KDC와 Kerberos 클라이언트 간의 클럭 동기화

Kerberos 인증 시스템에 참여하는 모든 호스트의 내부 클럭은 지정된 최대 시간 범위(클럭 불균형이라고 함) 내에서 동기화되어야 합니다. 이 요구 사항을 충족하면 다른 Kerberos 보안 점검이 제공됩니다. 참여 호스트 간에 클럭 불균형이 초과되면 클라이언트 요청이 거부됩니다.

또한 클럭 불균형은 재생된 요청을 인식 및 거부하기 위해 애플리케이션 서버가 모든 Kerberos 프로토콜 메시지를 추적해야 할 기간을 결정합니다. 따라서 클럭 불균형 값이 클수록 애플리케이션 서버가 수집해야 할 정보가 많아집니다.

최대 클럭 불균형의 기본값은 300초(5분)입니다. krb5.conf 파일의 libdefaults 섹션에서 이 기본값을 변경할 수 있습니다.

주 - 보안상 클럭 불균형을 300초 이상으로 늘리지 마십시오.

KDC와 Kerberos 클라이언트 간의 클럭은 동기화 상태로 유지되어야 하므로 동기화를 위해서는 NTP(Network Time Protocol) 소프트웨어를 사용해야 합니다. Oracle Solaris 소프트웨어에는 University of Delaware의 NTP 공용 도메인 소프트웨어가 포함되어 있습니다.

주 - 클럭 동기화의 다른 방법은 rdate 명령 및 cron 작업을 사용하는 것으로, 이 프로세스는 NTP를 사용하는 것보다 간단할 수 있습니다. 하지만 이 절에서는 NTP 사용을 집중적으로 다룹니다. 네트워크를 사용하여 클럭을 동기화할 경우 클럭 동기화 프로토콜이 자체적으로 보안되어야 합니다.

NTP를 통해 네트워크 환경에서 정확한 시간 또는 네트워크 클럭 동기화를 관리하거나 모두 관리할 수 있습니다. 기본적으로 NTP는 서버-클라이언트 구현입니다. 마스터 클럭으로 사용할 하나의 시스템(NTP 서버)을 선택합니다. 그런 다음 해당 클럭이 마스터 클럭과 동기화되도록 기타 모든 시스템(NTP 클라이언트)을 설정합니다.

클럭을 동기화하기 위해 NTP는 인터넷 표준 시간 서버와의 계약에 따라 UNIX 시스템 시간을 설정 및 유지 관리하는 xntpd 데몬을 사용합니다. 다음은 이 서버-클라이언트 NTP 구현의 예를 보여 줍니다.

그림 21-1 NTP를 사용하여 클럭 동기화

image:다이어그램에서는 xntpd 데몬을 실행 중인 NTP 클라이언트와 Kerberos 클라이언트에 대한 마스터 클럭으로 사용되는 중앙 NTP 서버를 보여 줍니다.

KDC 클라이언트와 Kerberos 클라이언트의 클럭이 동기화 상태로 유지되도록 하는 과정에서는 다음 단계가 구현됩니다.

네트워크에서 NTP 서버를 설정합니다. 이 서버는 마스터 KDC를 제외한 모든 시스템일 수 있습니다. NTP 서버 작업을 찾으려면 Oracle Solaris 관리: 네트워크 서비스의 NTP(Network Time Protocol) 관리(작업)를 참조하십시오.
네트워크에서 KDC 및 Kerberos 클라이언트를 구성하면 NTP 서버의 NTP 클라이언트가 되도록 설정됩니다. NTP 클라이언트 작업을 찾으려면 Oracle Solaris 관리: 네트워크 서비스의 NTP(Network Time Protocol) 관리(작업)를 참조하십시오.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어)