JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 관리: 보안 서비스     Oracle Solaris 11 Information Library (한국어)
Oracle 기술 네트워크
라이브러리
PDF
인쇄 보기
피드백
search filter icon
search icon

문서 정보

머리말

제1부보안 개요

1.  보안 서비스(개요)

제2부시스템, 파일 및 장치 보안

2.  시스템 보안 관리(개요)

3.  시스템에 대한 액세스 제어(작업)

4.  바이러스 검사 서비스(작업)

5.  장치에 대한 액세스 제어(작업)

6.  기본 감사 보고 도구 사용(작업)

7.  파일에 대한 액세스 제어(작업)

제3부역할, 권한 프로파일 및 권한

8.  역할 및 권한 사용(개요)

9.  역할 기반 액세스 제어 사용(작업)

10.  Oracle Solaris의 보안 속성(참조)

제4부암호화 서비스

11.  암호화 프레임워크(개요)

12.  암호화 프레임워크(작업)

13.  키 관리 프레임워크

제5부인증 서비스 및 보안 통신

14.  네트워크 서비스 인증(작업)

15.  PAM 사용

16.  SASL 사용

17.  Secure Shell 사용(작업)

18.  Secure Shell(참조)

제6부Kerberos 서비스

19.  Kerberos 서비스 소개

20.  Kerberos 서비스 계획

21.  Kerberos 서비스 구성(작업)

22.  Kerberos 오류 메시지 및 문제 해결

23.  Kerberos 주체 및 정책 관리(작업)

24.  Kerberos 응용 프로그램 사용(작업)

25.  Kerberos 서비스(참조)

Kerberos 파일

Kerberos 명령

Kerberos 데몬

Kerberos 용어

Kerberos 관련 용어

인증 관련 용어

티켓의 유형

티켓 수명

Kerberos 주체 이름

Kerberos 인증 시스템의 작동 방식

Kerberos 서비스가 DNS 및 nsswitch 서비스와 상호 작용하는 방식

Kerberos를 사용하여 서비스에 대한 액세스 권한 얻기

TGS(티켓 부여 서비스)에 대한 자격 증명 얻기

서버에 대한 자격 증명 얻기

특정 서비스에 대한 액세스 권한 얻기

Kerberos 암호화 유형 사용

gsscred 테이블 사용

Oracle Solaris Kerberos 및 MIT Kerberos 간의 주요 차이점

제7부Oracle Solaris에서 감사

26.  감사(개요)

27.  감사 계획

28.  감사 관리(작업)

29.  감사(참조)

용어집

색인

Kerberos를 사용하여 서비스에 대한 액세스 권한 얻기

특정 서버에서 특정 서비스에 액세스하려면 사용자가 두 개의 자격 증명을 얻어야 합니다. 첫번째 자격 증명은 TGT(티켓 부여 티켓)에 대한 자격 증명입니다. TGS(티켓 부여 서비스)가 이 자격 증명을 해독하면 사용자가 액세스를 요청하는 서버에 대해 또 다른 자격 증명이 생성됩니다. 그러면 이 두번째 자격 증명을 사용하여 서버의 서비스에 대한 액세스를 요청할 수 있습니다. 서버가 두번째 자격 증명을 성공적으로 해독하면 사용자에게 액세스 권한이 부여됩니다. 다음 절에서 이 프로세스에 대해 더 자세히 설명합니다.

TGS(티켓 부여 서비스)에 대한 자격 증명 얻기

  1. 클라이언트가 특정 사용자 주체에 대한 인증 서버로 요청을 보내 인증 프로세스를 시작합니다. 이 요청은 암호화 없이 전송됩니다. 요청에는 보안 정보가 포함되어 있지 않으므로 암호화를 사용할 필요가 없습니다.

  2. 인증 서비스에서 요청을 받으면 사용자의 주체 이름을 KDC 데이터베이스에서 조회합니다. 주체가 데이터베이스의 항목과 일치할 경우 인증 서비스가 해당 주체에 대한 개인 키를 얻습니다. 그런 다음 클라이언트 및 TGS(티켓 부여 서비스)에서 사용할 세션 키(세션 키 1) 및 TGS(티켓 부여 서비스)에 대한 티켓(티켓 1)을 생성합니다. 이 티켓을 TGT(티켓 부여 티켓)라고도 합니다. 세션 키와 티켓은 사용자의 개인 키를 사용하여 암호화되며, 정보가 다시 클라이언트로 전송됩니다.

  3. 클라이언트가 이 정보를 사용하여 세션 키 1 및 티켓 1을 해독합니다. 사용자 주체의 경우 개인 키를 사용합니다. 개인 키는 해당 사용자 및 KDC 데이터베이스만 알고 있어야 하므로 패킷 내의 정보가 안전해야 합니다. 클라이언트에서는 자격 증명 캐시에 정보를 저장합니다.

