Crystal Blue Kerberos

Kerberos Notes for Japanese

Jun Kuwamura

2010-12-25

もくじ

ニュース

2010-09-14 - Heimdal 1.4 リリース
2010-05-27 - Heimdal 1.3.3 リリース
2009-11-15 - Heimdal 1.3 リリース
2009-09-15 - FreeIPA 1.2.2 リリース
2008-11-14 - FreeIPA 1.2 リリース
2008-08-19 - Heimdal 1.2.1 リリース
2008-05-22 - Heimdal 1.2 リリース
2008-01-24 - Heimdal 1.1 リリース
2007-12-14 heimdal-1.0.2 リリース
2007-07-17 heimdal-1.0 リリース
2007-04-24 heimdal-0.8.1 リリース
2007-04-13 heimdal-0.8 リリース
2006-02-06 heimdal-0.6.6 リリース
2006-02-03 heimdal-0.7.2 リリース
2006-01-30 Active DirectoryとSPNEGO認証のApache設定手順
2005-12-06 MIT Kerberos for Windows 3.0 リリース
2005-09-09 heimdal-0.7.1 リリース
2005-06-15 heimdal-0.7 リリース
2005-04-20 heimdal-0.6.4 リリース
2004-10-01 KRB-JP ML を NTT コミュニケーションズ殿のサーバに移行しました。
2004-09-13 heimdal-0.6.3 リリース
2003-05-12 heimdal-0.6 リリース
2003-03-17 heimdal-0.5.2,krb4-1.2.1 リリース
2002-06-06 KEB-JP メーリングリストを RCCM のサーバに移行しました。
シンクラボにて日本語でのKerberosメーリングリスト(KEB-JP)が立ち上がりました。
2001-08-03にシンクラボの多度さんと一緒にLSWG(Linux Seminar Working Group)でセミナーを行いました。
Windows 95/98/NT版 Kerberos のバイナリパッケージ KTelnet。
Heimdal(Kerberos5国際化版) のウェブサイトが立ち上がってます。http://www.pdc.kth.se/heimdal/
RedHat Linux 6.2J Official版に Kerberos 5 が入りました。
MSのWindows2000へのKerberos実装は、相変わらず物議をかもしてます。 http://www.zdnet.co.jp/news/0005/22/kerberos.html
米合州国政府は暗号の輸出規制緩和を発表しました。http://204.193.246.62/public.nsf/docs/60D6B47456BB389F852568640078B6C0

