日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
KRB5.CONF(5) FreeBSD ファイルフォーマットマニュアル KRB5.CONF(5) 名称 krb5.conf -- Kerberos 5 のための設定ファイル 書式 #include <krb5.h> 解説 krb5.conf ファイルはいくつかのプログラムと同様に、Kerberos 5 ライブラリの ためにいくつかの設定パラメータを指定します。 ファイルは多くのバインドを含んで、1 つ以上のセクションから成ります。それ ぞれのバインドの値は、他のバインドの文字列またはリストのどちらかを指定で きます。文法は次のようになります: file: /* 空 */ sections sections: section sections section section: '[' section_name ']' bindings section_name: STRING bindings: binding bindings binding binding: name '=' STRING name '=' '{' bindings '}' name: STRING STRING は、1 つ以上の空白類でない文字から成ります。 このマニュアルページの後で指定される STRING は次の記法を使用します。 boolean 値は、yes/true または no/false を指定できます。 time 値は、年、月、日、時、分、秒のリストを指定できます。例: 1 month 2 days 30 min。単位が与えないなら、秒を想定します。 etypes 有効な暗号化タイプは次の通りです: des-cbc-crc, des-cbc-md4, des-cbc-md5, des3-cbc-sha1, arcfour-hmac-md5, aes128-cts-hmac sha1-96 と aes256-cts-hmac-sha1-96 です。 address アドレスは、IPv4 か IPv6 アドレスのどちらかを指定できます。 現在、認識されるセクションとバインドは次の通りです: [appdefaults] Kerberos アプリケーションに使用されるデフォルト値を指定しま す。利用者はアプリケーション、レルム (アドレス体系)、またはこ れらの組み合わせ毎にデフォルトを指定することができます。優先順 序は次の通りです: 1. application realm option 2. application option 3. realm option 4. option サポートされているオプションは次の通りです: forwardable = boolean 初期の資格証明を取得するとき、資格証明を転送可能に します。 proxiable = boolean 初期の資格証明を取得するとき、資格証明をプロキシ (代理) 可能にします。 no-addresses = boolean 初期の資格証明を取得するとき、アドレスの空集合のた めにそれらを要求し、チケットをどんなアドレスからも 有効にします。 ticket_lifetime = time デフォルトのチケットの存続期間。 renew_lifetime = time デフォルトの再生可能なチケットの存続期間。 encrypt = boolean 利用可能であるときに、暗号化を使用します。 forward = boolean 資格証明をリモートホスト (rsh(1), telnet(1) などの ための) に転送します。 [libdefaults] default_realm = REALM 使用するデフォルトのレルム、また、これは利用者の ``ローカルレルム'' として知られています。デフォルト は、krb5_get_host_realm(local hostname) の結果で す。 allow_weak_crypto = boolean は、いくつかある、使用されることを許可されたウィー ク (weak) な暗号のアルゴリズムで、DES は、ウィーク (weak) と見なされます。 clockskew = time 時間比較するとき許容された最大の時間の差異 (秒単 位)。デフォルトは、300 秒 (5 分) です。 kdc_timeout = time kdc から応答を待つ最大の時間、デフォルトは、3 秒で す。 v4_name_convert v4_instance_resolve これらは krb5_425_conv_principal(3) マニュアルペー ジで説明されています。 capath = { destination-realm = next-hop-realm ... } これは推奨されません、下記の capaths セクション参 照。 default_cc_type = cctype は、デフォルトの資格証明タイプを設定します。 default_cc_name = ccname デフォルトの資格証明は、名前をキャッシュします。タ イプのみを変更したいなら、default_cc_type を使用し ます。文字列は、実行時に拡張された変数を含むことが できます。現在、唯一のサポート変数は、現在のユーザ ID に拡張する %{uid} です。 default_etypes = etypes ... 使用されるデフォルトの暗号化タイプのリスト。(デフォ ルト: allow_weak_crypto = TRUE なら、すべて enctype します。そうでなければ、単一の DES enctypes を除い て、すべての enctype します。) 訳注: enctype は、意 味不明。 default_as_etypes = etypes ... AS 要求で使用するデフォルトの暗号化タイプのリスト。 (デフォルト: default_etypes の値。) default_tgs_etypes = etypes ... TGS 要求で使用するデフォルトの暗号化タイプのリス ト。