Sun 엔터프라이즈 인증 메커니즘 안내서

티켓 관리

이 절에서는 티켓 얻기와 보기, 폐기 방법에 대해 설명합니다. 티켓에 대한 개요는 "SEAM 작동 방법"을 참고하십시오.

티켓에 관해서 걱정합니까?

SEAM을 설치하면 Kerberos가 login 명령에 내장되어 로그인 시 자동으로 티켓을 얻을 수 있습니다. rsh, rcp, telnet, rlogin 등의 Kerberos 암호화를 지원하는 명령은 티켓 복사본을 다른 시스템에 전송하도록 설정되어 있으므로 해당 시스템에 액세스할 때 티켓을 요청할 필요가 없습니다. (자동 전송 기능은 기본 설정이나 SEAM 구성 시 제외할 수도 있습니다.) 티켓 전송에 대한 자세한 내용은 "Kerberos 암호화를 지원하는 명령의 개요"와 "-f 및 -F를-사용한 티켓 전송-"을 참고하십시오.

대부분의 Kerberos 암호화를 지원하는 명령은 명령 종료 시 티켓을 자동으로 폐기하지만 kdestroy 를 사용하여 직접 폐기할 수도 있습니다. kdestroy에 대한 자세한 내용은 "티켓 폐기 방법"을 참고하십시오.

티켓 유효 기간에 대한 내용은 "티켓 유효 기간"을 참고하십시오.

티켓 작성 방법

일반적으로 티켓은 로그인시 자동으로 작성되므로 이를 얻기 위해 특별히 실행할 작업은 없습니다. 단, 다음과 같은 경우에는 티켓을 작성해야 합니다.

티켓이 만기된 경우
기본 주체가 아닌 다른 주체를 사용해야 할 경우(예: rlogin -l 을 사용하여 다른 사용자로 시스템에 로그인하는 경우)

티켓을 작성하려면 kinit 명령을 사용합니다.

% /usr/krb5/bin/kinit

kinit에서 암호를 입력하라는 메시지가 나타납니다. kinit 명령의 전체 구문은 kinit(1) 매뉴얼 페이지를 참고하십시오.

예 - 티켓 작성

다음 예에서는 사용자 jennifer가 자신의 시스템에서 티켓을 작성합니다.

% kinit
 jennifer@ENG.ACME.COM의 암호:  <암호를 입력하십시오>

다음은 사용자 david가 세 시간 동안 유효한 티켓을 -1 옵션을 사용하여 작성하는 예입니다.

% kinit -l 3h david@ACME.ORG
Password for david@ACME.ORG:  <암호를 입력하십시오>

다음 예에서는 david가 -f 옵션을 사용하여 전송 가능 티켓을 작성합니다. 예를 들어, 이 전송 가능 티켓을 사용하여 2차 시스템에 로그인한 다음 3차 시스템에 telnet할 수 있습니다.

% kinit -f david@ACME.ORG
david@ACME.ORG의 암호:     <암호를 입력하십시오>

전송 티켓 사용 방법에 대한 자세한 내용은 "-f 및 -F를-사용한 티켓 전송-"과 "티켓 유형"을 참고하십시오.

티켓 보는 방법

모든 티켓이 동일하지는 않습니다. 예를 들어 전송 가능 티켓과 날짜를 늦춰 적은 티켓의 속성을 모두 가진 티켓 등이 있을 수 있습니다. klist 명령과 -f 옵션을 사용하여 가지고 있는 티켓의 종류와 속성을 볼 수 있습니다.

% /usr/krb5/bin/klist -f

다음 기호는 klist에서 각 티켓의 속성을 나타냅니다.

F	전송 가능
f	전송됨
P	프록시 가능
p	프록시
D	날짜를 늦춰 적을 수 있는
d	날짜를 늦춰 적은
R	갱신
I	초기
i	유효하지 않은

"티켓 유형"에서는 여러 가지 티켓 속성에 대해 설명합니다.

예 - 티켓 보기

다음 예에서 사용자 jennifer는 초기 티켓을 가지고 있는데 이는 전송 가능(F) 티켓이자 날짜를 늦춰 적은(d) 티켓이지만 아직 유효하지 않은(i) 티켓입니다.

% /usr/krb5/bin/klist -f
티켓 캐시: /tmp/krb5cc_74287
기본 주체: jenniferm@ENG.ACME.COM

유효 기간 시작일                 만기일                 서비스 주체
1999년 3월 9일 15:09:51  1999년 3월 9일 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM 
        1999년 3월 10일 15:12:51까지 갱신, 플래그: Fdi

다음 예에서 사용자 david는 다른 호스트에서 자신의 호스트로 전송된(f) 티켓을 두 장 가지고 있습니다. 이들은 전송 가능한(F) 티켓이기도 합니다.

% klist -f
티켓 캐시: /tmp/krb5cc_74287
기본 주체: david@ACME.SUN.COM

유효 기간 시작일                 만기일                 서비스 주체
1999년 3월 7일 06:09:51  1999년 3월 9일 23:33:51  host/ACME.COM@ACME.COM 
        1999년 3월 10일 17:09:51까지 갱신, 플래그: fF
유효 기간 시작일                 만기일                 서비스 주체
1999년 3월 8일 08:09:51  1999년 3월 9일 12:54:51  nfs/ACME.COM@ACME.COM
        1999년 3월 10일 15:22:51까지 갱신, 플래그: fF

티켓 폐기 방법

일반적으로 티켓을 작성한 명령이 종료되면 티켓은 자동으로 폐기됩니다. 그러나 사용이 끝난 후 Kerberos 티켓을 직접 폐기할 수도 있습니다. 티켓은 도난 당할 수도 있는데 이런 경우 티켓을 훔친 사람이 만기일까지 사용할 수 있습니다(단, 도난 당한 티켓은 해독해야만 사용할 수 있습니다).

티켓을 폐기하려면 kdestroy 명령을 사용합니다.

% /usr/krb5/bin/kdestroy

kdestroy 명령은 사용 중인 모든 티켓을 폐기합니다. 이 명령으로 특정 티켓만 선택하여 폐기할 수는 없습니다.

사용자가 시스템을 사용하지 않는 동안 권한을 도용 당할 위험이 있으면 kdestroy 명령을 사용하거나 화면을 잠그는 화면 보호기를 사용해야 합니다.

주 -

사용 후 티켓을 확실하게 폐기하는 방법은 kdestroy 명령을 홈 디렉토리의 .logout 파일에 추가하는 것입니다.

PAM 모듈이 구성되어 있는 경우(기본 설정) 로그아웃과 동시에 티켓이 자동으로 폐기되므로 kdestroy 명령 호출을 .login 파일에 추가하지 않아도 됩니다. 하지만 PAM 모듈이 구성되어 있지 않거나 구성 여부를 모를 경우에는 kdestroy 명령을 .login 파일에 추가하여 시스템 종료 시 티켓이 확실히 폐기되도록 합니다.