JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 11.1 관리: 보안 서비스     Oracle Solaris 11.1 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부보안 개요

1.  보안 서비스(개요)

제2부시스템, 파일 및 장치 보안

2.  시스템 보안 관리(개요)

3.  시스템에 대한 액세스 제어(작업)

4.  바이러스 검사 서비스(작업)

5.  장치에 대한 액세스 제어(작업)

6.  BART를 사용하여 파일 무결성 확인(작업)

7.  파일에 대한 액세스 제어(작업)

제3부역할, 권한 프로파일 및 권한

8.  역할 및 권한 사용(개요)

9.  역할 기반 액세스 제어 사용(작업)

10.  Oracle Solaris의 보안 속성(참조)

제4부암호화 서비스

11.  암호화 프레임워크(개요)

12.  암호화 프레임워크(작업)

13.  키 관리 프레임워크

제5부인증 서비스 및 보안 통신

14.  플러그 가능한 인증 모듈 사용

15.  Secure Shell 사용

16.  Secure Shell(참조)

17.  단순 인증 및 보안 계층 사용

18.  네트워크 서비스 인증(작업)

제6부Kerberos 서비스

19.  Kerberos 서비스 소개

20.  Kerberos 서비스 계획

21.  Kerberos 서비스 구성(작업)

22.  Kerberos 오류 메시지 및 문제 해결

23.  Kerberos 주체 및 정책 관리(작업)

24.  Kerberos 응용 프로그램 사용(작업)

Kerberos 티켓 관리

티켓의 이점

Kerberos 티켓 만들기

Kerberos 티켓 확인

Kerberos 티켓 삭제

Kerberos 암호 관리

암호 선택에 대한 권장 사항

암호 변경

계정에 대한 액세스 권한 부여

Kerberos 사용자 명령

Kerberos화된 명령 개요

Kerberos 티켓 전달

Kerberos화된 명령 사용(예제)

25.  Kerberos 서비스(참조)

제7부Oracle Solaris에서 감사

26.  감사(개요)

27.  감사 계획

28.  감사 관리(작업)

29.  감사(참조)

용어집

색인

Kerberos 사용자 명령

Kerberos V5 제품은 단일 사인 온(SSO) 시스템이므로, 자신의 암호를 한 번만 입력하면 됩니다. Kerberos는 잘 알려진 기존 네트워크 프로그램의 각 제품군에 내장되어 있기 때문에 Kerberos V5 프로그램이 인증(및 선택적 암호화)을 수행합니다. Kerberos V5 응용 프로그램은 Kerberos 기능이 추가된 기존 UNIX 네트워크 프로그램의 버전입니다.

예를 들어 Kerberos화된 프로그램을 사용하여 원격 호스트에 연결할 경우, 프로그램, KDC 및 원격 호스트는 일련의 신속한 협상을 수행합니다. 이러한 협상이 완료되면 프로그램은 사용자를 대신해 원격 호스트에 대해 사용자의 ID를 검증하고, 원격 호스트는 사용자에게 액세스 권한을 부여합니다.

Kerberos화된 명령은 가장 먼저 Kerberos를 사용하여 인증을 시도합니다. Kerberos 인증이 실패하면 해당 명령과 함께 사용된 옵션에 따라 오류가 발생하거나 UNIX 인증이 시도됩니다. 자세한 내용은 각 Kerberos 명령 매뉴얼 페이지의 Kerberos Security 절을 참조하십시오.

Kerberos화된 명령 개요

Kerberos화된 네트워크 서비스는 인터넷을 통해 다른 시스템에 연결하는 프로그램으로, 다음과 같은 프로그램이 있습니다.

이러한 프로그램에는 Kerberos 티켓을 투명하게 사용하여 인증 및 선택적 암호화를 원격 호스트와 협상하는 기능이 있습니다. 대부분의 경우 Kerberos는 사용자의 신원을 입증할 수 있는 증거를 제공하기 때문에 티켓 사용을 위해 암호를 입력할 필요가 없다는 점만 알고 있을 것입니다.

Kerberos V5 네트워크 프로그램에는 다음과 같은 기능의 옵션이 포함되어 있습니다.


주 - 이 절에서는 사용자가 이미 이러한 프로그램의 Kerberos화되지 않은 버전을 잘 알고 있다고 가정하고 Kerberos V5 패키지에 추가된 Kerberos 기능을 중점적으로 설명합니다. 여기에 설명된 명령에 대한 자세한 설명은 해당 매뉴얼 페이지를 참조하십시오.


다음 Kerberos 옵션이 ftp, rcp, rlogin, rshtelnet에 추가되었습니다.

-a

기존 티켓을 사용하여 자동 로그인을 시도합니다. 이름이 현재 사용자 ID와 같은 경우 getlogin()이 반환하는 사용자 이름을 사용합니다. 자세한 내용은 telnet(1) 매뉴얼 페이지를 참조하십시오.

-f

재전달할 수 없는 티켓을 원격 호스트로 전달합니다. 이 옵션은 -F 옵션과 함께 사용할 수 없습니다. 이 두 옵션은 동일한 명령에 함께 사용할 수 없습니다.

