JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 관리: 보안 서비스     Oracle Solaris 11 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부보안 개요

1.  보안 서비스(개요)

제2부시스템, 파일 및 장치 보안

2.  시스템 보안 관리(개요)

3.  시스템에 대한 액세스 제어(작업)

4.  바이러스 검사 서비스(작업)

5.  장치에 대한 액세스 제어(작업)

6.  기본 감사 보고 도구 사용(작업)

7.  파일에 대한 액세스 제어(작업)

제3부역할, 권한 프로파일 및 권한

8.  역할 및 권한 사용(개요)

9.  역할 기반 액세스 제어 사용(작업)

10.  Oracle Solaris의 보안 속성(참조)

제4부암호화 서비스

11.  암호화 프레임워크(개요)

12.  암호화 프레임워크(작업)

13.  키 관리 프레임워크

제5부인증 서비스 및 보안 통신

14.  네트워크 서비스 인증(작업)

15.  PAM 사용

16.  SASL 사용

17.  Secure Shell 사용(작업)

18.  Secure Shell(참조)

제6부Kerberos 서비스

19.  Kerberos 서비스 소개

20.  Kerberos 서비스 계획

21.  Kerberos 서비스 구성(작업)

22.  Kerberos 오류 메시지 및 문제 해결

23.  Kerberos 주체 및 정책 관리(작업)

24.  Kerberos 응용 프로그램 사용(작업)

25.  Kerberos 서비스(참조)

Kerberos 파일

Kerberos 명령

Kerberos 데몬

Kerberos 용어

Kerberos 관련 용어

인증 관련 용어

티켓의 유형

티켓 수명

Kerberos 주체 이름

Kerberos 인증 시스템의 작동 방식

Kerberos 서비스가 DNS 및 nsswitch 서비스와 상호 작용하는 방식

Kerberos를 사용하여 서비스에 대한 액세스 권한 얻기

TGS(티켓 부여 서비스)에 대한 자격 증명 얻기

서버에 대한 자격 증명 얻기

특정 서비스에 대한 액세스 권한 얻기

Kerberos 암호화 유형 사용

gsscred 테이블 사용

Oracle Solaris Kerberos 및 MIT Kerberos 간의 주요 차이점

제7부Oracle Solaris에서 감사

26.  감사(개요)

27.  감사 계획

28.  감사 관리(작업)

29.  감사(참조)

용어집

색인

Kerberos 용어

다음 절에서는 Kerberos 용어와 해당 용어에 대한 설명을 제공합니다. 이러한 용어는 Kerberos 설명서 전체에서 사용됩니다. Kerberos 개념을 파악하려면 이러한 용어를 숙지해야 합니다.

Kerberos 관련 용어

KDC를 관리하기 위해서는 이 절의 용어를 잘 알고 있어야 합니다.

키 배포 센터 또는 KDC는 자격 증명 발행을 담당하는 Kerberos 구성 요소입니다. 이러한 자격 증명은 KDC 데이터베이스에 저장된 정보를 사용하여 생성됩니다. 각 영역에는 최소 두 개의 KDC 즉, 한 개의 마스터와 최소 한 개의 슬레이브가 필요합니다. 모든 KDC에서 자격 증명을 생성하지만, 마스터 KDC만 KDC 데이터베이스에 대한 변경 사항을 처리합니다.

stash 파일에는 KDC에 대한 마스터 키가 포함되어 있습니다. 이 키는 kadmindkrb5kdc 명령을 시작하기 전에 자동으로 KDC를 인증하기 위해 서버가 재부트될 때 사용됩니다. 이 파일에는 마스터 키가 포함되어 있기 때문에 파일 및 파일 백업이 보안 상태로 보존되어야 합니다. 이 파일은 root에 대한 읽기 전용 권한으로 생성됩니다. 파일을 보안 상태로 보존하려면 권한을 변경하지 마십시오. 파일이 손상되면 이 키를 사용하여 KDC 데이터베이스를 액세스하거나 수정할 수 있습니다.