(デフォルト: default_etypes の値。) default_etypes_des = etypes ... DES 資格証明を要求するとき、使用されるデフォルトの 暗号化タイプのリスト。 default_keytab_name = keytab 他が指定されていなければ、使用される keytab、デフォ ルトは、``FILE:/etc/krb5.keytab'' です。 dns_lookup_kdc = boolean KDC サービス位置を検索するために DNS SRV レコードを 使用します。 dns_lookup_realm = boolean ドメインからレルムのマッピングを検索するために DNS TXT レコードを使用します。 kdc_timesync = boolean ローカルマシンと KDC の間の時間の差異の経過を追うよ うに試み、次に、要求を発行するとき、それを補正しま す。 max_retries = number 各 KDC に接続しようと試みる最大の回数。 large_msg_size = number 小さい最大のメッセージサイズがあるプロトコルが、 メッセージを KDC に送信するために使用可能と見なされ ない敷居。 ticket_lifetime = time デフォルトのチケットの存続期間。 renew_lifetime = time デフォルトの再生可能なチケットの存続期間。 forwardable = boolean 初期の資格証明を取得するとき、資格証明を転送可能に します。また、このオプションは、[レルム] セクション で有効です。 proxiable = boolean 初期の資格証明を取得するとき、資格証明をプロキシ (代理) 可能にします。また、このオプションは、[レル ム] セクションで有効です。 verify_ap_req_nofail = boolean 有効にされるなら、ローカルキーに対して資格証明につ いて確かめないことは、致命的なエラーです。アプリ ケーションはこれが働けるように対応するサービスキー を読み込むことができなければなりません。su(1) のよ うな、いくつかのアプリケーションはこのオプションを 無条件に有効にします。 warn_pwexpire = time パスワードの有効期限をいつまでに警告するか。デフォ ルトは、7 日間です。 http_proxy = proxy-spec HTTP を通して KDC と交信するとき使用する HTTP プロ キシ。 dns_proxy = proxy-spec HTTP を通した DNS の使用を有効にします。 extra_addresses = address ... すべてのローカルアドレスとともにチケットを取得する アドレスのリスト。 time_format = string 時間の文字列をログにどのように印刷するか、この文字 列は、strftime(3) に渡されます。 date_format = string 日付の文字列をログにどのように印刷するか、この文字 列は、strftime(3) に渡されます。 log_utc = boolean 利用者のローカル時間ゾーンの代わりに UTC を使用して ログエントリを書き込みます。 scan_interfaces = boolean 単にシステムのホスト名に関連しているアドレスを使用 にするとは対照的に、アドレスのためにすべてのネット ワークインタフェースをスキャンします。 fcache_version = int 指定されたファイル資格証明キャッシュ形式バージョン を使用します。 krb4_get_tickets = boolean また、kinit, login と他のプログラムで Kerberos 4 チ ケットを取得します。また、このオプションは、[レル ム] セクションで有効です。 fcc-mit-ticketflags = boolean ファイル資格証明キャッシュのための MIT 互換形式を使 用する。それは、Heimdal 0.7 より古い逆のビット順で 格納されるフィールド ticketflags です。MIT 法で格納 するためにこのフラグを TRUE に設定します、そして、 これは、Heimdal 0.7 のデフォルトです。 check-rd-req-server "ignore" に設定するなら、フレームワークは、あらゆる krb5_rd_req(3) へのサーバ入力を無視します、これは、 GSS-API サーバが、gss_accept_sec_context 呼び出しに 間違ったサーバ名を入力するとき、たいへん役に立ちま す。 [domain_realm] これは、DNS ドメインから Kerberos レルムへのマッピングのリスト です。このセクションでの各バインドは次のようになります: domain = realm ドメインは、ホストのフルネームまたは後続する構成要素のいずれか を指定でき、後者の場合、ドメイン文字列はピリオドから始まるべき です。後続する構成要素は、同じドメインにあるホストのみにマッチ します、すなわち、``.example.com'' は、``foo.example.com'' に マッチしますが、``foo.test.example.com'' にはマッチしません。 レルムはトークン `dns_locate' であるかもしれません、その場合、 実際のレルムは、(`dns_lookup_realm' オプションの設定とは無関係 に) DNS を使用して決定されます。 [realms] REALM = { kdc = [service/]host[:port] このレルムのための kdcs のリストを指定し ます。オプションの port がないなら、 (サービスによって) ``kerberos/udp'' ``kerberos/tcp'' と ``http/tcp'' ポート のためのデフォルト値が使用されます。kdcs は指定されている順序で使用されます。 オプションの service は、kdc がどのメデ アに接続されるべきであるかを指定します。 あり得るサービスは、``udp'', ``tcp'' と ``http'' です。また、http は、 ``http://'' と書くことができます。