Kerberos 設定ファイルの設定
MIT Kerberos ライブラリには、Kerberos KDC と通信する方法を定義する設定ファイルが必要です。ポリシー サーバおよび Web エージェント ホスト システム用の Kerberos 設定ファイルを用意する必要があります。
casso1283
MIT Kerberos ライブラリには、Kerberos KDC と通信する方法を定義する設定ファイルが必要です。ポリシー サーバおよび Web エージェント ホスト システム用の Kerberos 設定ファイルを用意する必要があります。
以下の手順は、ポリシー サーバおよび Web エージェント システムに適用されます。
- ポリシー サーバおよび Web エージェント用の Kerberos 設定ファイルを設定します。テキスト エディタを開き、以下のサンプルのようなファイルを作成します。ファイル名は以下のとおりです。
- Windows の場合:krb5.ini
- UNIX の場合:krb5.conf以下に、Windows 用の krb5.ini ファイルの例を示します。
[libdefaults]default_realm = EXAMPLE.COMdefault_keytab_name = C:\WINDOWS\krbsvc-smps.keytabdefault_tkt_enctypes = rc4-hmacdefault_tgs_enctypes = rc4-hmacdefault_ccache_name = c:\Windows\Temp\krbcacheforwardable = true[realms]EXAMPLE.COM = {kdc = kdc.example.com:88default_domain = example.com}[domain_realm].example.com = EXAMPLE.COM注: 制約付き委任を有効化する場合のみ、Web エージェント設定ファイルにforwardable = trueパラメータを追加します。 - 各ファイルは、以下のいずれかのデフォルトの場所に配置します。
- Windows の場合:C:\windows\krb5.ini。
- UNIX の場合:/etc/krb5/krb5.conf。KRB5_CONFIG 環境変数の値を完全修飾パスに設定する場合、ファイルを任意の場所に配置できます。
- ポリシー サーバの Kerberos 設定ファイルについては、default_keytab_nameパラメータを KDC の設定時に指定したキータブ ファイルの完全修飾パスに設定します。これは、関連するポリシー サーバおよび Web エージェントのプリンシパル認証情報を含むキータブ ファイルです。ポリシー サーバ(Windows)の例:default_keytab_name = C:\windows\krbsvc-smps.keytabポリシー サーバ(UNIX)の例:default_keytab_name = /opt/CA/siteminder/krbsvc-smps.keytabUNIX の keytab は、サービス アカウントの keytab およびホストの keytab を 1 つの keytab ファイルにマージします。次に、krbsvc-smps.keytabファイルをC:\windowsまたは/opt/CA/siteminder/の場所にコピーし、ファイル名をkrb5clientktに変更します。Windows の場合:C:\windows\krb5clientktUNIX の場合:/opt/CA/siteminder/krb5clientkt
- Web エージェントの Kerberos 設定ファイルについては、default_keytab_nameパラメータを KDC の設定時に指定したキータブ ファイルの完全修飾パスに設定します。これは、関連する Web エージェントのプリンシパル認証情報を含むキータブ ファイルです。Web エージェント(Windows)の例:default_keytab_name = C:\windows\krbsvc-smwa.keytabWeb エージェント(UNIX)の例:default_keytab_name = /opt/CA/siteminder/krbsvc-smwa.keytab次に、krbsvc-smwa.keytabファイルをC:\windowsまたは/opt/CA/siteminder/の場所にコピーし、ファイル名をkrb5clientktに変更します。Windows の場合:C:\windows\krb5clientktUNIX の場合:/opt/CA/siteminder/krb5clientkt
- 各設定ファイルを保存します。
- 各キータブ ファイルを、前の手順の Kerberos 設定ファイルで指定した場所にコピーまたは移動します。
これで、Kerberos 設定ファイルが各ホスト システムに設定されます。