Red Hat Enterprise Linux 4: リファレンスガイド
涟のペ〖ジ	鞠 19鞠. Kerberos	肌のペ〖ジ

19.5. Keberos 5サ〖バ〖の肋年

Kerberosを菇蜜するときは、呵介にサ〖バをインスト〖ルします。スレ〖ブサ〖バ〖を菇蜜する涩妥がある眷圭には、マスタ〖とスレ〖ブサ〖バ〖の簇犯を菇蜜する拒嘿が /usr/share/doc/krb5-server-<version-number> ディレクトリの Keberos 5 Installation Guide にありますので徊救してください(<version-number> の婶尸は、システムにインスト〖ルしている krb5-serverパッケ〖ジのバ〖ジョン戎规を掐れてください)。

答塑弄な Kerberosサ〖バを肋年するには、笆布のステップに骄います¨

Kerberos 5をインスト〖ルする涟に、箕纷票袋とDNSがすべてのクライアントとサ〖バ〖惧で怠墙していることを澄千してください。 Kerberosサ〖バ〖とそのクライアント粗の箕纷票袋は泼に庙罢してください。它办、サ〖バ〖とクライアントの箕纷に５尸笆惧の般いがある眷圭(このデフォルト猛は Keberos 5 で肋年材墙)、 Kerberosクライアントはサ〖バ〖に千沮されません。この箕纷票袋は、赖惮のユ〖ザ〖と刀って概いKerberos チケットを脱いるアタッカ〖を松贿するために涩妥です。
Keberosを脱いていない眷圭でも、ネットワ〖クでクライアント/サ〖バ〖高垂の NTP (Network Time Protocol) を肋年した数がよいでしょう。このために、Red Hat Enterprise Linuxにはntpパッケ〖ジが崔まれています。 Network Time Protocolサ〖バの肋年についての拒嘿は、 /usr/share/doc/ntp-<version-number>/index.htmを徊救してください。 NTPに簇するその戮の攫鼠は、 http://www.eecis.udel.edu/~ntpをご枉ください。
KDCを悸乖する漓脱マシンに、krb5-libs、 krb5-server、krb5-workstationをインスト〖ルします。このマシンは泼に奥链が澄瘦されることが涩妥です。 — できれば KDC 笆嘲のサ〖ビスは悸乖しないでください。
Kerberosを瓷妄するのに、GUI(Graphical User Interface)が涩妥な眷圭は、 gnome-kerberosパッケ〖ジをインスト〖ルしてください。このパッケ〖ジには、krb5というチケットを瓷妄するGUIツ〖ルが崔まれています。
realm 叹とドメイン-realm粗マッピングを瓤鼻するためには、/etc/krb5.confと /var/keberos/krb5kdc/kdc.conf 肋年ファイルを试礁してください。帽姐な realm なら、EXAMPLE.COMとexample.com インスタンスの婶尸に、赖しいドメイン叹 (络矢机、井矢机が赖しいか澄千してください) を掐れ、 KDC をkerberos.example.comから Kerberos サ〖バ〖叹に恃构することで、菇蜜できます。捶毋では、链ての realm 叹は络矢机で、DNS ホスト叹とドメイン叹は井矢机になっています。これら肋年ファイルの妨及の拒嘿については、澈碰する man ペ〖ジを徊救してください。
シェルプロンプトからkrb5_utilユ〖ティリティを蝗ってデ〖タベ〖スを侯喇します¨
/usr/kerberos/sbin/kdb5_util create -s
createコマンドは、 Kerberos realm の赴を呈羌するためのデ〖タベ〖スを侯喇します。-sスイッチは、マスタ〖サ〖バ〖赴を呈羌するstashファイルを侯喇を动扩します。赴を粕むための stash ファイルが痰い眷圭は、Kerberos サ〖バ〖( krb5kdc)は弹瓢する刨に、ユ〖ザ〖にマスタ〖サ〖バ〖パスワ〖ド(赴を浩栏喇するのに蝗脱)の掐蜗を楼します。

/var/kerberos/krb5kdc/kadm5.aclファイルを试礁します。このファイルはkadmindで蝗脱され、どのプリンシパルが Kerberos デ〖タベ〖スに瓷妄アクセスを积つかを疯年し、また、それぞれのプリンシパルのアクセスレベルを疯年します。ほとんどの措度、媚挛で笆布の屯な办乖で试礁することができます。

*/admin@EXAMPLE.COM牋*

ほとんどのユ〖ザ〖は、デ〖タベ〖ス柒に帽办のプリンシパル (毋えばjoe@EXAMPLE.COMのように、NULL、鄂、インスタンスなど∷で山绩されます。この肋年を脱いて、adminのインスタンスが妈２プリンシパルであるユ〖ザ〖は (毋、joe/admin@EXAMPLE.COM)、 realm の Kerberos デ〖タベ〖ス惧で链涪嘎を乖蝗することができます。

办枚、kadmindがサ〖バ〖惧で弹瓢すると、realm 柒のクライアントやサ〖バ〖からkadminを悸乖する祸で、どのユ〖ザ〖もそのサ〖ビスにアクセスできます。しかし、kadm5.aclファイルに淡很されているユ〖ザだけが、极咳のパスワ〖ド恃构を近き、どのような恃构もデ〖タ〖ベ〖スに滦して乖えます。

庙淡

	庙淡
	`kadmin`ユ〖ティリティは、ネットワ〖クを拆して`kadmind`サ〖バ〖と奶慨しており、 Kerberosを蝗って千沮を借妄します。このため、ネットワ〖クを拆してサ〖バ〖に儡鲁する涟に、それを瓷妄する呵介のプリンシパルが赂哼しなければなりません。 `kadmin.local`コマンドを蝗脱して呵介のプリンシパルを侯喇します。これは泼にKDCと票じホストで蝗脱するようになっており、千沮にKerberosを蝗脱しません。

kadminユ〖ティリティは、ネットワ〖クを拆してkadmindサ〖バ〖と奶慨しており、 Kerberosを蝗って千沮を借妄します。このため、ネットワ〖クを拆してサ〖バ〖に儡鲁する涟に、それを瓷妄する呵介のプリンシパルが赂哼しなければなりません。 kadmin.localコマンドを蝗脱して呵介のプリンシパルを侯喇します。これは泼にKDCと票じホストで蝗脱するようになっており、千沮にKerberosを蝗脱しません。

妈办プリンシパルを侯喇するには、KDCタ〖ミナルで肌のkadmin.localコマンドを掐蜗します¨

/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"

笆布のコマンドでKerberosを弹瓢します¨

/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start

kadminでaddprincコマンドを蝗脱してユ〖ザ〖のためのプリンシパルを纳裁します。 kadminとkadmin.local は KDC のコマンドラインインタ〖フェイスです。この面では、kadminプログラムを弹瓢した稿に驴くのコマンドが网脱できます。拒嘿はkadminのman ペ〖ジを徊救してください。

KDC がチケットを券乖しているか澄千します。呵介に、kinitを悸乖してチケットを栏喇し、沮汤今キャッシュファイルに呈羌します。それから、klistを蝗脱してキャッシュ柒の沮汤今办枉を山绩します。 kdestroyを脱いて、キャッシュとキャッシュ柒の沮汤今を撬逮します。

庙淡

	庙淡
	デフォルトでは、`kinit`は、システム(Kerberosサ〖バ〖ではない∷にログインした箕に蝗ったログインユ〖ザ〖叹を脱いて千沮しようとします。そのユ〖ザ〖叹が Kerberos デ〖タベ〖スのプリンシパルと办米しない眷圭は、 `kinit`はエラ〖メッセ〖ジを券乖します。このような眷圭、コマンドラインに苞眶として努磊なプリンシパルの叹涟をつけて、`kinit` に涂えます。(`kinit <principal>`)

デフォルトでは、kinitは、システム(Kerberosサ〖バ〖ではない∷にログインした箕に蝗ったログインユ〖ザ〖叹を脱いて千沮しようとします。そのユ〖ザ〖叹が Kerberos デ〖タベ〖スのプリンシパルと办米しない眷圭は、 kinitはエラ〖メッセ〖ジを券乖します。このような眷圭、コマンドラインに苞眶として努磊なプリンシパルの叹涟をつけて、kinit に涂えます。(kinit <principal>)

笆惧のステップを窗位すると、Kerberosサ〖バ〖は弹瓢し侯瓢してるはずです。

涟のペ〖ジ	ホ〖ム	肌のペ〖ジ
Kerberos と PAM	惧に提る	Kerberos 5クライアントの肋年