Active DirectoryとLinuxの認証を統合しよう【2017年版】
第4回 pam_krb5による認証連携[2]
第3回は,
authconfigのオプションとkrb5. confファイルの設定
authconfigコマンドにおけるKerberos関連のオプションを表1に示します
表1 authconfigのKerberos関連オプション
オプション | 意味 |
---|---|
--enable/ | Kerberos認証を有効化/無効化する。第3回で紹介 |
--krb5kdc=server | KDCとしてserverを指定する。第3回で紹介 |
--krb5adminserver=server | kadminサーバとしてserverを指定する |
--krb5realm=realm | Kerberosのレルム |
--enable/ | KDCの検索にDNSを使用する機能を有効化/無効化する |
--enable/ | レルムの指定にDNSを使用する機能を有効化/無効化する |
上記のうち,
--enablekrb5
はKerberos認証を有効にするオプションですので,
--krb5kdc
はKDCを指定するオプションで,
--enablekrb5kdcdns
を指定することで,
dns_lookup_kdc = true
Windowsクライアントと同様DC
参照先DNSサーバとして,--krb5kdc
を両方指定した場合は,--krb5kdc
オプションの指定が優先されます。
--krb5realm
はレルムを指定するオプションで,--enablekrb5realmdns
により,_kerberos.
というTXTレコードを作成し,
これ以外の指定方法もあります。詳細はマニュアルページなどを参照してください。たとえばauthconfigを
# authconfig --enablekrb5 --enablekrb5kdcdns --enablekrb5realmdns --update
と実行することで,
なお,--krb5adminserver
オプションは指定しても無視されます。
pam_ krb5の通信
ここでは,
まずは認証時の通信を図1に示します。
パケット1から4でUDPでポート88への接続を試行し,
なお,--enablekrb5kdcdns
や--enablekrb5realmdns
を指定していた場合は,
次にパスワード変更の際の通信を図2に示します。
パケット25と26では,
まとめ
今回は,
バックナンバー
Active DirectoryとLinuxの認証を統合しよう【2017年版】
- 第5回 LDAPによる認証連携
- 第4回 pam_krb5による認証連携[2]
- 第3回 pam_krb5による認証連携[1]
- 第2回 認証統合の概要[Linux編]
- 第1回 認証統合の概要[Active Directory編]