Kerberos 5クライアントの設定は、サーバーの設定に比べて少なくて済みます。最小限、 クライアントパッケージをインストールして、正しいkrb5.conf設定ファイルを 各クライアントに供給してください。Kerberos化したrshとrlogin にも幾らかの設定変更が必要です。
KerberosクライアントとKDCで時間同期が達成されていることを確認してください。詳細は 項17.5を参照してください。さらに、Kerberosクライアント プログラムを設定する前に、Kerberosクライアント上でDNSが適切に動作している事を確証して下さい。
全てのクライアントマシンにkrb5-libsとkrb5-workstation パッケージをインストールしてください。それぞれのクライアントには、1つのバージョンの /etc/krb5.confを供給する必要があります。通常これは、KDCで使用されるのと同じ krb5.confファイルです。
realm内のそれぞれのワークステーションに、Kerberos化したrshや rloginを用いて接続するユーザーを許可する前に、ワークステーションに xinetdパッケージをインストールしてKerberosデータベース内に自らの ホストプリンシパルを作成する事が必要です。kshdとklogind サーバープログラムも、サービスプリンシパル用の鍵にアクセスする必要があります。
kadminを使って、KDC上のワークステーション用のホストプリンシパルを追加します。 この場合の例としては、ワークステーションのホスト名があります。-randkey オプションをkadminのaddprincコマンドに付けて使用すると、 プリンシパルが作成され、ランダム鍵が割り当てられます:
addprinc -randkey host/blah.example.com |
これで、プリンシパルを作成できました。ワークステーション上で、 kadminを起動し、そしてkadminの中の ktaddコマンドを使って、ワークステーション用の鍵を引き出せます:
ktadd -k /etc/krb5.keytab host/blah.example.com |
他のkerberos化したネットワークサービスを使用したい場合は、それを起動 しなければなりません。以下に一般的なkerberos対応のサービスの一覧と それらを有効にする方法を示します:
rshとrlogin — kerberos化したrshとrloginを使うためには、klogin、eklogin、kshellが有効でなければなりません。
Telnet — kerberos化したTelnetを使用するには、krb5-telnetを 有効にする必要があります。 .
FTP — FTP アクセスを用意するには、ftpの rootでプリンシパル用の鍵を作成し、引き出す必要があります。FTPサーバの完全修飾形の ホスト名への事例を設定して、それからgssftpを有効にします。
IMAP — imapパッケージに含まれているIMAPサーバは、 正しい鍵を/etc/krb5.keytabで見付けることが出来るなら、 Kerberos 5を利用して、GSS-API認証を使います。プリンシパルのrootは imapである必要があります。
CVS — CVSのkerberos化したgserverは、cvsの rootでプリンシパルを使用し、その他の面ではCVSpserverと全く同じです。
サービスを可能にする詳細はRed Hat Linux カスタマイズガイドの サービスアクセス管理章を参照してください。