日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
KRB5.CONF(5) FreeBSD ファイルフォーマットマニュアル KRB5.CONF(5)
名称
krb5.conf -- Kerberos 5 のための設定ファイル
書式
#include <krb5.h>
解説
krb5.conf ファイルはいくつかのプログラムと同様に、Kerberos 5 ライブラリの
ためにいくつかの設定パラメータを指定します。
ファイルは多くのバインドを含んで、1 つ以上のセクションから成ります。それ
ぞれのバインドの値は、他のバインドの文字列またはリストのどちらかを指定で
きます。文法は次のようになります:
file:
/* 空 */
sections
sections:
section sections
section
section:
'[' section_name ']' bindings
section_name:
STRING
bindings:
binding bindings
binding
binding:
name '=' STRING
name '=' '{' bindings '}'
name:
STRING
STRING は、1 つ以上の空白類でない文字から成ります。
このマニュアルページの後で指定される STRING は次の記法を使用します。
boolean
値は、yes/true または no/false を指定できます。
time
値は、年、月、日、時、分、秒のリストを指定できます。例: 1
month 2 days 30 min。単位が与えないなら、秒を想定します。
etypes
有効な暗号化タイプは次の通りです: des-cbc-crc, des-cbc-md4,
des-cbc-md5, des3-cbc-sha1, arcfour-hmac-md5, aes128-cts-hmac
sha1-96 と aes256-cts-hmac-sha1-96 です。
address
アドレスは、IPv4 か IPv6 アドレスのどちらかを指定できます。
現在、認識されるセクションとバインドは次の通りです:
[appdefaults]
Kerberos アプリケーションに使用されるデフォルト値を指定しま
す。利用者はアプリケーション、レルム (アドレス体系)、またはこ
れらの組み合わせ毎にデフォルトを指定することができます。優先順
序は次の通りです:
1. application realm option
2. application option
3. realm option
4. option
サポートされているオプションは次の通りです:
forwardable = boolean
初期の資格証明を取得するとき、資格証明を転送可能に
します。
proxiable = boolean
初期の資格証明を取得するとき、資格証明をプロキシ
(代理) 可能にします。
no-addresses = boolean
初期の資格証明を取得するとき、アドレスの空集合のた
めにそれらを要求し、チケットをどんなアドレスからも
有効にします。
ticket_lifetime = time
デフォルトのチケットの存続期間。
renew_lifetime = time
デフォルトの再生可能なチケットの存続期間。
encrypt = boolean
利用可能であるときに、暗号化を使用します。
forward = boolean
資格証明をリモートホスト (rsh(1), telnet(1) などの
ための) に転送します。
[libdefaults]
default_realm = REALM
使用するデフォルトのレルム、また、これは利用者の
``ローカルレルム'' として知られています。デフォルト
は、krb5_get_host_realm(local hostname) の結果で
す。
allow_weak_crypto = boolean
は、いくつかある、使用されることを許可されたウィー
ク (weak) な暗号のアルゴリズムで、DES は、ウィーク
(weak) と見なされます。
clockskew = time
時間比較するとき許容された最大の時間の差異 (秒単
位)。デフォルトは、300 秒 (5 分) です。
kdc_timeout = time
kdc から応答を待つ最大の時間、デフォルトは、3 秒で
す。
v4_name_convert
v4_instance_resolve
これらは krb5_425_conv_principal(3) マニュアルペー
ジで説明されています。
capath = {
destination-realm = next-hop-realm
...
}
これは推奨されません、下記の capaths セクション参
照。
default_cc_type = cctype
は、デフォルトの資格証明タイプを設定します。
default_cc_name = ccname
デフォルトの資格証明は、名前をキャッシュします。タ
イプのみを変更したいなら、default_cc_type を使用し
ます。文字列は、実行時に拡張された変数を含むことが
できます。現在、唯一のサポート変数は、現在のユーザ
ID に拡張する %{uid} です。
default_etypes = etypes ...
使用されるデフォルトの暗号化タイプのリスト。(デフォ
ルト: allow_weak_crypto = TRUE なら、すべて enctype
します。そうでなければ、単一の DES enctypes を除い
て、すべての enctype します。) 訳注: enctype は、意
味不明。
default_as_etypes = etypes ...
AS 要求で使用するデフォルトの暗号化タイプのリスト。
(デフォルト: default_etypes の値。)
default_tgs_etypes = etypes ...
TGS 要求で使用するデフォルトの暗号化タイプのリス
ト。(デフォルト: default_etypes の値。)
default_etypes_des = etypes ...
