Kerberosを構築するには、最初にインストールします。スレーブサーバーを構築するには、マスターとスレーブサーバー関係を構築する詳細はKeberos 5 Installation Guide(/usr/share/doc/krb5-server-<バージョン番号>ディレクトリ)にありますので参照してください。
Kerberosサーバーのインストール
Kerberos 5をインストールする前に、時計同期とDNSがサーバーで起動している事を確認してください。Kerberosサーバーと各クライアント間の時計同期は特に注意してください。もし、サーバーとクライアントの時計が5分以上異なっていたら、(これはデフォルトのKeberos 5設定時間です。)Kerberosクライアントはサーバーに認証されません。この時計同期は、正規のユーザーと偽って、古い認証を用いるアタッカーを防止するために必要です。
Keberosを用いていない場合でも、Red Hat Linuxを使っているネットワークでクライアント/サーバー互換なNTP(Network Time Protocol)の設定をしてください。Red Hat Linux 7.3にはインストールが容易にできるntpパッケージがあります。NTPに関する詳細はhttp://eecis.udel.edu/~ntpを参照してください。
krb5-lib、krb5-serverとkrb5-workstationパッケージをKDCが起動している決められたマシンにインストールします。このマシンはセキュアであることが望まれ、—可能ならKDC以外のサービスは起動していない状態にしてください。
Kerberosを管理するのに、GUI(Graphical User Interface)を使いたい場合は、gnome-kerberosパッケージもインストールしてください。このパッケージには、krb5というチケットを管理するGUIツールやgkadminというKerberos realmを管理するGUIツールが含まれています。
realm名とドメイン-realm間マッピングを反映するため、/etc/krb5.confと/var/keberos/krb5kdc/kdc.conf設定ファイルを編集してください。簡単なreamlはEXAMPLE.COMとexample.comをドメイン名—大文字または小文字、正しいフォーマットを確かめて下さい—で置き換え、また、KDCをkerberos.example.comからKerberosサーバー名に変更することで、構築できます。通常、realm名は大文字で、DNS名は小文字です。これらファイルの詳細については、該当するマニュアルページを参照ください。
シェルプロンプトからkrb5_utilユーティリティを使ってデータベースを作成します。
/usr/kerberos/sbin/kdb5_util create -s |
createコマンドはKerberos realmの鍵を格納するためのデータベースを作成します。-sスイッチは、マスターサーバー鍵を格納するstashファイルを作成します。鍵を読むためのstashファイルが無い場合は、Kerberosサーバー(krb5kdc)は起動していればいつでも、ユーザーにマスターサーバーパスワード(鍵を再生成するのに使われる)の入力を促します。
/var/kerberos/krb5kdc/cadm5.aclファイルを編集します。このファイルはどのプリンシパルがKerberosデータベースにどのレベルでアクセスするかを決めるkadmindで使われます。多くの場合、一行で編集できます。
*/admin@EXAMPLE>COM |