인증 관련 용어

인증 프로세스를 이해하기 위해서는 이 절의 용어를 알고 있어야 합니다. 프로그래머와 시스템 관리자는 이러한 용어에 익숙해야 합니다.

클라이언트는 사용자의 워크스테이션에서 실행되는 소프트웨어입니다. 클라이언트에서 실행되는 Kerberos 소프트웨어는 이 프로세스 중 많은 요청을 생성합니다. 따라서 이 소프트웨어의 작업과 사용자의 작업을 구분하는 것이 중요합니다.

서버서비스라는 용어는 대개 서로 바꿔서 사용됩니다. 명확히 하자면, 서버라는 용어는 Kerberos 소프트웨어가 실행 중인 물리적 시스템을 정의하는 데 사용됩니다. 서비스는 서버에서 지원되는 특정 기능(예: ftp 또는 nfs)에 해당합니다. 설명서에서는 서버를 서비스의 일부로 설명하는 경우가 많은데, 이는 이러한 용어의 의미를 흐리게 합니다. 따라서 서버는 물리적 시스템을 나타내고, 서비스라는 용어는 소프트웨어를 나타냅니다.

Kerberos 제품은 두 가지 유형의 키를 사용합니다. 한 유형의 키는 암호에서 파생된 키입니다. 암호에서 파생된 키는 각 사용자 주체에게 제공되며 해당 사용자와 KDC만 알 수 있습니다. Kerberos 제품에서 사용하는 다른 유형의 키는 암호와 관련이 없는 임의 키입니다. 따라서 사용자 주체가 사용하기에 적합하지 않습니다. 임의 키는 보통 KDC에서 생성하는 Keytab 및 세션 키에 항목이 있는 서비스 주체에 사용됩니다. 서비스는 개별적으로 실행될 수 있도록 해주는 Keytab의 키에 액세스할 수 있으므로 서비스 주체는 임의 키를 사용할 수 있습니다. 세션 키는 KDC에서 생성되고 클라이언트와 서버 간에 공유되어 클라이언트와 서비스 간에 보안 트랜잭션을 제공합니다.

티켓은 사용자 ID를 서버나 서비스로 안전하게 전달하는 데 사용되는 정보 패킷으로, 티켓은 단일 클라이언트에만, 그리고 특정 서버의 특정 서비스에만 유효합니다. 티켓은 다음으로 구성됩니다.

이러한 데이터는 모두 서버의 서비스 키로 암호화됩니다. KDC에서는 아래에 설명된 자격 증명에 포함되어 있는 티켓을 발행합니다. 티켓은 발행된 후 만료될 때까지 재사용할 수 있습니다.

자격 증명은 티켓 및 일치하는 세션 키를 포함하는 정보 패킷으로, 요청 주체의 키로 암호화됩니다. 일반적으로 KDC에서는 클라이언트에서 보내는 티켓 요청에 대한 응답으로 자격 증명을 생성합니다.

인증자는 서버에서 클라이언트 사용자 주체를 인증하기 위해 사용하는 정보로, 사용자의 주체 이름, 시간 기록 및 기타 데이터를 포함합니다. 티켓과 달리, 인증자는 보통 서비스에 대한 액세스가 요청될 때 한 번만 사용할 수 있습니다. 인증자는 클라이언트와 서버가 공유하는 세션 키를 사용하여 암호화됩니다. 일반적으로 클라이언트는 인증자를 만들어 서버 또는 서비스의 티켓과 함께 전송하여 서버 또는 서비스에서 인증됩니다.

티켓의 유형

티켓에는 티켓의 사용 방식을 제어하는 등록 정보가 있습니다. 이러한 등록 정보는 티켓을 만들 때 지정되지만, 나중에 사용자가 티켓의 등록 정보를 수정할 수도 있습니다. 예를 들어 티켓은 forwardable에서 forwarded로 변경될 수 있습니다. 티켓 등록 정보는 klist 명령으로 확인할 수 있습니다. Kerberos 티켓 확인을 참조하십시오.

티켓은 다음 용어 중 하나 이상으로 설명할 수 있습니다.

