KDC(8) | FreeBSD System Manager's Manual | KDC(8) |
名称
kdc — Kerberos 5 サーバ書式
kdc | [ -c file | --config-file=file][ -p | --no-require-preauth][ --max-request=size][ -H | --enable-http][ --no-524][ --kerberos4][ --kerberos4-cross-realm][ -r string | --v4-realm=string][ -P portspec | --ports=portspec][ --detach][ --disable-des][ --addresses=list of addresses] |
解説
kdc は、チケットのための要求を処理します。開始するとき、最初に渡されたフラグをチェックして、コマンド行フラグで指定されないすべてのオプションは、設定ファイルまたはデフォルトでコンパイルされた値から取られます。サポートされるオプションは、次の通りです:
- -c file, - -config-file= file
- デフォルトが、 /var/heimdal/kdc.conf である、設定ファイルの位置を指定します。これは、設定ファイルで指定することができない唯一の値です。
- -p, - -no-require-preauth
- すべてのプリンシパルのための初期の AS-REQ で事前認証のための必要条件をオフにします。事前認証の使用で、オフラインパスワード攻撃をすることをより難しくします。事前認証をサポートしないクライアントがあるなら、利用者は、それをオフにしたいかもしれません。バージョン 4 プロトコルが少しも事前認証をサポートしないので、バージョン 4 クライアントを処理することは、事前認証を必要としないのとほとんど同じです。デフォルトは、事前認証を必要とすることです。プリンシパルごとに事前認証の要求を追加することは、これを取り扱うより柔軟な方法です。
- - -max-request= size
- kdc が操作する意志がある要求のサイズで上限を与えます。
- -H, - -enable-http
- kdc は、ポート 80 で listen (接続を受け付け) を行い、HTTP でカプセル化された要求を処理します。
- - -no-524
- 524 要求に応答しません
- - -kerberos4
- Kerberos 4 要求に応答します
- - -kerberos4-cross-realm
- 外部のレルム (アドレス体系) から Kerberos 4 要求に応答します。利用者が結末を理解していて、それらと共生することを望んでいないなら、これは、知られているセキュリティホールであり、有効にするべきではありません。
- -r string, - -v4-realm= string
- バージョン 4 要求を処理するときのように、このサーバが動作するべきレルム。データベースは、いろいろなレルムを含むことができますが、バージョン 4 プロトコルは、サーバのためのレルムを含んでいないので、明示的に、それを指定しなければなりません。デフォルトは、 krb_get_lrealm() によって返されるものなら何でもです。このオプションは、KDC がバージョン 4 のサポートでコンパイルされた場合にだけ、利用可能です。
- -P portspec, - -ports= portspec
- KDC が listen (接続を受け付け) するべきポートの一組を指定します。空白類で区切られたサービスまたはポート番号のリストとして、与えられます。
- - -addresses= list of addresses
- 要求に対して listen (接続を受け付け) するためのアドレスのリスト。デフォルトで、kdc は、すべての局所的に設定されたアドレスで listen (接続を受け付け) します。サブセットだけが求められているか、または自動的な検出が失敗するなら、このオプションが使用されるかもしれません。
- - -detach
- pty をデタッチして、デーモンとして実行します。
- - -disable-des
- des 暗号タイプの追加を無効にし、kdc がそれらを使用しないようにします。
すべての活動は、1 つ以上の宛先にログ記録されます、 krb5.conf(5) と krb5_openlog(3) を参照。ログ記録のために使用される実体は、 kdc です。
設定ファイル
設定ファイルには、 krb5.conf(5) と同じ構文がありますが、 /etc/krb5.conf の前に読み込まれるので、そこで見つけられる設定を上書きします。 KDC だけに指定するオプションは、“[kdc]”セクションで見つかります。できれば、すべてのコマンド行オプションを、設定ファイルに追加することができます。唯一の違いは、次のように指定されなければならない、事前認証フラグです:
require-preauth = no
(実際に、 --require-preauth=no のようにオプションを指定することができます)。
そして、コマンド行と同等でないいくつかの設定オプションがあります:
-
enable-digest =
boolean - KDC でのダイジェスト処理のためのサポートをオンにします。デフォルトは、FALSE です。
-
check-ticket-addresses =
boolean - TGS 要求を処理するとき、チケットのアドレスをチェックします。デフォルトは、TRUE です。
-
allow-null-ticket-addresses =
boolean - アドレスなしでチケットを許可します。このオプションは、check-ticket-addresses が TRUE であるときのみ、関連します。
-
allow-anonymous =
boolean - アドレスなしで匿名のチケットを許可します。
-
max-kdc-datagram-reply-length =
number - KDC が、代わりに TCP を使用するクライアントに伝える応答を返送する代わりに、 KDC が転送することを当てにする UDP の最大のパケットサイズ。
-
transited-policy =
always-check
|allow-per-principal
|always-honour-request
-
これは、
disable-transited-check
フラグで KDC 要求がどのように扱われるかを制御します。次の 1 を指定することができます:-
always-check
- 常に通過するエンコードをチェックし、これは、デフォルトです。
-
allow-per-principal
-
現在、これは、
always-check
と同一です。今後のリリースでは、チェックされない要求を扱うことができるようにプリンシパルをマークすることが可能です。 -
always-honour-request
- 常にクライアントが要求することを行います。今後のリリースでは、プリンシパルごとのチェックを強制することが可能です。
-
- encode_as_rep_as_tgs_rep = boolean
- 古い DCE コードでバグの互換性があるように TGS-Rep として AS-Rep をエンコードします。 Heimdal クライアントは、両方を許可します。
- kdc_warn_pwexpire = time
- パスワード/プリンシパルが期限切れのどのくらい前に、KDC が警告メッセージを送信し始めるべきであるか。
設定ファイルは、 kdc が開始されるときだけ、読み込まれます。設定ファイルに行われた変更が効果があるようにするためには、 kdc を再開する必要があります。
設定ファイルの例は、次の通りです:
[kdc] require-preauth = no v4-realm = FOO.SE
バグ
KDC を実行するマシンに新しいアドレスを追加するなら、KDC は、それらを listen (接続を受け付け) するために再開されなければなりません。 (INADDR_ANY のような) ワイルドカードのアドレスを単に listen (接続を受け付け) しない理由は、応答がそれらが送られた同じアドレスから来なければならないということです、そして、ほとんどの OS:es は、この情報をアプリケーションに渡しません。通常モードの操作が、アドレスを追加して、取り除くことを要求するなら、最良のオプションは、たぶんワイルドカードの TCP ソケットを listen (接続を受け付け) することであり、そして、クライアントを接続するために TCP を使用することを確認します。例えば、これは、IPv4 TCP ポート 88 だけを listen (接続を受け付け) します:
kdc --addresses=0.0.0.0 --ports="88/tcp"
アドレスとプロトコル、ポートの組だけではなく、プロトコル、ポートとアドレスの 3 つ組を指定する方法があるべきです。
August 24, 2006 | HEIMDAL |