Kerberos Key Distribution Center Proxy

一部のデプロイメントでは、一部のデプロイメントでは、_HTTPS ポート（ポート（_TCP を使用してを使用して₄₄₃）のみにアクセスでき、デフォル）のみにアクセスでき、デフォル トの

トの _Kerberos ポートはアクセスできません。クライアントは、ポートはアクセスできません。クライアントは、_{IdM HTTPS} サービスをプロキシーとサービスをプロキシーと して使用して

して使用して _Kerberos 認証情報を取得できます。このリバースプロキシーは、認証情報を取得できます。このリバースプロキシーは、_HTTPS 経由で経由で Kerberos 認証のサービスへのアクセスを可能にします。認証のサービスへのアクセスを可能にします。

Kerberos Key Distribution Center Proxy(KKDCP)は、は、_IdM でこの機能を提供します。でこの機能を提供します。

デプロイメントでの

デプロイメントでの _KKDCP の設定の設定

IdM サーバーでは、サーバーでは、_KKDCP はデフォルトで有効になっています。はデフォルトで有効になっています。

IdM クライアントで、クライアントで、_KKDCP を有効にする必要があります。を有効にする必要があります。

1.

の説明に従っての説明に従って /etc/krb5.conf 「「_Kerberos クライアントの設定」クライアントの設定」。。

2.

SSSD サービスを再起動します。サービスを再起動します。

# systemctl restart sssd.service

IdM サーバーでサーバーで _KKDCP が有効になっていることの確認が有効になっていることの確認

KKDCP は、は、Apache Web サーバーの起動時に毎回自動的に有効になります。属性と値ペアサーバーの起動時に毎回自動的に有効になります。属性と値ペア ipaConfigString=kdcProxyEnabled がディレクトリーに存在すると、自動的に有効になります。このがディレクトリーに存在すると、自動的に有効になります。この ような場合、シンボリックリンク

ような場合、シンボリックリンク /etc/httpd/conf.d/ipa-kdc-proxy.conf が作成されます。が作成されます。

KKDCP 機能が有効になっているかどうかを確認するには、シンボリックリンクが存在することを機能が有効になっているかどうかを確認するには、シンボリックリンクが存在することを 確認します。

確認します。

$ ls -l /etc/httpd/conf.d/ipa-kdc-proxy.conf

lrwxrwxrwx. 1 root root 36 Aug 15 09:37 /etc/httpd/conf.d/ipa-kdc-proxy.conf -> /etc/ipa/kdcproxy/ipa-kdc-proxy.conf

IdM サーバーでのサーバーでの _KKDCP の無効化の無効化 1.

ipaConfigString=kdcProxyEnabled 属性と値ペアをディレクトリーから削除します。属性と値ペアをディレクトリーから削除します。

# ipa-ldap-updater /usr/share/ipa/kdcproxy-disable.uldif 2.

IdM サーバーでサーバーで _httpd サービスを再起動します。サービスを再起動します。

# systemctl restart httpd.service 関連情報

関連情報

Active Directory レルムにレルムに _KKDCP を設定する方法は、を設定する方法は、_{Red Hat} ナレッジベースのナレッジベースの

「

「Configure IPA server as a KDC Proxy for AD Kerberos communication 」を参照してくだ」を参照してくだ さい。

さい。

11.3. KERBEROS クライアントの設定クライアントの設定

Kerberos 5 クライアントの設定に必要なのは、クライアントパッケージをインストールして各クラクライアントの設定に必要なのは、クライアントパッケージをインストールして各クラ イアントに有効な

イアントに有効な krb5.conf 設定ファイルを指定することです設定ファイルを指定することです。クライアントシステムにリモートでロ。クライアントシステムにリモートでロ グインする方法として

グインする方法として _ssh とと _slogin が推奨されますが、が推奨されますが、_Kerberos 対応の対応の _rsh およびおよび _rlogin は依然とは依然と して、追加の設定変更を行います。

して、追加の設定変更を行います。

1.

クライアントマシンにクライアントマシンに krb5-libs パッケージおよびパッケージおよび krb5-workstation パッケージをインスパッケージをインス トールします。

トールします。

[root@server ~]# yum install krb5-workstation krb5-libs 2.

各クライアントに有効な各クライアントに有効な /etc/krb5.conf ファイルを指定します。通常、これはファイルを指定します。通常、これは _Kerberos

Distribution Center(KDC)が使用するものと同じが使用するものと同じ krb5.conf ファイルになります。以下に例をファイルになります。以下に例を 示します。

示します。

[logging]

default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log [libdefaults]

default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true

allow_weak_crypto = true [realms]

EXAMPLE.COM = {

kdc = kdc.example.com.:88 admin_server = kdc.example.com default_domain = example.com }

[domain_realm]

.example.com = EXAMPLE.COM example.com = EXAMPLE.COM

一部の環境では、一部の環境では、_KDC はは HTTPS Kerberos Key Distribution Center Proxy(KKDCP)のみのみ を使用してアクセス可能です。この場合は、以下の変更を加えます。

を使用してアクセス可能です。この場合は、以下の変更を加えます。

a.

[realms] セクションのセクションの _kdc およびおよび admin_server オプションに、ホスト名の代わりオプションに、ホスト名の代わり に

に _KKDCP のの _URL を割り当てます。を割り当てます。

[realms]

EXAMPLE.COM = {

kdc = https://kdc.example.com/KdcProxy

admin_server = https://kdc.example.com/KdcProxy kpasswd_server = https://kdc.example.com/KdcProxy default_domain = example.com

}

冗長性を確保するために、異なる冗長性を確保するために、異なる _KKDCP サーバーを使用してサーバーを使用して _kdc 、、 admin_server、および、およびkpasswd_server パラメーターを複数回追加できます。パラメーターを複数回追加できます。

b.

