So-net無料ブログ作成

Kerberosクライアントの設定確認 [Windows統合認証]

前回で、基本的な設定は完了しましたので、ここで、設定の確認を行ってみます。

作業は、設定したKerberosクライアント(CentOS4.2)から、KDC(ActiveDirectory)に対し、認証を得ることができるか否かを確認します。

確認は、

  1. チケットの取得
  2. 取得したチケットの確認

の2つの手順で行ってみます。

1.チケットの取得

チケットの取得には、kinit コマンドを使用します。
kinitコマンドにより、ユーザのチケット(TGT)を取得することができます。
たとえば、ユーザsuzukiのチケットを取得するには


# kinit suzuki@EXAMPLE.LOCAL
Password for suzuki@EXAMPLE.LOCAL:
#

と行います。
このとき、Linux側にsuzukiというユーザを作成する必要はありません。
当然、パスワードも設定する必要もありません。

あらかじめ設定しておくのは、WindowsServer側の方です。
Windows側の方で、suzukiというユーザを作成し、パスワードを設定しておきます。

ここで注意したいのは、kinitコマンドで指定している値です。
この値は、メールアドレス、ではなく、レルム内のユーザを表しています。
正確に言えば、プリンシパルと呼ばれ、ユーザやコンピュータをユニークに識別するために使用されます。

つまりsuzuki@EXAMPLE.LOCALは、メールアドレスではなく、プリンシパルです。

このため、kinitコマンドを使用する際に、次のように入力するとエラーになりますので注意してください。


# kinit suzuki@example.local
kinit(v5): Cannot find KDC for requested realm while getting initial credentials
#

2.チケットの確認

チケットの確認は、klistコマンドで行います。


# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: suzuki@EXAMPLE.LOCAL

Valid starting     Expires            Service principal
12/29/05 14:17:52  12/30/05 00:17:58  krbtgt/EXAMPLE.LOCAL@EXAMPLE.LOCAL
        renew until 12/30/05 14:17:52


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
#


これで、Kerberosクライアントの設定は完了です。

ただ、このままではsmtpやpopなどのサービスではKerberosを使用することはできません。
各サービスに対して「Kerberosを使う」という設定を行う必要があります。


nice!(0)  コメント(1)  トラックバック(0) 
共通テーマ:パソコン・インターネット

nice! 0

コメント 1

オナニー

初めまして!!
至福の時を感じよう!!

by オナニー (2009-10-20 17:27) 

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

トラックバック 0

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。

×

この広告は1年以上新しい記事の更新がないブログに表示されております。