SEAM 파일
표 7-1 SEAM 파일|
파일 이름 |
설명 |
|---|---|
|
~/.gkadmin |
SEAM 관리 도구에서 새 주체 작성 시 기본값 |
|
~/.k5login |
Kerberos 계정에 액세스 권한을 부여할 주체의 목록 |
|
/etc/gss/gsscred.conf |
gsscred 테이블의 기본 파일 유형 |
|
/etc/gss/mech |
RPCSEC_GSS의 메커니즘 |
|
/etc/gss/qop |
RPCSEC_GSS의 보호 수준 매개변수 |
|
/etc/init.d/kdc |
krb5kdc를 시작하거나 중지하는 init스크립트 |
|
/etc/init.d/kdc.master |
kadmind를 시작하거나 중지하는 init 스크립트 |
|
/etc/krb5/kadm5.acl |
Kerberos 액세스 제어 목록 파일로서, 여기에는 KDC 관리자의 주체 이름과 Kerberos 관리 권한이 포함됩니다. |
|
/etc/krb5/kadm5.keytab |
마스터 KDC에서 kadmin 서비스의 키 테이블 |
|
/etc/krb5/kdc.conf |
KDC 구성 파일 |
|
/etc/krb5/kpropd.acl |
Kerberos 데이터베이스 전파 구성 파일 |
|
/etc/krb5/krb5.conf |
Kerberos 영역 구성 파일 |
|
/etc/krb5/krb5.keytab |
네트워크 응용 프로그램 서버의 키 테이블 |
|
/etc/krb5/warn.conf |
Kerberos 경고 구성 파일 |
|
/etc/pam.conf |
PAM 구성 파일 |
|
/tmp/krb5cc_uid |
기본 증명서 캐시(uid는 사용자의 소수 UID) |
|
/tmp/ovsec_adm.xxxxxx |
암호 변경 작업 기간에 사용할 임시 증명서 캐시(xxxxxx는 임의의 문자열임.) |
|
/var/krb5/.k5.REALM |
KDC stash 파일로서 KDC 마스터 키의 암호화된 복사본이 들어 있습니다. |
|
/var/krb5/kadmin.log |
kadmind의 로그 파일 |
|
/var/krb5/kdc.log |
KDC의 로그 파일 |
|
/var/krb5/principal.db |
Kerberos 주체 데이터베이스 |
|
/var/krb5/principal.kadm5 |
Kerberos 관리 데이터베이스로서 정책 정보가 들어 있습니다. |
|
/var/krb5/principal.kadm5.lock |
Kerberos 관리 데이터베이스 잠금 파일 |
|
/var/krb5/principal.ok |
Kerberos 주체 데이터베이스 초기화 파일로서 Kerberos 데이터베이스가 성공적으로 초기화되면 작성됩니다. |
|
/var/krb5/slave_datatrans |
kprop_script가 전파를 위해 사용하는 KDC의 백업 파일 |
PAM 구성 파일
SEAM과 함께 제공된 기본 PAM 구성 파일에는 Kerboros 암호화를 지원하는 새로운 응용 프로그램을 관리하는 항목들이 있습니다. 새 파일에는 인증 서비스, 계정 관리, 세션 관리, 암호 관리 모듈에 해당하는 각 항목이 들어 있습니다.
인증 모듈의 경우 rlogin과 login, dtlogin, krlogin, ktelnet, krsh에 새로운 항목이 있습니다. 이 항목들에 대한 예는 아래에 나와 있습니다. 이들 서비스는 모두 새로운 PAM 라이브러리인 /usr/lib/security/pam_krb5.so.1을 사용하여 Kerberos 인증을 제공합니다.
첫 세 항목은 사용자의 초기 암호를 사용하여 인증을 요청하는 try_first_pass 옵션을 사용합니다. 초기 암호를 사용하면 여러 메커니즘이 표시될 경우에도 사용자가 다른 암호를 입력하지 않아도 됩니다.
다음 세 항목은 acceptor 옵션을 사용하여 PAM 모듈이 초기 티켓 부여 티켓을 얻는 단계를 수행할 수 없도록 합니다. Kerboros 암호화를 지원하는 서버 응용 프로그램의 경우, 응용 프로그램에서 이미 교환이 이루어졌기 때문에 PAM을 사용하여 이 단계를 수행할 필요가 없습니다. 이 외에 지정되지 않은 인증을 요구하는 모든 항목의 기본 항목으로서 other 항목이 있습니다.
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
계정 관리의 경우, dtlogin에 다음과 같이 Kerberos 라이브러리를 사용하는 새로운 항목과 기본 규칙을 제공하는 other 항목이 있습니다. 현재 other 항목에서 실행되는 작업은 없습니다.
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
/etc/pam.conf 파일의 마지막 두 항목은 아래에서 설명합니다. 세션 관리 모듈의 other 항목은 사용자 증명서를 폐기합니다. 암호 관리 모듈에서 새로운 other 항목은 Kerberos 라이브러리를 선택합니다.
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates