ネットワーク認証サービスまたは非AIX サービスを使用した AIX オペレーティング・システムに対する認証

オンライン編集

AIX® 6.1以前では、KRB5ロード・モジュールはネットワーク認証サービス（NAS）環境に対するKerberos認証を処理し、KRB5Aロード・モジュールはAIXシステム環境に対するKerberos認証を処理していました。 AIX 6.1以降、 KRB5 ロード・モジュールは、ネットワーク認証サービス (NAS) 環境と非AIX システム環境の両方の Kerberos 認証を処理します。 /etc/security/methods.cfg ファイルの is_kadmind_compat 属性は、 KRB5 環境または KRB5A 環境のいずれかを指定します。 AIX 7.1 以降では、 KRB5A ロード・モジュールは使用できません。したがって、 KRB5 環境または KRB5A 環境を指定するには、 /etc/security/methods.cfg ファイルで is_kadmind_compat 属性を使用する必要があります。

Kerberos クライアントが NAS に対して認証するように構成されている場合、 KRB5 ロード・モジュールは Kerberos 認証および Kerberos プリンシパル管理を実施します。このモジュールにより、システム管理者は、 AIX ユーザー管理コマンドを使用して Kerberos プリンシパルを管理できます。プリンシパル管理を使用するには、Kerberos サーバーにより kadmin 管理プロトコルがサポートされていなければなりません。 NAS は、 kadmind デーモン ( AIX オペレーティング・システム上で稼働する Kerberos サーバー) を介してこのサポートを提供します。

注: Kerberos クライアントを構成する場合、認証が NAS に対して行われるように指定する必要があります。そうしないと、クライアントは非AIX サービスに対して認証を行うように構成され、プリンシパル管理は使用不可になります。

AIX 以外のシステムに対して Kerberos を使用する場合、 Kerberos プリンシパルはAIX 以外のシステムに保管され、kadmin Kerberos データベース・インターフェースを使用して AIX オペレーティング・システムから管理することはできません。このケースでは、Kerberos プリンシパルの管理ツールを使用して、プリンシパル管理を単独で実行する必要があります。これらのツールは、Kerberos製品の一部であるかもしれないし、OS（例えばWindows 2000）に統合されているかもしれない。 AIX 以外のシステムに対して Kerberos を使用する当初の目的は、Windows 2000 Active Directory サーバーに対する認証を提供することでした。Windows 2000 サーバーでは、 Active Directory アカウント管理ツールおよび API を使用して Kerberos プリンシパル管理が実行されます。ただし、AIX 以外のシステムに対する Kerberos は、 Kerberos 管理インターフェースがサポートされていない他の準拠 KDC に対して使用できます。