初期データベースの作成

FreeBSD ハンドブック : セキュリティ : Kerberos : 初期データベースの作成
Previous: Kerberos
Next: すべてが動くようにするための設定

6.3.1. 初期データベースの作成

この作業はKerberosサーバだけでおこないます. まず, 古いKerberosのデータベースが存在しないことを確認してください. ディレクトリ/etc/kerberosIVに移って, 次のファイルだけが存在することをチェックします:


grunt# cd /etc/kerberosIV
grunt# ls
README          krb.conf        krb.realms

もし他のファイル (principal.*やmaster_key) が存在する場合には, kdb_destroyというコマンドで古い Kerberosデータベースを消してください. Kerberosが走っていなければ, 単に余計なファイルを消せばよいです.

まず, krb.confとkrb.realmsを編集してKerberosの管理領域 (realm) を定義してください. ここでは管理領域がGRONDAR.ZA で, サーバ名がgrunt.grondar.zaであるとします. krb.confというファイルを次のように編集してください:


grunt# cat krb.conf
GRONDAR.ZA
GRONDAR.ZA grunt.grondar.za admin server
CS.BERKELEY.EDU okeeffe.berkeley.edu
ATHENA.MIT.EDU kerberos.mit.edu
ATHENA.MIT.EDU kerberos-1.mit.edu
ATHENA.MIT.EDU kerberos-2.mit.edu
ATHENA.MIT.EDU kerberos-3.mit.edu
LCS.MIT.EDU kerberos.lcs.mit.edu
TELECOM.MIT.EDU bitsy.mit.edu
ARC.NASA.GOV trident.arc.nasa.gov

この例にあるような他の管理領域は, 実際には必要ありません. この例は複数の管理領域を認識する方法を示したものですので, これらの行は含めなくても結構です.

1行目はこのシステムが動いている管理領域の名前です. 他の行は管理領域とホスト名のエントリです. 行の1つめの単語が管理領域で, 2つめがその管理領域の中で ``鍵配布センター''(Key Distribution Center) として働くホスト名です. ホスト名の次に ``admin server'' と書いてある場合には, そのホストが ``管理データベースサーバ''(Administrative Database Server) も提供することを意味します. これらの単語について詳しく知りたい場合にはKerberosのマニュアルページをご覧ください.

ここで, GRONDAR.ZAという管理領域にgrunt.grondar.za およびその他の.grondar.zaドメインのすべてのホストを追加しなければなりません. krb.realmsは次のようになります:


 grunt# cat krb.realms
 grunt.grondar.za GRONDAR.ZA
 .grondar.za GRONDAR.ZA
 .berkeley.edu CS.BERKELEY.EDU
 .MIT.EDU ATHENA.MIT.EDU
 .mit.edu ATHENA.MIT.EDU

もう一度注意しますが, 他の管理領域を書く必要はありません. これらは複数の管理領域を認識できるようにマシンを設定する方法を示した例ですので, これらの行は消して構いません.

1行目は名前をつけた管理領域に特定のシステムを含めるためのものです. 残りの行は名前をつけた管理領域にサブドメインのデフォルトのシステムを含めるためのものです.

これでデータベースを作成する準備ができました. この操作はKerberos サーバ (鍵配布センター) を起動するだけです. kdb_initコマンドを次のように実行してください:


grunt# kdb_init
Realm name [default  ATHENA.MIT.EDU ]: GRONDAR.ZA
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.

Enter Kerberos master key:

ここで鍵を保存して, ローカルのマシンにあるサーバが取り出せるようにします. それにはkstashコマンドを使用します.


grunt# kstash

Enter Kerberos master key: 

Current Kerberos master key version is 1.

Master key entered.  BEWARE!

これで暗号化されたマスタパスワードが /etc/kerberosIV/master_keyに保存されました.

FreeBSD ハンドブック : セキュリティ : Kerberos : 初期データベースの作成
Previous: Kerberos
Next: すべてが動くようにするための設定