iManagerでは、Kerberosに関する次の操作を実行できます。
レルムとは、複数のKDC(Key Distribution Center)によって管理される論理ネットワークです。つまり、レルムとは、複数のKDCによって管理されるドメインまたはプリンシパルのグループです。慣例的に、レルム名はすべて大文字で記述され、インターネットドメインと区別されます。詳細については、RFC 1510を参照してください。
このセクションでは次のことについて説明します。
サポートされているデフォルトの暗号化タイプはDES-CBC-CRCです。
iManagerで、[Kerberos Management]>[New Realm]の順にクリックして、[New Realm]ページを開きます。
作成するKerberosレルムの名前を指定します。
レルム名は、このログインメソッドを設定する際に指定するレルム名と一致している必要があり、RFC 1510の命名規則に準拠している必要があります。
レルムのマスタパスワードを指定して、パスワードを確認します。
注: マスタパスワードには必ず強力なパスワードを使用してください。
Kerberosレルムに関連付けるサブツリーを指定するか、オブジェクトセレクタアイコンを使用してサブツリーを選択します。
これは、このレルムのeDirectoryサービスプリンシパルを格納するサブツリーまたはコンテナのFDNになります。このサブツリーはユーザプリンシパルには適用できません。
サブツリーまたはコンテナを選択しない場合は、ツリーのルートがデフォルトで使用されます。
サブツリー検索のスコープを指定します。
[OK]をクリックします。
注: SASL-GSSAPIでは[KDC Services]ボックスは使用しません。
iManagerで、[Kerberos Management]>[Edit Realm]の順にクリックして、[Edit Realm]ページを開きます。
編集するKerberosレルムの名前を指定するか、オブジェクトセレクタアイコンを使用してKerberosレルムを選択します。
[OK]をクリックします。
Kerberosレルムに関連付けるサブツリーを指定するか、オブジェクトセレクタアイコンを使用してサブツリーを選択します。
これは、このレルムのeDirectoryサービスプリンシパルを格納するサブツリーまたはコンテナのFDNになります。このサブツリーはユーザプリンシパルには適用できません。
サブツリーまたはコンテナを選択しない場合は、ツリーのルートがデフォルトで使用されます。
サブツリー検索のスコープを指定します。
[OK]をクリックします。
(オプション)別のレルムを編集するには、[タスクの繰り返し]をクリックします。
注: SASL-GSSAPIでは[KDC Services]ボックスは使用しません。
このセクションでは次のことについて説明します。
KDCに付属するKerberos管理ツールを使用して、暗号化タイプとソルトタイプをそれぞれDES-CBC-CRCとNormalに設定してeDirectoryサービスプリンシパルを作成します。
プリンシパルの名前は、ldap/MYHOST.MYDNSDOMAIN@REALMNAMEの形式にする必要があります。
MIT KDCを使用している場合は、次のようなコマンドを実行します。
kadmin:addprinc -randkey -e des-cbc-crc:normal ldap/server.novell.com@MITREALM
Heimdal KDCを使用している場合は、次のようなコマンドを実行します。
kadmin -lkadmin> add --random-key ldap/server.novell.com@MITREALM
サービスプリンシパルでサポートされていない暗号化タイプを削除するには、次のコマンドを実行します。
kadmin> del_enctype ldap/MYHOST.MYDNSDOMAIN@MYREALM des-cbc-md4kadmin> del_enctype ldap/MYHOST.MYDNSDOMAIN@MYREALM des-cbc-md5kadmin> del_enctype ldap/MYHOST.MYDNSDOMAIN@MYREALM des3-cbc-sha1
MYHOST.MYDNSDOMAINはホスト名、MYREALMはKerberosレルムです。
LDAPサービスプリンシパルキーは定期的に変更することをお勧めします。LDAPサービスプリンシパルキーを変更した場合は、必ずeDirectory内のプリンシパルオブジェクトを更新してください。
KDCに付属するKerberos管理ツールを使用して、LDAPサーバ用のサービスプリンシパルの作成で作成したLDAPサービスプリンシパルのキーを抽出し、ローカルファイルシステムに保存します。この作業を行うには、Kerberos管理者の協力が必要です。
MIT KDCを使用している場合は、次のようなコマンドを実行します。
kadmin:ktadd -k /ディレクトリパス/keytabファイル名 -e des-cbc-crc:normal ldap/server.novell.com@MITREALM
Microsoft KDCを使用している場合は、たとえばActive DirectoryでldapMYHOSTというユーザを作成してから、次のコマンドを実行します。
ktpass -princ ldap/MYHOST.MYDNSDOMAIN@MYREALM -mapuser ldapMYHOST -pass パスワード -out MYHOST.keytab
このコマンドを実行すると、プリンシパル(ldap/MYHOST.MYDNSDOMAIN@MYREALM)がユーザアカウント(ldapMYHOST)にマップされ、ホストプリンシパルのパスワードがmypasswordに設定され、MYHOST.keytabファイルにキーが抽出されます。
Heimdal KDCを使用している場合は、次のようなコマンドを実行します。
kadmin> ext_keytab -k /ディレクトリパス/keytabファイル名 ldap/server.novell.com@MITREALM
keytabファイル名は、抽出されたキーが保存されるファイルの名前です。
