Kerberos 5クライアントのセットアップは、サーバーのセットアップほど複雑ではありません。ただし、最低でもクライアントパッケージをインストールし、クライアントに有効なkrb5.conf設定ファイルを用意することが必要です。Kerberos対応のrshとrloginについても、いくつかの設定を変更する必要があります。
KerberosクライアントとKDC間で時計の同期が正しく取れていることを確認します。詳細については、Kerberos 5サーバーの設定項を参照してください。また、Kerberosクライアントプログラムをインストールするには、Kerberosクライアント上でDNSが正しく機能している必要があります。
realm内のすべてのクライアントにkrb5-libsパッケージとkrb5-workstationパッケージをインストールします。クライアントワークステーションには、独自のバージョンの/etc/krb5.confが必要です。通常は、KDCが使用するkrb5.confと同じものを使用できます。
realm内のワークステーションで、Kerberos対応のrshとrloginを使用したユーザーからの接続を許可できるようにするには、そのワークステーションにxinetdパッケージがインストールされており、Kerberosデータベースにワークステーションのホストプリンシパルが存在している必要があります。サーバープログラムのkshdやklogindも、サービスのプリンシパルの鍵にアクセスできなければなりません。
kadminを使用して、ワークステーションのホストプリンシパルを追加します。この場合のインスタンスはワークステーションのホスト名です。おそらくこのプリンシパルのパスワードは再度入力する必要がなく、管理者は適切なパスワードを考える手間も省きたいはずなので、kadminのaddprincコマンドに-randkeyオプションを使用すれば、プリンシパルを作成し、これにランダムな鍵を割り当てることができます。
addprinc -randkey host/blah.example.com |
これでプリンシパルが作成されました。ワークステーション上でkadminを実行し、kadminのktaddを実行して、ワークステーション用の鍵を取得することができます。
ktadd -k /etc/krb5.keytab host/blah.example.com |
Kerberos対応のrshとrloginを使用するには、klogin、eklogin、kshellを有効にする必要があります。[1]
その他のKerberos対応のネットワークサービスも起動する必要があります。Kerberos対応のtelnetを使用するには、krb5-telnetを有効にします。[1]
FTPアクセスを行えるようにするには、ftpのrootによってプリンシパルの鍵を作成して取得します(インスタンスとしてFTPサーバーのホスト名を設定)。次にgssftpを有効にします。[1].
imapパッケージに含まれるIMAPサーバーは、/etc/krb5.keytabに正しい鍵を見つけた場合に、Kerberos 5を使用してGSS-API認証を行います。プリンシパルのrootは、imapとします。CVS gserverは、cvsのrootを持つプリンシパルを使用することを除き、pserverと同様です。
以上で、単純なKerberosのrealmがセットアップされます。
| [1] | サービスを有効にする方法については、第8章を参照してください。 |