탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
Kerberos 서비스의 구성 요소는 여러 릴리스에 포함되어 왔습니다. 처음에는 Kerberos 서비스 및 Kerberos 서비스를 지원하기 위한 기본 운영 체제 변경 사항이 “Sun Enterprise Authentication Mechanism”(줄여서 SEAM)이라는 제품 이름으로 릴리스되었습니다. Oracle Solaris 소프트웨어에 포함되는 SEAM 제품의 구성 요소가 많아질수록 SEAM 릴리스의 컨텐츠는 줄었습니다. Oracle Solaris 10 릴리스부터는 SEAM 제품의 모든 구성 요소가 포함되어 더 이상 SEAM 제품이 필요하지 않게 되었습니다. SEAM 제품 이름은 기록상의 이유로 설명서에 포함되어 있습니다.
다음 표는 각 릴리스에 포함된 구성 요소에 대해 설명합니다. 각 제품 릴리스는 연대순으로 나열됩니다. 모든 구성 요소는 다음 절에 설명되어 있습니다.
표 19-1 Kerberos 릴리스 컨텐츠
|
Oracle Solaris 10 릴리스에 포함된 향상된 기능에 대한 자세한 내용은 Kerberos 구성 요소를 참조하십시오.
Kerberos V5 제품의 MIT 배포판과 마찬가지로, Oracle Solaris 릴리스의 Kerberos 서비스는 다음으로 구성됩니다.
KDC(키 배포 센터)
Kerberos 데이터베이스 관리 데몬 – kadmind.
Kerberos 티켓 처리 데몬 – krb5kdc.
데이터베이스 관리 프로그램 – kadmin(마스터 전용), kadmin.local 및 kdb5_util
데이터베이스 전파 소프트웨어 – kprop(슬레이브 전용) 및 kpropd.
자격 증명 관리를 위한 사용자 프로그램 – kinit, klist 및 kdestroy
Kerberos 암호를 변경하기 위한 사용자 프로그램 – kpasswd.
원격 응용 프로그램 – ftp, rcp, rlogin, rsh, ssh 및 telnet
원격 응용 프로그램 데몬 – ftpd, rlogind, rshd, sshd 및 telnetd
Keytab 관리 유틸리티 – ktutil
GSS-API(Generic Security Service Application Programming Interface) – 새 방식이 추가될 때마다 응용 프로그램을 재컴파일할 필요 없이 응용 프로그램에서 여러 개의 보안 방식을 사용할 수 있도록 해줍니다. GSS-API는 응용 프로그램을 여러 운영 체제에 이식 가능하게 해주는 표준 인터페이스를 사용합니다. 또한 응용 프로그램에 인증을 비롯한 무결성 및 프라이버시 보안 서비스가 포함되도록 해줍니다. ftp 및 ssh는 GSS-API를 사용합니다.
RPCSEC_GSS API(Application Programming Interface) – NFS 서비스가 Kerberos 인증을 사용할 수 있도록 해줍니다. RPCSEC_GSS는 사용 중인 방식과 관계없이 보안 서비스를 제공하는 보안 종류입니다. RPCSEC_GSS는 GSS-API 계층을 기반으로 합니다. 플러그 가능 GSS_API 기반 보안 방식은 RPCSEC_GSS를 사용하는 응용 프로그램에서 사용할 수 있습니다.
또한 Oracle Solaris 릴리스의 Kerberos 서비스에는 다음 항목도 포함됩니다.
Kerberos 관리 GUI 기반 도구(gkadmin) – 주체 및 주체 정책을 관리할 수 있도록 해줍니다. 이 Java 기술 기반의 GUI는 kadmin 명령 대신 사용됩니다.
PAM용 Kerberos V5 서비스 모듈 – Kerberos 서비스에 대해 인증, 계정 관리, 세션 관리 및 암호 관리를 제공합니다. 이 모듈을 사용하면 Kerberos 인증이 사용자에게 투명하게 수행될 수 있습니다.
커널 모듈 – NFS 서비스에서 사용하도록 Kerberos 서비스의 커널 기반 구현을 제공하므로 성능이 크게 향상됩니다.
이 절에서는 Oracle Solaris 11 릴리스에서 제공하는 변경 사항에 대해 설명합니다.
Kerberos 서비스는 MIT 1.8 릴리스와 동기화되었습니다. 포함된 기능은 다음과 같습니다.
취약한 암호화 유형인 arcfour-hmac-md5-exp, des-cbc-md5 및 des-cbc-crc는 기본적으로 허용되지 않습니다. 그러나 /etc/krb5/krb5.conf 파일의 allow_weak_crypto = true 선언을 추가하면 취약한 암호화 알고리즘을 사용할 수 있습니다.
/etc/krb5/krb5.conf 파일에서 permitted_enctypes 관계는 선택적 DEFAULT 키워드를 + 또는 – enctyp_family와 함께 사용하여 기본 집합에서 지정된 암호화 유형 제거를 추가할 수 있습니다.
