割り当てられます。
addprinc -randkey host/blah.example.com |
これで、プリンシパルを作成できました。ワークステーション上でkadminを実行し、 kadminの中の ktaddコマンドを使って、 ワークステーション用の鍵を引き出せます。
ktadd -k /etc/krb5.keytab host/blah.example.com |
その他の kerberos 化されたネットワークサービスを使用する場合、以下に一般的な kerberos 化されたサービスの一覧、及びサービスを有効にする方法を示します:
rshとrlogin — rshとrloginのKerberos 化したバージョンを使う場合には、klogin、eklogin、kshell が有効でなければなりません。
Telnet — kerberos化したTelnetを使用するには、 krb5-telnetを有効にする必要があります。 .
FTP — FTP アクセスを用意するには、ftpの rootでプリンシパル用の鍵を作成し、引き出す必要があります。FTPサーバの完全修飾形の ホスト名への事例を設定して、それからgssftpを有効にします。
IMAP — kerberos 化された IMAP サーバーを使用する場合、そのサーバーが cyrus-sasl-gssapiパッケージもインストールしているなら、 cyrus-imapパッケージは Kerberos 5を使用します。 cyrus-sasl-gssapiパッケージには、GSS-API 認証を サポートする Cyrus SASL プラグインが含まれています。Cyrus IMAP は cyrusのユーザーが/etc/krb5.keytab内に適切なキー を見付けることが出来る限り、Kerberos で順調に機能して、プリンシパルの root は imap(kadminで作成)にセットされます。
dovecotパッケージには、cyrus-imapの 代替となる IMAP サーバーが含まれており、これは Red Hat Enterprise Linux にも収納されています。 しかし、現時点では GSS-API と Kerberos をサポートしていません。
CVS — CVS の kerberos 化したサーバーgserverは、cvsの root でプリンシパルを使用し、 その他の面では CVS pserverと同じです。
サービスを有効にする方法についての詳細は、 Red Hat Enterprise Linux システム管理ガイドの サービスへのアクセスの管理 の章を参照してください。