IdM クライアントでクライアントで _sssd サービスを再起動して、変更を適用します。サービスを再起動して、変更を適用します。

[root@server ~]# systemctl restart sssd 3.

Kerberos 対応の対応の _rsh およびおよび _rlogin サービスを使用するには、サービスを使用するには、_rsh パッケージをインスパッケージをインス トールします

トールします。。

4.

ワークステーションがワークステーションが _Kerberos を使用してを使用して _ssh、、_rsh、または、または _rlogin を使用して接続すを使用して接続す るユーザーを認証する前に、

るユーザーを認証する前に、_Kerberos データベースに独自のホストプリンシパルが必要になりデータベースに独自のホストプリンシパルが必要になり ます。

ます。_sshd、、_kshd、および、および _klogind サーバープログラムはすべて、ホストサービスのプリンサーバープログラムはすべて、ホストサービスのプリン シパルのキーへのアクセスが必要になります。

シパルのキーへのアクセスが必要になります。

a.

kadmin を使用して、を使用して、_KDC 上のワークステーション用のホストプリンシパルを追加し上のワークステーション用のホストプリンシパルを追加し ます。この場合のインスタンスはワークステーションのホスト名です。

ます。この場合のインスタンスはワークステーションのホスト名です。kadmin 'saddprinc コマンドに

コマンドに _-randkey オプションを使用してプリンシパルを作成し、ランダムキーを割り当オプションを使用してプリンシパルを作成し、ランダムキーを割り当 てます。

てます。

addprinc -randkey host/server.example.com b.

この鍵は、ワークステーション自体でこの鍵は、ワークステーション自体で kadmin を実行して、を実行して、kt add コマンドを使用コマンドを使用 してワークステーション用に抽出できます。

してワークステーション用に抽出できます。

ktadd -k /etc/krb5.keytab host/server.example.com 5.

その他のその他の _Kerberos 対応ネットワークサービスを使用するには、対応ネットワークサービスを使用するには、krb5-server パッケージをパッケージを インストールしてサービスを起動します。

インストールしてサービスを起動します。_Kerberos 表表_11.3「一般的な「一般的な _Kerberos 対応サービ対応サービ ス」

ス」。。 表

表_11.3 一般的な一般的な _Kerberos 対応サービス対応サービス サービス名

サービス名 使用方法使用方法

ssh クライアントとサーバー両方の設定で

GSSAPIAuthentication^{が有効な場合に、}

OpenSSH は GSS-API を使用してサーバーにユー ザーを認証します。クライアントも

GSSAPIDelegateCredentials^{が有効になってい} る場合、ユーザーの認証情報がリモートシステムで 利用可能になります。OpenSSH にはsftp^ツールも 含まれています。これは SFTP サーバーに FTP のよ うなインターフェースを提供し、GSS-API を使用で きます。

IMAP cyrus-imapパッケージは、パッケージは、cyrus-sasl-gssapi パッケージがインストールされている場合に

Kerberos 5 を使用します。cyrus-sasl-gssapi^パッ ケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP 機能機能 は、

は、Cyrus^{ユーザーが}/etc/krb5.keytab^で適切な 鍵を見つけ、プリンシパルの root が（（kadminでで 作成された）

作成された）に設定されている限り Kerberos で動 作します。

cyrus-imapの代替は、の代替は、dovecot^{パッケージにあ} ります。これは、Red Hat Enterprise Linux にも同梱 されています。このパッケージには IMAP サーバー が含まれていますが、GSS-API および Kerberos に は対応していません。

サービス名

サービス名 使用方法使用方法

11.4. スマートカード用のスマートカード用の _KERBEROS クライアントの設定クライアントの設定

スマートカードはスマートカードは _Kerberos との使用が可能ですが、スマートカード上でとの使用が可能ですが、スマートカード上で X.509 (SSL) ユーザー証ユーザー証 明書を認識するための追加設定が必要になります。

明書を認識するための追加設定が必要になります。

1.

他のクライアントパッケージと共に、必要な他のクライアントパッケージと共に、必要な PKI/OpenSSL パッケージをインストールしパッケージをインストールし ます。

ます。

[root@server ~]# yum install krb5-pkinit

[root@server ~]# yum install krb5-workstation krb5-libs 2.

/etc/krb5.conf 設定ファイルを編集して、公開鍵インフラストラクチャー設定ファイルを編集して、公開鍵インフラストラクチャー_(PKI)のパラメーのパラメー ターを設定の

ターを設定の _[realms] セクションに追加します。セクションに追加します。pkinit_anchors パラメーターはパラメーターは _CA 証明書証明書 バンドルファイルの場所を設定します。

バンドルファイルの場所を設定します。

[realms]

EXAMPLE.COM = {

kdc = kdc.example.com.:88 admin_server = kdc.example.com default_domain = example.com ...

pkinit_anchors = FILE:/usr/local/example.com.crt }

3.

スマートカード認証スマートカード認証(/etc/pam.d/smartcard-auth)およびシステム認証およびシステム認証 (/etc/pam.d/system-auth)の両方のの両方の _PAM 設定に設定に _PKI モジュール情報を追加します。両方のファイルに追加する行モジュール情報を追加します。両方のファイルに追加する行 は、以下のとおりです。

は、以下のとおりです。