From owner-svn-doc-all@freebsd.org Fri Nov 3 01:34:11 2017 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id 0F3C5E679EF; Fri, 3 Nov 2017 01:34:11 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id D1E7171163; Fri, 3 Nov 2017 01:34:10 +0000 (UTC) (envelope-from ryusuke@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id vA31YA1s065861; Fri, 3 Nov 2017 01:34:10 GMT (envelope-from ryusuke@FreeBSD.org) Received: (from ryusuke@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id vA31YASa065860; Fri, 3 Nov 2017 01:34:10 GMT (envelope-from ryusuke@FreeBSD.org) Message-Id: <201711030134.vA31YASa065860@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: ryusuke set sender to ryusuke@FreeBSD.org using -f From: Ryusuke SUZUKI Date: Fri, 3 Nov 2017 01:34:10 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r51169 - head/ja_JP.eucJP/books/handbook/security X-SVN-Group: doc-head X-SVN-Commit-Author: ryusuke X-SVN-Commit-Paths: head/ja_JP.eucJP/books/handbook/security X-SVN-Commit-Revision: 51169 X-SVN-Commit-Repository: doc MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.23 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 03 Nov 2017 01:34:11 -0000 Author: ryusuke Date: Fri Nov 3 01:34:09 2017 New Revision: 51169 URL: https://svnweb.freebsd.org/changeset/doc/51169 Log: - Merge the following from the English version: r35396 -> r36653 head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml Modified: head/ja_JP.eucJP/books/handbook/security/chapter.xml ============================================================================== --- head/ja_JP.eucJP/books/handbook/security/chapter.xml Thu Nov 2 16:08:33 2017 (r51168) +++ head/ja_JP.eucJP/books/handbook/security/chapter.xml Fri Nov 3 01:34:09 2017 (r51169) @@ -3,7 +3,7 @@ The FreeBSD Documentation Project The FreeBSD Japanese Documentation Project - Original revision: r35396 + Original revision: r36653 $FreeBSD$ --> @@ -59,11 +59,6 @@ - &os; 5.0 より前のリリースにおける、 - KerberosIV の設定方法 - - - &os; における Kerberos5 の設定方法 @@ -450,7 +445,6 @@ ステーションやサーバへの物理的アクセス手段を持たない人々によっ て行われるという事実もまた、念頭に置いておく必要があります。 - KerberosIV Kerberos のような方法を使うことで、 スタッフアカウントのパ @@ -1052,7 +1046,6 @@ Kerberos および SSH を用いたアクセスの問題 ssh - KerberosIV もしあなたが、Kerberos と ssh を使いたいのだとしたら、 両者に関して言っておかねばならない問題がいくつかあります。 @@ -1736,533 +1729,6 @@ sendmail : PARANOID : deny - - <application>KerberosIV</application> - - MarkMurray寄稿: - - - MarkDapoz基にした文書の執筆: - - - - - Kerberos - - 訳: &a.jp.arimura;. - - Kerberosは、 - サーバのサービスによってユーザが安全に認証を受けられる - ようにするための、ネットワークの付加システム及びプロトコルです。 - リモートログイン、リモートコピー、 - システム間での安全なファイルのコピ - ーやその他のリスクの高い仕事がかなり安全に、 - そしてこれまでより制御 できるようになります。 - - 以下の文章は、 - &os; 用として配布されている Kerberos をセットアップ - する際のガイドとして読むことができます。しかし、 - 完全な説明が必要な場合には、マニュアルページを読んだ方がよい - でしょう。 - - - <application>KerberosIV</application> のインストール - - MIT - - KerberosIV - インストール - - Kerberos は選択が任意な &os; のコンポーネントです。 - もっとも簡単なインストール方法は、&os; - のインストール時に sysinstall - で krb4 または krb5 - 配布物を選択することです。 - そうすると、Kerberos の eBones (KerberosIV) または - Heimdal (Kerberos5) 実装がインストールされます。 - これらの実装が入っているのは、 - これがアメリカ合衆国およびカナダの外で開発されたものであるため、 - アメリカ合衆国からの暗号ソフトウェアの輸出が制限されていた時代でも - アメリカ合衆国およびカナダ以外の国に住んでいるシステム所有者の手に入るものだったからです。 - - ほかに、MIT で実装された Kerberos が Ports Collection - の security/krb5 - から利用できます。 - - - - 初期データベースの作成 - - この作業はKerberosサーバだけでおこないます。