SASL-GSSAPIメソッドの管理

iManagerでは、Kerberosに関する次の操作を実行できます。


Kerberosスキーマの拡張

この作業を行うと、Kerberosのオブジェクトクラスと属性定義を使用してeDirectoryを拡張できます。

  1. スキーマがまだ拡張されていない場合は、[OK]をクリックしてスキーマを拡張します。

  2. iManagerで、[Kerberos Management]>[スキーマの拡張]の順にクリックして、[スキーマの拡張]ページを開きます。

    スキーマがすでに拡張されている場合は、そのことを示すメッセージが表示されます。

  3. [閉じる]をクリックします。


Kerberosレルムオブジェクトの管理

レルムとは、複数のKDC(Key Distribution Center)によって管理される論理ネットワークです。つまり、レルムとは、複数のKDCによって管理されるドメインまたはプリンシパルのグループです。慣例的に、レルム名はすべて大文字で記述され、インターネットドメインと区別されます。詳細については、RFC 1510を参照してください。

このセクションでは次のことについて説明します。


新しいレルムオブジェクトの作成

サポートされているデフォルトの暗号化タイプはDES-CBC-CRCです。

  1. iManagerで、[Kerberos Management]>[New Realm]の順にクリックして、[New Realm]ページを開きます。

  2. 作成するKerberosレルムの名前を指定します。

    レルム名は、このログインメソッドを設定する際に指定するレルム名と一致している必要があり、RFC 1510の命名規則に準拠している必要があります。

  3. レルムのマスタパスワードを指定して、パスワードを確認します。

    注:  マスタパスワードには必ず強力なパスワードを使用してください。

  4. Kerberosレルムに関連付けるサブツリーを指定するか、オブジェクトセレクタアイコンを使用してサブツリーを選択します。

    これは、このレルムのeDirectoryサービスプリンシパルを格納するサブツリーまたはコンテナのFDNになります。このサブツリーはユーザプリンシパルには適用できません。

    サブツリーまたはコンテナを選択しない場合は、ツリーのルートがデフォルトで使用されます。

  5. サブツリー検索のスコープを指定します。

    • 1レベル:レルムサブツリーの直下にあるエントリのみが検索の対象になります。
    • サブツリー:レルムサブツリー以下のサブツリー全体が検索の対象になります。

  6. [OK]をクリックします。

注:  SASL-GSSAPIでは[KDC Services]ボックスは使用しません。


レルムオブジェクトの編集

  1. iManagerで、[Kerberos Management]>[Edit Realm]の順にクリックして、[Edit Realm]ページを開きます。

  2. 編集するKerberosレルムの名前を指定するか、オブジェクトセレクタアイコンを使用してKerberosレルムを選択します。

  3. [OK]をクリックします。

  4. Kerberosレルムに関連付けるサブツリーを指定するか、オブジェクトセレクタアイコンを使用してサブツリーを選択します。

    これは、このレルムのeDirectoryサービスプリンシパルを格納するサブツリーまたはコンテナのFDNになります。このサブツリーはユーザプリンシパルには適用できません。

    サブツリーまたはコンテナを選択しない場合は、ツリーのルートがデフォルトで使用されます。

  5. サブツリー検索のスコープを指定します。

    • 1レベル:レルムサブツリーの直下にあるエントリのみが検索の対象になります。
    • サブツリー:レルムサブツリー以下のサブツリー全体が検索の対象になります。

  6. [OK]をクリックします。

  7. (オプション)別のレルムを編集するには、[タスクの繰り返し]をクリックします。

注:  SASL-GSSAPIでは[KDC Services]ボックスは使用しません。


レルムオブジェクトの削除

  1. iManagerで、[Kerberos Management]>[Delete Realm]の順にクリックして、[Delete Realm]ページを開きます。

  2. 削除するレルムを選択します。

    複数のレルムを選択するには、<Shift>キーを押しながらレルムを選択するか、<Shift>キーを押しながら矢印キーを押します。

  3. [OK]をクリックします。

  4. もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。

重要:  レルムオブジェクトを削除すると、そのレルムにあるすべてのサービスプリンシパルオブジェクトが削除されます。


サービスプリンシパルの管理

このセクションでは次のことについて説明します。


LDAPサーバ用のサービスプリンシパルの作成

KDCに付属するKerberos管理ツールを使用して、暗号化タイプとソルトタイプをそれぞれDES-CBC-CRCとNormalに設定してeDirectoryサービスプリンシパルを作成します。

