KDC와 SEAM 클라이언트의 클록 동기화

Kerberos 인증 시스템을 사용하는 모든 호스트의 내부 클록은 지정된 최대 시간(클록 불균형) 내에 동기화되어야 하며, 이를 통해 추가로 Kerberos 보안 검사가 수행됩니다. Kerberos 인증을 사용하는 호스트 간의 클록 불균형이 너무 크면 클라이언트 요청이 거부됩니다.

클록 불균형은 요청을 인식 또는 거부하기 위해 응용 프로그램 서버에서 모든 Kerberos 프로토콜 메시지를 추적해야 할 시간을 결정합니다. 따라서, 클록 불균형 값이 길수록 응용 프로그램 서버에서 더 많은 정보를 수집하게 됩니다.

최대 클록 불균형의 기본값은 300초(5분)이며 krb5.conf 파일의 libdefaults 섹션에서 변경할 수 있습니다.

보안을 위해 클록 불균형 값을 300초 이내로 지정하십시오.

KDC와 SEAM 클라이언트간에 동기화된 클록을 유지하는 것이 중요하므로 NTP(Network Time Protocol) 소프트웨어를 사용하는 것이 좋습니다. Delaware 대학에서 제공한 NTP 공용 도메인 소프트웨어가 Solaris 2.6 버전부터 Solaris 소프트웨어에 포함됩니다.

클록을 동기화하는 다른 방법은 rdate 명령과 cron 작업을 사용하는 것입니다. 이 방법은 NTP를 사용하는 것보다 간단하지만 이 절에서는 NTP에 대해 중점적으로 설명합니다. 네트워크를 통해 클록 동기화를 할 경우 클록 동기화 프로토콜 자체가 안전해야 합니다.

NTP를 사용하면 네트워크 환경에서 정확한 시간과 네트워크 클록 동기화를 관리할 수 있습니다. NTP는 기본적으로 클라이언트/서버 환경에서 실행됩니다. 한 시스템을 마스터 클록(NTP 서버)으로 설정한 다음 다른 모든 시스템(NTP 클라이언트)의 클록을 마스터 클록과 동기화합니다. xntpd 데몬을 사용하면 이러한 모든 것이 해결됩니다. xntpd 데몬은 UNIX 시스템의 시간을 인터넷 표준 시간 서버와 동일하게 설정 및 관리합니다. 그림 3-1은 클라이언트/서버 환경의 NTP 구현 예를 보여줍니다.

그림 3-1 NTP를 사용하여 클록 동기화

KDC와 SEAM 클라이언트의 클록 동기화 여부를 확인하려면 다음 단계를 수행합니다.

1. 네트워크에 NTP 서버를 설치합니다. 이것은 마스터 KDC를 제외한 모든 시스템에서 가능합니다. "NTP 서버 설정 방법"을 참고하십시오.

2. 네트워크에서 KDC 및 SEAM 클라이언트를 구성할 때 NTP 서버의 클라이언트로 설정합니다. "NTP 클라이언트 설정 방법"을 참고하십시오.

NTP 서버 설정 방법

1. NTP 서버로 설정할 시스템의 수퍼유저가 됩니다.

2. /etc/inet 디렉토리로 이동합니다.

3. ntp.server 파일을 ntp.conf 파일로 복사합니다.

   # cp ntp.server ntp.conf

4. /etc/init.d 디렉토리로 이동합니다.

5. xntpd 데몬을 시작합니다.

   # ./xntpd start

NTP 클라이언트 설정 방법

1. NTP 클라이언트로 사용할 시스템의 수퍼유저가 됩니다.

2. /etc/inet 디렉토리로 이동합니다.

3. ntp.client 파일을 ntp.conf 파일로 복사합니다.

   # cp ntp.client ntp.conf

4. /etc/init.d 디렉토리로 이동합니다.

5. xntpd 데몬을 시작합니다.

   # ./xntpd start