3.2.1. インストール
このディスカッションでは、次の機能を備えた MIT Kerberos ドメインを作成します (ニーズに合わせて編集してください)。
• 領域: Example.COM
• プライマリ KDC: kdc01.example.com (192.168.0.1)
• セカンダリ KDC: kdc02.example.com (192.168.0.2)
• ユーザープリンシパル: スティーブ
• 管理者プリンシパル: スティーブ/管理者
これは、 強く ネットワーク認証されたユーザーの uid を、ローカル ユーザーの uid とは異なる範囲 (たとえば、5000 から始まる) に設定することをお勧めします。
Kerberos サーバーをインストールする前に、ドメイン用に適切に構成された DNS サーバーが必要です。慣例により Kerberos レルムはドメイン名と一致するため、このセクションでは DNS ドキュメントのセクション 2.3「プライマリ マスター」[p. 169] で構成された EXPLAIN.COM ドメインを使用します。
また、Kerberos は時間に敏感なプロトコルです。そのため、クライアント マシンとサーバー間のローカル システム時間が 4 分以上 (デフォルト) 異なる場合、ワークステーションは認証できません。この問題を解決するには、すべてのホストが同じネットワーク タイム プロトコル (NTP) サーバーを使用して時間を同期する必要があります。NTP の設定の詳細については、セクション 55「時間同期」[p. XNUMX] を参照してください。
Kerberos レルムを作成する最初の手順は、krb5-kdc および krb5-admin-server パッケージをインストールすることです。ターミナルから次のように入力します。
sudo apt install krb5-kdc krb5-admin-server
インストールの最後に、レルムの Kerberos サーバーと Admin サーバーのホスト名を入力するよう求められます。これらのサーバーは同じである場合もそうでない場合もあります。
デフォルトでは、レルムは KDC のドメイン名から作成されます。
次に、kdb5_newrealm ユーティリティを使用して新しいレルムを作成します。
sudo krb5_newrealm