プリンシパルの名前は、ldap/MYHOST.MYDNSDOMAIN@REALMNAMEの形式にする必要があります。

MIT KDCを使用している場合は、次のようなコマンドを実行します。

kadmin:addprinc -randkey -e des-cbc-crc:normal ldap/server.novell.com@MITREALM

Heimdal KDCを使用している場合は、次のようなコマンドを実行します。

kadmin -lkadmin> add --random-key ldap/server.novell.com@MITREALM

サービスプリンシパルでサポートされていない暗号化タイプを削除するには、次のコマンドを実行します。

kadmin> del_enctype ldap/MYHOST.MYDNSDOMAIN@MYREALM des-cbc-md4kadmin> del_enctype ldap/MYHOST.MYDNSDOMAIN@MYREALM des-cbc-md5kadmin> del_enctype ldap/MYHOST.MYDNSDOMAIN@MYREALM des3-cbc-sha1

MYHOST.MYDNSDOMAINはホスト名、MYREALMはKerberosレルムです。


ベストプラクティス

LDAPサービスプリンシパルキーは定期的に変更することをお勧めします。LDAPサービスプリンシパルキーを変更した場合は、必ずeDirectory内のプリンシパルオブジェクトを更新してください。


eDirectory用のサービスプリンシパルキーの抽出

KDCに付属するKerberos管理ツールを使用して、LDAPサーバ用のサービスプリンシパルの作成で作成したLDAPサービスプリンシパルのキーを抽出し、ローカルファイルシステムに保存します。この作業を行うには、Kerberos管理者の協力が必要です。

MIT KDCを使用している場合は、次のようなコマンドを実行します。

kadmin:ktadd -k /ディレクトリパス/keytabファイル名 -e des-cbc-crc:normal ldap/server.novell.com@MITREALM

Microsoft KDCを使用している場合は、たとえばActive DirectoryでldapMYHOSTというユーザを作成してから、次のコマンドを実行します。

ktpass -princ ldap/MYHOST.MYDNSDOMAIN@MYREALM -mapuser ldapMYHOST -pass パスワード -out MYHOST.keytab

このコマンドを実行すると、プリンシパル(ldap/MYHOST.MYDNSDOMAIN@MYREALM)がユーザアカウント(ldapMYHOST)にマップされ、ホストプリンシパルのパスワードがmypasswordに設定され、MYHOST.keytabファイルにキーが抽出されます。

Heimdal KDCを使用している場合は、次のようなコマンドを実行します。

kadmin> ext_keytab -k /ディレクトリパス/keytabファイル名 ldap/server.novell.com@MITREALM

keytabファイル名は、抽出されたキーが保存されるファイルの名前です。


eDirectoryでのサービスプリンシパルオブジェクトの作成

LDAPサーバ用のサービスプリンシパルの作成で指定した名前を使用してKerberosサービスプリンシパル(ldap/MYHOST.MYDNSDOMAIN@MYREALM)を作成する必要があります。


ベストプラクティス

eDirectory用のサービスプリンシパルは、SASL GSSAPIメカニズムを使用できるすべてのサーバからいつでもアクセスできるようになっている必要があります。セキュリティコンテナ内のKerberosレルムコンテナの下にこれらのeDirectoryサービスプリンシパルを作成しない場合は、これらのeDirectoryサービスプリンシパルを含むコンテナを独立したパーティションとして作成し、そのコンテナを広範囲で複製することをお勧めします。

  1. iManagerで、[Kerberos Management]>[New Principal]の順にクリックして、[New Principal]ページを開きます。

  2. 作成するプリンシパルの名前を指定します。

    プリンシパルの名前は、ldap/MYDNSDOMAIN@REALMNAMEの形式にする必要があります。

  3. プリンシパルオブジェクトを作成するコンテナの名前を指定するか、オブジェクトセレクタアイコンを使用してコンテナを選択します。

  4. レルムの名前を指定します。

    手順2でレルムの名前を指定した場合は、このフィールドを空白のままにします。

  5. 次のいずれかを実行します。

    • keytabファイル名を指定するか、[参照]をクリックしてkeytabファイルが保存されている場所を選択します。

      このファイルには、eDirectory用のサービスプリンシパルキーの抽出で抽出されたキーが保存されています。

    • パスワードを指定して確定し、暗号化タイプとソルトタイプの組み合わせを選択します。

      パスワードと暗号化/ソルトタイプの組み合わせは、KDCデータベース内のサービスプリンシパルを作成したときに指定した組み合わせと一致させる必要があります。

  6. [OK]をクリックします。


Kerberosサービスのプリンシパルキーの表示

  1. iManagerで、[Kerberos Management]>[View Principal Keys]の順にクリックして、[View Principal Keys]ページを開きます。

