용어
- 관리 주체
-
이름 형식이 다음과 같은 사용자 주체입니다. username/admin (예: joe/admin). 관리 주체는 정규 사용자 주체보다 더 많은 권한을 가집니다(예: 정책 변경 등). 주체 이름, 사용자 주체을 참고하십시오.
- 응용 프로그램 서버
-
네트워크 응용 프로그램 서버를 참고하십시오.
- 인증
-
요청한 주체의 신원 검증 과정입니다.
- 인증자
-
인증자가 KDC와 서버의 티켓 및 서비스를 요청하면 인증자는 클라이언트에 의해 통과됩니다. 인증자는 클라이언트와 서버만 알고 있는 세션 키를 사용하여 생성된 최신 정보를 포함하고 있어 트랜잭션이 안전함을 나타냅니다. 인증자를 티켓과 함께 사용하여 사용자 주체를 인증할 수 있습니다. 인증자에는 사용자 주체 이름, 사용자 호스트 IP 주소, 타임스탬프가 포함됩니다. 티켓과 달리 인증자는 서비스에 대한 액세스 요청이 있을 경우에만 한 번 사용할 수 있습니다. 인증자는 해당 클라이언트와 서버에 대한 세션 키를 사용하여 암호화됩니다.
- 허가
-
주체의 서비스 사용 가능 여부, 주체가 액세스할 수 있는 객체, 각 객체에 허용되는 액세스 유형 등을 결정하는 과정입니다.
- 클라이언트
-
-
좁은 의미로 사용자를 대신하여 네트워크 서비스를 이용하는 프로세스입니다(예: rlogin을 사용하는 응용 프로그램). 서버 자체가 다른 서버나 서비스의 클라이언트가 되는 경우가 있습니다.
-
더 넓은 의미로 보면 a) Kerberos 증명서를 받고 b) 서버에서 제공하는 서비스를 이용하는 호스트입니다.
비공식적으로 서비스를 이용하는 주체입니다.
-
- 클라이언트 주체
-
(RPCSEC_GSS API) RPCSEC_GSS 보안 네트워크 서비스를 사용하는 클라이언트(사용자 또는 응용 프로그램)입니다. 클라이언트 주체 이름은 rpc_gss_principal_t 형식으로 저장됩니다.
- 클록 불균형
-
Kerberos 인증 시스템에 참여하는 모든 호스트에서 내부 시스템 시간의 최대 차이입니다. 인증 시스템에 참여하는 임의의 호스트 사이에서 클록 불균형이 초과되면 요청은 거부됩니다. 클록 불균형은 krb5.conf 파일에서 지정할 수 있습니다.
- 기밀 사항
-
프라이버시를 참고하십시오.
- 증명서
-
티켓과 해당 세션 키가 포함된 정보 패키지입니다. 주체의 신원을 인증할 때 사용됩니다. 티켓 및 세션 키를 참고하십시오.
- 증명서 캐시
-
KDC로부터 받은 증명서가 포함된 저장 공간(일반적으로 파일)입니다.
- 플레이버
-
역사적으로, 보안 플레이버와 인증 플레이버는 인증 유형(AUTH_UNIX, AUTH_DES, AUTH_KERB)을 나타내는 플레이버로서 같은 의미였습니다. RPCSEC_GSS도 인증 외에 무결성과 프라이버시 서비스를 제공하는 보안 플레이버입니다.
- 전송 가능 티켓
-
클라이언트가 원격 호스트에 대한 티켓을 요청할 때 해당 호스트에서 인증 과정을 전부 거치지 않고도 사용할 수 있는 티켓입니다. 예를 들어, 사용자 david가 jennifer의 시스템에서 전송 가능 티켓을 취득하면 새 티켓을 취득하지 않고도 즉, 다시 인증을 하지 않고도 자신의 시스템에 로그인할 수 있습니다. 프록시 가능 티켓을 참고하십시오.
- FQDN
-
도메인의 전체 이름입니다. 예를 들어, denver.mtn.acme.com(단순히 denver와는 대조적으로)은 도메인의 전체 이름입니다.
- GSS-API
-
일반 보안 서비스 응용 프로그램 프로그래밍 인터페이스입니다. 다양한 모듈 보안 서비스(SEAM 포함)에 대한 지원을 제공하는 네트워크 계층입니다. GSS-API는 보안 인증, 무결성, 프라이버시 서비스를 제공합니다. 인증, integrity, 프라이버시를 참고하십시오.
- 호스트
-
네트워크에서 액세스할 수 있는 컴퓨터입니다.
- 호스트 주체
-
기본 이름 호스트로 표시되는 주체가
ftp,rcp, 또는rlogin등의 네트워크 서비스를 제공하도록 설정된 서비스 주체의 특정 인스턴스입니다. host/boston.eng.acme.com@ENG.ACME.COM은 호스트 주체의 예입니다. 서버 주체를 참고하십시오. - 내부 티켓
-
기존의 티켓 부여 티켓을 기반으로 하지 않고 직접 발행되는 티켓입니다. 암호를 변경하는 응용 프로그램과 같은 일부 서비스는 티켓에 initial을 표시하여 클라이언트가 자체의 비밀 키에 대한 정보를 나타낼 수 있음을 확인합니다. 초기 티켓은 클라이언트가 오랫동안 의존했던 티켓 부여 티켓 대신 최근 자체 인증을 수행했음을 나타냅니다.
