Kerberos 5クライアントの設定

Kerberos 5クライアントの設定は、サーバーの設定に比べて少なくて済みます。最小限、クライアントパッケージをインストールして、正しいkrb5.conf設定ファイルをクライアントに供給してください。設定変更の中には、Kerberos対応したrshとrloginが必要なものもあります。

1. KerberosクライアントとKDCで時間同期を取ることに注意してください。詳細はKeberos 5サーバーの設定項を参照してください。さらに、Kerberosクライアントプログラムをインストールする前に、DNSが適切に動作している事が必要です。

2. realm内の全てのクライアントにkrb5-libsとkrb5-workstationパッケージをインストールしてください。クライアントワークステーションには、クライアント固有のバージョンの/etc/krb5.confがインストールされているはずです。通常、これは、KDCで使われている/etc/krb5.confと同じバージョンです。

3. realm内のそれぞれのワークステーションに、Kerberos対応したrshやrloginを用いて、接続するユーザーを許可する前に、ワークステーションにxinetdパッケージをインストールしてKerberosデータベース内に自らのホストプリンシパルを作成する事が必要です。kshdとklogindサーバープログラムも、サービスプリンシパルの鍵にアクセスするために必要です。

   kadminを使って、ワークステーション用のホストプリンシパルを追加します。この場合の例としては、ワークステーションのホスト名があります。というのは、このプリンシパル用にパスワードを再び入力する必要が無く、良いパスワードを考えるのに悩みたくないであろうからです。プリンシパルを作成するのに、-randkeyオプションをkadminのaddprincコマンドに付け、ランダム鍵を用意します。

   addprinc -randkey host/blah.example.com

   これで、プリンシパルを作成できました。ワークステーション上で、kadminを起動して、またはkadminのktaddコマンドを使って、ワークステーション用の鍵を引き出せます。

   ktadd -k /etc/krb5.keytab host/blah.example.com

   kerberos対応したrshとkloginを使うため、klogin、eklogin、kshellが使えなければなりません。 [1]

4. その他のKerberos化ネットワークサービスを起動します。Kerberos対応したtelnetを使うには、krb5-telnetが可能でなければなりません。[1]

   FTPアクセスを付与するには、ftpのルートとFTPサーバーのホスト名をセットして、プリンシパルの鍵を生成し引き出します。これで、gssftpが利用可能です。 [1]

   imapパッケージに含まれるIMAPサーバーは、/etc/rgb5.keytabに適切な鍵があれば、Kerberos 5 を用いたGSS-API認証を使います。プリンシパルのルートは、imapでなければなりません。CVSサーバーはcvsのルートをプリンシパルとして使い、さもなければ、pserverと一致します。

以上が、単純なKerberos realmを構築するために必要な事です。