전달 가능/전달됨

전달 가능 티켓은 한 호스트에서 다른 호스트로 전송될 수 있으므로, 클라이언트 재인증이 필요하지 않습니다. 예를 들어 사용자 david가 사용자 jennifer의 시스템에서 전달 가능 티켓을 얻은 경우, 새 티켓 없이도 자신의 시스템에 로그인할 수 있으므로 다시 인증할 필요가 없습니다. 전달 가능 티켓에 대한 예는 예 24-1을 참조하십시오.

초기

초기 티켓이란 TGT(티켓 부여 티켓)를 기반으로 하지 않고 직접 발행되는 티켓입니다. 암호가 달라지는 응용 프로그램과 같은 일부 서비스의 경우 티켓을 초기로 표시해야 클라이언트에 보안 키가 있음을 입증할 수 있습니다. 초기 티켓은 클라이언트가 TGT(티켓 부여 티켓)에 의존하지 않고 최근에 인증되었음을 나타내며, 오랫동안 지속되었을 수 있습니다.

잘못됨

잘못된 티켓은 아직 사용 가능하지 않은 후일자 티켓으로, 검증될 때까지 애플리케이션 서버에서 거부됩니다. 티켓을 검증하려면 티켓 시작 시간이 경과한 후 클라이언트가 TGS(티켓 부여 서비스) 요청에서 VALIDATE 플래그를 설정하여 티켓을 KDC에 제공해야 합니다.

후일자 가능/후일자

후일자 티켓이란 생성 후 지정된 시간이 경과해야 유효해지는 티켓입니다. 예를 들어 티켓이 도난 당하더라도 일괄 처리 작업이 실행될 때까지는 사용할 수 없으므로, 이러한 티켓은 나중에 야간에 실행하려는 일괄 처리 작업에 유용합니다. 후일자 티켓은 발행된 후 시작 시간이 경과할 때까지 유효하지 않은 상태로 유지되며, 클라이언트에서는 KDC의 검증을 요청합니다. 후일자 티켓은 보통 TGT(티켓 부여 티켓)의 만료 시간까지 유효합니다. 그러나 티켓이 갱신 가능한 것으로 표시된 경우 티켓의 수명은 TGT(티켓 부여 티켓)의 전체 수명 지속 기간과 동일하게 설정됩니다.

프록시 가능/프록시

때때로 서비스가 주체를 대신해 작업을 수행해야 하는 경우가 있습니다. 티켓을 만들 때 프록시의 주체 이름을 지정해야 합니다. Oracle Solaris 릴리스에서는 프록시 가능 또는 프록시 티켓을 지원하지 않습니다.

프록시 가능 티켓은 전달 가능 티켓과 비슷하지만, 단일 서비스에 대해서만 유효한 반면 전달 가능 티켓은 서비스에 클라이언트 ID의 완전한 사용 권한을 부여합니다. 따라서 전달 가능 티켓은 일종의 수퍼 프록시로 간주될 수 있습니다.

갱신 가능

티켓을 매우 오랫동안 사용하는 것은 보안상 위험하므로 티켓을 갱신 가능하도록 지정할 수 있습니다. 갱신 가능 티켓에는 두 개의 만료 시기가 있습니다. 즉, 티켓의 현재 인스턴스가 만료되는 시기와 티켓의 최대 수명(1주)입니다. 클라이언트에서 계속 티켓을 사용하려는 경우 첫번째 만료가 발생하기 전에 티켓을 갱신합니다. 예를 들어 모든 티켓의 최대 수명이 10시간일 경우 한 티켓은 한 시간 동안 유효할 수 있습니다. 티켓을 보유하고 있는 클라이언트가 티켓을 한 시간 이상 보존하려는 경우에는 해당 시간 내에 티켓을 갱신해야 합니다. 티켓이 최대 티켓 수명(10시간)에 도달하면 자동으로 만료되므로 갱신할 수 없습니다.

티켓 속성을 확인하는 방법은 Kerberos 티켓 확인을 참조하십시오.

티켓 수명

주체가 TGT(티켓 부여 티켓)를 포함한 티켓을 얻으면 티켓의 수명은 다음 수명 값 중 가장 작은 값으로 설정됩니다.

