krb5.conf Kerberos構成ファイルでは、各データベース ノードと、使用している場合はUnityサーバーに対して特殊な設定が必要です。 サンプルのkrb5.confファイルは、デフォルトでは、 /etcディレクトリ内に配置されています。
MIT Kerberosのセクションとタグの詳細については、以下を参照してください。
http://web.mit.edu/Kerberos/krb5-1.5/krb5-1.5.3/doc/krb5-admin/krb5.conf.html
例: krb5.conf
次の例は、サンプルのkrb5.confファイルの構造を示しています。この例を、その下に記載されている構文テーブルに含まれているガイドラインを使用して、システムの要件に適合するように変更する必要があります。
[libdefaults]
default_realm = default_kerberos_realm
clockskew = allowable_skew
[realms]
default_kerberos_realm = {
kdc = kdchost1_fqdn
kdc = kdchost2_fqdn
kdc = kdchost3_fqdn
}
[domain_realm]
host_dnsdomain = kerberos_realm
host_fqdn = kerberos_realm
[logging]
kdc = FILE:/tmp/krb5kdc.log
[appdefaults]
pam = {
ticket_lifetime = ticket_duration
renew_lifetime = renew_duration
forwardable = true/false
proxiable = true/false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}
説明:
| Section、TagName、およびTagValue | 説明 |
|---|---|
| [libdefaults] | ログオン認証のためにKerberosライブラリで使用するデフォルト値を含むセクション。 |
| default_realm = default_kerberos_realm | KDCホスト(Windowsドメイン コントローラ)とTeradata Databaseノードの両方を含み、Kerberosログオンを含むレルム。以下の例があります。 SUBDOMAIN.DOMAIN.COM レルム情報は、Windowsドメイン名と正確に一致し、大文字と小文字も一致する必要があります。
|
| clockskew = allowable_skew | Teradata Databaseとクライアント ドメインの間の時間の同期に対する最大の許容可能な差分(秒単位)。 推奨されている最大値は、+/- 300 (5分間)です。 この値は全体として、正の整数で入力する必要があります。 |
| [realms] | Kerberosレルム名によってキーが作成されたサブセクション。 各サブセクションには、そのレルムに対するKerberosサーバーを検索する場所を含む、レルム固有の情報が示されます。 |
| default_kerberos_realm = { | 上記のdefault_realm = default_kerberos_realmを参照してください。 |
|
必須。 KDCホストは、Windowsドメインのドメイン コントローラです。 FQDNは次のようになります。 hostname.subdomain.domain.com 必要なKDCホストは1つだけですが、Teradata Databaseシステム ノードを、KDCのKerberos設定に関わる操作を行なう複数のドメインに構成した場合は、各ドメインにKDCホストを定義する必要があります。
|
| additional_kerberos_realm = } | デフォルトのKerberosレルム以外のレルムに機能しているKDCホストが含まれる場合は必須です。以下の例があります。 ALTSUBDOMAIN.DOMAIN.COM 上記に示されているdefault_kerberos_realmのルールに従ってレルムを指定します。 |
| kdc = additional_kdchost_fqdn | 追加のKDCホストがある場合は必須です。 次のような追加KDCホストのFQDNです。 additionalhostname.subdomain.domain.com KDCホストは、Windowsドメインの代替ドメイン コントローラです。
|
| [domain_realm] | ドメインとサブドメインをKerberosレルム名にマップするリレーションシップが含まれるセクション。 これによって、FQDNによるホスト レルムの格納場所が決定されます。 |
| host_dnsdomain = kerberos_realm | 必須。 1つ以上のホストを含むDNSドメインをマップします。例: .subdomain.domain.com 次のようなKerberosレルムにマップします。 SUBDOMAIN.DOMAIN.COMhost_dnsdomain式の先頭にドットがある場合、式がドメイン内にあるすべてのホストをKerberosレルムにマッピングすることを示します。 DNSドメインを小文字で指定します。 Kerberosレルムは大文字と小文字を区別し、Windowsドメインと正確に一致する必要があります。
|
| host_fqdn = kerberos_realm | 必須。 次のような特定のホストのFQDN(Teradata Databaseノード)をマップします。 subdomain.domain.com 次のようなKerberosレルムにマップします。 SUBDOMAIN.DOMAIN.COMhost_fqdn式の先頭にドットがない場合、式は正確に指定されたFQDNを持つホストのみをKerberosレルムにマップすることを示します。 host_fqdnの値では大文字と小文字が区別されます。kerberos_realmの値は大文字と小文字を区別しませんが、Windowsドメインと正確に一致する必要があります。
|
| [logging] | Kerberosロギングに対する命令を含むセクション。 |
| default = FILE:/tmp/krb5lib.log | 推奨。 Teradata Databaseノード上のデフォルトのKerberosログオンの格納場所。 ファイルの格納場所は次の2つの方法のいずれかで表わすことができます。
|
| [appdefaults] | このセクションの各タグは、アプリケーションやオプションを指定します。タグ値は、所有しているアプリケーションの動作を定義します。 |
| pam = { | PAMアプリケーションの設定のリストの開始場所を識別して、セキュリティ ポリシー パラメータを定義します。 Teradataはシステムの初期構成時にPAMをインストールします。 このリストの設定は変更しないでください。
|
| ticket_lifetime = ticket_duration | |
| renew_lifetime = renew_duration | |
| forwardable = true/false | |
| proxiable = true/false | |
| retain_after_close = false | |
| minimum_uid = 0 | |
| try_first_pass = true |