Kerberos NFS 서버 구성

NFS 서비스는 UNIX 사용자 ID(UID)를 사용하여 사용자를 식별하며 GSS 자격 증명을 직접 사용할 수 없습니다. 자격 증명을 UID로 변환하려면 사용자 자격 증명을 UNIX UID에 매핑하는 자격 증명 테이블을 만들어야 할 수 있습니다. 기본 자격 증명 매핑에 대한 자세한 내용은 UNIX 자격 증명과 GSS 자격 증명 간 매핑을 참조하십시오. 이 절의 절차에서는 Kerberos NFS 서버 구성, 자격 증명 테이블 관리 및 NFS 마운트된 파일 시스템에 대한 Kerberos 보안 모드 시작에 필요한 작업을 중점적으로 다룹니다. 다음 작업 맵에서는 이 절에서 다루는 작업에 대해 설명합니다.

표 21-2 Kerberos NFS 서버 구성(작업 맵)

작업	설명	수행 방법
Kerberos NFS 서버를 구성합니다.	서버가 Kerberos 인증을 필요로 하는 파일 시스템을 공유할 수 있도록 합니다.	Kerberos NFS 서버 구성 방법
자격 증명 테이블을 만듭니다.	기본 매핑으로 충분하지 않을 경우 GSS 자격 증명과 UNIX 사용자 ID 간의 매핑을 제공하는 데 사용할 수 있는 자격 증명 테이블을 생성합니다.	자격 증명 테이블을 만드는 방법
사용자 자격 증명을 UNIX UID에 매핑하는 자격 증명 테이블을 변경합니다.	자격 증명 테이블에서 정보를 업데이트합니다.	자격 증명 테이블에 단일 항목 추가 방법
두 개의 유사 영역 간에 자격 증명 매핑을 만듭니다.	영역이 암호 파일을 공유하는 경우 영역 간에 UID를 매핑하는 방법에 대한 지침을 제공합니다.	영역 간 자격 증명 매핑 제공 방법
Kerberos 인증과 파일 시스템을 공유합니다.	Kerberos 인증이 필요하도록 보안 모드와 파일 시스템을 공유합니다.	Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법

Kerberos NFS 서버 구성 방법

이 절차에서는 다음 구성 매개변수가 사용됩니다.

영역 이름 = EXAMPLE.COM
DNS 도메인 이름 = example.com
NFS 서버 = denver.example.com
admin 주체 = kws/admin

시작하기 전에

NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

Kerberos NFS 서버 구성 필수 조건을 완료합니다.
마스터 KDC를 구성해야 합니다. 프로세스를 완전히 테스트하려면 여러 클라이언트가 필요합니다.
(옵션) NTP 클라이언트 또는 다른 클럭 동기화 방식을 설치합니다.
NTP(Network Time Protocol)를 설치하여 사용할 필요가 없습니다. 하지만 인증이 성공하려면 모든 클럭이 krb5.conf 파일에서 clockskew 관계에 정의된 최대 차이 범위 내에서 KDC 서버의 시간과 동기화되어야 합니다. NTP에 대한 자세한 내용은 KDC와 Kerberos 클라이언트 간의 클럭 동기화를 참조하십시오.
NFS 서버를 Kerberos 클라이언트로 구성합니다.
Kerberos 클라이언트 구성의 지침을 따릅니다.
kadmin을 시작합니다.
새 Kerberos 주체를 만드는 방법에 설명된 대로 그래픽 Kerberos 관리 도구를 사용하여 주체를 추가할 수 있습니다. 이 작업을 수행하려면 마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다. 하지만 다음 예에서는 명령줄을 사용하여 필요한 주체를 추가하는 방법을 보여 줍니다.
```
denver # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin: 
```
1. 서버의 NFS 서비스 주체를 만듭니다.
  주체 인스턴스가 호스트 이름인 경우 FQDN은 이름 서비스의 도메인 이름 대소문자에 관계없이 소문자로 지정되어야 합니다.
  시스템에서 NFS 데이터에 액세스하는 데 사용할 수 있는 각 고유 인터페이스에 대해 이 단계를 반복합니다. 호스트에 고유 이름이 있는 인터페이스가 여러 개인 경우 각 고유 이름에는 고유한 NFS 서비스 주체가 있어야 합니다.
```
kadmin: addprinc -randkey nfs/denver.example.com
Principal "nfs/denver.example.com" created.
kadmin:
```
2. 서버의 keytab 파일에 서버의 NFS 서비스 주체를 추가합니다.
  단계 a에서 만든 각 고유 서비스 주체에 대해 이 단계를 반복합니다.
```
kadmin: ktadd nfs/denver.example.com
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
```
3. kadmin을 종료합니다.
```
kadmin: quit
```
(옵션) 필요한 경우 특수한 GSS 자격 증명 맵을 만듭니다.
일반적으로 Kerberos 서비스는 GSS 자격 증명과 UNIX UID 간에 적절한 맵을 생성합니다. 기본 매핑은 UNIX 자격 증명과 GSS 자격 증명 간 매핑에서 설명됩니다. 기본 매핑으로 충분하지 않을 경우 자세한 내용은 자격 증명 테이블을 만드는 방법을 참조하십시오.
Kerberos 보안 모드와 NFS 파일 시스템을 공유합니다.
자세한 내용은 Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법을 참조하십시오.

자격 증명 테이블을 만드는 방법

gsscred 자격 증명 테이블은 NFS 서버가 Kerberos 자격 증명을 UID에 매핑하는 데 사용합니다. 기본적으로 주체 이름의 주요 부분이 UNIX 로그인 이름과 일치됩니다. Kerberos 인증을 사용하는 NFS 서버에서 파일 시스템을 마운트할 NFS 클라이언트의 경우 기본 매핑으로 충분하지 않으면 이 테이블을 만들어야 합니다.

시작하기 전에

NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

/etc/gss/gsscred.conf를 편집하고 보안 방식을 변경합니다.
방식을 files로 변경합니다.
gsscred 명령을 사용하여 자격 증명 테이블을 만듭니다.
```
# gsscred -m kerberos_v5 -a
```
gsscred 명령은 svc:/system/name-service/switch:default 서비스의 passwd 항목으로 나열되는 모든 소스에서 정보를 수집합니다. 로컬 암호 항목이 자격 증명 테이블에 포함되지 않도록 하려는 경우 일시적으로 files 항목을 제거해야 할 수도 있습니다. 자세한 내용은 gsscred(1M) 매뉴얼 페이지를 참조하십시오.

자격 증명 테이블에 단일 항목 추가 방법

시작하기 전에

이 절차를 수행하려면 gsscred 테이블이 NFS 서버에서 이미 만들어져 있어야 합니다. 지침은 자격 증명 테이블을 만드는 방법을 참조하십시오.

NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

gsscred 명령을 사용하여 자격 증명 테이블에 항목을 추가합니다.
```
# gsscred -m mech [ -n name [ -u uid ]] -a
```
mech

사용할 보안 방식을 정의합니다.

name

KDC에 정의된 대로 사용자에 대한 주체 이름을 정의합니다.

uid

암호 데이터베이스에 정의된 대로 사용자에 대한 UID를 정의합니다.

-a

주체 이름 매핑에 UID를 추가합니다.

예 21-3 자격 증명 테이블에 여러 구성 요소 주체 추가

다음 예에서는 UID 3736에 매핑된 이름이 sandy/admin인 주체에 대해 항목이 추가됩니다.

# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a

예 21-4 자격 증명 테이블에 다른 도메인의 주체 추가

다음 예에서는 UID 3736에 매핑된 이름이 sandy/admin@EXAMPLE.COM인 주체에 대해 항목이 추가됩니다.

# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a

영역 간 자격 증명 매핑 제공 방법

이 절차에서는 동일한 암호 파일을 사용하는 영역 간에 적절한 자격 증명 매핑을 제공합니다. 이 예에서는 CORP.EXAMPLE.COM 및 SALES.EXAMPLE.COM 영역에서 동일한 암호 파일을 사용합니다. bob@CORP.EXAMPLE.COM 및 bob@SALES.EXAMPLE.COM에 대한 자격 증명이 동일한 UID에 매핑됩니다.

시작하기 전에

클라이언트 시스템에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

클라이언트 시스템에서 krb5.conf 파일에 항목을 추가합니다.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

예 21-5 동일한 암호 파일을 사용하여 영역 간에 자격 증명 매핑

이 예에서는 동일한 암호 파일을 사용하는 영역 간에 적절한 자격 증명 매핑을 제공합니다. 이 예에서는 CORP.EXAMPLE.COM 및 SALES.EXAMPLE.COM 영역에서 동일한 암호 파일을 사용합니다. bob@CORP.EXAMPLE.COM 및 bob@SALES.EXAMPLE.COM에 대한 자격 증명이 동일한 UID에 매핑됩니다. 클라이언트 시스템에서 krb5.conf 파일에 항목을 추가합니다.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

일반 오류

자격 증명 매핑 문제 해결 프로세스에 대한 지원은 GSS 자격 증명에서 UNIX 자격 증명으로 매핑을 참조하십시오.

Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법

이 절차에서는 NFS 서버가 다른 보안 모드 또는 종류를 사용하여 보안 NFS 액세스를 제공할 수 있도록 합니다. 클라이언트가 NFS 서버와 보안 종류를 협상하는 경우 클라이언트가 액세스할 수 있는 서버에서 제공하는 첫번째 종류가 사용됩니다. 이 종류는 NFS 서버가 공유하는 파일 시스템의 모든 후속 클라이언트 요청에 사용됩니다.

시작하기 전에

NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.

keytab 파일에 NFS 서비스 주체가 있는지 확인합니다.
klist 명령은 keytab 파일이 있는지 여부를 보고하고 주체를 표시합니다. keytab 파일이 존재하지 않거나 NFS 서비스 주체가 존재하지 않는 것으로 결과가 표시되면 Kerberos NFS 서버 구성 방법에 나오는 모든 단계의 완료를 확인해야 합니다.
```
# klist -k
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- ---------------------------------------------------------
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
   3 nfs/denver.example.com@EXAMPLE.COM
```

/etc/nfssec.conf 파일에서 Kerberos 보안 모드를 사용으로 설정합니다.

/etc/nfssec.conf 파일을 편집하고 Kerberos 보안 모드 앞에 배치된 "#"을 제거합니다.

# cat /etc/nfssec.conf
 .
 .
#
# Uncomment the following lines to use Kerberos V5 with NFS
#
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

적절한 보안 모드와 파일 시스템을 공유합니다.
```
share -F nfs -o sec=mode file-system
```
mode

파일 시스템 공유 시 사용할 보안 모드를 지정합니다. 여러 보안 모드를 사용 중인 경우 목록의 첫번째 모드가 기본 모드로 사용됩니다.

file-system

공유할 파일 시스템에 대한 경로를 정의합니다.

명명된 파일 시스템의 파일에 액세스하려고 시도하는 모든 클라이언트에는 Kerberos 인증이 필요합니다. 파일에 액세스하려면 NFS 클라이언트의 사용자 주체가 인증되어야 합니다.
(옵션) 자동 마운트가 사용 중인 경우 기본 모드가 아닌 다른 보안 모드가 선택되도록 auto_master 데이터베이스를 편집합니다.
파일 시스템에 액세스하는 데 자동 마운트를 사용하고 있지 않거나 기본 보안 모드 선택을 그대로 적용할 수 있을 경우 이 절차를 따르지 않아도 됩니다.
```
file-system  auto_home  -nosuid,sec=mode
```
(옵션) 수동으로 mount 명령을 실행하여 기본 모드가 아닌 다른 모드를 통해 파일 시스템에 액세스합니다.
또는 mount 명령을 사용하여 보안 모드를 지정할 수도 있지만 이 대체 방법은 자동 마운트를 사용하지 않습니다.
```
# mount -F nfs -o sec=mode file-system
```

예 21-6 하나의 Kerberos 보안 모드와 파일 시스템 공유

이 예에서는 Kerberos 인증이 성공해야만 NFS 서비스를 통해 파일에 액세스할 수 있습니다.

# share -F nfs -o sec=krb5 /export/home

예 21-7 여러 Kerberos 보안 모드와 파일 시스템 공유

이 예에서는 세 개의 모든 Kerberos 보안 모드가 선택되었습니다. 사용되는 모드는 클라이언트와 NFS 서버 간에 협상됩니다. 명령의 첫번째 모드가 실패하면 다음 모드가 시도됩니다. 자세한 내용은 nfssec(5) 매뉴얼 페이지를 참조하십시오.

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어)