Hadoop >

目次

事前に

tux.pngLinux

  1. もしMIT Kerberos5用のGSS-API機構ライブラリが未インストールであればインストールします。
    1. debian.pngDebian: またはメタパッケージのlibsasl2-modules-gssapi-mitでも構いません。
      $ sudo apt-get install libgssapi-krb5-2
    2. centos.pngCentOS
      $ sudo yum install cyrus-sasl-gssapi
  2. 使用する前にはkinitコマンドであらかじめTGTを取得(更新)しておきます。
    $ kinit
    Password for alice@GRID.EXAMPLE.COM:
    $ klist
    Ticket cache: FILE:/tmp/krb5cc_1500
    Default principal: alice@GRID.EXAMPLE.COM
    
    Valid starting     Expires            Service principal
    08/02/12 22:38:19  08/03/12 08:38:19  krbtgt/GRID.EXAMPLE.COM@GRID.EXAMPLE.COM
            renew until 08/03/12 22:38:15

apple.pngMac OS X

  • Mac OS XではそのままでKerberosアプリケーションが使用できます(設定は、Linuxと同様に /etc/krb5.conf で行うことも可能です)。kinitコマンドであらかじめTGTを取得(更新)しておきます。
    $ kinit
    Password for alice@GRID.EXAMPLE.COM:
    • info.pngGUIを用いることもできます。
      $ open /System/Library/CoreServices/Kerberos.app
      kerberos_macosx00.png
  • 他に、MacPorts?のkerberosパッケージを利用することもできます。利用方法は、Linuxと同様です。
    $ sudo port install kerberos

win.pngWindows

  1. MIT Kerberos for Windowsをインストールします。各コマンドについて環境変数PATHを通しておきます。
  2. コマンドプロンプトやPowerShell?からkinitコマンドであらかじめTGTを取得(更新)しておきます。
    > kinit
    Password for alice@GRID.EXAMPLE.COM:
    • info.pngGUIを用いることもできます。
      kerberos_win00.png

Firefox

  1. ロケーションバーに、about:config と入力し詳細設定ページを開きます。
  2. network.negotiate-auth でフィルタし、設定キー network.negotiate-auth.trusted-uris に文字通り信頼するURI(ホスト名、ドメインまたはより長いURIをカンマ区切りで)を入力します。その他はデフォルト設定でネイティブのGSS-API機構ライブラリが使用されます。info.pngもしネイティブライブラリがうまくロードできない場合には、network.negotiate-auth.gsslib にライブラリへのパス(例えば、tux.pngLinuxでは /usr/lib/libgssapi_krb5.so.2、apple.pngMac OS Xでは /usr/lib/libgssapi_krb5.dylib 等)を設定してください。
    1. tux.pngLinux
      firefox_spnego00.png
    2. apple.pngMac OS X
      firefox_macosx00.png
    3. win.pngWindows: デフォルトで network.auth.use-sspiture となっていますので、GSS-APIを使用する場合には false にします。その他は、他のプラットフォームと同様です。
      firefox_win00.png
      firefox_win01.png
  3. Firefoxを再起動し、設定を反映します。
  4. 目的のサイトにアクセスします。
    1. info.pngMac OS Xでは、TGT未取得の場合、以下のような認証ダイアログボックスが開きます。
      firefox_macosx01.png
    2. info.pngWindowsでは、TGT未取得の場合、以下のような認証ダイアログボックスが開きます。
      firefox_win02.png

ChromiumまたはGoogle Chrome

  1. コマンドラインオプションに認証サイトのホワイトリストを追加してChromiumを起動させます。ネイティブライブラリを明示する場合は、--gssapi-library-name オプションを使用します。
    1. tux.pngLinux
      $ chromium-browser --auth-server-whitelist="localhost,*.grid.example.com"
    2. apple.pngMac OS X: AppleScript?でオプションを指定します。
      1. do shell script ¬
      2. "/Applications/Google\\ Chrome.app/Contents/MacOS/Google\\ Chrome " ¬
      3. & "--gssapi-library-name=\"/usr/lib/libgssapi_krb5.dylib\"" ¬
      4. & "--auth-server-whitelist=\"localhost,*.gaea.test\" > /dev/null 2>&1 &"
    3. win.pngWindows: Windows版のChromeのSPNEGO対応は直接MicrosoftのSSPIライブラリを使って実装されており、MIT Kerberos for WindowsのGSS-APIはまだサポートされていませんので、ここでは割愛します。
  2. 目的のサイトにアクセスします。
    1. info.pngMac OS Xでは、TGT未取得の場合、以下のような認証ダイアログボックスが開きます。
      chrome_macosx00.png

リソース

  1. MIT Kerberos Distribution Page
  2. The Chromium Projects: HTTP authentication
    1. Issue 50065: Windows: Use GSSAPI for SPNEGO instead of SSPI
    2. Issue 50415: Allow selection of a custom GSSAPI library to handle Negotiate authentication
  3. Microsoft: ID およびアクセス管理 ‐ 基本概念

添付ファイル: filekerberos_win00.png 102件 [詳細] filefirefox_win02.png 103件 [詳細] filefirefox_win01.png 92件 [詳細] filefirefox_win00.png 106件 [詳細] filekerberos_macosx00.png 104件 [詳細] filefirefox_macosx01.png 114件 [詳細] filefirefox_macosx00.png 117件 [詳細] filechrome_macosx00.png 111件 [詳細] filefirefox_spnego00.png 102件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2013-05-14 (火) 19:22:43 (1833d)