DES 資格証明を要求するとき、使用されるデフォルトの
暗号化タイプのリスト。
default_keytab_name = keytab
他が指定されていなければ、使用される keytab、デフォ
ルトは、``FILE:/etc/krb5.keytab'' です。
dns_lookup_kdc = boolean
KDC サービス位置を検索するために DNS SRV レコードを
使用します。
dns_lookup_realm = boolean
ドメインからレルムのマッピングを検索するために DNS
TXT レコードを使用します。
kdc_timesync = boolean
ローカルマシンと KDC の間の時間の差異の経過を追うよ
うに試み、次に、要求を発行するとき、それを補正しま
す。
max_retries = number
各 KDC に接続しようと試みる最大の回数。
large_msg_size = number
小さい最大のメッセージサイズがあるプロトコルが、
メッセージを KDC に送信するために使用可能と見なされ
ない敷居。
ticket_lifetime = time
デフォルトのチケットの存続期間。
renew_lifetime = time
デフォルトの再生可能なチケットの存続期間。
forwardable = boolean
初期の資格証明を取得するとき、資格証明を転送可能に
します。また、このオプションは、[レルム] セクション
で有効です。
proxiable = boolean
初期の資格証明を取得するとき、資格証明をプロキシ
(代理) 可能にします。また、このオプションは、[レル
ム] セクションで有効です。
verify_ap_req_nofail = boolean
有効にされるなら、ローカルキーに対して資格証明につ
いて確かめないことは、致命的なエラーです。アプリ
ケーションはこれが働けるように対応するサービスキー
を読み込むことができなければなりません。su(1) のよ
うな、いくつかのアプリケーションはこのオプションを
無条件に有効にします。
warn_pwexpire = time
パスワードの有効期限をいつまでに警告するか。デフォ
ルトは、7 日間です。
http_proxy = proxy-spec
HTTP を通して KDC と交信するとき使用する HTTP プロ
キシ。
dns_proxy = proxy-spec
HTTP を通した DNS の使用を有効にします。
extra_addresses = address ...
すべてのローカルアドレスとともにチケットを取得する
アドレスのリスト。
time_format = string
時間の文字列をログにどのように印刷するか、この文字
列は、strftime(3) に渡されます。
date_format = string
日付の文字列をログにどのように印刷するか、この文字
列は、strftime(3) に渡されます。
log_utc = boolean
利用者のローカル時間ゾーンの代わりに UTC を使用して
ログエントリを書き込みます。
scan_interfaces = boolean
単にシステムのホスト名に関連しているアドレスを使用
にするとは対照的に、アドレスのためにすべてのネット
ワークインタフェースをスキャンします。
fcache_version = int
指定されたファイル資格証明キャッシュ形式バージョン
を使用します。
krb4_get_tickets = boolean
また、kinit, login と他のプログラムで Kerberos 4 チ
ケットを取得します。また、このオプションは、[レル
ム] セクションで有効です。
fcc-mit-ticketflags = boolean
ファイル資格証明キャッシュのための MIT 互換形式を使
用する。それは、Heimdal 0.7 より古い逆のビット順で
格納されるフィールド ticketflags です。MIT 法で格納
するためにこのフラグを TRUE に設定します、そして、
これは、Heimdal 0.7 のデフォルトです。
check-rd-req-server
"ignore" に設定するなら、フレームワークは、あらゆる
krb5_rd_req(3) へのサーバ入力を無視します、これは、
GSS-API サーバが、gss_accept_sec_context 呼び出しに
間違ったサーバ名を入力するとき、たいへん役に立ちま
す。
[domain_realm]
これは、DNS ドメインから Kerberos レルムへのマッピングのリスト
です。このセクションでの各バインドは次のようになります:
domain = realm
ドメインは、ホストのフルネームまたは後続する構成要素のいずれか
を指定でき、後者の場合、ドメイン文字列はピリオドから始まるべき
です。後続する構成要素は、同じドメインにあるホストのみにマッチ
します、すなわち、``.example.com'' は、``foo.example.com'' に
マッチしますが、``foo.test.example.com'' にはマッチしません。
レルムはトークン `dns_locate' であるかもしれません、その場合、
実際のレルムは、(`dns_lookup_realm' オプションの設定とは無関係
に) DNS を使用して決定されます。
[realms]
REALM = {
kdc = [service/]host[:port]
このレルムのための kdcs のリストを指定し
ます。オプションの port がないなら、
(サービスによって) ``kerberos/udp''
``kerberos/tcp'' と ``http/tcp'' ポート
のためのデフォルト値が使用されます。kdcs
は指定されている順序で使用されます。
オプションの service は、kdc がどのメデ
アに接続されるべきであるかを指定します。
あり得るサービスは、``udp'', ``tcp'' と
``http'' です。また、http は、
``http://'' と書くことができます。デフォ
ルトのサービスは、``udp'' と ``tcp'' で
す。
admin_server = host[:port]
データベースへのすべての変更が実行され
る、このレルムのための admin サーバを指
定します。
kpasswd_server = host[:port]
すべてのパスワードの変更が実行されるサー
バを示します。そのようなエントリがないな
ら、admin_server ホスト上の kpasswd ポー
トが試されます。
krb524_server = host[:port]
524 変換を行うサーバを示します。それが言
及されないなら、kdcs 上の krb524 ポート
が試されます。
v4_instance_convert
v4_name_convert
default_domain
krb5_425_conv_principal(3) 参照。
tgs_require_subkey
false (偽) をデフォルトとするブール変
数。古い DCE secd (前の 1.1) は、これが
true (真) である必要であるかもしれませ
ん。
}
[capaths]
client-realm = {
server-realm = hop-realm ...