デフォ ルトのサービスは、``udp'' と ``tcp'' で す。 admin_server = host[:port] データベースへのすべての変更が実行され る、このレルムのための admin サーバを指 定します。 kpasswd_server = host[:port] すべてのパスワードの変更が実行されるサー バを示します。そのようなエントリがないな ら、admin_server ホスト上の kpasswd ポー トが試されます。 krb524_server = host[:port] 524 変換を行うサーバを示します。それが言 及されないなら、kdcs 上の krb524 ポート が試されます。 v4_instance_convert v4_name_convert default_domain krb5_425_conv_principal(3) 参照。 tgs_require_subkey false (偽) をデフォルトとするブール変 数。古い DCE secd (前の 1.1) は、これが true (真) である必要であるかもしれませ ん。 } [capaths] client-realm = { server-realm = hop-realm ... これは、2 つの目的に役立ちます。まず最初 に、最初にリストされた hop-realm は、そ れが結局 server-realm でサービスのための 資格証明を取得するためにどのレルムに接続 するべきであるかをクライアントに伝えま す。第二に、どのレルムが client-realm か ら server-realm までの複数の中継点の縦断 で許可されているかを KDC (と、他のサー バ) に伝えます。クライアントの場合を除い て、レルムの順序は重要ではありません。 } [logging] entity = destination ログ記録のために指定された destination を使用するべ きである entity を指定します。定義された destina tion (宛先) のリストに関してkrb5_openlog(3) マニュ アルページを参照してください。 [kdc] database = { dbname = DATABASENAME このレルムのためにこのデータベースを使用 します。異なったデータベースのバックエン ドを設定する方法については、info 文書を 参照してください。 realm = REALM このデータベースに格納されるレルムを指定 します。そのレルムは、設定されず、デフォ ルトのデータベースとして使用され、realm スタンザ (節) がないエントリは、1 つに決 まっています。 mkey_file = FILENAME このデータベースのマスタキーのためにこの keytab ファイルを使用します。指定されて いなければ、DATABASENAME.mkey が使用され ます。 acl_file = PA FILENAME このデータベースの ACL リストのためにこ のファイルを使用します。 log_file = FILENAME データベースの変更を実行するログとして、 このファイルを使用します。このファイル は、スレーブへの変更を伝えるために ipropd-master によって使用されます。 } max-request = SIZE kdc 要求の最大サイズ。 require-preauth = BOOL 設定されるなら、事前の認証が必要です。krb4 要求は事 前の認証がされないので、それらは拒絶されます。 ports = list of ports kdc が listen (接続を受け付ける) するべきであるポー トのリスト。 addresses = list of interfaces kdc がバインドするべきであるアドレスのリスト。 enable-kerberos4 = BOOL Kerberos 4 サポートをオンにします。 v4-realm = REALM どんなレルム v4 要求がマップされるべきであるか。 enable-524 = BOOL Kerberos 524 変換機能はオンにされるべきか。デフォル トは、enable-kerberos4 と同じです。 enable-http = BOOL kdc は、http 上の kdc-要求に答えるべきか。 enable-kaserver = BOOL この kdc が AFS kaserver をエミュレートすべきである なら。 tgt-use-strongest-session-key = BOOL これが TRUE であるなら、KDC は、ターゲットのプリン シパルが krbtgt プリンシパルであるとき、KDC とター ゲットのプリンシパルによってサポートされるチケット セッションキーのために、クライアントの AS-REQ また は TGS-REQ enctype リストから最も強いキーを選択しま す。さもなければ、KDC とターゲットのプリンシパルに よってもサポートされるクライアントの ASREQ enctype リストからの最初のキーを選びます。デフォルトは、 TRUE です。 svc-use-strongest-session-key = BOOL tgt-use-strongest-session-key に似ていますが、 krbtgt プリンシパル以外のサービスのためのチケットの セッションキー enctype に適応します。デフォルトは、 TRUE です。 preauth-use-strongest-session-key = BOOL TRUE であるなら、PA-ETYPE-INFO2 のための (すなわ ち、パスワードに基づいた事前認証のための) クライア ントの AS-REQ から、できるだけ強い enctype を選択し ます。さもなければ、クライアントの AS-REQ から最初 にサポートされた enctype を選択します。デフォルト は、TRUE です。 use-strongest-server-key = BOOL TRUE であるなら、暗号化されたチケットの部分キーのた めに、KDC は、ターゲットサービスプリンシパルの hdb エントリの現在の keyset から最初にサポートされた暗 号化を選びます。