세번째 호스트에서 다른 Kerberos 기반 서비스에 대해 자신을 인증해야 할 경우 티켓을 전달할 수 있습니다. 예를 들어 다른 시스템에 원격으로 로그인한 다음 거기에서 세번째 시스템에 원격으로 로그인할 수 있습니다.

원격 호스트의 홈 디렉토리가 Kerberos V5 방식을 사용하는 NFS 마운트 디렉토리인 경우 전달 가능 티켓을 사용해야 합니다. 그렇지 않으면 홈 디렉토리에 액세스할 수 없습니다. 즉, 처음에 시스템 1에 로그인한다고 가정합시다. 시스템 1에서 원격으로 자산의 홈 시스템인 시스템 2에 로그인한 다음 시스템 3의 홈 디렉토리를 마운트합니다. -f 또는 - F 옵션을 rlogin과 함께 사용한 경우가 아니라면 티켓을 시스템 3에 전달할 수 없으므로 자신의 홈 디렉토리에 연결할 수 없습니다.

기본적으로 kinit는 전달 가능한 TGT(티켓 부여 티켓)를 획득합니다. 그러나 이 경우 구성이 다를 수 있습니다.

티켓 전달에 대한 자세한 내용은 Kerberos 티켓 전달을 참조하십시오.

-F

TGT의 재전달 가능 복사본을 원격 시스템에 전달합니다. -f와 비슷하지만, 추가(네번째 또는 다섯번째) 시스템에 액세스할 수 있도록 해줍니다. 따라서 -F 옵션은 -f 옵션의 수퍼 세트로 간주할 수 있습니다. -F 옵션은 -f 옵션과 함께 사용할 수 없습니다. 이 두 옵션은 동일한 명령에 함께 사용할 수 없습니다.

티켓 전달에 대한 자세한 내용은 Kerberos 티켓 전달을 참조하십시오.

-k realm

krb5.conf 파일을 사용하여 영역 자체를 결정하는 대신 지정된 realm에서 원격 호스트에 대한 티켓을 요청합니다.

-K

티켓을 사용하여 원격 호스트에 대해 인증하지만, 자동으로 로그인되지는 않습니다.

-m mechanism

/etc/gss/mech 파일에 나열된 것과 같이, 사용할 GSS-API 보안 방식을 지정합니다. 기본적으로 kerberos_v5로 설정됩니다.

-x

이 세션을 암호화합니다.

-X auth-type

인증의 auth-type 유형을 사용 안함으로 설정합니다.

다음 표는 명령의 특정 옵션을 보여줍니다. “X”는 명령에 해당 옵션이 있음을 나타냅니다.

표 24-1 네트워크 명령의 Kerberos 옵션

ftp
rcp
rlogin
rsh
telnet
-a
X
-f
X
X
X
X
-F
X
X
X
-k
X
X
X
X
-K
X
-m
X
-x
X
X
X
X
X
-X
X

또한 ftp를 사용할 경우 프롬프트에서 세션의 보호 레벨을 설정할 수 있습니다.

clear

보호 레벨을 “clear”(보호 없음)로 설정합니다. 이 보호 레벨은 기본값입니다.

private

보호 레벨을 “private”로 설정합니다. 데이터 전송 시 암호화를 통해 기밀성 및 무결성 보호됩니다. 그러나 일부 Kerberos 사용자만 프라이버시 서비스를 사용할 수 있습니다.

safe

보호 레벨을 “safe”로 설정합니다. 데이터 전송 시 암호화 체크섬을 통해 무결성 보호됩니다.

protect와 위에 표시된 보호 레벨(clear, private 또는 safe) 중 하나를 입력하여 ftp 프롬프트에서 보호 레벨을 설정할 수도 있습니다.

Kerberos 티켓 전달

Kerberos화된 명령 개요에 설명된 것과 같이, 일부 명령의 경우 -f 또는 -F 옵션을 사용하여 티켓을 전달할 수 있습니다. 티켓을 전달하면 네트워크 트랜잭션을 "연쇄적으로" 수행할 수 있습니다. 예를 들어 한 시스템에 원격으로 로그인한 다음 거기에서 다른 시스템에 원격으로 로그인할 수 있습니다. -f 옵션을 사용하면 티켓을 전달할 수 있고, -F 옵션을 사용하면 전달된 티켓을 재전달할 수 있습니다.

다음 그림에서 사용자 davidkinit를 사용하여 전달할 수 없는 TGT(티켓 부여 티켓)를 획득합니다. -f 옵션을 지정하지 않았기 때문에 이 티켓은 전달할 수 없는 티켓입니다. 시나리오 1에서는 시스템 B에 원격으로 로그인할 수는 있지만, 더 이상은 로그인할 수 없습니다. 시나리오 2에서는 david가 전달할 수 없는 티켓을 전달하려고 시도했기 때문에 rlogin -f 명령이 실패합니다.

그림 24-2 전달할 수 없는 티켓 사용

image:이 그림은 전달할 수 없는 티켓과 관련된 두 개의 시나리오를 보여줍니다.