  2. 表示するプリンシパルキーの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルキーを選択します。

    プリンシパルキーに関する次の情報が表示されます。

    • プリンシパル名
    • キーテーブル
      • 番号:キーテーブル内のキーのシリアル番号
      • バージョン:キーのバージョン
      • キータイプ:このプリンシパルキーのタイプ
      • ソルトタイプ:このプリンシパルキーのソルトタイプ

  3. [OK]をクリックします。


Kerberosサービスのプリンシパルオブジェクトの削除

1つまたは複数のオブジェクトを削除できます。また、削除するプリンシパルオブジェクトの高度な選択を行えます。

1つのオブジェクトを削除するには、次の操作を実行します。

  1. iManagerで、[Kerberos Management]>[Delete Principal]の順にクリックして、[Delete Principal]ページを開きます。

  2. [単一オブジェクトの選択]をクリックします。

  3. 削除するプリンシパルオブジェクトの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルオブジェクトを選択します。

  4. [OK]をクリックします。

  5. もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。

複数のオブジェクトを削除するには、次の操作を実行します。

  1. iManagerで、[Kerberos Management]>[Delete Principal]の順にクリックして、[Delete Principal]ページを開きます。

  2. [複数オブジェクトの選択]をクリックします。

  3. 削除するプリンシパルオブジェクトの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルオブジェクトを選択します。

  4. 削除するプリンシパルを選択します。

  5. [OK]をクリックします。

  6. もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。


高度な選択方法でプリンシパルオブジェクトを削除するには、次の操作を実行します。

  1. iManagerで、[Kerberos Management]>[Delete Principal]の順にクリックして、[Delete Principal]ページを開きます。

  2. [高度な選択]をクリックします。

  3. オブジェクトクラスを選択します。

  4. プリンシパルオブジェクトが格納されているコンテナを指定するか、オブジェクトセレクタアイコンを使用してコンテナを選択します。

  5. 手順3で指定したコンテナのサブコンテナも含める場合は、[サブコンテナを含める]をクリックします。

  6. configureをクリックして、[高度な選択条件]ウィンドウを開きます。

  7. ドロップダウンリストから属性タイプと演算子を選択して、対応する値を入力します。

  8. 他の論理グループを選択対象に追加するには、[行の追加]追加をクリックします。

  9. [OK]をクリックしてフィルタを設定します。

  10. [プレビューの表示]をクリックして、高度な選択のプレビューを表示します。

  11. [OK]をクリックします。

  12. もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。


Kerberosサービスプリンシパルのパスワードの設定

KDCでeDirectoryサービスのプリンシパルキーがリセットされた場合は、eDirectoryでもそのプリンシパルキーを更新する必要があります。

キーの抽出については、eDirectory用のサービスプリンシパルキーの抽出を参照してください。

  1. iManagerで、[Kerberos Management]>[Set Principal Password]の順にクリックして、[Set Principal Password]ページを開きます。

  2. 個別にパスワードを設定する必要があるプリンシパルオブジェクトの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルオブジェクトを選択します。

  3. keytabファイル名を指定するか、[参照]をクリックしてkeytabファイルが保存されている場所を選択します。

  4. 次のいずれかを実行します。

  5. [OK]をクリックしてパスワードを設定します。

  6. (オプション)別のプリンシパルのパスワードを設定するには、[タスクの繰り返し]をクリックします。


外部プリンシパルの編集

iManagerを使用して、Kerberosプリンシパル名をeDirectoryに追加できます。

  1. iManagerで、[Kerberos Management]>[Edit Foreign Principals]の順にクリックして、[Edit Foreign Principals]ページを開きます。

  2. 有効なユーザオブジェクトのFDNを指定するか、オブジェクトセレクタアイコンを使用してユーザオブジェクトを選択します。

  3. [OK]をクリックします。

  4. 外部プリンシパル名を指定して、[追加]追加をクリックします。

    プリンシパルの名前は、principalname@REALMNAMEの形式にする必要があります。

    外部プリンシパル名を削除するには、名前を選択して、[削除]削除をクリックします。

  5. [OK]をクリックします。