[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
#menu(LABO/MenuBar)
* LABO/kerberos [#cf0fff67]
#contents
** 一行メモ [#fbf26f8f]
- ivyのOS更新後、kerberosは未インストールのため、レルム I...
#comment
* Kerberos V5の概要 [#zffee251]
- 何をするものか: 対称鍵を用いた認証システム
- 構成: KDCサーバ、クライアント(ユーティリティ,設定ファ...
- KDCサーバ: AS(認証サーバ) + TGS(チケット配布サーバ)
- レルム(realm): KDCサーバが対象としている領域
- プリンシパル: 身元を証明する対象のこと(ユーザやサービ...
- 動作: ユーザプリンシパルがASからTGT(チケット交付チケ...
TGSからサービスチケットを受け取る。サービスチケットをサー...
サービスを受けるという仕組み。ユーザの操作としては、ただ...
自動的に認証される。なお、チケット(TGT含む)には有効期限が...
** 参考文献 [#de7ede45]
- B.Tung著, KERBEROS ネットワーク認証システム, ピアソンエ...
- 中井著, プロのためのLinuxシステム・ネットワーク管理技術...
- その他google検索参照のこと
* 研究室に設置(2017/11/18現在)したKerberos [#w4d39391]
- KDCサーバは、ivy.eit.hirosaki-u.ac.jpに設置
- レルムは、IVY.EIT.HIROSAKI-U.AC.JP
- チケットの有効期限は、30dayと10hour。非常に長い有効期限...
- NFSv4サーバのエクスポートディレクトリ(ivy:/export)のマ...
-クライアントの管理者は、kerberosクライアントパッケージを...
設定が必要。NFSマウントもする。
-クライアントのユーザ(ユーザプリンシパルを予めASで管理者...
kinitコマンドでTGTを受け取ったのち、NFSを自由に利用。kini...
* その他の重要な点 [#le492bfc]
- サービスを行うサーバで、サービスをするためには、サービ...
含まれなければならない。
- host/hogehogeはsshログインなど、nfs/hogehogeはNFSサーバ...
krbtgt/レルム名はTGT配布サービスである。
アプリケーションによって何のサービス名を使っているかが決...
- 単なるユーザ名のプリンシパルはユーザプリンシパルである。
- 管理者権限のあるユーザはユーザ名/admin@レルム名である。
* kadmin (プリンシパルの管理コマンド)の使い方 [#afcc63fc]
$ kadmin -p root/admin または AS上で sudo kadmin.loca...
kadmin: addprinc -randkey host/ivy.eit.hirosaki-u.ac.j...
kadmin: delprinc host/clematis.eit.hirosaki-u.ac.jp ...
kadmin: ktadd host/ivy.eit.hirosaki-u.ac.jp ...
kadmin: ktremove host/clematis.eit.hirosaki-u.ac.jp ...
kadmin: listprincs #プリンシパルのリスト表示
kadmin: addprinc okazaki #プリンシパル(ユーザ)の追...
kadmin: addprinc sato
kadmin: addprinc shimada
kadmin: quit #終了
kadmin: getprinc krbtgt/IVY.EIT.HIROSAKI-U.AC.JP #プリ...
kadmin: modprinc -maxlife 30day10hour krbtgt/IVY.EIT.HI...
$ sudo klist -e -k /etc/krb5.keytab #keytabの内容確認
* ユーザのよく使うコマンド [#obe7e4d3]
$ kinit #TGTの入手や更新
$ klist #キャッシュされているチケット(TGT含む)の表示
$ kdestroy #キャッシュされている全てのチケットの破棄(...
$ kpasswd #ユーザプリンシパルのパスワード変更
$ kinit -l 3d10h -r 4d #有効期限を3day 10hour、更新有...
(注)デフォルトの有効期限はAS,TGSの設定が引き継がれてい...
$ kinit -R #有効期限を更新する。更新有効期限を超えるこ...
$ kinit -F #-Fで転送できるTGTを入手、-fだと1回だけ転送...
~/.k5login
にユーザプリンシパルを1行ずつ書いておけば、そのユーザプ...
自分としてログインすることができる(自分自身のユーザプリ...