もくじ

Kerberos の紹介

ケルベロスはギリシャ神話に出てくる冥界の番犬、無数の蛇の毛が生えた3つの犬の頭と龍の尻尾を持った生き物だそうです。ああ恐ろしや。でも、ハリーポッターの物語には可愛いペットとして似た動物が出演したそうです。。
MIT(マサチューセッツ工科大学) の Project Athena(アテナ・プロジェクト)で開発された Kerberos はネットワーク認証システムです。戦いの女神アテネの名を冠する分散システムの研究開発プロジェクトで X Window System とともに開発されました。現在、Kerberosの最新版はバージョン5ですが、合州国政府の輸出規制のためアメリカ、カナダ以外の国では自由に利用できませんでした。バージョン4のKerberosは、暗号モジュールのDESを外してBonesとして輸出され、後からDESを付け戻したeBonesが普及することになりました。最近、規制緩和政策が発表されたので状況は変わってくるかもしれません。
スウェーデン王立技術研究所(KTH) でeBonesを元に開発が続けられた Kerberos4 (KTH-KRB4) は、日本でも入手可能です。KTH-KRB4は、比較的容易に利用できて安定しています。KTH では KTH_KRB4 を様々なマシンに移植し維持管理しています。管理コマンドの追加や拡張が行なわれ、元の Kerberos4 よりもさらに利用しやすいものとなっています。
かつて、Kerberos4 は OSF/1 などの DCE (Distributed Computing Environment) の認証システムとしても採用されたことで有名ですが、日本では暗号モジュールなしでの輸入しかできなかったこともあり、あまり注目されなかったようでした。また、ネットワークといっても目の届く範囲くらいのことでほとんど身内が使っていたわけですから、セキュリティのことよりも可用性が高いことが重用でした。したがって、リモートコマンドで十分だったのです。
Kerberos4 では暗号モジュールに 56ビットDES が使われていますが、Kerberos5では暗号化モジュールを選べるというメリットがあります。現在、KTH でも Kerberos5 の国際化版である HEIMDAL が開発されています。HEIMDAL でも MIT Kerberos5 や Windows2000 との相互運用が可能だそうです。ちなみに、Heimdal は北欧神話にでて来る見張の神さまです。
また、ヨーロッパの官学共同プロジェクトでは Kerberos5 の認証もサポートする SESAME(a Secure European System for Applications in a Multi-vendor Environmet) というシステムも開発されています。商用化されたものとしては、OpenMasterというシステムなどが有名です。
さて、組織で利用するコンピュータネットワークの安全性を考えた場合、組織内のネットワークの拡大に伴い、ファイアウォールで外部ネットワークからの安全を確保するのみならず、組織内のネットワークシステムの安全性の確保も必要となってきています。可用性と安全性を同時に充たすためには、それらを目的として開発された Kerberosのような分散環境向けの認証システムを利用することが不可欠となってきます。
昨今当り前のこととなりつつある、組織の内外を問わずネットワークの安全を確保したいという要求に Kerberos は答えることができます。こうした背景のもと、Windows2000 の認証システムの一部にも Kerberos が組み込まれています。 もちろん、Kerberos だけですべてが解決するわけではなく、他のセキュリティツールとの併用によってより安全で使いやすい分散環境を構築することが大切です。
たとえば、ファイアウォールを工夫することにより、ファイアウォール越しのネットワークに対応したり、また、ダイアルアップのネットワークからの接続にもKerberos認証を利用することが可能です。また、Mozilla ブラウザに組み込まれた GSSAPI 認証モジュールで Kerberos認証を受けさせることもできるようになりました。
Windows のActive Directory では Kerberos が使われていますが、Samba 4.0はこれに対応できるようになります。
RedHat は FeeIPA というLDAP(Fedora Directory Server)とKerberos(MIT Kerberos5)を統合した環境の開発をして2008年4月にリリースしていて、次のバージョン2では、FreeRADIUSやSambaも統合的に利用できるようになるらしい。詳しくは、FreeIPA.orgをご覧ください。

もくじ


出版されているKerberosについての参考文献

もくじ

Mac OS X の Kerberos

Mac OS X 10.3 では標準でKerberosが利用できます。

iBookでOpenSSHを使った簡単なKerberos認証テスト

もくじ

Windows Active Directory の認証システム

Windows 2000 Server 以降の Active Directory では認証にKerberosを用います。 Kerberosの設定のためのプログラムは、インストールCDの \support\tool にありますので、適宜インストールをして使います(Windows 2003 Server では \Support\tools にあります)。 Windows Server 2003 はOSをインストールすると、自動的にActive Directory, DNS, DHCPの設定ウィザードが起動されますので、簡単にKDCの設定ができます。Windows Kerberosのデフォルトの暗号方式は MD5-HMAC で MIT などが標準としている DES とは異なるため、相互運用には注意が必要です。Microsoft からドキュメントが公開されていますので参照ください。

Active DirectoryとSPNEGO認証Apache2の設定手順

もくじ

MIT Kerberos for Windows

MITでは MIT Kerberos の Windows版を出してます。 KfW 3.0 から AFS(Kerberos4)のサポートがなくなりました。 KfW 2.6.5は Kerberos v4、Kerberos v5、Leash32、KClient および、メモリ内証明書キャッシュをサポートしています。

もくじ

krb5-sync

krb5-syncは、MIT Kerberos Master KDC のアカウントから Active Directory や AFSの kaserverのパスわーどを同期するツールです。

