kerberos(5)

説明

Kerberos システムはネットワーク環境で個々のユーザーを認証します。Kerberos による認証が行われたユーザーは、リモートホストにパスワードを提示したり、 .rhosts ファイルを編集して使用することなく、 rlogin、 rcp、 rsh などのネットワークユーティリティを使用できます。これらのユーティリティがパスワードなしで動作するのは、対象となるリモートマシンが Kerberos システムをサポートしている場合に限られます。

ユーザー名を入力したとき、リモートマシンが Kerberos システムではない場合には、以下のメッセージが表示されます。

このメッセージが表示された場合は、システム管理者に問い合わせる必要があります。

Kerberos 名は通常 ３ つの部分に分かれています。最初の部分は プリンシパル名 で、通常はユーザーまたはサービスの名前です。２ 番目の部分は インスタンス で、ユーザーの場合、通常はヌルになります。一部のユーザーには、``root'' や ``admin'' などの特権インスタンスがある場合もあります。 サービスの場合は、インスタンスはそのサービスが実行されるマシンの完全修飾名になります。たとえば、マシン ABC 上で実行される rlogin サービスは、マシン XYZ で実行される rlogin サービスとは別のインスタンスになります。Kerberos 名の ３ 番目の部分は レルム です。レルムは、プリンシパルに対する認証を提供する Kerberos サービスに対応するものです。

Kerberos 名を記述するときは、プリンシパル名とそれに続く インスタンス (ヌル以外の場合) をスラッシュ (/) で区切り、``@'' 記号を先頭に付加したレルム (ローカルレルム以外の場合) を続けます。有効な Kerberos 名の例を以下に示します。

Kerberos によって認証されたユーザーは、最初の Kerberos チケット を受け取ります。Kerberos チケットは、認証を提供する暗号化されたプロトコルメッセージです。Kerberos は、 rlogin や rcp などのネットワークユーティリティのためにこのチケットを使用します。チケットのトランザクションは透過的に行われるため、ユーザーがこれらの管理について気にする必要はありません。

ただし、チケットには期限があることに注意してください。特権チケット (インスタンス ``root'' のチケットなど) は数分で期限が切れるのに対し、より一般的な特権を持つチケットは、Kerberos サーバー構成に応じて数時間または １ 日間有効である場合があります。ログインセッションがこの期限を超えた場合は、再び Kerberos の認証を受けて、新しいチケットを取得する必要があります。再認証には、 kinit コマンドを使用します。

kinit コマンドを使用してチケットを取得する場合は、ログインセッションを終了する前に kdestroy コマンドで現在のチケットを破棄する必要があります。ログアウト時にチケットが自動的に破棄されるようにするには、 .logout ファイルに kdestroy コマンドを指定する必要があります。 kinit および kdestroy コマンドの詳細は、 kinit(1) および kdestroy(1) のマニュアルページを参照してください。

Kerberos チケットは転送することができます。チケットを転送するには、 kinit コマンドの使用時に 転送可能 チケットを要求する必要があります。転送可能チケットがあれば、ほとんどの Kerberos プログラムで、リモートホストにチケットを転送するコマンド行オプションを使用できます。

現在、 rlogin、rsh、rcp、 telnet、ftp、および login のネットワークサービスで Kerberos サポートを使用できます。

著者

Kerberos は、Massachusetts Institute of Technology で、Steve Miller、MIT Project Athena/Digital Equipment Corporation、および Clifford Neuman、MIT Project Athena によって開発されました。

参照

kdestroy(1)、kinit(1)、klist(1)、kpasswd(1)、krb5.conf(4)、libkrb5(3)