これは、2 つの目的に役立ちます。まず最初
に、最初にリストされた hop-realm は、そ
れが結局 server-realm でサービスのための
資格証明を取得するためにどのレルムに接続
するべきであるかをクライアントに伝えま
す。第二に、どのレルムが client-realm か
ら server-realm までの複数の中継点の縦断
で許可されているかを KDC (と、他のサー
バ) に伝えます。クライアントの場合を除い
て、レルムの順序は重要ではありません。
}
[logging]
entity = destination
ログ記録のために指定された destination を使用するべ
きである entity を指定します。定義された destina tion (宛先) のリストに関してkrb5_openlog(3) マニュ
アルページを参照してください。
[kdc]
database = {
dbname = DATABASENAME
このレルムのためにこのデータベースを使用
します。異なったデータベースのバックエン
ドを設定する方法については、info 文書を
参照してください。
realm = REALM
このデータベースに格納されるレルムを指定
します。そのレルムは、設定されず、デフォ
ルトのデータベースとして使用され、realm
スタンザ (節) がないエントリは、1 つに決
まっています。
mkey_file = FILENAME
このデータベースのマスタキーのためにこの
keytab ファイルを使用します。指定されて
いなければ、DATABASENAME.mkey が使用され
ます。
acl_file = PA FILENAME
このデータベースの ACL リストのためにこ
のファイルを使用します。
log_file = FILENAME
データベースの変更を実行するログとして、
このファイルを使用します。このファイル
は、スレーブへの変更を伝えるために
ipropd-master によって使用されます。
}
max-request = SIZE
kdc 要求の最大サイズ。
require-preauth = BOOL
設定されるなら、事前の認証が必要です。krb4 要求は事
前の認証がされないので、それらは拒絶されます。
ports = list of ports
kdc が listen (接続を受け付ける) するべきであるポー
トのリスト。
addresses = list of interfaces
kdc がバインドするべきであるアドレスのリスト。
enable-kerberos4 = BOOL
Kerberos 4 サポートをオンにします。
v4-realm = REALM
どんなレルム v4 要求がマップされるべきであるか。
enable-524 = BOOL
Kerberos 524 変換機能はオンにされるべきか。デフォル
トは、enable-kerberos4 と同じです。
enable-http = BOOL
kdc は、http 上の kdc-要求に答えるべきか。
enable-kaserver = BOOL
この kdc が AFS kaserver をエミュレートすべきである
なら。
tgt-use-strongest-session-key = BOOL
これが TRUE であるなら、KDC は、ターゲットのプリン
シパルが krbtgt プリンシパルであるとき、KDC とター
ゲットのプリンシパルによってサポートされるチケット
セッションキーのために、クライアントの AS-REQ また
は TGS-REQ enctype リストから最も強いキーを選択しま
す。さもなければ、KDC とターゲットのプリンシパルに
よってもサポートされるクライアントの ASREQ enctype
リストからの最初のキーを選びます。デフォルトは、
TRUE です。
svc-use-strongest-session-key = BOOL
tgt-use-strongest-session-key に似ていますが、
krbtgt プリンシパル以外のサービスのためのチケットの
セッションキー enctype に適応します。デフォルトは、
TRUE です。
preauth-use-strongest-session-key = BOOL
TRUE であるなら、PA-ETYPE-INFO2 のための (すなわ
ち、パスワードに基づいた事前認証のための) クライア
ントの AS-REQ から、できるだけ強い enctype を選択し
ます。さもなければ、クライアントの AS-REQ から最初
にサポートされた enctype を選択します。デフォルト
は、TRUE です。
use-strongest-server-key = BOOL
TRUE であるなら、暗号化されたチケットの部分キーのた
めに、KDC は、ターゲットサービスプリンシパルの hdb
エントリの現在の keyset から最初にサポートされた暗
号化を選びます。さもなければ、KDC は、ターゲット
サービスプリンシパルの hdb エントリの現在の keyset
から最初にサポートされた enctype を選びます。デフォ
ルトは、TRUE です。
check-ticket-addresses = BOOL
tgs 要求で使用されるチケット中のアドレスを検証しま
す。
allow-null-ticket-addresses = BOOL
アドレスなしのチケットを許可する。
allow-anonymous = BOOL
kdc が匿名のチケットを配ることができるなら。
encode_as_rep_as_tgs_rep = BOOL
as-rep を古い DCE secd が起こした誤りと互換の tgs
rep tobe としてエンコードします。
kdc_warn_pwexpire = TIME
ユーザがユーザのパスワードがまさに期限が切れようと
していると警告すべきである期限切れの前の時間。
logging = Logging
kdc が使用するべきであるログのタイプ、[logging]/kdc
を参照。
use_2b = {
principal = BOOL
ブール値は、524 デーモンであるなら、
principal のために AFS 2b トークンを返す
べきです。
...