그림 25-1은 TGT의 수명이 결정되는 방식과 네 가지 수명 값이 비롯되는 위치를 보여줍니다. 이 그림은 TGT의 수명이 결정되는 방식을 보여주지만, 기본적으로 주체가 티켓을 얻을 때 발생하는 방식과 동일합니다. 단, kinit가 수명 값을 제공하지 않고, 티켓을 제공하는 서비스 주체가 (krbtgt/realm 주체 대신) 최대 수명 값을 제공한다는 점만 다릅니다.

그림 25-1 TGT의 수명이 결정되는 방식

image:이 그림은 kinit 명령, 사용자 주체, 사이트 기본값 및 티켓 부여자가 허용하는 가장 값은 값이 티켓 수명임을 보여줍니다.

갱신 가능 티켓의 수명도 네 값 중 가장 작은 값에서 결정되지만, 다음과 같이 갱신 가능한 수명 값이 대신 사용됩니다.

Kerberos 주체 이름

각 티켓은 주체 이름으로 식별됩니다. 주체 이름으로 사용자나 서비스를 식별할 수 있습니다. 다음은 몇 가지 주체 이름에 대한 예제입니다.

표 25-4 Kerberos 주체 이름 예제

주체 이름
설명
changepw/kdc1.example.com@EXAMPLE.COM
암호를 변경할 때 KDC에 액세스할 수 있도록 해주는 마스터 KDC 서버에 대한 주체입니다.
clntconfig/admin@EXAMPLE.COM
kclient 설치 유틸리티에서 사용하는 주체입니다.
ftp/boston.example.com@EXAMPLE.COM
ftp 서비스에서 사용하는 주체입니다. 이 주체는 host 주체 대신 사용할 수 있습니다.
host/boston.example.com@EXAMPLE.COM
Kerberos화된 응용 프로그램(예: klistkprop) 및 서비스(예: ftptelnet)에서 사용하는 주체입니다. 이 주체를 host 또는 서비스 주체라고 합니다. 이 주체는 NFS 마운트를 인증하는 데 사용되며, 클라이언트에 발행된 TGT가 올바른 KDC에서 제공되는지 클라이언트에서 확인하는 데도 사용됩니다.
K/M@EXAMPLE.COM
마스터 키 이름 주체입니다. 마스터 KDC별로 하나의 마스터 키 이름이 연관됩니다.
kadmin/history@EXAMPLE.COM
다른 주체에 대한 암호 사용 기록을 보존하는 데 사용되는 키를 포함하는 주체입니다. 하나의 마스터 KDC에는 이러한 주체 중 하나가 포함되어 있습니다.
kadmin/kdc1.example.com@EXAMPLE.COM
kadmind 명령을 사용하여 KDC에 액세스할 수 있도록 해주는 마스터 KDC 서버에 대한 주체입니다.
kadmin/changepw.example.com@EXAMPLE.COM
Oracle Solaris 릴리스에서 실행 중이지 않은 클라이언트의 암호 변경 요청을 수락하는 데 사용되는 주체입니다.
krbtgt/EXAMPLE.COM@EXAMPLE.COM
이 주체는 TGT(티켓 부여 티켓)를 생성할 때 사용됩니다.
krbtgt/EAST.EXAMPLE.COM@WEST.EXAMPLE.COM
이 주체는 영역 간 TGT(티켓 부여 티켓)의 한 예입니다.
nfs/boston.example.com@EXAMPLE.COM
NFS 서비스에서 사용하는 주체입니다. 이 주체는 host 주체 대신 사용할 수 있습니다.
root/boston.example.com@EXAMPLE.COM
클라이언트의 root 계정과 연관된 주체입니다. 이 주체는 root 주체라고 하며 NFS 마운트 파일 시스템에 대한 root 액세스 권한을 제공합니다.
username@EXAMPLE.COM
사용자 주체입니다.
username/admin@EXAMPLE.COM
KDC 데이터베이스를 관리하는 데 사용할 수 있는 admin 주체입니다.