'\" te .\" Copyright (c) 2008, 2013, Oracle and/or its affiliates.All rights reserved. .TH krb5envvar 5 "2013 年 12 月 17 日" "SunOS 5.11" "標準、環境、マクロ" .SH 名前 krb5envvar \- Kerberos 環境変数 .SH 機能説明 .sp .LP Kerberos メカニズムには、アプリケーションのニーズを満たすために、さまざまな動作を構成する多数の環境変数が用意されています。Kerberos メカニズムでは、次の環境変数が使用されます: .sp .ne 2 .mk .na \fB\fBKRB5_KTNAME\fR\fR .ad .sp .6 .RS 4n 鍵テーブルファイルの場所を指定するためのメカニズムで使用されます。この変数には、次の値を設定できます: .sp .in +2 .nf [[\fI\fR:]\fI\fR] .fi .in -2 ここで、\fI\fR には \fBFILE\fR または \fBWRFILE\fR を指定できます。\fBFILE\fR は読み取り操作用、\fBWRFILE\fR は書き込み操作用です。\fI\fR は、\fBkeytab\fR ファイルの場所です。 .sp r .sp \fBKRB5_KTNAME\fR が定義されない場合のデフォルト値は次のとおりです: .sp .in +2 .nf FILE:/etc/krb5/krb5.keytab .fi .in -2 \fBkeytab\fR ファイルは、永続的に資格を格納するために使用され、一般にサービスデーモンで使用されます。 .sp \fBFILE\fR タイプを指定することは、関連するファイル上の後続操作が呼び出しプロセスで読み取り可能であることが前提となっています。暗号化されていない鍵を取得する必要のある主体のセットでのみファイルが読み取り可能になるように注意してください。 .sp \fBWRFILE\fR タイプは、\fBkadmin\fR(1M) コマンドで使用されます。このタイプを指定すると、管理者は追加のコマンド行引数を使用してファイルの場所を指定しなくても、書き込む代替の \fBkeytab\fR ファイルを指定できます。 .RE .sp .ne 2 .mk .na \fB\fBKRB5CCNAME\fR\fR .ad .sp .6 .RS 4n 資格キャッシュの場所を指定するためのメカニズムで使用されます。この変数には、次の値を設定できます: .sp .in +2 .nf [[\fI\fR:]\fI\fR] .fi .in -2 ここで、\fI\fR には \fBFILE\fR または \fBMEMORY\fR を指定できます。\fI\fR は主体の資格キャッシュの場所です。 .sp \fBKRB5CCNAME\fR が定義されない場合のデフォルト値は次のとおりです: .sp .in +2 .nf FILE:/tmp/krb5cc_\fI\fR .fi .in -2 ここで、\fI\fR はキャッシュファイルを作成したプロセスのユーザー ID です。 .sp 資格キャッシュファイルは、主体に付与されているチケットを格納するために使用されます。 .sp \fBFILE\fR タイプを指定することは、関連するファイル上の後続操作が呼び出しプロセスで読み書き可能であることが前提となっています。資格にアクセスする必要のある主体のセットのみがファイルにアクセス可能になるように注意してください。ほかのユーザーが書き込みアクセス権を持っているディレクトリ内に資格ファイルがある場合、そのディレクトリのスティッキービットを設定する必要があります (\fBchmod\fR(1) を参照)。 .sp \fBMEMORY\fR タイプの資格キャッシュは、呼び出しプロセスの存続期間中に一時キャッシュを作成する場合などの特殊なケースでしか使用されません。 .RE .sp .ne 2 .mk .na \fB\fBKRB5RCNAME\fR\fR .ad .sp .6 .RS 4n リプレイキャッシュのタイプと場所を指定するためのメカニズムで使用されます。この変数には、次の値を設定できます: .sp .in +2 .nf [[\fI\fR:]\fI\fR] .fi .in -2 ここで、\fI\fR には \fBFILE\fR、\fBMEMORY\fR、または \fBNONE\fR を指定できます。\fI\fR が関連するのは、リプレイキャッシュファイルタイプを指定する場合のみです。 .sp 定義されない場合のデフォルト値は次のとおりです: .sp .in +2 .nf FILE:/var/krb5/rcache/root/rc_\fI\fR .fi .in -2 root がプロセスを所有している場合、または: .sp .in +2 .nf FILE:/var/krb5/rcache/rc_\fI\fR .fi .in -2 root 以外のユーザーがプロセスを所有している場合。