もくじ

KTH Heimdal(国際化版 Kerberos5)

HEIMDAL はKerberos5の国際化版です。合州国およびカナダ以外からMIT の Kerberos5 のソースコードにはアクセスできません。http://www.pdc.kth.se/heimdal/ にHeimdalのWebページがあり開発状況やソースコードの情報があります。 ちなみに、北欧神話では、Heimdalは見張りの神様です。

Windows版 Heimdal

Heimdal の各種アーキテクチャ向けのトラベルキットが KTHのPDCサイトftp://ftp.pdc.kth.se/pub/heimdal/binaries/にあり、Windows版のバイナリも用意されています(i386-pc-windows)。

KTelnet: Kerberos Telnet for Windows

KTelnet( http://www.stacken.kth.se/~thn/ktelnet/beta/)は、 Windows95/98/ME/NT/2000/XP版の Kerberos クライアントです。バイナリパッケージも用意されてますので、簡単に導入できます。

Windows NT4.0 上の KTelnet で日本語フォントを設定すると日本語(SJIS)も表示できました。さらに、 KTelnet でログインしたサーバ上ので起動した emacs-20 では M-x set-terminal-coding-system で japanese-shift-jis-dos を指定すれば、日本語の編集もできました。

KTelnetについての簡単な説明

もくじ


KTH版Kerberos4について

KTH-KRB はKTH(the Royal Institute of Technology in Stockholm, Sweden) で移植された Kerberos4 です。このキットには、暗号化セッション用 telnet を含むリモートアクセス用のコマンドやリモートからの管理ツールも含まれま す。また、使い捨てパスワードとも呼ばれるワンタイム・パスワード(OTP:One Time Password)も含まれていて、Kerberos を使えないときにftpd や telnetd で OTP との併用利用によってセキュリティーを保つことが可能となってます。 実際に使える kpop サーバとそのクライアントの雛型もあります。kpop サー バへは、後述の KTelnet に含まれるkpopproxy を解してWindows の一般的な メーラからアクセスすることが可能です。ダイアルアップ・クライアントでも チケットを貰うことができ、ケルベロス化されたサーバーにアクセスすること ができます。この機能は、リモートのサーバ管理を安全にするために重宝して います。PostgreSQL ORDBMS の認証にも使えます。 このソフトウェアについての情報源は、 http://www.pdc.kth.se/kth-krb/ にあります。最近は、Windows NT にも移植されています。

もくじ


Kerberos 4 のインストールと操作について

Kerberos のドキュメントは MIT の FTP サイト ( ftp://athena-dist.mit.edu/pub/kerberos/doc/)にあります。 その中の、installation.PS と operation.PS の和訳です。 また、FreeBSD ハンドブックもインストールや操作の参考となります。

もくじ


Linux版 eBones

KTH版Kerberos4 がお奨めです。 KTH 版は、Linux を含め 様々なマシンで動きます。 PostgreSQLの認証にも利用できます。

当初、Linux で動く Kerberos(KTH-KRB) があることを知らなかった ため、MIT版 Kerberos4 を Linux で動くようにしたときのパッチがあります。 サンプルプログラムや PostgreSQL DBMS の認証に使って試してみました。

もくじ


FreeBSD版 eBones

FreeBSD 版に附属の eBones は暗号化ルーチンに独自の拡張を行なっているのか、なぜか KTH 版や上記の Linux 版とは認証のみはできるのですが、暗号化セッションでは失敗しました。FreeBSD とその他の OS との間で暗号化セッションを確立したいときは、KTH 版を FreeBSD でコンパイルしてインストールするとうまく行きましあ。

もくじ


関連サイトへのリンク

日本語サイト
くわむらじゅんの過去のオープンソース関連成果 (オープンソースで思いっきり)
Plamo-Linux
Powered by ApachePowered by PHPPowered by PostgreSQLPlamo Linux Inside