(これは未確認)
終了行:
#menu(LABO/MenuBar)
* LABO/kerberos [#cf0fff67]
#contents
** 一行メモ [#fbf26f8f]
- ivyのOS更新後、kerberosは未インストールのため、レルム I...
#comment
* Kerberos V5の概要 [#zffee251]
- 何をするものか: 対称鍵を用いた認証システム
- 構成: KDCサーバ、クライアント(ユーティリティ,設定ファ...
- KDCサーバ: AS(認証サーバ) + TGS(チケット配布サーバ)
- レルム(realm): KDCサーバが対象としている領域
- プリンシパル: 身元を証明する対象のこと(ユーザやサービ...
- 動作: ユーザプリンシパルがASからTGT(チケット交付チケ...
TGSからサービスチケットを受け取る。サービスチケットをサー...
サービスを受けるという仕組み。ユーザの操作としては、ただ...
自動的に認証される。なお、チケット(TGT含む)には有効期限が...
** 参考文献 [#de7ede45]
- B.Tung著, KERBEROS ネットワーク認証システム, ピアソンエ...
- 中井著, プロのためのLinuxシステム・ネットワーク管理技術...
- その他google検索参照のこと
* 研究室に設置(2017/11/18現在)したKerberos [#w4d39391]
- KDCサーバは、ivy.eit.hirosaki-u.ac.jpに設置
- レルムは、IVY.EIT.HIROSAKI-U.AC.JP
- チケットの有効期限は、30dayと10hour。非常に長い有効期限...
- NFSv4サーバのエクスポートディレクトリ(ivy:/export)のマ...
-クライアントの管理者は、kerberosクライアントパッケージを...
設定が必要。NFSマウントもする。
-クライアントのユーザ(ユーザプリンシパルを予めASで管理者...
kinitコマンドでTGTを受け取ったのち、NFSを自由に利用。kini...
* その他の重要な点 [#le492bfc]
- サービスを行うサーバで、サービスをするためには、サービ...
含まれなければならない。
- host/hogehogeはsshログインなど、nfs/hogehogeはNFSサーバ...
krbtgt/レルム名はTGT配布サービスである。
アプリケーションによって何のサービス名を使っているかが決...
- 単なるユーザ名のプリンシパルはユーザプリンシパルである。
- 管理者権限のあるユーザはユーザ名/admin@レルム名である。
* kadmin (プリンシパルの管理コマンド)の使い方 [#afcc63fc]
$ kadmin -p root/admin または AS上で sudo kadmin.loca...
kadmin: addprinc -randkey host/ivy.eit.hirosaki-u.ac.j...
kadmin: delprinc host/clematis.eit.hirosaki-u.ac.jp ...
kadmin: ktadd host/ivy.eit.hirosaki-u.ac.jp ...
kadmin: ktremove host/clematis.eit.hirosaki-u.ac.jp ...
kadmin: listprincs #プリンシパルのリスト表示
kadmin: addprinc okazaki #プリンシパル(ユーザ)の追...
kadmin: addprinc sato
kadmin: addprinc shimada
kadmin: quit #終了
kadmin: getprinc krbtgt/IVY.EIT.HIROSAKI-U.AC.JP #プリ...
kadmin: modprinc -maxlife 30day10hour krbtgt/IVY.EIT.HI...
$ sudo klist -e -k /etc/krb5.keytab #keytabの内容確認
* ユーザのよく使うコマンド [#obe7e4d3]
$ kinit #TGTの入手や更新
$ klist #キャッシュされているチケット(TGT含む)の表示
$ kdestroy #キャッシュされている全てのチケットの破棄(...
$ kpasswd #ユーザプリンシパルのパスワード変更
$ kinit -l 3d10h -r 4d #有効期限を3day 10hour、更新有...
(注)デフォルトの有効期限はAS,TGSの設定が引き継がれてい...
$ kinit -R #有効期限を更新する。更新有効期限を超えるこ...
$ kinit -F #-Fで転送できるTGTを入手、-fだと1回だけ転送...
~/.k5login
にユーザプリンシパルを1行ずつ書いておけば、そのユーザプ...
自分としてログインすることができる(自分自身のユーザプリ...
(これは未確認)
ページ名:
![[PukiWiki]](image/favicon_for_orange.png "[PukiWiki]"){kind=small}
