日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.3-RELEASE-K, 13.0-RELEASE-K から 13.2-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
KDC(8) FreeBSD システム管理者マニュアル KDC(8) 名称 kdc -- Kerberos 5 サーバ 書式 kdc [-c file | --config-file=file] [-p | --no-require-preauth] [--max- request=size] [-H | --enable-http] [--no-524] [--kerberos4] [--kerberos4-cross-realm] [-r string | --v4-realm=string] [-P portspec | --ports=portspec] [--detach] [--disable-des] [--addresses=list of addresses] 解説 kdc は、チケットのための要求を処理します。開始するとき、最初に渡されたフ ラグをチェックして、コマンド行フラグで指定されないすべてのオプションは、 設定ファイルまたはデフォルトでコンパイルされた値から取られます。 サポートされるオプションは、次の通りです: -c file, --config-file=file デフォルトが、/var/heimdal/kdc.conf である、設定ファイルの位置を 指定します。これは、設定ファイルで指定することができない唯一の値 です。 -p, --no-require-preauth すべてのプリンシパルのための初期の AS-REQ で事前認証のための必要 条件をオフにします。事前認証の使用で、オフラインパスワード攻撃を することをより難しくします。事前認証をサポートしないクライアント があるなら、利用者は、それをオフにしたいかもしれません。バージョ ン 4 プロトコルが少しも事前認証をサポートしないので、バージョン 4 クライアントを処理することは、事前認証を必要としないのとほとんど 同じです。デフォルトは、事前認証を必要とすることです。プリンシパ ルごとに事前認証の要求を追加することは、これを取り扱うより柔軟な 方法です。 --max-request=size kdc が操作する意志がある要求のサイズで上限を与えます。 -H, --enable-http kdc は、ポート 80 で listen (接続を受け付け) を行い、HTTP でカプ セル化された要求を処理します。 --no-524 524 要求に応答しません --kerberos4 Kerberos 4 要求に応答します --kerberos4-cross-realm 外部のレルム (アドレス体系) から Kerberos 4 要求に応答します。利 用者が結末を理解していて、それらと共生することを望んでいないな ら、これは、知られているセキュリティホールであり、有効にするべき ではありません。 -r string, --v4-realm=string バージョン 4 要求を処理するときのように、このサーバが動作するべき レルム。データベースは、いろいろなレルムを含むことができますが、 バージョン 4 プロトコルは、サーバのためのレルムを含んでいないの で、明示的に、それを指定しなければなりません。デフォルトは、 krb_get_lrealm() によって返されるものなら何でもです。このオプショ ンは、KDC がバージョン 4 のサポートでコンパイルされた場合にだけ、 利用可能です。 -P portspec, --ports=portspec KDC が listen (接続を受け付け) するべきポートの一組を指定します。 空白類で区切られたサービスまたはポート番号のリストとして、与えら れます。 --addresses=list of addresses 要求に対して listen (接続を受け付け) するためのアドレスのリスト。 デフォルトで、kdc は、すべての局所的に設定されたアドレスで listen (接続を受け付け) します。サブセットだけが求められているか、または 自動的な検出が失敗するなら、このオプションが使用されるかもしれま せん。 --detach pty をデタッチして、デーモンとして実行します。 --disable-des des 暗号タイプの追加を無効にし、kdc がそれらを使用しないようにし ます。 すべての活動は、1 つ以上の宛先にログ記録されます、krb5.conf(5) と krb5_openlog(3) を参照。ログ記録のために使用される実体は、kdc です。 設定ファイル 設定ファイルには、krb5.conf(5) と同じ構文がありますが、/etc/krb5.conf の 前に読み込まれるので、そこで見つけられる設定を上書きします。KDC だけに指 定するオプションは、``[kdc]'' セクションで見つかります。できれば、すべて のコマンド行オプションを、設定ファイルに追加することができます。唯一の違 いは、次のように指定されなければならない、事前認証フラグです: require-preauth = no (実際に、--require-preauth=no のようにオプションを指定することができま す)。 そして、コマンド行と同等でないいくつかの設定オプションがあります: enable-digest = boolean KDC でのダイジェスト処理のためのサポートをオンにします。デフォ ルトは、FALSE です。 check-ticket-addresses = boolean TGS 要求を処理するとき、チケットのアドレスをチェックします。デ フォルトは、TRUE です。 allow-null-ticket-addresses = boolean アドレスなしでチケットを許可します。このオプションは、check ticket-addresses が TRUE であるときのみ、関連します。 allow-anonymous = boolean アドレスなしで匿名のチケットを許可します。 max-kdc-datagram-reply-length = number KDC が、代わりに TCP を使用するクライアントに伝える応答を返送 する代わりに、KDC が転送することを当てにする UDP の最大のパ ケットサイズ。 transited-policy = always-check | allow-per-principal | always honour-request これは、disable-transited-check フラグで KDC 要求がどのように 扱われるかを制御します。次の 1 を指定することができます: always-check 常に通過するエンコードをチェックし、これは、デフォ ルトです。 allow-per-principal 現在、これは、always-check と同一です。今後のリリー スでは、チェックされない要求を扱うことができるよう にプリンシパルをマークすることが可能です。 always-honour-request 常にクライアントが要求することを行います。今後のリ リースでは、プリンシパルごとのチェックを強制するこ とが可能です。 encode_as_rep_as_tgs_rep = boolean 古い DCE コードでバグの互換性があるように TGS-Rep として AS Rep をエンコードします。Heimdal クライアントは、両方を許可しま す。 kdc_warn_pwexpire = time パスワード/プリンシパルが期限切れのどのくらい前に、KDC が警告 メッセージを送信し始めるべきであるか。 設定ファイルは、kdc が開始されるときだけ、読み込まれます。設定ファイルに 行われた変更が効果があるようにするためには、kdc を再開する必要がありま す。 設定ファイルの例は、次の通りです: [kdc] require-preauth = no v4-realm = FOO.SE バグ KDC を実行するマシンに新しいアドレスを追加するなら、KDC は、それらを lis ten (接続を受け付け) するために再開されなければなりません。(INADDR_ANY の ような) ワイルドカードのアドレスを単に listen (接続を受け付け) しない理由 は、応答がそれらが送られた同じアドレスから来なければならないということで す、そして、ほとんどの OS:es は、この情報をアプリケーションに渡しません。 通常モードの操作が、アドレスを追加して、取り除くことを要求するなら、最良 のオプションは、たぶんワイルドカードの TCP ソケットを listen (接続を受け 付け) することであり、そして、クライアントを接続するために TCP を使用する ことを確認します。例えば、これは、IPv4 TCP ポート 88 だけを listen (接続 を受け付け) します: kdc --addresses=0.0.0.0 --ports="88/tcp" アドレスとプロトコル、ポートの組だけではなく、プロトコル、ポートとアドレ スの 3 つ組を指定する方法があるべきです。 関連項目 kinit(1), krb5.conf(5) HEIMDAL August 24, 2006 HEIMDAL