대부분의 경우 클라이언트 측에서 domain_realm 매핑 테이블에 대한 필요를 제거할 수 있는데, 이를 위해서는 KDC에서 최소 참조 지원을 구현한 다음 해당 프로토콜을 통해 매핑 정보를 클라이언트에 제공하십시오. 서비스 주체 name service/canonical-fqdn@LOCAL.REALM에 대한 요청을 로컬 KDC로 보낸 다음 참조를 요청하면 클라이언트가 domain_realm 매핑 테이블 없이도 작동할 수 있습니다. 이 기능은 특정 이름 유형 또는 특정 형식을 사용하는 서비스 주체 이름으로 제한됩니다. KDC에서는 domain_realm 매핑 테이블만 사용할 수 있습니다. DNS에 대한 블록화 쿼리를 사용할 수 없습니다.
Kerberos 데이터베이스에 LDAP 백엔드를 사용 중인 경우 주체 항목에 대한 별칭을 만들 수 있습니다. 서비스에 다른 호스트 이름으로 액세스할 수 있는 경우 또는 DNS를 사용하여 트 이름을 정규화할 수 없는 경우 즉, 간략한 형식을 사용하는 경우에 주체 별칭 지원이 유용합니다. 서비스가 알려진 여러 주체 이름에 대한 별칭을 사용할 수 있으므로, keytab 파일에는 실제 서비스 주체에 대한 하나의 키 집합만 필요합니다.
kvno 유틸리티를 사용하여 /etc/krb5/krb5.keytab에 지정된 서비스 주체 키와 관련된 문제를 진단할 수 있습니다.
kadmin ktadd 명령은 -norandkey 옵션을 지원하여 kadmind 명령이 난수화된 새 키를 만들지 못하도록 합니다. -norandkey 옵션은 암호 파생 키가 있는 주체에 대한 keytab을 만들려는 경우에 유용합니다. 따라서 암호를 지정할 필요 없이 kinit 명령을 실행하는 데 사용할 수 있는 keytab을 만들 수 있습니다.
지정된 시간 제한 내에 사전 인증이 특정 횟수만큼 실패할 경우 주체가 잠길 수 있습니다. 자세한 내용은 계정 잠금 구성 방법을 참조하십시오.
OK_AS_DELEGATE 플래그는 위임된 자격 증명을 수락할 정도로 중간 서버를 신뢰하는지 여부와 관련하여 KDC가 로컬 영역 정책을 클라이언트로 전달할 수 있도록 해줍니다. 자세한 내용은 위임을 위해 서비스 신뢰를 참조하십시오.
Kerberos에 대한 통계 지점을 통계적으로 정의한 사용자 레벨 집합이 추가되었습니다. 이러한 검사는 Kerberos 프로토콜 메시지에 대한 논리적 뷰를 제공합니다. 예제를 보려면 Kerberos 서비스에서 DTrace 사용을 참조하십시오.
kclient 스크립트가 향상되었습니다. 이 스크립트에는 Microsoft Active Directory 서버 조인 기능이 포함됩니다. 지침은 대화식으로 Kerberos 클라이언트를 구성하는 방법 및 Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법을 참조하십시오. 또한 이 스크립트에는 클라이언트에 대한 KDC 서버를 식별하는 데 사용할 수 있는 -T 옵션이 포함됩니다. 이 스크립트에 대한 모든 옵션은 kclient(1M) 매뉴얼 페이지에 설명되어 있습니다.
/etc/krb5/kadm5.keytab 파일은 더 이상 필요하지 않습니다. 따라서 이제 이 파일에 저장된 키는 Kerberos 데이터베이스에서 직접 읽을 수 없습니다.
디렉토리 서버에서 LDAP을 사용하여 Kerberos 주체 및 정책 레코드에 액세스하기 위한 지원이 추가되었습니다. 이러한 변경은 관리를 간소화하고 KDC 및 디렉토리 서버의 배치에 따라 더 향상된 가용성을 제공합니다. LDAP 관련 절차 목록은 LDAP 디렉토리 서버에서 KDC 관리를 참조하십시오.
새 kdcmgr 명령은 KDC를 자동으로 또는 대화식으로 설정하는 데 사용됩니다. 이 명령으로 마스터 및 슬레이브 KDC 서버가 생성됩니다. 또한 kdcmgr 명령을 status 옵션과 함께 사용할 경우 로컬 호스트에 설치된 KDC에 대한 정보가 표시됩니다. 표 21-1에서 자동 및 대화식 절차에 대한 포인터를 참조하십시오.
추가 설정이 필요하지 않은 Oracle Solaris 클라이언트에 대한 지원이 이 릴리스에 추가되었습니다. Kerberos 서비스 및 일부 기본값이 변경되었습니다. Kerberos 클라이언트는 적절하게 구성된 환경에서 클라이언트 측 구성 없이 작동합니다. 자세한 내용은 클라이언트 구성 옵션을 참조하십시오.