탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
FTP 실행 시 Kerberos를 통한 일반 보안 서비스 사용 방법
Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
Kerberos 애플리케이션 서버 및 KDC 서버에서 보안 수준을 향상시키려면 다음 단계를 수행하십시오.
표 21-4 Kerberos 서버에서 보안 수준 향상(작업 맵)
|
이 절차에서는 Kerberos 인증 트랜잭션만 사용하도록 telnet, ftp, rcp, rsh 및 rlogin을 실행 중인 서버에 대한 네트워크 액세스를 제한합니다.
유효한 인증 정보를 제공할 수 있는 사용자로 액세스가 제한되도록 telnet에 대한 exec 등록 정보에 -a user 옵션을 추가합니다.
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
Kerberos 인증 연결만 허용되도록 ftp에 대한 exec 등록 정보에 -a 옵션을 추가합니다.
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
in.rshd 및 in.rlogind 데몬은 사용 안함으로 설정해야 합니다.
# svcadm disable network/shell # svcadm disable network/login:rlogin
마스터 KDC 서버와 슬레이브 KDC 서버에는 로컬에 저장된 KDC 데이터베이스의 복사본이 있습니다. 이러한 서버에 대한 액세스를 제한하여 데이터베이스 보안을 유지하는 것은 Kerberos 설치의 전반적인 보안을 위해 중요합니다.
보안 KDC 서버를 제공하려면 불필요한 모든 네트워크 서비스를 사용 안함으로 설정해야 합니다. 구성에 따라 해당 서비스 중 일부는 이미 사용 안함으로 설정되었을 수 있습니다. svcs 명령으로 서비스 상태를 확인합니다. 대부분의 경우 실행해야 할 유일한 서비스는 krb5kdc와 krdb5_kprop(KDC가 슬레이브인 경우)이거나 kadmin(KDC가 마스터인 경우)입니다. 또한 루프백 tli(ticlts, ticotsord 및 ticots)를 사용하는 서비스는 사용 상태로 유지할 수 있습니다.
# svcadm disable network/comsat # svcadm disable network/dtspc/tcp # svcadm disable network/finger # svcadm disable network/login:rlogin # svcadm disable network/rexec # svcadm disable network/shell # svcadm disable network/talk # svcadm disable network/tname # svcadm disable network/uucp # svcadm disable network/rpc_100068_2-5/rpc_udp
물리적 액세스를 제한하려면 KDC 서버 및 해당 모니터가 보안 설비에 있어야 합니다. 사용자는 어떤 방식으로도 이 서버에 액세스할 수 없어야 합니다.
테이프가 안전하게 저장된 경우에만 KDC의 테이프 백업을 수행합니다. keytab 파일의 복사본에 대해 동일한 단계를 수행합니다. 다른 시스템과 공유되지 않는 로컬 파일 시스템에 해당 파일을 저장하는 것이 좋습니다. 저장소 파일 시스템은 마스터 KDC 서버 또는 슬레이브 KDC에 있을 수 있습니다.
Kerberos 서비스는 새 자격 증명을 만들 때 사전 파일을 사용하여 사전에 있는 단어가 암호로 사용되지 못하도록 할 수 있습니다. 사전에 있는 용어를 암호로 사용하지 못하도록 하면 다른 사람이 암호를 쉽게 추측할 수 없습니다. 기본적으로 /var/krb5/kadm5.dict 파일이 사용되지만 비어 있습니다.
서비스에 사전 파일을 사용하도록 알릴 행을 추가해야 합니다. 이 예에서는 spell 유틸리티와 함께 포함된 사전이 사용됩니다. 구성 파일에 대한 자세한 설명은 kdc.conf(4) 매뉴얼 페이지를 참조하십시오.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 dict_file = /usr/share/lib/dict/words }
kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin