krb5.conf Kerberos構成ファイルでは、各データベース ノードと、使用している場合はUnityサーバーに対して特殊な設定が必要です。 サンプルのkrb5.confファイルは、デフォルトでは、 /etcディレクトリ内に配置されています。
MIT Kerberosのセクションとタグの詳細については、以下を参照してください。
http://web.mit.edu/Kerberos/krb5-1.5/krb5-1.5.3/doc/krb5-admin/krb5.conf.html
例: krb5.conf
次の例は、サンプルのkrb5.confファイルの構造を示しています。この例を、その下に記載されている構文テーブルに含まれているガイドラインを使用して、システムの要件に適合するように変更する必要があります。
[libdefaults] default_realm = default_kerberos_realm clockskew = allowable_skew [realms] default_kerberos_realm = { kdc = kdchost1_fqdn kdc = kdchost2_fqdn kdc = kdchost3_fqdn } [domain_realm] host_dnsdomain = kerberos_realm host_fqdn = kerberos_realm [logging] kdc = FILE:/tmp/krb5kdc.log [appdefaults] pam = { ticket_lifetime = ticket_duration renew_lifetime = renew_duration forwardable = true/false proxiable = true/false retain_after_close = false minimum_uid = 0 try_first_pass = true }
説明:
Section、TagName、およびTagValue | 説明 |
---|---|
[libdefaults] | ログオン認証のためにKerberosライブラリで使用するデフォルト値を含むセクション。 |
default_realm = default_kerberos_realm | KDCホスト(Windowsドメイン コントローラ)とTeradata Databaseノードの両方を含み、Kerberosログオンを含むレルム。以下の例があります。 SUBDOMAIN.DOMAIN.COM レルム情報は、Windowsドメイン名と正確に一致し、大文字と小文字も一致する必要があります。
|
clockskew = allowable_skew | Teradata Databaseとクライアント ドメインの間の時間の同期に対する最大の許容可能な差分(秒単位)。 推奨されている最大値は、+/- 300 (5分間)です。 この値は全体として、正の整数で入力する必要があります。 |
[realms] | Kerberosレルム名によってキーが作成されたサブセクション。 各サブセクションには、そのレルムに対するKerberosサーバーを検索する場所を含む、レルム固有の情報が示されます。 |
default_kerberos_realm = { | 上記のdefault_realm = default_kerberos_realmを参照してください。 |
|
必須。 KDCホストは、Windowsドメインのドメイン コントローラです。 FQDNは次のようになります。 hostname.subdomain.domain.com 必要なKDCホストは1つだけですが、Teradata Databaseシステム ノードを、KDCのKerberos設定に関わる操作を行なう複数のドメインに構成した場合は、各ドメインにKDCホストを定義する必要があります。
|
additional_kerberos_realm = } | デフォルトのKerberosレルム以外のレルムに機能しているKDCホストが含まれる場合は必須です。以下の例があります。 ALTSUBDOMAIN.DOMAIN.COM 上記に示されているdefault_kerberos_realmのルールに従ってレルムを指定します。 |
kdc = additional_kdchost_fqdn | 追加のKDCホストがある場合は必須です。 次のような追加KDCホストのFQDNです。 additionalhostname.subdomain.domain.com KDCホストは、Windowsドメインの代替ドメイン コントローラです。
|
[domain_realm] | ドメインとサブドメインをKerberosレルム名にマップするリレーションシップが含まれるセクション。 これによって、FQDNによるホスト レルムの格納場所が決定されます。 |
host_dnsdomain = kerberos_realm | 必須。 1つ以上のホストを含むDNSドメインをマップします。例: .subdomain.domain.com 次のようなKerberosレルムにマップします。 SUBDOMAIN.DOMAIN.COMhost_dnsdomain式の先頭にドットがある場合、式がドメイン内にあるすべてのホストをKerberosレルムにマッピングすることを示します。 DNSドメインを小文字で指定します。 Kerberosレルムは大文字と小文字を区別し、Windowsドメインと正確に一致する必要があります。
|
host_fqdn = kerberos_realm | 必須。 次のような特定のホストのFQDN(Teradata Databaseノード)をマップします。 subdomain.domain.com 次のようなKerberosレルムにマップします。 SUBDOMAIN.DOMAIN.COMhost_fqdn式の先頭にドットがない場合、式は正確に指定されたFQDNを持つホストのみをKerberosレルムにマップすることを示します。 host_fqdnの値では大文字と小文字が区別されます。kerberos_realmの値は大文字と小文字を区別しませんが、Windowsドメインと正確に一致する必要があります。
|
[logging] | Kerberosロギングに対する命令を含むセクション。 |
default = FILE:/tmp/krb5lib.log | 推奨。 Teradata Databaseノード上のデフォルトのKerberosログオンの格納場所。 ファイルの格納場所は次の2つの方法のいずれかで表わすことができます。
|
[appdefaults] | このセクションの各タグは、アプリケーションやオプションを指定します。タグ値は、所有しているアプリケーションの動作を定義します。 |
pam = { | PAMアプリケーションの設定のリストの開始場所を識別して、セキュリティ ポリシー パラメータを定義します。 Teradataはシステムの初期構成時にPAMをインストールします。 このリストの設定は変更しないでください。
|
ticket_lifetime = ticket_duration | |
renew_lifetime = renew_duration | |
forwardable = true/false | |
proxiable = true/false | |
retain_after_close = false | |
minimum_uid = 0 | |
try_first_pass = true |