}
hdb-ldap-structural-object structural object
LDAP バックエンドが、プリンシパルを格納するために使
用されているなら、これは、作成するとき、およびオブ
ジェクトを読み込むとき、使用される構造的なオブジェ
クトです。デフォルト値は、アカウントです。
hdb-ldap-create-base creation dn
は、エントリを作成するときプリンシパルに追加される
dn です。デフォルト値は、search dn です。
enable-digest = BOOL
kdc アンサ (answer) 要約の要求するべきです。デフォ
ルトは、FALSE です。
digests_allowed = list of digests
kdc 応答する要約を指定します。デフォルトは、ntlm-v2
です。
[kadmin]
require-preauth = BOOL
事前の認証は、kadmin サーバと通信するのに必要である
なら。
password_lifetime = time
プリンシパルが期限切れのために設定されるパスワード
が既にあるなら、これは、変更の後に有効になる時間で
す。
default_keys = keytypes...
default_keys 中のエントリごとに、次のようなこの
etype:salttype:salt 構文のシーケンスとしてそれを解
析することを試みます:
[(des|des3|etype):](pw-salt|afs3-salt)[:string]
etype が省略されるなら、すべてを意味し、そして、文
字列が省略されるなら、(そのプリンシパルと暗号化タイ
プのための) デフォルトのソルト (塩) 文字列を意味し
ます。keytypes の追加の特別な値は次の通りです:
v5 Kerberos 5 のソルト (塩) pw-salt
v4 Kerberos 4 のソルト (塩) des:pw-salt:
use_v4_salt = BOOL
true (真) のとき、これは、
default_keys = des3:pw-salt v4
と同じであり、後方互換性のためにのみ残されていま
す。
[password_quality]
詳細については、info 文書のパスワードの品質保証をチェックして
ください。
check_library = library-name
パスワード check_function を含むライブラリ名
check_function = function-name
check_library のパスワードをチェックするための関数
名
policy_libraries = library1 ... libraryN
パスワードポリシチェックができるライブラリのリスト
policies = policy1 ... policyN
パスワードに適用するポリシ名のリスト。組み込みのポ
リシは、特に最小の長さ、文字クラス、外部チェックで
す。
環境変数
KRB5_CONFIG は、読み込むための設定ファイルを示します。
関連ファイル
/etc/krb5.conf Kerberos 5 のための設定ファイル。
使用例
[libdefaults]
default_realm = FOO.SE
[domain_realm]
.foo.se = FOO.SE
.bar.se = FOO.SE
[realms]
FOO.SE = {
kdc = kerberos.foo.se
v4_name_convert = {
rcmd = host
}
v4_instance_convert = {
xyz = xyz.bar.se
}
default_domain = foo.se
}
[logging]
kdc = FILE:/var/heimdal/kdc.log
kdc = SYSLOG:INFO
default = SYSLOG:INFO:USER
診断
krb5.conf が krb5 ライブラリによって読み込まれ、解析されるので、どんなに
役に立つ形式でエラーを解析するかをプログラムに報告する多くの機会はありま
せん。この問題を克服するのを助けるために、krb5.conf を読み込んで、構文解
析エラーから役に立つ診断を出力しようとする、プログラム verify_krb5_conf
があります。このプログラムはどんなオプションが実際に使用されるかを知る方
法がなく、したがって、未知またはスペルミスに関して警告できないことに注意
してください。
関連項目
kinit(1), krb5_425_conv_principal(3), krb5_openlog(3), strftime(3),
verify_krb5_conf(8)
HEIMDAL May 4, 2005 HEIMDAL