Kerberos 設定ファイルの設定

MIT Kerberos ライブラリには、Kerberos KDC と通信する方法を定義する設定ファイルが必要です。ポリシー サーバおよび Web エージェント ホスト システム用の Kerberos 設定ファイルを用意する必要があります。
casso1283
MIT Kerberos ライブラリには、Kerberos KDC と通信する方法を定義する設定ファイルが必要です。ポリシー サーバおよび Web エージェント ホスト システム用の Kerberos 設定ファイルを用意する必要があります。
以下の手順は、ポリシー サーバおよび Web エージェント システムに適用されます。
  1. ポリシー サーバおよび Web エージェント用の Kerberos 設定ファイルを設定します。テキスト エディタを開き、以下のサンプルのようなファイルを作成します。ファイル名は以下のとおりです。
    • Windows の場合:
      krb5.ini
    • UNIX の場合:
      krb5.conf
      以下に、Windows 用の krb5.ini ファイルの例を示します。
    [libdefaults]
    default_realm = EXAMPLE.COM
    default_keytab_name = C:\WINDOWS\krbsvc-smps.keytab
    default_tkt_enctypes = rc4-hmac
    default_tgs_enctypes = rc4-hmac
    default_ccache_name = c:\Windows\Temp\krbcache
    forwardable = true
    [realms]
    EXAMPLE.COM = {
    default_domain = example.com
    }
    [domain_realm]
    .example.com = EXAMPLE.COM
    : 制約付き委任を有効化する場合のみ、Web エージェント設定ファイルに
    forwardable = true
    パラメータを追加します。
  2. 各ファイルは、以下のいずれかのデフォルトの場所に配置します。
    • Windows の場合:
      C:\windows\krb5.ini。
    • UNIX の場合:
      /etc/krb5/krb5.conf。
      KRB5_CONFIG 環境変数の値を完全修飾パスに設定する場合、ファイルを任意の場所に配置できます。
  3. ポリシー サーバの Kerberos 設定ファイルについては、
    default_keytab_name
    パラメータを KDC の設定時に指定したキータブ ファイルの完全修飾パスに設定します。これは、関連するポリシー サーバおよび Web エージェントのプリンシパル認証情報を含むキータブ ファイルです。
    ポリシー サーバ(Windows)の例:
    default_keytab_name = C:\windows\krbsvc-smps.keytab
    ポリシー サーバ(UNIX)の例:
    default_keytab_name = /opt/CA/siteminder/krbsvc-smps.keytab
    UNIX の keytab は、サービス アカウントの keytab およびホストの keytab を 1 つの keytab ファイルにマージします。
    次に、
    krbsvc-smps.keytab
    ファイルを
    C:\windows
    または
    /opt/CA/siteminder/
    の場所にコピーし、ファイル名を
    krb5clientkt
    に変更します。
    Windows の場合
    C:\windows\krb5clientkt
    UNIX の場合
    /opt/CA/siteminder/krb5clientkt
  4. Web エージェントの Kerberos 設定ファイルについては、
    default_keytab_name
    パラメータを KDC の設定時に指定したキータブ ファイルの完全修飾パスに設定します。これは、関連する Web エージェントのプリンシパル認証情報を含むキータブ ファイルです。
    Web エージェント(Windows)の例:
    default_keytab_name = C:\windows\krbsvc-smwa.keytab
    Web エージェント(UNIX)の例:
    default_keytab_name = /opt/CA/siteminder/krbsvc-smwa.keytab
    次に、
    krbsvc-smwa.keytab
    ファイルを
    C:\windows
    または
    /opt/CA/siteminder/
    の場所にコピーし、ファイル名を
    krb5clientkt
    に変更します。
    Windows の場合
    C:\windows\krb5clientkt
    UNIX の場合
    /opt/CA/siteminder/krb5clientkt
  5. 各設定ファイルを保存します。
  6. 各キータブ ファイルを、前の手順の Kerberos 設定ファイルで指定した場所にコピーまたは移動します。
これで、Kerberos 設定ファイルが各ホスト システムに設定されます。