まず、 - 古いKerberosの データベースが存在しないことを確認してください。 - ディレクトリ/etc/kerberosIV - に移って、 - 次のファイルだけが 存在することをチェックします。 - - &prompt.root; cd /etc/kerberosIV -&prompt.root; ls -README krb.conf krb.realms - - もし他のファイル (principal.* や - master_key) が 存在する場合には、 - kdb_destroyというコマンドで古い - Kerberosデータベースを消してください。 - Kerberosが走っていなければ、 - 単に余計なファイルを消せばよいです。 - - まず、krb.conf と - krb.realmsを編集してKerberosの 管理領域 - (realm) を定義してください。 - ここでは管理領域が EXAMPLE.COM - で、サーバ名が grunt.example.com - であるとします。 - krb.conf - というファイルを次のように編集してください。 - - &prompt.root; cat krb.conf -EXAMPLE.COM -EXAMPLE.COM grunt.example.com admin server -CS.BERKELEY.EDU okeeffe.berkeley.edu -ATHENA.MIT.EDU kerberos.mit.edu -ATHENA.MIT.EDU kerberos-1.mit.edu -ATHENA.MIT.EDU kerberos-2.mit.edu -ATHENA.MIT.EDU kerberos-3.mit.edu -LCS.MIT.EDU kerberos.lcs.mit.edu -TELECOM.MIT.EDU bitsy.mit.edu -ARC.NASA.GOV trident.arc.nasa.gov - - この例にあるような他の管理領域は、実際には必要ありません。 - この例は複数の管理領域を認識する方法を示したものですので、 - これらの行は含めなくても結構です。 - - 1行目はこのシステムが動いている管理領域の名前です。 - 他の行は管理領域とホスト名のエントリです。 - 行の1つめの単語が管理領域で、2つめがその管理領域の中で - 鍵配布センター(Key Distribution Center) - として働くホスト名です。ホスト名の次に admin - server と書いてある場合には、そのホストが - 管理データベースサーバ (Administrative Database Server) - も提供することを意味します。 - これらの単語について詳しく知りたい場合には Kerberos - のマニュアルページをご覧ください。 - - ここで、EXAMPLE.COM という管理領域に - grunt.example.com - およびその他の .example.com - ドメインのすべてのホストを追加しなければなりません。 - krb.realms は次のようになります。 - - &prompt.root; cat krb.realms -grunt.example.com EXAMPLE.COM -.example.com EXAMPLE.COM -.berkeley.edu CS.BERKELEY.EDU -.MIT.EDU ATHENA.MIT.EDU -.mit.edu ATHENA.MIT.EDU - - もう一度注意しますが、他の管理領域を書く必要はありません。 - これらは複数の管理領域を認識できるようにマシンを設定する方法を - 示した例ですので、これらの行は消して構いません。 - - 1行目は名前をつけた管理領域に 特定の - システムを含めるための ものです。 - 残りの行は名前をつけた管理領域にサブドメインのデフォルトの - システムを含めるためのものです。 - - これでデータベースを作成する準備ができました。 - この操作はKerberos サーバ (鍵配布センター) を起動するだけです。 - kdb_initコ - マンドを次のように実行してください。 - - &prompt.root; kdb_init -Realm name [default ATHENA.MIT.EDU ]: EXAMPLE.COM -You will be prompted for the database Master Password. -It is important that you NOT FORGET this password. - -Enter Kerberos master key: - - ここで鍵を保存して、 - ローカルのマシンにあるサーバが取り出せるように します。 - それにはkstashコマンドを使用します。 - - &prompt.root; kstash - -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! - - これで暗号化されたマスタパスワードが - /etc/kerberosIV/master_key - に保存されました。 - - - - すべてが動くようにするための設定 - - - KerberosIV - 初期設定 - - - Kerberosを導入する それぞれの - システムのデータベースに、2つ のprincipal (主体名) - を追加する必要があります。その名前は - kpasswdrcmdです。 - これら2つのprincipalは、個々 のシステムにおいて、 - システム名と同じ名前のインスタンスと組にして作成 - されます。 - - これらの >kpasswd と - rcmd というデーモンによって、他の - システムからKerberosのパスワードを変更したり、 - &man.rcp.1; や &man.rlogin.1;, - &man.rsh.1; といったコマンドを実行したりできるようになります。 - - それでは実際にこれらのエントリを追加しましょう。 - - &prompt.root; kdb_edit -Opening database... - -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. - -Principal name: passwd -Instance: grunt - -<Not found>, Create [y] ? y - -Principal: passwd, Instance: grunt, kdc_key_ver: 1 -New Password: <---- ここは「RANDOM」と入力してください -Verifying password - -New Password: <---- ここは「RANDOM」と入力してください - -Random password [y] ? y - -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: rcmd -Instance: grunt - -<Not found>, Create [y] ? - -Principal: rcmd, Instance: grunt, kdc_key_ver: 1 -New Password: <---- ここは「RANDOM」と入力してください -Verifying password - -New Password: <---- ここは「RANDOM」と入力してください - -Random password [y] ? - -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- 何も入力しないと終了します - - - - サーバファイルの作成 - - 次に、各マシンにおけるサービスを定義している、 - すべてのインスタンスを展開します。 - これには ext_srvtab というコマンドを使用します。 - このコマンドで作成されるファイルは、Kerberos - の各クライアントの /etc - ディレクトリに安全な方法で - コピーまたは移動する必要があります。 - このファイルはそれぞれのサーバとクライアントに存在しなければならず、 - また Kerberos の運用において重要なものです。 - - &prompt.root; ext_srvtab grunt - -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Generating 'grunt-new-srvtab'.... - - このコマンドは一時的なファイルを作成するだけです。 - ファイル名をすべ てのサーバが読めるような - srvtab という名前に変更しな - ければなりません。 - &man.mv.1; コマンドを用いてシステムの場所に移動してください。 - - &prompt.root; mv grunt-new-srvtab srvtab - - そのファイルがクライアントに配るためのもので、 - ネットワークが安全で はないと思われる場合には、 - client-new-srvtab - を移動 - 可能なメディアにコピーして物理的に安全な方法で運んでください。 - クライアントの/etc - ディレクトリで、 - 名前を srvtabに変更し、 - modeを600にするのを忘れないでください。 - - &prompt.root; mv grumble-new-srvtab srvtab -&prompt.root; chmod 600 srvtab - - - - データベースへのユーザの追加 - - ここで、 - ユーザのエントリをデータベースに追加する必要があります。 - 始めに、 - ユーザjaneのエントリを作成してみましょう。 - kdb_edit - を用いて次のように作成してください。 - - &prompt.root; kdb_edit -Opening database... - -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. - -Principal name: jane -Instance: - -<Not found>, Create [y] ? y - -Principal: jane, Instance: , kdc_key_ver: 1 -New Password: <---- 安全なパスワードを入れてください -Verifying password - -New Password: <---- もう一度パスワードを入れてください - -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- 何も入力しないと終了します - - - - すべてのテスト - - まず始めにKerberosデーモンを起動する必要があります。 - /etc/rc.conf - ファイルを正しく編集してあれば、マシンを再 - 起動することでに自動的にデーモンが起動します。 - これはKerberosサー バでのみ必要です。 - Kerberosクライアントは - /etc/kerberosIV - から必要なものを自動的に入手します。 - - &prompt.root; kerberos & -Kerberos server starting -Sleep forever on error -Log file is /var/log/kerberos.log -Current Kerberos master key version is 1. - -Master key entered. BEWARE! - -Current Kerberos master key version is 1 -Local realm: EXAMPLE.COM -&prompt.root; kadmind -n & -KADM Server KADM0.0A initializing -Please do not use 'kill -9' to kill this job, use a -regular kill instead - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! - - さあ、これで上で作成した jane - という ID のチケットを - kinitコマンドで得ることができます。 - - &prompt.user; kinit jane -MIT Project Athena (grunt.example.com) -Kerberos Initialization for "jane" -Password: - - klist コマンドを用いてトークンを見て、 - きちんとチケットを持って いるかどうか確認してください。 - - &prompt.user; klist -Ticket file: /tmp/tkt245 -Principal: jane@EXAMPLE.COM - - Issued Expires Principal -Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COM - - &man.passwd.1; コマンドを用いてパスワードを変更して、 - kpasswd デーモンが Kerberos - データベースに対して認証されるかどうかチェックして - ください。 - - &prompt.user; passwd -realm EXAMPLE.COM -Old password for jane: -New Password for jane: -Verifying password -New Password for jane: -Password changed. - - - - <command>su</command> 特権の追加 - - Kerberos は root 権限が必要な - ユーザに対し、 - &man.su.1; のパスワードをユーザ毎に - 別のもの として持つことを可能にします。 - root に &man.su.1; - できる権利を与えられた ID を追加します。これは、 - principal に付いている root - というインスタンスに よって制御されています。 - kdb_editを用いて - jane.rootというエントリを - Kerberos データベースに作成します。 - - &prompt.root; kdb_edit -Opening database... - -Enter Kerberos master key: - -Current Kerberos master key version is 1. - -Master key entered. BEWARE! -Previous or default values are in [brackets] , -enter return to leave the same, or new value. - -Principal name: jane -Instance: root - -<Not found>, Create [y] ? y - -Principal: jane, Instance: root, kdc_key_ver: 1 -New Password: <---- 安全なパスワードを入れます -Verifying password - -New Password: <---- もう一回パスワードを入れます - -Principal's new key version = 1 -Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? -Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- ここは短くしてください -Attributes [ 0 ] ? -Edit O.K. -Principal name: <---- 何も入力しないと終了します - - 実際にトークンをもらって、 - ちゃんと働いているかどうか確認しましょう。 - - &prompt.root; kinit jane.root -MIT Project Athena (grunt.example.com) -Kerberos Initialization for "jane.root" -Password: - - ここで root ユーザの - .klogin - ファイルにユーザを追加する必要があります。 - - &prompt.root; cat /root/.klogin -jane.root@EXAMPLE.COM - - &man.su.1; してみましょう。 - - &prompt.user; su -Password: - - どのトークンを持っているか見てみましょう。 - - &prompt.root; klist -Ticket file: /tmp/tkt_root_245 -Principal: jane.root@EXAMPLE.COM - - Issued Expires Principal -May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM - - - - 他のコマンドの使用 - - ここまでの例では、jane という principal - を root とい - うインスタンス付きで作成しました。 - これはユーザと同じ名前をprincipalと しており、 - Kerberosのデフォルトの値です; - <username>.root - という形式の - <principal>.<instance>で、 - 必要なエントリが root のホームディレクトリの - .klogin ファイルにあれば、 - <username> が - root に - &man.su.1; できます。 - - &prompt.root; cat /root/.klogin -jane.root@EXAMPLE.COM - - 同様に、ユーザのホームディレクトリの - .kloginファイルに次の - ような行がある場合には - - &prompt.user; cat ~/.klogin -jane@EXAMPLE.COM -jack@EXAMPLE.COM - - jane または jack - という名前で (前述のkinit によって) - 認証されている EXAMPLE.COM - という管理領域のユーザ なら誰でも &man.rlogin.1; や - &man.rsh.1;, &man.rcp.1; 等によってこのシステム - (grunt) - のjaneのアカウントまたはファ - イルにアクセスできます。 - - たとえば、jane が他のシステムに - Kerberos を用いて login します。 - - &prompt.user; kinit -MIT Project Athena (grunt.example.com) -Password: -&prompt.user; rlogin grunt -Last login: Mon May 1 21:14:47 from grumble -Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 - The Regents of the University of California. All rights reserved. - -FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 - - 次の例では、jack - が同じマシンの jane - のアカウントに login します - (jane は - .klogin ファイルを前述のように設定しており、 - Kerberos では jack という principal - をインスタンスなしで設定してあります)。 - - &prompt.user; kinit -&prompt.user; rlogin grunt -l jane -MIT Project Athena (grunt.example.com) -Password: -Last login: Mon May 1 21:16:55 from grumble -Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 - The Regents of the University of California. All rights reserved. - -FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 - - - <application>Kerberos5</application> @@ -2285,18 +1751,6 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 - &os;-5.1 リリース以降のすべての &os; には、 - Kerberos5 のみが含まれています。 - Kerberos5 - はインストールされている唯一のバージョンであり、設定は、多くの側面で - KerberosIV と似ています。 - 以下の情報は、&os;-5.0 リリース以降の - Kerberos5 のみに適応が可能です。 - KerberosIV package - を使いたいと考えているユーザは、 - security/krb4 port - をインストールしてください。 - Kerberos は、 サーバのサービスによってユーザが安全に認証を受けられるようにするための、 ネットワークの付加システムおよびプロトコルです。 @@ -3183,7 +2637,7 @@ kadmind5_server_enable="YES" メールクライアントの暗号化された認証、 クレジットカードでの支払いといったウェブベースの取引などで使われます。 www/apache13-ssl および - mail/sylpheed-claws + mail/claws-mail といった多くの port では、 OpenSSL とともに構築するコンパイルに対応しています。 @@ -4354,7 +3808,7 @@ user@unfirewalled-system.example.org's password: スナップショットのようなファイルシステムの拡張と連携して、 - FreeBSD 5.0 以降ではファイルシステムアクセス制御リスト + FreeBSD ではファイルシステムアクセス制御リスト (ACL) によるセキュリティを提供しています。 アクセス制御リストは、標準的な &unix; のパーミッションモデルを、