Kerberos 서버에서 보안 수준 향상

Kerberos 애플리케이션 서버 및 KDC 서버에서 보안 수준을 향상시키려면 다음 단계를 수행하십시오.

표 21-4 Kerberos 서버에서 보안 수준 향상(작업 맵)

KDC 서버에 대한 액세스 제한 방법

마스터 KDC 서버와 슬레이브 KDC 서버에는 로컬에 저장된 KDC 데이터베이스의 복사본이 있습니다. 이러한 서버에 대한 액세스를 제한하여 데이터베이스 보안을 유지하는 것은 Kerberos 설치의 전반적인 보안을 위해 중요합니다.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

1. KDC를 지원하는 하드웨어에 대한 액세스를 제한합니다.

   물리적 액세스를 제한하려면 KDC 서버 및 해당 모니터가 보안 설비에 있어야 합니다. 사용자는 어떤 방식으로도 이 서버에 액세스할 수 없어야 합니다.

2. 로컬 디스크 또는 KDC 슬레이브에서 KDC 데이터베이스 백업을 저장합니다.

   테이프가 안전하게 저장된 경우에만 KDC의 테이프 백업을 수행합니다. keytab 파일의 복사본에 대해 동일한 단계를 수행합니다. 다른 시스템과 공유되지 않는 로컬 파일 시스템에 해당 파일을 저장하는 것이 좋습니다. 저장소 파일 시스템은 마스터 KDC 서버 또는 슬레이브 KDC에 있을 수 있습니다.

사전 파일을 사용하여 암호 보안 수준을 향상시키는 방법

Kerberos 서비스는 새 자격 증명을 만들 때 사전 파일을 사용하여 사전에 있는 단어가 암호로 사용되지 못하도록 할 수 있습니다. 사전에 있는 용어를 암호로 사용하지 못하도록 하면 다른 사람이 암호를 쉽게 추측할 수 없습니다. 기본적으로 /var/krb5/kadm5.dict 파일이 사용되지만 비어 있습니다.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

1. KDC 구성 파일(kdc.conf)을 편집합니다.

   서비스에 사전 파일을 사용하도록 알릴 행을 추가해야 합니다. 이 예에서는 spell 유틸리티와 함께 포함된 사전이 사용됩니다. 구성 파일에 대한 자세한 설명은 kdc.conf(4) 매뉴얼 페이지를 참조하십시오.

   kdc1 # cat /etc/krb5/kdc.conf
   [kdcdefaults]
           kdc_ports = 88,750
   
   [realms]
           EXAMPLE.COM = {
                   profile = /etc/krb5/krb5.conf
                   database_name = /var/krb5/principal
                   acl_file = /etc/krb5/kadm5.acl
                   kadmind_port = 749
                   max_life = 8h 0m 0s
                   max_renewable_life = 7d 0h 0m 0s
                   sunw_dbprop_enable = true
                   sunw_dbprop_master_ulogsize = 1000
                   dict_file = /usr/share/lib/dict/words
                   }

2. Kerberos 데몬을 다시 시작합니다.

   kdc1 # svcadm restart -r network/security/krb5kdc
   kdc1 # svcadm restart -r network/security/kadmin