\fI\fR は、リプレイキャッシュファイルに関連付けられたサービスプロセス名です。 .sp リプレイキャッシュは、Kerberos で認証データのリプレイを検出する際に使用されます。これにより、ネットワーク上の認証メッセージを取得するユーザーは、これらのメッセージを再送信しても、サーバーに対する認証を行なうことができません。 .sp \fBFILE\fR タイプのリプレイキャッシュを指定する場合は、別のユーザーがリプレイキャッシュファイルを削除できないように注意してください。リプレイキャッシュの所有者のみがリプレイキャッシュパスのすべてのディレクトリに書き込み可能であるか、またはその他のユーザーが書き込み権を持っているリプレイキャッシュパスのすべてのディレクトリにスティッキービット (“\fB t\fR”) が設定されていることを確認します。 .sp \fBMEMORY\fR タイプのリプレイキャッシュを指定する場合は、非永続性キャッシュを使用することで発生するわずかなセキュリティーリスクに対するパフォーマンスのトレードオフを比較検討する必要があります。次の状況になると、システムのリブート中にリスクが発生します: .RS +4 .TP .ie t \(bu .el o リブート前に最後にリプレイキャッシュに書き込んでから、Kerberos 化されたサーバーアプリケーションが実行されている時点までの期間は、Kerberos クロックスキューよりも短くなります (\fBkrb5.conf\fR(4) を参照)。 .RE \fBNONE\fR リプレイキャッシュ時間を指定する場合は、これによりリプレイキャッシュが無効になることと、発生するすべてのセキュリティーリスクについて理解する必要があります。これには、マニュアルページの該当セクションで説明されたすべてのリスクが含まれます。 .sp このような状況では、サーバーアプリケーションは、Kerberos 認証データのリプレイを (最後の書き込み時間とクロックスキューとの差異まで) 許容できます。一般に、これは短い猶予時間です。接続の受け入れを開始するまでの時間がクロックスキューよりもサーバーアプリケーションの方が長い場合は、リプレイのリスクはありません。 .sp 前述のリスクは、\fB/var/run\fR や \fB/tmp\fR などのスワップファイルシステム上にリプレイキャッシュが存在するときに、\fBFILE\fR タイプのリプレイキャッシュを使用する場合と同じです。 .sp \fBMEMORY\fR タイプのリプレイキャッシュでは、ディスク I/O が存在しないことによって、\fBFILE\fR タイプよりもパフォーマンスが改善されています。このことは、\fBFILE\fR リプレイキャッシュがスワップ (\fB/tmp\fR や \fB/var/run\fR など) のメモリーに基づくファイルシステムに存在する場合でも該当します。 .sp \fBMEMORY\fR タイプのキャッシュはプロセスごとのキャッシュであるため、これらのタイプのキャッシュを使用する際には十分に考慮する必要があります。\fBMEMORY\fR タイプのキャッシュで問題が発生する可能性がある一例として、セキュリティーコンテキストを確立するために複数のプロセスがアプリケーションで使用されている場合があります。このような場合、リプレイキャッシュメモリーはプロセス間で共有されないため、リプレイ攻撃の可能性があります。 .RE .sp .ne 2 .mk .na \fBKRB5_CONFIG\fR .ad .sp .6 .RS 4n Kerberos ライブラリが \fB/etc/krb5/krb5.conf\fR 以外のファイルから構成パラメーターを読み取ることができるようにします。\fBksh\fR(1) から \fBkinit\fR を使用するには、次の例を使用します。 .sp .in +2 .nf KRB5_CONFIG=/var/tmp/krb5.conf kinit .fi .in -2 .RE .SH 属性 .sp .LP 属性についての詳細は、\fBattributes\fR(5) を参照してください。 .sp .sp .TS tab() box; cw(2.75i) |cw(2.75i) lw(2.75i) |lw(2.75i) . \fB属性タイプ\fR\fB属性値\fR _ 使用条件system/security/kerberos-5 _ インタフェースの安定性不確実 .TE .SH 関連項目 .sp .LP \fBchmod\fR(1)、\fBkinit\fR(1)、\fBklist\fR(1)、\fBksh\fR(1)、\fBkadmin\fR(1M)、\fBkadmind\fR(1M)、\fBkrb5.conf\fR(4)、\fBattributes\fR(5)、\fBkerberos\fR(5)