日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
KDC(8) FreeBSD システム管理者マニュアル KDC(8)
名称
kdc -- Kerberos 5 サーバ
書式
kdc [-c file | --config-file=file] [-p | --no-require-preauth] [--max-
request=size] [-H | --enable-http] [--no-524] [--kerberos4]
[--kerberos4-cross-realm] [-r string | --v4-realm=string] [-P
portspec | --ports=portspec] [--detach] [--disable-des]
[--addresses=list of addresses]
解説
kdc は、チケットのための要求を処理します。開始するとき、最初に渡されたフ
ラグをチェックして、コマンド行フラグで指定されないすべてのオプションは、
設定ファイルまたはデフォルトでコンパイルされた値から取られます。
サポートされるオプションは、次の通りです:
-c file, --config-file=file
デフォルトが、/var/heimdal/kdc.conf である、設定ファイルの位置を
指定します。これは、設定ファイルで指定することができない唯一の値
です。
-p, --no-require-preauth
すべてのプリンシパルのための初期の AS-REQ で事前認証のための必要
条件をオフにします。事前認証の使用で、オフラインパスワード攻撃を
することをより難しくします。事前認証をサポートしないクライアント
があるなら、利用者は、それをオフにしたいかもしれません。バージョ
ン 4 プロトコルが少しも事前認証をサポートしないので、バージョン 4
クライアントを処理することは、事前認証を必要としないのとほとんど
同じです。デフォルトは、事前認証を必要とすることです。プリンシパ
ルごとに事前認証の要求を追加することは、これを取り扱うより柔軟な
方法です。
--max-request=size
kdc が操作する意志がある要求のサイズで上限を与えます。
-H, --enable-http
kdc は、ポート 80 で listen (接続を受け付け) を行い、HTTP でカプ
セル化された要求を処理します。
--no-524
524 要求に応答しません
--kerberos4
Kerberos 4 要求に応答します
--kerberos4-cross-realm
外部のレルム (アドレス体系) から Kerberos 4 要求に応答します。利
用者が結末を理解していて、それらと共生することを望んでいないな
ら、これは、知られているセキュリティホールであり、有効にするべき
ではありません。
-r string, --v4-realm=string
バージョン 4 要求を処理するときのように、このサーバが動作するべき
レルム。データベースは、いろいろなレルムを含むことができますが、
バージョン 4 プロトコルは、サーバのためのレルムを含んでいないの
で、明示的に、それを指定しなければなりません。デフォルトは、
krb_get_lrealm() によって返されるものなら何でもです。このオプショ
ンは、KDC がバージョン 4 のサポートでコンパイルされた場合にだけ、
利用可能です。
-P portspec, --ports=portspec
KDC が listen (接続を受け付け) するべきポートの一組を指定します。
空白類で区切られたサービスまたはポート番号のリストとして、与えら
れます。
--addresses=list of addresses
要求に対して listen (接続を受け付け) するためのアドレスのリスト。
デフォルトで、kdc は、すべての局所的に設定されたアドレスで listen
(接続を受け付け) します。サブセットだけが求められているか、または
自動的な検出が失敗するなら、このオプションが使用されるかもしれま
せん。
--detach
pty をデタッチして、デーモンとして実行します。
--disable-des
des 暗号タイプの追加を無効にし、kdc がそれらを使用しないようにし
ます。
すべての活動は、1 つ以上の宛先にログ記録されます、krb5.conf(5) と
krb5_openlog(3) を参照。ログ記録のために使用される実体は、kdc です。
設定ファイル
設定ファイルには、krb5.conf(5) と同じ構文がありますが、/etc/krb5.conf の
前に読み込まれるので、そこで見つけられる設定を上書きします。KDC だけに指
定するオプションは、``[kdc]'' セクションで見つかります。できれば、すべて
のコマンド行オプションを、設定ファイルに追加することができます。唯一の違
いは、次のように指定されなければならない、事前認証フラグです:
require-preauth = no
(実際に、--require-preauth=no のようにオプションを指定することができま
す)。
そして、コマンド行と同等でないいくつかの設定オプションがあります:
enable-digest = boolean
KDC でのダイジェスト処理のためのサポートをオンにします。デフォ
ルトは、FALSE です。
check-ticket-addresses = boolean
TGS 要求を処理するとき、チケットのアドレスをチェックします。デ
フォルトは、TRUE です。
allow-null-ticket-addresses = boolean
アドレスなしでチケットを許可します。このオプションは、check
ticket-addresses が TRUE であるときのみ、関連します。
allow-anonymous = boolean
アドレスなしで匿名のチケットを許可します。
max-kdc-datagram-reply-length = number
KDC が、代わりに TCP を使用するクライアントに伝える応答を返送
する代わりに、KDC が転送することを当てにする UDP の最大のパ
ケットサイズ。
transited-policy = always-check | allow-per-principal | always
honour-request
これは、disable-transited-check フラグで KDC 要求がどのように
扱われるかを制御します。次の 1 を指定することができます:
always-check
常に通過するエンコードをチェックし、これは、デフォ
ルトです。
allow-per-principal
現在、これは、always-check と同一です。今後のリリー
スでは、チェックされない要求を扱うことができるよう
にプリンシパルをマークすることが可能です。
always-honour-request
常にクライアントが要求することを行います。今後のリ
リースでは、プリンシパルごとのチェックを強制するこ
とが可能です。
encode_as_rep_as_tgs_rep = boolean
古い DCE コードでバグの互換性があるように TGS-Rep として AS
Rep をエンコードします。Heimdal クライアントは、両方を許可しま
す。
kdc_warn_pwexpire = time
パスワード/プリンシパルが期限切れのどのくらい前に、KDC が警告
メッセージを送信し始めるべきであるか。
設定ファイルは、kdc が開始されるときだけ、読み込まれます。設定ファイルに
行われた変更が効果があるようにするためには、kdc を再開する必要がありま
す。
設定ファイルの例は、次の通りです:
[kdc]
require-preauth = no
v4-realm = FOO.SE
バグ
KDC を実行するマシンに新しいアドレスを追加するなら、KDC は、それらを lis
ten (接続を受け付け) するために再開されなければなりません。(INADDR_ANY の
ような) ワイルドカードのアドレスを単に listen (接続を受け付け) しない理由
は、応答がそれらが送られた同じアドレスから来なければならないということで
す、そして、ほとんどの OS:es は、この情報をアプリケーションに渡しません。
通常モードの操作が、アドレスを追加して、取り除くことを要求するなら、最良
のオプションは、たぶんワイルドカードの TCP ソケットを listen (接続を受け
付け) することであり、そして、クライアントを接続するために TCP を使用する
ことを確認します。例えば、これは、IPv4 TCP ポート 88 だけを listen (接続
を受け付け) します:
kdc --addresses=0.0.0.0 --ports="88/tcp"
アドレスとプロトコル、ポートの組だけではなく、プロトコル、ポートとアドレ
スの 3 つ組を指定する方法があるべきです。
関連項目
kinit(1), krb5.conf(5)
HEIMDAL August 24, 2006 HEIMDAL