LDAPサーバ用のサービスプリンシパルの作成で指定した名前を使用してKerberosサービスプリンシパル(ldap/MYHOST.MYDNSDOMAIN@MYREALM)を作成する必要があります。
eDirectory用のサービスプリンシパルは、SASL GSSAPIメカニズムを使用できるすべてのサーバからいつでもアクセスできるようになっている必要があります。セキュリティコンテナ内のKerberosレルムコンテナの下にこれらのeDirectoryサービスプリンシパルを作成しない場合は、これらのeDirectoryサービスプリンシパルを含むコンテナを独立したパーティションとして作成し、そのコンテナを広範囲で複製することをお勧めします。
iManagerで、[Kerberos Management]>[New Principal]の順にクリックして、[New Principal]ページを開きます。
作成するプリンシパルの名前を指定します。
プリンシパルの名前は、ldap/MYDNSDOMAIN@REALMNAMEの形式にする必要があります。
プリンシパルオブジェクトを作成するコンテナの名前を指定するか、オブジェクトセレクタアイコンを使用してコンテナを選択します。
レルムの名前を指定します。
手順2でレルムの名前を指定した場合は、このフィールドを空白のままにします。
次のいずれかを実行します。
このファイルには、eDirectory用のサービスプリンシパルキーの抽出で抽出されたキーが保存されています。
パスワードと暗号化/ソルトタイプの組み合わせは、KDCデータベース内のサービスプリンシパルを作成したときに指定した組み合わせと一致させる必要があります。
[OK]をクリックします。
1つまたは複数のオブジェクトを削除できます。また、削除するプリンシパルオブジェクトの高度な選択を行えます。
1つのオブジェクトを削除するには、次の操作を実行します。
iManagerで、[Kerberos Management]>[Delete Principal]の順にクリックして、[Delete Principal]ページを開きます。
[単一オブジェクトの選択]をクリックします。
削除するプリンシパルオブジェクトの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルオブジェクトを選択します。
[OK]をクリックします。
もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。
複数のオブジェクトを削除するには、次の操作を実行します。
iManagerで、[Kerberos Management]>[Delete Principal]の順にクリックして、[Delete Principal]ページを開きます。
[複数オブジェクトの選択]をクリックします。
削除するプリンシパルオブジェクトの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルオブジェクトを選択します。
削除するプリンシパルを選択します。
[OK]をクリックします。
もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。
iManagerで、[Kerberos Management]>[Delete Principal]の順にクリックして、[Delete Principal]ページを開きます。
[高度な選択]をクリックします。
オブジェクトクラスを選択します。
プリンシパルオブジェクトが格納されているコンテナを指定するか、オブジェクトセレクタアイコンを使用してコンテナを選択します。
手順3で指定したコンテナのサブコンテナも含める場合は、[サブコンテナを含める]をクリックします。
をクリックして、[高度な選択条件]ウィンドウを開きます。
ドロップダウンリストから属性タイプと演算子を選択して、対応する値を入力します。
他の論理グループを選択対象に追加するには、[行の追加]をクリックします。
[OK]をクリックしてフィルタを設定します。
[プレビューの表示]をクリックして、高度な選択のプレビューを表示します。
[OK]をクリックします。
もう一度[OK]をクリックして削除操作を確定するか、[キャンセル]をクリックして削除操作をキャンセルします。
KDCでeDirectoryサービスのプリンシパルキーがリセットされた場合は、eDirectoryでもそのプリンシパルキーを更新する必要があります。
キーの抽出については、eDirectory用のサービスプリンシパルキーの抽出を参照してください。
iManagerで、[Kerberos Management]>[Set Principal Password]の順にクリックして、[Set Principal Password]ページを開きます。
個別にパスワードを設定する必要があるプリンシパルオブジェクトの名前を指定するか、オブジェクトセレクタアイコンを使用してプリンシパルオブジェクトを選択します。
keytabファイル名を指定するか、[参照]をクリックしてkeytabファイルが保存されている場所を選択します。
次のいずれかを実行します。
サービスプリンシパルの作成およびキーの抽出の詳細については、LDAPサーバ用のサービスプリンシパルの作成およびeDirectory用のサービスプリンシパルキーの抽出を参照してください。
[OK]をクリックしてパスワードを設定します。
(オプション)別のプリンシパルのパスワードを設定するには、[タスクの繰り返し]をクリックします。
iManagerを使用して、Kerberosプリンシパル名をeDirectoryに追加できます。
iManagerで、[Kerberos Management]>[Edit Foreign Principals]の順にクリックして、[Edit Foreign Principals]ページを開きます。
有効なユーザオブジェクトのFDNを指定するか、オブジェクトセレクタアイコンを使用してユーザオブジェクトを選択します。
[OK]をクリックします。
外部プリンシパル名を指定して、[追加]をクリックします。
プリンシパルの名前は、principalname@REALMNAMEの形式にする必要があります。
外部プリンシパル名を削除するには、名前を選択して、[削除]をクリックします。
[OK]をクリックします。