탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
FTP 실행 시 Kerberos를 통한 일반 보안 서비스 사용 방법
Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
비Kerberos 객체 클래스 유형에서 Kerberos 주체 속성을 함께 사용하는 방법
한 영역의 사용자가 다른 영역에서 인증될 수 있도록 여러 가지 방법으로 영역을 연결할 수 있습니다. 영역 간 인증을 수행하려면 두 영역 간에 공유되는 보안 키를 설정합니다. 영역의 관계는 계층 관계 또는 방향 관계일 수 있습니다(영역 계층 구조 참조).
이 절차의 예에서는 두 개의 영역(ENG.EAST.EXAMPLE.COM 및 EAST.EXAMPLE.COM)을 사용합니다. 영역 간 인증이 양방향에서 설정됩니다. 이 절차는 두 영역의 마스터 KDC에서 완료해야 합니다.
시작하기 전에
각 영역에 대한 마스터 KDC를 구성해야 합니다. 인증 프로세스를 완전히 테스트하려면 여러 Kerberos 클라이언트를 구성해야 합니다.
두 KDC 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다.
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM: <Type password> kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type password> kadmin: quit
주 - 각 서비스 주체에 대해 지정된 암호는 두 KDC에서 같아야 합니다. 따라서 서비스 주체 krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM에 대한 암호는 두 영역에서 동일해야 합니다.
# cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.example.com = ENG.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
이 예에서는 ENG.EAST.EXAMPLE.COM 및 EAST.EXAMPLE.COM 영역에 대한 도메인 이름이 정의됩니다. 파일은 하향식으로 검색되므로 하위 도메인을 먼저 포함시켜야 합니다.
영역 간 인증이 작동하려면 모든 시스템(슬레이브 KDC 및 기타 서버 포함)에 Kerberos 구성 파일(/etc/krb5/krb5.conf)의 새 버전이 설치되어야 합니다.
이 절차의 예에서는 두 개의 영역(ENG.EAST.EXAMPLE.COM 및 SALES.WEST.EXAMPLE.COM)을 사용합니다. 영역 간 인증이 양방향에서 설정됩니다. 이 절차는 두 영역의 마스터 KDC에서 완료해야 합니다.
시작하기 전에
각 영역에 대한 마스터 KDC를 구성해야 합니다. 인증 프로세스를 완전히 테스트하려면 여러 Kerberos 클라이언트를 구성해야 합니다.
두 KDC 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다.
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM: <Type the password> kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type the password> kadmin: quit
주 - 각 서비스 주체에 대해 지정된 암호는 두 KDC에서 같아야 합니다. 따라서 서비스 주체 krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM에 대한 암호는 두 영역에서 동일해야 합니다.
이 예에서는 ENG.EAST.EXAMPLE.COM 영역의 클라이언트를 보여 줍니다. SALES.WEST.EXAMPLE.COM 영역의 적절한 정의를 가져오려면 영역 이름을 교체해야 합니다.
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { ENG.EAST.EXAMPLE.COM = . }
영역 간 인증이 작동하려면 모든 시스템(슬레이브 KDC 및 기타 서버 포함)에 Kerberos 구성 파일(/etc/krb5/krb5.conf)의 새 버전이 설치되어야 합니다.