EN JA
KDC(8)
KDC(8) FreeBSD System Manager's Manual KDC(8)

名称

kdcKerberos 5 サーバ

書式

kdc [ -c file |  --config-file=file][ -p |  --no-require-preauth][ --max-request=size][ -H |  --enable-http][ --no-524][ --kerberos4][ --kerberos4-cross-realm][ -r  string |  --v4-realm=string][ -P  portspec |  --ports=portspec][ --detach][ --disable-des][ --addresses=list of addresses]

解説

kdc は、チケットのための要求を処理します。開始するとき、最初に渡されたフラグをチェックして、コマンド行フラグで指定されないすべてのオプションは、設定ファイルまたはデフォルトでコンパイルされた値から取られます。

サポートされるオプションは、次の通りです:

-c file, - -config-file= file
デフォルトが、 /var/heimdal/kdc.conf である、設定ファイルの位置を指定します。これは、設定ファイルで指定することができない唯一の値です。
-p, - -no-require-preauth
すべてのプリンシパルのための初期の AS-REQ で事前認証のための必要条件をオフにします。事前認証の使用で、オフラインパスワード攻撃をすることをより難しくします。事前認証をサポートしないクライアントがあるなら、利用者は、それをオフにしたいかもしれません。バージョン 4 プロトコルが少しも事前認証をサポートしないので、バージョン 4 クライアントを処理することは、事前認証を必要としないのとほとんど同じです。デフォルトは、事前認証を必要とすることです。プリンシパルごとに事前認証の要求を追加することは、これを取り扱うより柔軟な方法です。
- -max-request= size
kdc が操作する意志がある要求のサイズで上限を与えます。
-H, - -enable-http
kdc は、ポート 80 で listen (接続を受け付け) を行い、HTTP でカプセル化された要求を処理します。
- -no-524
524 要求に応答しません
- -kerberos4
Kerberos 4 要求に応答します
- -kerberos4-cross-realm
外部のレルム (アドレス体系) から Kerberos 4 要求に応答します。利用者が結末を理解していて、それらと共生することを望んでいないなら、これは、知られているセキュリティホールであり、有効にするべきではありません。
-r string, - -v4-realm= string
バージョン 4 要求を処理するときのように、このサーバが動作するべきレルム。データベースは、いろいろなレルムを含むことができますが、バージョン 4 プロトコルは、サーバのためのレルムを含んでいないので、明示的に、それを指定しなければなりません。デフォルトは、 krb_get_lrealm() によって返されるものなら何でもです。このオプションは、KDC がバージョン 4 のサポートでコンパイルされた場合にだけ、利用可能です。
-P portspec, - -ports= portspec
KDC が listen (接続を受け付け) するべきポートの一組を指定します。空白類で区切られたサービスまたはポート番号のリストとして、与えられます。
- -addresses= list of addresses
要求に対して listen (接続を受け付け) するためのアドレスのリスト。デフォルトで、kdc は、すべての局所的に設定されたアドレスで listen (接続を受け付け) します。サブセットだけが求められているか、または自動的な検出が失敗するなら、このオプションが使用されるかもしれません。
- -detach
pty をデタッチして、デーモンとして実行します。
- -disable-des
des 暗号タイプの追加を無効にし、kdc がそれらを使用しないようにします。

すべての活動は、1 つ以上の宛先にログ記録されます、 krb5.conf(5)krb5_openlog(3) を参照。ログ記録のために使用される実体は、 kdc です。

設定ファイル

設定ファイルには、 krb5.conf(5) と同じ構文がありますが、 /etc/krb5.conf の前に読み込まれるので、そこで見つけられる設定を上書きします。 KDC だけに指定するオプションは、“[kdc]”セクションで見つかります。できれば、すべてのコマンド行オプションを、設定ファイルに追加することができます。唯一の違いは、次のように指定されなければならない、事前認証フラグです:

require-preauth = no

(実際に、 --require-preauth=no のようにオプションを指定することができます)。

そして、コマンド行と同等でないいくつかの設定オプションがあります:

enable-digest = boolean
KDC でのダイジェスト処理のためのサポートをオンにします。デフォルトは、FALSE です。
check-ticket-addresses = boolean
TGS 要求を処理するとき、チケットのアドレスをチェックします。デフォルトは、TRUE です。
allow-null-ticket-addresses = boolean
アドレスなしでチケットを許可します。このオプションは、check-ticket-addresses が TRUE であるときのみ、関連します。
allow-anonymous = boolean
アドレスなしで匿名のチケットを許可します。
max-kdc-datagram-reply-length = number
KDC が、代わりに TCP を使用するクライアントに伝える応答を返送する代わりに、 KDC が転送することを当てにする UDP の最大のパケットサイズ。
transited-policy = always-check | allow-per-principal | always-honour-request
これは、 disable-transited-check フラグで KDC 要求がどのように扱われるかを制御します。次の 1 を指定することができます:
always-check
常に通過するエンコードをチェックし、これは、デフォルトです。
allow-per-principal
現在、これは、 always-check と同一です。今後のリリースでは、チェックされない要求を扱うことができるようにプリンシパルをマークすることが可能です。
always-honour-request
常にクライアントが要求することを行います。今後のリリースでは、プリンシパルごとのチェックを強制することが可能です。
encode_as_rep_as_tgs_rep = boolean
古い DCE コードでバグの互換性があるように TGS-Rep として AS-Rep をエンコードします。 Heimdal クライアントは、両方を許可します。
kdc_warn_pwexpire = time
パスワード/プリンシパルが期限切れのどのくらい前に、KDC が警告メッセージを送信し始めるべきであるか。

設定ファイルは、 kdc が開始されるときだけ、読み込まれます。設定ファイルに行われた変更が効果があるようにするためには、 kdc を再開する必要があります。

設定ファイルの例は、次の通りです:

[kdc] 
 require-preauth = no 
 v4-realm = FOO.SE

バグ

KDC を実行するマシンに新しいアドレスを追加するなら、KDC は、それらを listen (接続を受け付け) するために再開されなければなりません。 (INADDR_ANY のような) ワイルドカードのアドレスを単に listen (接続を受け付け) しない理由は、応答がそれらが送られた同じアドレスから来なければならないということです、そして、ほとんどの OS:es は、この情報をアプリケーションに渡しません。通常モードの操作が、アドレスを追加して、取り除くことを要求するなら、最良のオプションは、たぶんワイルドカードの TCP ソケットを listen (接続を受け付け) することであり、そして、クライアントを接続するために TCP を使用することを確認します。例えば、これは、IPv4 TCP ポート 88 だけを listen (接続を受け付け) します:

kdc --addresses=0.0.0.0 --ports="88/tcp"

アドレスとプロトコル、ポートの組だけではなく、プロトコル、ポートとアドレスの 3 つ組を指定する方法があるべきです。

関連項目

kinit(1), krb5.conf(5)
August 24, 2006 HEIMDAL