Sun 엔터프라이즈 인증 메커니즘 안내서

SEAM 클라이언트 구성

SEAM 클라이언트에는 KDC 서버를 제외하고 SEAM 서비스를 사용하는 네트워크상의 모든 호스트가 포함됩니다. 이 절에서는 SEAM 클라이언트 설치 절차와 NFS 파일 시스템을 마운트하기 위해 루트 인증을 사용하는 방법에 대해 설명합니다.

SEAM 클라이언트 구성 방법

다음과 같은 구성 매개변수가 사용됩니다.

영역 이름 = ACME.COM

DNS 도메인 이름 = acme.com

마스터 KDC = kdc1.acme.com

슬레이브 KDC = kdc2.acme.com

클라이언트 = client.acme.com

관리 주체 = kws/admin

사용자 주체 = mre

온라인 도움말 URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

주 -

SEAM 설치 및 제품 출시 정보에 설명된 것과 같이 "SEAM 관리 도구" 절을 가리키도록 URL을 수정하십시오.

SEAM 클라이언트 구성에 필요한 조건

SEAM 클라이언트 소프트웨어를 설치해야 합니다.

Kerberos 구성 파일(krb5.conf)을 편집합니다.

사전 구성 프로시저를 사용했다면 이 파일을 편집할 필요 없이 내용만 검토하면 됩니다. SEAM 기본 버전의 파일을 변경하려면 영역 및 서버 이름을 변경하고 gkadmin 도움말 파일의 경로를 지정해야 합니다.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM
#
# 도메인 이름과 영역 이름이 동일할 경우
# 이 항목은 사용하지 않습니다.
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

선택 사항: NTP나 기타 클록 동기화 메커니즘을 사용하여 마스터 KDC의 클록을 동기화합니다.

NTP에 대한 자세한 내용은 "KDC와 SEAM 클라이언트의 클록 동기화"를 참고하십시오.

선택 사항: 미리 작성된 사용자 주체가 없으면 새로 작성합니다.

이 호스트와 관련된 사용자에게 이미 지정된 주체가 없을 경우에만 사용자 주체를 작성합니다. SEAM 관리 도구 사용에 대한 자세한 내용은 "새 주체 작성 방법"을 참고하십시오. 명령행의 예는 다음과 같습니다.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
암호 입력: <kws/admin 암호를 입력합니다>
kadmin: addprinc mre
mre@ACME.COM 주체의 암호 입력: <암호를 입력합니다>
mre@ACME.COM 주체의 암호 재입력: <다시 입력합니다>
kadmin:

root 주체를 작성합니다.

kadmin: addprinc root/client1.acme.com
root/client1.acme.com@ACME.COM 주체의 암호 입력: <암호를 입력합니다>
root/client1.acme.com@ACME.COM 주체의 암호 재입력: <다시 입력합니다>
kadmin: quit

(옵션) SEAM 클라이언트 사용자가 Kerberos 인증을 사용하여 Kerberos 암호화를 지원하는 NFS 파일 시스템을 자동으로 마운트하게 하려면 root 사용자를 인증해야 합니다.

이 절차는 kinit 명령을 사용할 때 가장 안전하게 수행할 수 있지만 사용자가 Kerberos로 보안이 설정된 파일 시스템을 마운트할 때마다 root로서 kinit를 사용해야 합니다. 이 방법 대신에 키 테이블 파일을 사용할 수도 있습니다. 키 테이블 요구 사항에 대한 자세한 내용은 "NFS 파일 시스템을 마운트하기 위해 root 인증 설정"을 참고하십시오.

client1 # /usr/krb5/bin/kinit root/client1.acme.com
root/client1.acme.com@ACME.COM의 암호 입력: <암호를 입력합니다>

키 테이블 파일 옵션을 사용하려면 kadmin 명령으로 root 주체를 클라이언트의 키 테이블에 추가합니다.

client1 # /usr/krb5/sbin/kadmin -p kws/admin
암호 입력: <kws/admin 암호를 입력합니다>
kadmin: ktadd root/client1.acme.com
kadmin: kvno가 3인 root/client.acme.com 주체의 항목,
  DES-CBC-CRC 암호화 유형이 WRFILE:/etc/krb5/krb5.keytab
  키 테이블에 추가되었습니다.
kadmin: quit

클라이언트가 Kerberos 티켓 만기일을 사용자에게 알리도록 하려면 /etc/krb5/warn.conf 파일에 해당 항목을 작성합니다.

자세한 내용은 warn.conf(4)를 참고하십시오.

SEAM 명령과 매뉴얼 페이지의 위치가 포함되도록 사용자의 셸 검색 경로를 업데이트합니다.

구성 파일을 사용하여 SEAM 소프트웨어를 설치하고 PATH 정의가 자동으로 업데이트되도록 선택했다면 MANPATH 변수만 변경합니다. C 셸을 사용할 경우 다음과 같이 입력합니다.
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
변경 사항을 셸 검색 경로에 영구히 적용하려면 .cshrc 또는 .login 시작 파일을 편집합니다.

Bourne 또는 Korn 셸을 사용할 경우 다음과 같이 입력합니다.
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
변경 사항을 셸 검색 경로에 영구히 적용하려면 .profile 시작 파일을 편집합니다.

NFS 파일 시스템을 마운트하기 위해 root 인증 설정

사용자가 Kerberos 암호화를 지원하지 않는 NFS 파일 시스템에 액세스하는 경우 root로서 NFS 파일 시스템을 마운트하거나 자동 마운트 장치를 통해 파일 시스템에 자동으로 액세스(root 권한이 필요 없음)할 수 있습니다.

Kerberos 암호화를 지원하는 NFS 파일 시스템을 마운트하는 것도 이와 동일하지만 추가로 수행해야 할 단계가 있습니다. 클라이언트의 root 주체는 대개 클라이언트의 키 테이블에 존재하지 않기 때문에 Kerberos 암호화를 지원하는 NFS 파일 시스템을 마운트하려면 사용자는 root로서 kinit 명령을 사용하여 클라이언트의 root 주체에 대한 증명서를 얻어야 합니다. 이것은 자동 마운트 장치를 사용할 때도 마찬가지입니다. 또한, 모든 사용자가 시스템의 root 암호와 root 주체의 암호를 알아야 합니다.

이러한 추가 단계를 없애려면 root에 대한 증명서가 자동으로 제공되도록 클라이언트의 root 주체를 클라이언트의 키 테이블에 추가해야 합니다. 이렇게 하면 kinit 명령을 실행하지 않고 손쉽게 NFS 파일 시스템을 마운트할 수 있지만 보안상의 문제가 발생할 수 있습니다. 예를 들어, 키 테이블에서 root 주체로 시스템에 액세스할 수 있는 모든 사용자는 root에 대한 증명서를 얻을 수 있으므로 보안에 주의해야 합니다. 자세한 내용은 "키 테이블 관리"를 참고하십시오.