ドキュメント3.2.2。 コンフィギュレーション
インストール中に尋ねられる質問は、 /etc/krb5.conf ファイル。 キー配布センター (KDC) 設定を調整する必要がある場合は、ファイルを編集して krb5-kdc デーモンを再起動するだけです。 おそらくレルム名を変更するために Kerberos を最初から再構成する必要がある場合は、次のように入力して実行できます。
sudo dpkg-reconfigure krb5-kdc
1. KDC が適切に実行されたら、管理者ユーザー -- 管理者プリンシパル -- が必要です。 普段使用しているユーザー名とは異なるユーザー名を使用することをお勧めします。 ターミナル プロンプトで kadmin.local ユーティリティを使用して、次のように入力します。
須藤 kadmin.local
プリンシパル root/ として認証中[メール保護] パスワード付き。 kadmin.local: スティーブ/管理者を追加
警告: steve/ にポリシーが指定されていません[メール保護]; デフォルトではポリシーがありません プリンシパル「steve/」のパスワードを入力してください[メール保護]":
プリンシパル「steve/」のパスワードを再入力します[メール保護]": 校長 "スティーブ/[メール保護]" 作成した。
kadmin.local: やめます
上記の例では スティーブ は 校長, /管理者 あります インスタンス, @EXAMPLE.COM 領域を意味します。 の "毎日" 校長、別名 ユーザープリンシパル、 だろう [メール保護]、通常のユーザー権限のみを持つ必要があります。
交換する Example.COM スティーブ レルムと管理者のユーザー名を使用します。
2. 次に、新しい管理者ユーザーは適切なアクセス制御リスト (ACL) 権限を持っている必要があります。 権限は /etc/krb5kdc/kadm5.acl ファイル:
スティーブ/[メール保護] *
このエントリーにより付与されるのは、 スティーブ/管理者 レルム内のすべてのプリンシパルに対して任意の操作を実行できる機能。 より制限された権限をもつプリンシパルを構成できます。これは、若手スタッフが Kerberos クライアントで使用できる管理プリンシパルが必要な場合に便利です。 をご覧ください。 kadm5.acl 詳細についてはマニュアルページを参照してください。
3. 新しい ACL を有効にするために krb5-admin-server を再起動します。
sudo systemctl restart krb5-admin-server.service
4. 新しいユーザー プリンシパルは、kinit ユーティリティを使用してテストできます。
キニットスティーブ/管理者
スティーブ/[メール保護]のパスワード:
パスワードを入力した後、klist ユーティリティを使用して、Ticket Granting Ticket (TGT) に関する情報を表示します。
クリスト
認証情報キャッシュ: FILE:/tmp/krb5cc_1000 プリンシパル: steve/[メール保護]
発行された元本の有効期限が切れる
13月17日 53:34:14 03月53日 34:XNUMX:XNUMX krbtgt/[メール保護]
キャッシュファイル名はどこにありますか krb5cc_1000 接頭辞で構成されます krb5cc_ およびユーザー ID (uid)、この場合は 1000。 にエントリを追加する必要がある場合があります。 /etc/hosts KDC の場合、クライアントが KDC を見つけられるようにします。 例えば:
192.168.0.1 kdc01.example.com kdc01
交換 192.168.0.1 KDC の IP アドレスに置き換えます。 これは通常、ルーターによって分離されたさまざまなネットワークを含む Kerberos レルムがある場合に発生します。
5. クライアントがレルムの KDC を自動的に決定できるようにする最良の方法は、DNS SRV レコードを使用することです。 以下を追加します /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 88 | kdc01.example.com。 |
_kerberos._tcp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 88 | kdc01.example.com。 |
_kerberos._udp.EXAMPLE.COM。 | IN | SRV | 10 | 0 | 88 | kdc02.example.com。 |
_kerberos._tcp.EXAMPLE.COM。 | IN | SRV | 10 | 0 | 88 | kdc02.example.com。 |
_kerberos-adm._tcp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 749 | kdc01.example.com。 |
_kpasswd._udp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 464 | kdc01.example.com。 |
交換する Example.COM, kdc01, kdc02 ドメイン名、プライマリ KDC、セカンダリ KDC で置き換えます。
第 8 章「ドメイン ネーム サービス (DNS) [p. 166]」を参照してください。 DNS 設定の詳細な手順については、XNUMX] を参照してください。 これで、新しい Kerberos レルムでクライアントを認証する準備が整いました。