2007年11月10日

Leopard はサーバが無くともKerberos認証つかってるらしい?

ふと、sudo klist -k とかすると、サーバでも無いのにサービス鍵が登録されている。

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 afpserver/LKDC:SHA1.####@LKDC:SHA1.#### (Triple DES cbc mode with HMAC/sha1)
   3 afpserver/LKDC:SHA1.####@LKDC:SHA1.#### (ArcFour with HMAC/md5)
   3 afpserver/LKDC:SHA1.####@LKDC:SHA1.#### (DES cbc mode with CRC-32)
   3 cifs/LKDC:SHA1.####@LKDC:SHA1.#### (Triple DES cbc mode with HMAC/sha1)
   3 cifs/LKDC:SHA1.####@LKDC:SHA1.#### (ArcFour with HMAC/md5)
   3 cifs/LKDC:SHA1.####@LKDC:SHA1.#### (DES cbc mode with CRC-32)
   3 vnc/LKDC:SHA1.####@LKDC:SHA1.#### (Triple DES cbc mode with HMAC/sha1)
   3 vnc/LKDC:SHA1.####@LKDC:SHA1.#### (ArcFour with HMAC/md5)
   3 vnc/LKDC:SHA1.####@LKDC:SHA1.#### (DES cbc mode with CRC-32)

ファイル共有や画面共有とかのスタンドアーロンな認証でも、Kerberos 認証に移行するらしい。AFP/SAMBA/VNCとかは、パスワード認証不可なのか??

まぁ、セキュリティ的には安全性の高い方向への舵取りなんだろうな。

Kerberosのセキュリティ情報とかは、Leopard では結構重要な悪い知らせになるのだろうなぁ。

ローカルのKDCのレルム名はどう算出するのだろう? Bonjour ? 、、、そのうち情報が出てくるのかなぁ。

追記 (2007/11/30)

専門家では、peer-to-peer Kerberos とか呼ばれているらしい。本当か!?

ローカルKDCのレルム名は、システムキーチェーン /Library/Keychains の中にあるカスタム証明書「com.apple.kerberos.kdc」の Fingerprint のSHA1の値を使っているらしい。

LKDC:SHA1.<証明書com.apple.kerberos.kdcのfingerprintのsha1値>

秘密鍵とか公開鍵とかがなんか使ってるのかなぁ。

Leopard では、KDCデーモン krb5kdc を生成する kdcmond がレルム名やサーバ名等々をBonjour に登録するらしい(manを見る限り)が、、、、どうも取り方がわからん。

追記 (2008/08/28)

LKDC の レルム名は、次のように特殊な名前のTXTレコードの問い合わせを使うらしい。

# dns-sd -Q _kerberos.hostname.local txt

avahiではこの形の問い合わせや通知が出来ないので、もうひねり加えないと使えない模様である。

0 件のコメント: