탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
이 절에서는 티켓 획득, 확인 및 삭제 방법에 대해 설명합니다. 티켓에 대한 개요는 Kerberos 서비스의 작동 방식을 참조하십시오.
설치된 모든 Oracle Solaris 릴리스에서 Kerberos는 login 명령에 내장됩니다. 하지만 티켓을 자동으로 가져오려면 적용 가능한 로그인 서비스에 대해 PAM 서비스를 구성해야 합니다. 자세한 내용은 pam_krb5(5) 매뉴얼 페이지를 참조하십시오. Kerberos화된 명령 rsh, rcp, telnet 및 rlogin은 보통 티켓의 복사본을 다른 시스템에 전달하도록 설정되어 있으므로, 티켓이 이러한 시스템에 액세스하도록 요청할 필요가 없습니다. 기본적으로 시스템에 자격 증명 전달이 구성되지 않으므로 사용자의 구성에 이 자동 전달이 포함되지 않을 수 있습니다. 티켓 전달에 대한 자세한 내용은 Kerberos화된 명령 개요 및 Kerberos 티켓 전달을 참조하십시오.
티켓 수명에 대한 자세한 내용은 티켓 수명을 참조하십시오.
일반적으로 PAM이 제대로 구성된 경우, 로그인하면 티켓이 자동으로 생성되므로 티켓을 획득하기 위해 특별한 작업을 수행하지 않아도 됩니다. 그러나 티켓이 만료된 경우에는 티켓을 만들어야 합니다. 또한 예를 들어 rlogin -l을 사용하여 시스템에 다른 사용자로 로그인하는 경우 기본 주체가 아닌 다른 주체를 사용해야 합니다.
티켓을 만들려면 kinit 명령을 사용하십시오.
% /usr/bin/kinit
kinit 명령은 암호를 입력하라는 메시지를 표시합니다. kinit 명령의 전체 구문은 kinit(1) 매뉴얼 페이지를 참조하십시오.
예 24-1 Kerberos 티켓 만들기
이 예는 사용자 jennifer가 자신의 시스템에 티켓을 만드는 명령을 보여줍니다.
% kinit Password for jennifer@ENG.EXAMPLE.COM: <Type password>
여기서 사용자 david는 -l 옵션을 사용하여 세 시간 동안 유효한 티켓을 만듭니다.
% kinit -l 3h david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
이 예는 사용자 david가 자신이 사용할 전달 가능 티켓(-f 옵션 사용)을 만드는 명령을 보여줍니다. 이 전달 가능 티켓을 사용하면 사용자가 두번째 시스템에 로그인한 다음 telnet을 통해 세번째 시스템에 로그인할 수 있습니다.
% kinit -f david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
전달 가능 티켓의 작동 방식에 대한 자세한 내용은 Kerberos 티켓 전달 및 티켓의 유형을 참조하십시오.
모든 티켓이 비슷한 것은 아닙니다. 예를 들면 어떤 티켓은 전달 가능 티켓이고, 다른 티켓은 후일자 티켓일 수 있습니다. 또 다른 티켓은 전송 가능 티켓인 동시에 후일자 티켓일 수 있습니다. klist 명령을 -f 옵션과 함께 사용하면 사용자가 보유한 티켓과 이러한 티켓의 속성을 확인할 수 있습니다.
% /usr/bin/klist -f
다음 기호는 klist에 의해 표시되는 각 티켓과 연관된 속성입니다.
사전 인증됨
후일자 가능
후일자
전달 가능
전달됨
초기
잘못됨
프록시 가능
프록시
갱신 가능
티켓의 유형에서는 티켓의 여러 가지 속성에 대해 설명합니다.
예 24-2 Kerberos 티켓 확인
이 예는 사용자 jennifer가 보유한 초기 티켓이 전송 가능(F)한 후일자(d) 티켓이지만, 아직 검증되지 않았음(i)을 보여줍니다.
% /usr/bin/klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: jennifer@EXAMPLE.COM Valid starting Expires Service principal 09 Mar 04 15:09:51 09 Mar 04 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 15:12:51, Flags: Fdi
다음 예는 사용자 david가 보유한 두 티켓이 다른 호스트에서 자신의 호스트로 전달되었음(f)을 보여줍니다. 이 티켓은 전달 가능(F) 티켓이기도 합니다.
% klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: david@EXAMPLE.COM Valid starting Expires Service principal 07 Mar 04 06:09:51 09 Mar 04 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 17:09:51, Flags: fF Valid starting Expires Service principal 08 Mar 04 08:09:51 09 Mar 04 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 15:22:51, Flags: fF
다음 예는 -e 옵션을 사용하여 세션 키 및 티켓의 암호화 유형을 표시하는 방법을 보여줍니다. -a 옵션은 이름 서비스가 변환을 수행할 수 있는 경우 호스트 주소를 호스트 이름에 매핑하는 데 사용됩니다.
% klist -fea Ticket cache: /tmp/krb5cc_74287 Default principal: david@EXAMPLE.COM Valid starting Expires Service principal 07 Mar 04 06:09:51 09 Mar 04 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 17:09:51, Flags: FRIA Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32 Addresses: client.example.com
현재 세션 중에 획득한 모든 Kerberos 티켓을 삭제하려면 kdestroy 명령을 사용하십시오. 이 명령은 자격 증명 캐시를 삭제하여 자격 증명과 티켓을 삭제합니다. 이 명령은 보통 필요하지 않지만 kdestroy를 실행하면 로그인하지 않은 동안 자격 증명 캐시가 손상될 가능성이 줄어듭니다.
티켓을 삭제하려면 kdestroy 명령을 사용하십시오.
% /usr/bin/kdestroy
kdestroy 명령은 티켓을 모두 삭제합니다. 티켓을 선택적으로 삭제할 수는 없습니다.
사용자가 자리를 비운 상태여서 침입자가 자신의 권한을 사용하는 것에 대해 우려되는 경우 kdestroy 또는 화면을 잠그는 화면 보호기를 사용해야 합니다.