이 프로세스 중 일반적으로 사용자에게 암호를 입력하라는 메시지가 표시됩니다. 사용자가 지정한 암호와 KDC 데이터베이스에 저장된 개인 키를 작성하는 데 사용된 암호가 같을 경우, 클라이언트에서는 인증 서비스가 보낸 정보를 성공적으로 해독할 수 있습니다. 이제 TGS(티켓 부여 서비스)에 사용할 자격 증명이 클라이언트에 생겨 클라이언트가 서버에 대한 자격 증명을 요청할 수 있습니다.

그림 25-2 TGS(티켓 부여 서비스)에 대한 자격 증명 얻기

image:이 흐름도는 클라이언트가 서버 액세스를 위한 자격 증명을 KDC로부터 요청한 다음 암호를 사용하여 반환된 자격 증명을 해독하는 프로세스를 보여줍니다.

서버에 대한 자격 증명 얻기

  1. 특정 서버에 대한 액세스를 요청하려면 먼저 클라이언트가 해당 서버에 대한 자격 증명을 인증 서비스로부터 얻어야 합니다. TGS(티켓 부여 서비스)에 대한 자격 증명 얻기를 참조하십시오. 그런 다음 요청을 TGS(티켓 부여 서비스)로 보냅니다. 이 서비스에는 서비스 주체 이름(티켓 1)과 세션 키 1로 암호화된 인증자가 포함되어 있습니다. 티켓 1은 원래 TGS(티켓 부여 서비스)의 서비스 키를 사용하여 인증 서비스에 의해 암호화되었습니다.

  2. TGS(티켓 부여 서비스)의 서비스 키는 TGS(티켓 부여 서비스)에서 알고 있기 때문에 티켓 1을 해독할 수 있습니다. 티켓 1의 정보에는 세션 키 1이 포함되어 있으므로, TGS(티켓 부여 서비스)는 인증자를 해독할 수 있습니다. 이때 사용자 주체는 TGS(티켓 부여 서비스)를 사용하여 인증됩니다.

  3. 성공적으로 인증되면 TGS(티켓 부여 서비스)가 사용자 주체 및 서버에 대한 세션 키(세션 키 2) 및 서버에 대한 티켓(티켓 2)을 생성합니다. 그런 다음 세션 키 2와 티켓 2가 세션 키 1을 사용하여 암호화됩니다. 세션 키 1은 클라이언트 및 TGS(티켓 부여 서비스)만 알고 있기 때문에 이 정보는 안전하며 네트워크를 통해 안전하게 전송할 수 있습니다.

  4. 클라이언트가 이 정보 패킷을 받으면 세션 키 1을 사용하여 정보를 해독합니다. 세션 키 1은 자격 증명 캐시에 저장되어 있습니다. 클라이언트가 서버에서 사용할 자격 증명을 얻었습니다. 이제 클라이언트가 해당 서버의 특정 서비스에 대한 액세스를 요청할 수 있습니다.

그림 25-3 서버에 대한 자격 증명 얻기

image:이 흐름도는 클라이언트가 세션 키 1로 암호화된 요청을 KDC로 보낸 다음 반환된 자격 증명을 동일한 키로 해독하는 프로세스를 보여줍니다.

특정 서비스에 대한 액세스 권한 얻기

  1. 특정 서비스에 대한 액세스를 요청하려면 먼저 클라이언트가 TGS(티켓 부여 서비스)에 대한 자격 증명을 인증 서버로부터 얻고 서버 자격 증명을 TGS(티켓 부여 서비스)로부터 얻어야 합니다. TGS(티켓 부여 서비스)에 대한 자격 증명 얻기서버에 대한 자격 증명 얻기를 참조하십시오. 그러면 티켓 2 및 다른 인증자를 포함하는 서버로 요청을 보낼 수 있습니다. 인증자는 세션 키 2를 사용하여 암호화됩니다.

  2. 티켓 2는 TGS(티켓 부여 서비스)의 서비스 키를 사용하여 TGS(티켓 부여 서비스)에 의해 암호화되었습니다. 서비스 키는 서비스 주체만 알고 있으므로 서비스가 티켓 2를 해독하고 세션 키 2를 가져올 수 있습니다. 그런 다음 세션 키 2를 사용하여 인증자를 해독할 수 있습니다. 인증자를 성공적으로 해독하면 서비스에 대한 액세스 권한이 클라이언트에 부여됩니다.

그림 25-4 특정 서비스에 대한 액세스 권한 얻기

image:이 흐름도는 세션 키 2로 암호화된 인증자와 티켓 2를 사용하여 서버에 대한 액세스 권한을 얻는 프로세스를 보여줍니다.
Copyright © 2002, 2012, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전 다음