test

Sun 엔터프라이즈 인증 메커니즘 안내서

영역간 인증 구성

한 영역의 사용자가 다른 영역에서 인증 받을 수 있도록 영역을 연결하는 방법에는 여러 가지가 있지만 두 영역에서 비밀 키를 공유하도록 설정하는 것이 일반적입니다. 이 때 영역 간의 관계는 계층적이거나 직접적입니다("영역 계층" 참고).

영역간 계층적 인증 구축 방법

이 예에서는 ENG.EAST.ACME.COMEAST.ACME.COM의 두 영역을 사용합니다. 영역간 인증은 양방향으로 구축돼야 하므로, 이 프로시저는 두 영역의 마스터 KDC에서 모두 수행해야 합니다.

  1. 계층적, 영역간 인증 구축에 필요한 조건

    이 프로시저를 수행하려면 각 영역에 마스터 KDC가 구성되어 있어야 합니다. 또한 프로세스를 완전히 테스트하려면 여러 개의 클라이언트나 슬레이브 KDC를 설치해야 합니다.

  2. 첫번째 마스터 KDC에서 root가 됩니다.

  3. kadmin을 사용하여 두 영역에 대한 티켓 부여 티켓 서비스 주체를 작성합니다.

    마스터 KDC를 구성할 때 작성한 admin 주체의 이름으로 로그온해야 합니다.


    # /usr/krb5/sbin/kadmin -p kws/admin
암호 입력: <kws/admin 암호를 입력합니다>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM
krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM 주체의 암호 입력:  <암호를 입력합니다>
kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM
krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM 주체의 암호 입력: <암호를 입력합니다>
kadmin: quit
    주 -

    각 서비스 주체에 대해 입력된 암호는 두 개의 KDC에서 동일해야 합니다. 즉, krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM의 암호가 두 영역에서 동일해야 합니다.

  4. 모든 영역의 도메인 이름을 정의하기 위해 Kerberos 구성 파일(krb5.conf)에 항목을 추가합니다.


    # cat /etc/krb5/krb5.conf
[libdefaults]
  .
  .
[domain_realm]
        .eng.east.acme.com = ENG.EAST.ACME.COM
        .east.acme.com = EAST.ACME.COM

    이 예에서 ENG.EAST.ACME.COMEAST.ACME.COM 영역의 도메인 이름이 정의되었습니다. 파일은 위에서 아래 방향으로 검색되므로 하위 도메인을 먼저 포함시키는 것이 중요합니다.

  5. Kerberos 구성 파일을 현재 영역의 모든 클라이언트에 복사합니다.

    영역간 인증이 작용하려면 모든 시스템(슬레이브 KDC 및 기타 서버 포함)에 새로운 버전의 Kerberos 구성 파일(/etc/krb5/krb5.conf)이 설치되어야 합니다.

  6. 두번째 영영에서 이러한 단계를 반복합니다.

영역간 직접 인증 구축 방법

이 예에서는 ENG.EAST.ACME.COMSALES.WEST.ACME.COM의 두 영역을 사용합니다. 영역간 인증은 양방향으로 구축돼야 하므로, 이 프로시저는 두 영역의 마스터 KDC에서 모두 수행해야 합니다.

  1. 영역간 직접 인증 구축에 필요한 조건

    이 프로시저를 수행하려면 각 영역에 마스터 KDC가 구성되어 있어야 합니다. 또한 프로세스를 완전히 테스트하려면 여러 개의 클라이언트와 슬레이브 KDC를 설치해야 합니다.

  2. 한 개의 마스터 KDC 서버에서 수퍼유저가 됩니다.

  3. kadmin을 사용하여 두 영역에 대한 티켓 부여 티켓 서비스 주체를 작성합니다.

    마스터 KDC를 구성할 때 작성한 admin 주체의 이름으로 로그온해야 합니다.


    # /usr/krb5/sbin/kadmin -p kws/admin
암호 입력: <kws/admin 암호를 입력합니다>
kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM
주체의 암호 입력:
  krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM <암호를 입력합니다>
kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM
주체의 암호 입력:
  krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM <암호를 입력합니다>
kadmin: quit
    주 -

    각 서비스 주체에 대해 입력된 암호는 두 개의 KDC에서 동일해야 합니다. 즉, krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM의 암호가 두 영역에서 동일해야 합니다.

  4. 원격 영역의 직접 경로를 정의하기 위해 Kerberos 구성 파일(kdc.conf)에 항목을 추가합니다.

    다음은 ENG.EAST.ACME.COM 영역의 클라이언트에 대한 예입니다. 영역 이름을 스왑하여 SALES.WEST.ACME.COM 영역에서 적절한 정의를 얻을 수 있습니다.


    # cat /etc/krb5/krb5.conf
[libdefaults]
 .
 .
[capaths]
    ENG.EAST.ACME.COM = {
        SALES.WEST.ACME.COM = .
    }

    SALES.WEST.ACME.COM = {
        ENG.EAST.ACME.COM = .
    }

  5. Kerberos 구성 파일을 현재 영역의 모든 클라이언트에 복사합니다.

    영역간 인증이 작용하려면 모든 시스템(슬레이브 KDC 및 기타 서버 포함)에 새로운 버전의 Kerberos 구성 파일(krb5.conf)이 설치되어야 합니다.

  6. 두번째 영역에서 이러한 단계를 반복합니다.