さもなければ、KDC は、ターゲット サービスプリンシパルの hdb エントリの現在の keyset から最初にサポートされた enctype を選びます。デフォ ルトは、TRUE です。 check-ticket-addresses = BOOL tgs 要求で使用されるチケット中のアドレスを検証しま す。 allow-null-ticket-addresses = BOOL アドレスなしのチケットを許可する。 allow-anonymous = BOOL kdc が匿名のチケットを配ることができるなら。 encode_as_rep_as_tgs_rep = BOOL as-rep を古い DCE secd が起こした誤りと互換の tgs rep tobe としてエンコードします。 kdc_warn_pwexpire = TIME ユーザがユーザのパスワードがまさに期限が切れようと していると警告すべきである期限切れの前の時間。 logging = Logging kdc が使用するべきであるログのタイプ、[logging]/kdc を参照。 use_2b = { principal = BOOL ブール値は、524 デーモンであるなら、 principal のために AFS 2b トークンを返す べきです。 ... } hdb-ldap-structural-object structural object LDAP バックエンドが、プリンシパルを格納するために使 用されているなら、これは、作成するとき、およびオブ ジェクトを読み込むとき、使用される構造的なオブジェ クトです。デフォルト値は、アカウントです。 hdb-ldap-create-base creation dn は、エントリを作成するときプリンシパルに追加される dn です。デフォルト値は、search dn です。 enable-digest = BOOL kdc アンサ (answer) 要約の要求するべきです。デフォ ルトは、FALSE です。 digests_allowed = list of digests kdc 応答する要約を指定します。デフォルトは、ntlm-v2 です。 [kadmin] require-preauth = BOOL 事前の認証は、kadmin サーバと通信するのに必要である なら。 password_lifetime = time プリンシパルが期限切れのために設定されるパスワード が既にあるなら、これは、変更の後に有効になる時間で す。 default_keys = keytypes... default_keys 中のエントリごとに、次のようなこの etype:salttype:salt 構文のシーケンスとしてそれを解 析することを試みます: [(des|des3|etype):](pw-salt|afs3-salt)[:string] etype が省略されるなら、すべてを意味し、そして、文 字列が省略されるなら、(そのプリンシパルと暗号化タイ プのための) デフォルトのソルト (塩) 文字列を意味し ます。keytypes の追加の特別な値は次の通りです: v5 Kerberos 5 のソルト (塩) pw-salt v4 Kerberos 4 のソルト (塩) des:pw-salt: use_v4_salt = BOOL true (真) のとき、これは、 default_keys = des3:pw-salt v4 と同じであり、後方互換性のためにのみ残されていま す。 [password_quality] 詳細については、info 文書のパスワードの品質保証をチェックして ください。 check_library = library-name パスワード check_function を含むライブラリ名 check_function = function-name check_library のパスワードをチェックするための関数 名 policy_libraries = library1 ... libraryN パスワードポリシチェックができるライブラリのリスト policies = policy1 ... policyN パスワードに適用するポリシ名のリスト。組み込みのポ リシは、特に最小の長さ、文字クラス、外部チェックで す。 環境変数 KRB5_CONFIG は、読み込むための設定ファイルを示します。 関連ファイル /etc/krb5.conf Kerberos 5 のための設定ファイル。 使用例 [libdefaults] default_realm = FOO.SE [domain_realm] .foo.se = FOO.SE .bar.se = FOO.SE [realms] FOO.SE = { kdc = kerberos.foo.se v4_name_convert = { rcmd = host } v4_instance_convert = { xyz = xyz.bar.se } default_domain = foo.se } [logging] kdc = FILE:/var/heimdal/kdc.log kdc = SYSLOG:INFO default = SYSLOG:INFO:USER 診断 krb5.conf が krb5 ライブラリによって読み込まれ、解析されるので、どんなに 役に立つ形式でエラーを解析するかをプログラムに報告する多くの機会はありま せん。この問題を克服するのを助けるために、krb5.conf を読み込んで、構文解 析エラーから役に立つ診断を出力しようとする、プログラム verify_krb5_conf があります。このプログラムはどんなオプションが実際に使用されるかを知る方 法がなく、したがって、未知またはスペルミスに関して警告できないことに注意 してください。 関連項目 kinit(1), krb5_425_conv_principal(3), krb5_openlog(3), strftime(3), verify_krb5_conf(8) HEIMDAL May 4, 2005 HEIMDAL