커버로스 기능 강화

이들 커버로스 기능 강화는 Solaris 10 릴리스에서 소개되었습니다. 기능 향상 중 몇 가지는 이전 Software Express 릴리스에서 새로 추가되었습니다.

• 커버로스 프로토콜 지원이 ftp, rcp, rdist, rlogin, rsh 및 telnet 같은 원격 응용 프로그램에서 제공됩니다. 자세한 내용은 각 명령 또는 데몬에 대한 매뉴얼 페이지와 krb5_auth_rules(5) 매뉴얼 페이지를 참조하십시오.

• 커버로스 기본 데이터베이스는 이제 매번 전체 데이터베이스를 전송하지 않고 점증적인 업데이트로 전송할 수 있게 되었습니다. 점증적 전달을 사용하면 다음을 포함하여 여러 가지 장점이 있습니다.

  • 서버 전체의 데이터베이스 일관성 향상

  • 네트워크 및 CPU 자원 등의 자원에 대한 필요 감소

  • 업데이트를 더욱 적시에 전달

  • 자동화된 전달 방법

• 새 스크립트가 커버로스 클라이언트를 자동으로 구성하는 데 도움이 됩니다. 관리자는 스크립트를 사용하여 빠르고 쉽게 커버로스 클라이언트를 설정할 수 있습니다. 새 스크립트를 사용하는 절차는 System Administration Guide: Security Services의 22장, “Configuring the Kerberos Service (Tasks)”를 참조하십시오. 또한 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.

• 커버로스 서비스에 여러 가지 새 암호화 유형이 추가되었습니다. 이들 새 암호화 유형은 보안을 향상시키고 이들 암호화 유형을 지원하는 다른 커버로스 구현과의 호환성을 향상시킵니다. 모든 암호화 유형에 대한 설명은 mech(4) 매뉴얼 페이지에 있습니다. 자세한 내용은 System Administration Guide: Security Services의 "Using Kerberos Encryption Types"를 참조하십시오. 암호화 유형에는 다음의 기능이 제공됩니다.

  • AES 암호화 유형은 커버로스 세션의 고속, 고급 보안 암호화에 사용할 수 있습니다. AES를 사용하려면 암호화 프레임워크에서 사용 설정합니다.

  • ARCFOUR-HMAC는 다른 커버로스 버전과의 호환성을 향상시킵니다.

  • SHA1이 있는 3DES(Triple DES)는 보안을 강화합니다. 또한 이 암호화 유형은 이 암호화 유형을 지원하는 다른 커버로스 구현과의 호환성을 향상시킵니다.

• 이제 KDC 소프트웨어와 kinit 명령은 TCP 네트워크 프로토콜을 사용할 수 있도록 지원합니다. 이 지원을 추가하여 더욱 견고한 운영을 제공하고 다른 커버로스 구현과 더욱 잘 상호 운용되도록 했습니다. KDC는 이제 종래의 UDP 포트 및 TCP 포트에서 "수신 대기"하므로 두 프로토콜 중 하나를 사용하는 요청에 응답할 수 있습니다. kinit 명령은 KDC로 요청을 보낼 때 우선 UDP를 시도합니다. 실패하는 경우 kinit 명령은 TCP를 시도합니다.

• IPv6 지원이 kinit , klist 및 kprop 명령과 함께 KDC 소프트웨어에 추가되었습니다. IPv6 주소에 대한 지원은 기본으로 제공됩니다. 이 지원을 사용하도록 설정하는 경우 구성 매개변수를 변경할 필요가 없습니다.

• kadmin 명령의 여러 가지 하위 명령에 -e 옵션이 새로 추가되었습니다. 이 새 옵션을 사용하면 대표를 만들 때 암호화 유형을 선택할 수 있습니다. 자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.

• pam_krb5 모듈에 대한 추가 내용은 PAM 프레임워크를 사용하여 커버로스 자격 증명 캐시를 관리합니다. 자세한 내용은 pam_krb5(5) 매뉴얼 페이지를 참조하십시오.

• 커버로스 KDC, 관리 서버, kpasswd 서버 및 DNS 조회를 사용하는 호스트 또는 도메인 이름-영역 매핑의 자동 검색에 대한 지원이 제공됩니다. 이 지원으로 커버로스 클라이언트를 설치할 때 필요한 일부 단계가 감소됩니다. 클라이언트는 구성 파일을 읽지 않고 DNS를 사용하여 KDC 서버의 위치를 찾을 수 있습니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.

• pam_krb5_migrate라는 이름의 새 PAM 모듈이 소개되었습니다. 사용자에게 아직 커버로스 계정이 없는 경우 새 모듈을 사용하면 사용자를 로컬 커버로스 영역으로 자동 이전하는 데 도움이 됩니다. 자세한 내용은 pam_krb5_migrate(5) 매뉴얼 페이지를 참조하십시오.

• ~/.k5login 파일은 이제 GSS 응용 프로그램 ftp 및 ssh와 함께 사용될 수 있습니다. 자세한 내용은 krb5_auth_rules(5) 매뉴얼 페이지를 참조하십시오.

• kproplog 유틸리티가 각 로그 항목의 모든 속성을 표시하도록 업데이트되었습니다. 자세한 내용은 kproplog(1M) 매뉴얼 페이지를 참조하십시오.

• 새 구성 파일 옵션을 사용하면 엄격한 TGT(Ticket Granting Ticket) 검증 기능을 영역별로 구성할 수도 있습니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.

• 비밀번호 변경 유틸리티가 확장되어 Solaris Kerberos V5 관리 서버가 Solaris가 아닌 클라이언트의 비밀번호 변경 요청을 허용할 수 있게 되었습니다. 자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.

• 재생 캐시의 기본 위치가 RAM 기반 파일 시스템에서 /var/krb5/rcache/의 영구 저장소로 옮겨졌습니다. 이 새로운 기본 위치는 시스템이 다시 부트되는 경우에도 재생으로부터 보호됩니다. rcache 코드의 성능이 향상되었습니다. 그러나 영구 저장소를 사용하므로 전체적인 재생 캐시 성능이 느려질 수 있습니다.

• 이제 재생 캐시를 파일 저장소 또는 메모리 전용 저장소를 사용하도록 구성할 수 있습니다. 키 테이블과 자격 증명 캐시 유형 또는 위치용으로 구성할 수 있는 환경 변수에 대한 자세한 내용은 krb5envvar(5) 매뉴얼 페이지를 참조하십시오.

• 더 이상 커버로스 GSS 메커니즘에 GSS 자격 증명 테이블이 필요하지 않습니다. 자세한 내용은 gsscred(1M), gssd(1M) 및 gsscred.conf(4) 매뉴얼 페이지를 참조하십시오.

• 커버로스 유틸리티 kinit 및 ktutil은 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. 이 변경으로 kinit 명령에 새 옵션이 추가되었으며 ktutil 명령에 새 하위 명령이 추가되었습니다. 자세한 내용은 kinit(1) 및 ktutil(1) 매뉴얼 페이지를 참조하십시오.

• Solaris 커버로스 키 배포 센터(KDC)는 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. KDC는 현재의 해시 기반 데이터베이스보다 훨씬 안정적인 btree 기반의 데이터베이스를 기본으로 사용합니다. 자세한 내용은 kdb5_util(1M) 매뉴얼 페이지를 참조하십시오. Solaris 9 사용자를 위해 이 변경은 Solaris 9 12/03 릴리스에서 새로 추가되었습니다.