「Kerberos4認証を同一レルムのデュアルホストで使う」 2002-05-19 改訂1 2002-05-19 初版 ファイアウォールのようなデュアルホストのサーバでどちらのネットワークも 同じレルムとして認証をしたい場合(もちろん、どちらかのネットワークから もうひとつネットワークへは直接たどり着けない。)、どちらの側からもその マシンにKerberos認証でアクセスしたい場合は、インターフェース毎のホスト 名を変えておきます。Kerberos4ではフルドメイン名ではなくホスト名しかKDC が管理しないため、ひとつのインスタンス(ホスト名)に対して登録できるデー タがどちらか一方のインターフェースのIPアドレスになるため、もう一方のイ ンターフェースでのKerberos 認証のサービスはできません。 そうして、それぞれのインターフェースのサービスプリンシパルの srbtab ファイルを生成してそれらを繋げて(cat して)一つの srbtab ファイルに したものを使います。 たとえば、それぞれのインターフェースのホスト名が north と south で、KDB(KerberosDatabase) に登録されている場合は # /usr/athena/sbin/ext_srvtab north Enter Kerberos master password: xxxxxxxx^M Master key entered. BEWARE! Generating 'north-new-srvtab'.... # /usr/athena/sbin/ext_srvtab sourth Enter Kerberos master password: xxxxxxxx^M Master key entered. BEWARE! Generating 'sourth-new-srvtab'.... のようにそれぞれのサービスキーを生成して、それを一つにまとめます。 # cat north-new-srvtab sourth-new-srvtab > srvtab これをアプリケーションサーバマシンの /etc/srvtab に置きます。 そして、両方のIPアドレスをスペースまたはタブ区切りした1行を /etc/krb.equiv に追加しておくとできあがりです。 Origin -- Date: Sun, 19 May 2002 From: Jun Kuwamura Subject: Kerberos server update.