실제로 Kerberos 구성 파일은 kinit가 기본적으로 전달 가능 티켓을 획득하도록 설정됩니다. 그러나 사용자의 구성은 다를 수 있습니다. 설명을 위해, kinit -f를 사용하여 호출되지 않는 한 kinit가 전달 가능 TGT를 획득하지 않는다고 가정합니다. 그러나 kinit에는 -F 옵션이 없습니다. TGT는 전송 가능하거나 전송 불가능합니다.

다음 그림에서 사용자 davidkinit -f를 사용하여 전달 가능 TGT를 획득합니다. 시나리오 3에서는 david가 rlogin과 함께 전달 가능 티켓을 사용하므로 시스템 C에 연결할 수 있습니다. 시나리오 4에서는 티켓을 재전달할 수 없으므로 rlogin 명령이 또 다시 실패합니다. 시나리오 5에서와 같이 -F 옵션을 대신 사용하면 두번째 rlogin이 성공하고 티켓을 시스템 D로 재전달할 수 있습니다.

그림 24-3 전달 가능 없는 티켓 사용

image:이 그림은 전달 가능 티켓과 관련된 세 개의 시나리오를 보여줍니다.

Kerberos화된 명령 사용(예제)

다음 예제는 Kerberos화된 명령에 대한 옵션이 어떻게 작동하는지 보여줍니다.

예 24-5 telnet과 함께 -a, -f-x 옵션 사용

이 예에서 사용자 david는 이미 로그인했으며 telnet을 통해 denver.example.com 시스템에 연결하려고 합니다. 그는 -f 옵션을 사용하여 기존 티켓을 전달하고, -x 옵션을 사용하여 세션을 암호화하며, -a 옵션을 사용하여 자동으로 로그인을 수행합니다. 세번째 호스트의 서비스를 사용하지 않을 것이기 때문에 그는 -F 대신 -f를 사용할 수 있습니다.

% telnet -a -f -x denver.example.com 
Trying 128.0.0.5... 
Connected to denver.example.com. Escape character is '^]'. 
[ Kerberos V5 accepts you as "david@eng.example.com" ] 
[ Kerberos V5 accepted forwarded credentials ] 
SunOS 5.9: Tue May 21 00:31:42 EDT 2004  Welcome to SunOS 
%

david의 시스템은 Kerberos를 사용하여 denver.example.com에 대해 그를 인증한 다음 자동으로 david로 로그인되었습니다. 따라서 암호화된 세션, 그를 기다리고 있는 티켓 복사본이 있으므로 자신의 암호를 입력할 필요가 없습니다. Kerberos 버전이 아닌 telnet을 사용한 경우, 암호를 입력하라는 메시지가 표시되므로 네트워크를 통해 암호를 암호화되지 않은 상태로 전송했을 수 있습니다. 이때 침입자가 네트워크 트래픽을 관찰하고 있었다면 david의 암호를 알게 되었을 것입니다.

Kerberos 티켓을 전달할 경우 telnet(및 여기에 설명된 다른 명령)은 종료될 때 티켓을 삭제합니다.

예 24-6 -F 옵션과 함께 rlogin 사용

여기서는 사용자 jennifer가 자신의 시스템인 boston.example.com에 로그인하려고 합니다. 그녀는 -F 옵션을 사용하여 기존 티켓을 전달한 다음 -x 옵션을 사용하여 세션을 암호화합니다. 그녀는 boston에 로그인한 후 티켓 재전달이 필요한 다른 네트워크 트랜잭션을 수행할 수 있으므로 -f 대신 -F를 선택합니다. 물론 기존 티켓을 전달하기 때문에 암호를 입력할 필요가 없습니다.

% rlogin boston.example.com -F -x
This rlogin session is using encryption for all transmissions.
Last login Mon May 19 15:19:49 from daffodil 
SunOS Release 5.9 (GENERIC) #2 Tue Nov 14 18:09:3 EST 2003 
%

예 24-7 ftp에서 보호 레벨 설정

joeftp를 통해 denver.example.com 시스템의 ~joe/MAIL 디렉토리에서 자신의 메일에 연결하여 세션을 암호화한다고 가정합시다. 다음과 같이 교환이 이루어집니다.

% ftp -f denver.example.com
Connected to denver.example.com
220 denver.example.org FTP server (Version 6.0) ready.
334 Using authentication type GSSAPI; ADAT must follow
GSSAPI accepted as authentication type 
GSSAPI authentication succeeded Name (daffodil.example.org:joe) 
232 GSSAPI user joe@MELPOMENE.EXAMPLE.COM is authorized as joe
230 User joe logged in.
Remote system type is UNIX.
Using BINARY mode to transfer files.
ftp> protect private
200 Protection level set to Private
ftp> cd ~joe/MAIL
250 CWD command successful.
ftp> get RMAIL
227 Entering Passive Mode (128,0,0,5,16,49)
150 Opening BINARY mode data connection for RMAIL (158336 bytes).
226 Transfer complete. 158336 bytes received in 1.9 seconds (1.4e+02 Kbytes/s)
ftp> quit
% 

세션을 암호화하기 위해 joe는 보호 레벨을 private로 설정합니다.