3.2.2。 コンフィギュレーション
インストール中に尋ねられる質問は、 /etc/krb5.conf ファイル。 キー配布センター (KDC) 設定を調整する必要がある場合は、ファイルを編集して krb5-kdc デーモンを再起動するだけです。 おそらくレルム名を変更するために Kerberos を最初から再構成する必要がある場合は、次のように入力して実行できます。
sudo dpkg-reconfigure krb5-kdc
1. KDC が適切に実行されたら、管理者ユーザー -- 管理者プリンシパル -- が必要です。 普段使用しているユーザー名とは異なるユーザー名を使用することをお勧めします。 ターミナル プロンプトで kadmin.local ユーティリティを使用して、次のように入力します。
須藤 kadmin.local
パスワードを使用してプリンシパル root/admin@EXAMPLE.COM として認証します。kadmin.local: スティーブ/管理者を追加
WARNING: no policy specified for steve/admin@EXAMPLE.COM; defaulting to no policy Enter password for principal "steve/admin@EXAMPLE.COM":
Re-enter password for principal "steve/admin@EXAMPLE.COM": Principal "steve/admin@EXAMPLE.COM" created.
kadmin.local: やめます
上記の例では スティーブ は 校長, /管理者 あります インスタンス, @EXAMPLE.COM 領域を意味します。 の "毎日" 校長、別名 ユーザープリンシパル, would be steve@EXAMPLE.COM, and should have only normal user rights.
交換する Example.COM スティーブ レルムと管理者のユーザー名を使用します。
2. 次に、新しい管理者ユーザーは適切なアクセス制御リスト (ACL) 権限を持っている必要があります。 権限は /etc/krb5kdc/kadm5.acl ファイル:
steve/admin@EXAMPLE.COM *
このエントリーにより付与されるのは、 スティーブ/管理者 レルム内のすべてのプリンシパルに対して任意の操作を実行できる機能。 より制限された権限をもつプリンシパルを構成できます。これは、若手スタッフが Kerberos クライアントで使用できる管理プリンシパルが必要な場合に便利です。 をご覧ください。 kadm5.acl 詳細についてはマニュアルページを参照してください。
3. 新しい ACL を有効にするために krb5-admin-server を再起動します。
sudo systemctl restart krb5-admin-server.service
4. 新しいユーザー プリンシパルは、kinit ユーティリティを使用してテストできます。
キニットスティーブ/管理者
steve/admin@EXAMPLE.COM's Password:
パスワードを入力した後、klist ユーティリティを使用して、Ticket Granting Ticket (TGT) に関する情報を表示します。
クリスト
Credentials cache: FILE:/tmp/krb5cc_1000 Principal: steve/admin@EXAMPLE.COM
発行された元本の有効期限が切れる
Jul 13 17:53:34 Jul 14 03:53:34 krbtgt/EXAMPLE.COM@EXAMPLE.COM
キャッシュファイル名はどこにありますか krb5cc_1000 接頭辞で構成されます krb5cc_ およびユーザー ID (uid)、この場合は 1000。 にエントリを追加する必要がある場合があります。 /etc/hosts KDC の場合、クライアントが KDC を見つけられるようにします。 例えば:
192.168.0.1 kdc01.example.com kdc01
交換 192.168.0.1 KDC の IP アドレスに置き換えます。 これは通常、ルーターによって分離されたさまざまなネットワークを含む Kerberos レルムがある場合に発生します。
5. クライアントがレルムの KDC を自動的に決定できるようにする最良の方法は、DNS SRV レコードを使用することです。 以下を追加します /etc/named/db.example.com:
_kerberos._udp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 88 | kdc01.example.com。 |
_kerberos._tcp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 88 | kdc01.example.com。 |
_kerberos._udp.EXAMPLE.COM。 | IN | SRV | 10 | 0 | 88 | kdc02.example.com。 |
_kerberos._tcp.EXAMPLE.COM。 | IN | SRV | 10 | 0 | 88 | kdc02.example.com。 |
_kerberos-adm._tcp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 749 | kdc01.example.com。 |
_kpasswd._udp.EXAMPLE.COM。 | IN | SRV | 1 | 0 | 464 | kdc01.example.com。 |
交換する Example.COM, kdc01, kdc02 ドメイン名、プライマリ KDC、セカンダリ KDC で置き換えます。
第 8 章「ドメイン ネーム サービス (DNS) [p. 166]」を参照してください。 DNS 設定の詳細な手順については、XNUMX] を参照してください。 これで、新しい Kerberos レルムでクライアントを認証する準備が整いました。