이들 커버로스 기능 강화는 Solaris 10 릴리스에서 소개되었습니다. 기능 향상 중 몇 가지는 이전 Software Express 릴리스에서 새로 추가되었습니다.
커버로스 프로토콜 지원이 ftp, rcp, rdist, rlogin, rsh 및 telnet 같은 원격 응용 프로그램에서 제공됩니다. 자세한 내용은 각 명령 또는 데몬에 대한 매뉴얼 페이지와 krb5_auth_rules(5) 매뉴얼 페이지를 참조하십시오.
커버로스 기본 데이터베이스는 이제 매번 전체 데이터베이스를 전송하지 않고 점증적인 업데이트로 전송할 수 있게 되었습니다. 점증적 전달을 사용하면 다음을 포함하여 여러 가지 장점이 있습니다.
서버 전체의 데이터베이스 일관성 향상
네트워크 및 CPU 자원 등의 자원에 대한 필요 감소
업데이트를 더욱 적시에 전달
자동화된 전달 방법
새 스크립트가 커버로스 클라이언트를 자동으로 구성하는 데 도움이 됩니다. 관리자는 스크립트를 사용하여 빠르고 쉽게 커버로스 클라이언트를 설정할 수 있습니다. 새 스크립트를 사용하는 절차는 System Administration Guide: Security Services의 22장, “Configuring the Kerberos Service (Tasks)”를 참조하십시오. 또한 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.
커버로스 서비스에 여러 가지 새 암호화 유형이 추가되었습니다. 이들 새 암호화 유형은 보안을 향상시키고 이들 암호화 유형을 지원하는 다른 커버로스 구현과의 호환성을 향상시킵니다. 모든 암호화 유형에 대한 설명은 mech(4) 매뉴얼 페이지에 있습니다. 자세한 내용은 System Administration Guide: Security Services의 "Using Kerberos Encryption Types"를 참조하십시오. 암호화 유형에는 다음의 기능이 제공됩니다.
AES 암호화 유형은 커버로스 세션의 고속, 고급 보안 암호화에 사용할 수 있습니다. AES를 사용하려면 암호화 프레임워크에서 사용 설정합니다.
ARCFOUR-HMAC는 다른 커버로스 버전과의 호환성을 향상시킵니다.
SHA1이 있는 3DES(Triple DES)는 보안을 강화합니다. 또한 이 암호화 유형은 이 암호화 유형을 지원하는 다른 커버로스 구현과의 호환성을 향상시킵니다.
이제 KDC 소프트웨어와 kinit 명령은 TCP 네트워크 프로토콜을 사용할 수 있도록 지원합니다. 이 지원을 추가하여 더욱 견고한 운영을 제공하고 다른 커버로스 구현과 더욱 잘 상호 운용되도록 했습니다. KDC는 이제 종래의 UDP 포트 및 TCP 포트에서 "수신 대기"하므로 두 프로토콜 중 하나를 사용하는 요청에 응답할 수 있습니다. kinit 명령은 KDC로 요청을 보낼 때 우선 UDP를 시도합니다. 실패하는 경우 kinit 명령은 TCP를 시도합니다.
IPv6 지원이 kinit , klist 및 kprop 명령과 함께 KDC 소프트웨어에 추가되었습니다. IPv6 주소에 대한 지원은 기본으로 제공됩니다. 이 지원을 사용하도록 설정하는 경우 구성 매개변수를 변경할 필요가 없습니다.
kadmin 명령의 여러 가지 하위 명령에 -e 옵션이 새로 추가되었습니다. 이 새 옵션을 사용하면 대표를 만들 때 암호화 유형을 선택할 수 있습니다. 자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.
pam_krb5 모듈에 대한 추가 내용은 PAM 프레임워크를 사용하여 커버로스 자격 증명 캐시를 관리합니다. 자세한 내용은 pam_krb5(5) 매뉴얼 페이지를 참조하십시오.
커버로스 KDC, 관리 서버, kpasswd 서버 및 DNS 조회를 사용하는 호스트 또는 도메인 이름-영역 매핑의 자동 검색에 대한 지원이 제공됩니다. 이 지원으로 커버로스 클라이언트를 설치할 때 필요한 일부 단계가 감소됩니다. 클라이언트는 구성 파일을 읽지 않고 DNS를 사용하여 KDC 서버의 위치를 찾을 수 있습니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.
pam_krb5_migrate라는 이름의 새 PAM 모듈이 소개되었습니다. 사용자에게 아직 커버로스 계정이 없는 경우 새 모듈을 사용하면 사용자를 로컬 커버로스 영역으로 자동 이전하는 데 도움이 됩니다. 자세한 내용은 pam_krb5_migrate(5) 매뉴얼 페이지를 참조하십시오.
~/.k5login 파일은 이제 GSS 응용 프로그램 ftp 및 ssh와 함께 사용될 수 있습니다. 자세한 내용은 krb5_auth_rules(5) 매뉴얼 페이지를 참조하십시오.
kproplog 유틸리티가 각 로그 항목의 모든 속성을 표시하도록 업데이트되었습니다. 자세한 내용은 kproplog(1M) 매뉴얼 페이지를 참조하십시오.
새 구성 파일 옵션을 사용하면 엄격한 TGT(Ticket Granting Ticket) 검증 기능을 영역별로 구성할 수도 있습니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.
비밀번호 변경 유틸리티가 확장되어 Solaris Kerberos V5 관리 서버가 Solaris가 아닌 클라이언트의 비밀번호 변경 요청을 허용할 수 있게 되었습니다. 자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.
재생 캐시의 기본 위치가 RAM 기반 파일 시스템에서 /var/krb5/rcache/의 영구 저장소로 옮겨졌습니다. 이 새로운 기본 위치는 시스템이 다시 부트되는 경우에도 재생으로부터 보호됩니다. rcache 코드의 성능이 향상되었습니다. 그러나 영구 저장소를 사용하므로 전체적인 재생 캐시 성능이 느려질 수 있습니다.
이제 재생 캐시를 파일 저장소 또는 메모리 전용 저장소를 사용하도록 구성할 수 있습니다. 키 테이블과 자격 증명 캐시 유형 또는 위치용으로 구성할 수 있는 환경 변수에 대한 자세한 내용은 krb5envvar(5) 매뉴얼 페이지를 참조하십시오.
더 이상 커버로스 GSS 메커니즘에 GSS 자격 증명 테이블이 필요하지 않습니다. 자세한 내용은 gsscred(1M), gssd(1M) 및 gsscred.conf(4) 매뉴얼 페이지를 참조하십시오.
커버로스 유틸리티 kinit 및 ktutil은 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. 이 변경으로 kinit 명령에 새 옵션이 추가되었으며 ktutil 명령에 새 하위 명령이 추가되었습니다. 자세한 내용은 kinit(1) 및 ktutil(1) 매뉴얼 페이지를 참조하십시오.
Solaris 커버로스 키 배포 센터(KDC)는 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. KDC는 현재의 해시 기반 데이터베이스보다 훨씬 안정적인 btree 기반의 데이터베이스를 기본으로 사용합니다. 자세한 내용은 kdb5_util(1M) 매뉴얼 페이지를 참조하십시오. Solaris 9 사용자를 위해 이 변경은 Solaris 9 12/03 릴리스에서 새로 추가되었습니다.