- 인스턴스
-
주체 이름의 두번째 부분으로 주체의 기본을 한정하는 인스턴스입니다. 서비스 주체의 경우 인스턴스는 필수이며 host/boston.eng.acme.com에서와 같이 호스트 도메인의 전체 이름입니다. 사용자 주체의 경우 인스턴스는 선택적입니다. 단, joe와 joe/admin은 고유한 주체임을 알아야 합니다. 주체 이름, 서비스 주체, 사용자 주체를 참고하십시오.
- integrity
-
사용자 인증과 함께 보안 서비스는 암호 검사 합계를 통해 전송 데이터의 유효성을 확인합니다. 인증, 프라이버시를 참고하십시오.
- 유효하지 않은 티켓
-
아직 사용할 수 없는, 날짜를 늦춰 적은 티켓입니다. 티켓이 확인될 때까지 응용 프로그램 서버에서 이 티켓을 거부합니다. 유효하게 하려면 클라이언트는 시작 시간이 경과한 후 VALIDATE 플래그 설정과 함께 이 티켓을 TGS 요청으로 KDC에 제출해야 합니다. 날짜를 늦춰 적은 티켓을 참고하십시오.
- KDC
-
(Key Distribution Center) 다음과 같은 세 가지의 Kerberos V5 구성 요소가 포함된 시스템입니다.
-
주체와 key 데이터베이스
-
인증 서비스
-
티켓 부여 서비스
각 영역에는 마스터 KDC가 들어 있으며 하나 이상의 슬레이브 KDC가 포함되어야 합니다.
-
- Kerberos
-
인증 서비스, 인증 서비스에서 사용하는 프로토콜, 또는 인증 서비스를 구현하기 위해 사용하는 코드입니다.
SEAM은 Kerberos V5를 기반으로 하여 인증 서비스를 실행합니다.
기술적으로 차이가 있지만 "SEAM"과 "Kerberos"는 SEAM 설명서에서 종종 동일하게 사용되며 "Kerberos"와 "Kerberos V5"의 경우도 마찬가지입니다.
Kerberos(Cerberus)는 그리스 신화에서 하데스의 문을 지키는 머리가 세 개 달린 사냥개 또는 경비견을 말합니다.
- 키
- 키 테이블
-
하나 이상의 키(주체)가 포함된 키 테이블 파일입니다. 호스트나 서비스는 사용자가 암호를 사용하는 것처럼 키 테이블을 사용합니다.
- kvno
-
키 버전 번호입니다. 생성 순서대로 특정 키를 추적하는 일련 번호입니다. 가장 큰 kvno가 최신 및 현재 키입니다.
- 마스터 KDC
-
Kerberos 관리 서버 kadmind과 인증 및 티켓 부여 데몬 krb5kdc를 포함한 각 영역의 주 KDC입니다. 각 영역에는 하나 이상의 마스터 KDC가 있어야 하고 클라이언트에게 인증 서비스를 제공하는 중복 또는 슬레이브 KDC를 여러 개 가질 수 있습니다.
- mechanism
-
데이터 인증 또는 기밀 유지를 위한 암호화 기법을 지정하는 소프트웨어 패키지입니다. 예를 들어, Kerberos V5, Diffie-Hellman 공개키 등이 있습니다.
- 네트워크 응용 프로그램 서버
-
네트워크 응용 프로그램 ftp 등을 제공하는 서버입니다. 영역에는 여러 가지 네트워크 응용 프로그램 서버가 포함될 수 있습니다.
- NTP
-
(Network Time Protocol) University of Delaware에서 개발한 소프트웨어로 네트워크 환경에서 정확한 시간 및 네트워크 클록 동기화를 관리할 수 있습니다. NTP를 사용하여 Kerberos 환경에서 클록 불균형을 관리할 수 있습니다.
- PAM
-
(Pluggable Authentication Module) 서비스를 재컴파일하지 않고도 복수 인증 메커니즘을 사용할 수 있도록 하는 프레임워크입니다. PAM을 사용하여 로그인할 때 SEAM 세션을 초기화할 수 있습니다.
- 정책
-
SEAM을 설치하거나 관리하면 초기화되는 규칙 모음으로 티켓 사용법을 결정합니다. 정책을 사용하면 주체의 액세스 또는 lifespan 등의 티켓 매개변수를 규정할 수 있습니다.
- 날짜를 늦춰 적은 티켓
-
날짜를 늦춰 적은 티켓은 발행 후 지정된 시간이 되어야 유효한 티켓입니다. 이 티켓은 밤늦게 실행되는 일괄 처리 작업 등에 유용합니다. 티켓을 분실해도 일괄 처리 작업이 실행되기 전에는 사용할 수 없기 때문입니다. 날짜를 늦춰 적은 티켓은 invalid 상태로 발행되며 a) 시작 시간이 경과하고 b) 클라이언트가 KDC의 확인을 요청할 때까지 이 상태를 유지합니다. 날짜를 늦춰 적은 티켓은 일반적으로 티켓 부여 티켓의 만기일까지 유효합니다. 단, renewable로 표시되면 이 티켓의 유효 기간은 일반적으로 티켓 부여 티켓의 전체 유효 기간과 동일하게 설정됩니다. 유효하지 않은 티켓 및 갱신 티켓을 참고하십시오.
- 기본
- 주체
- 주체 이름
- 프라이버시
-
전송할 데이터를 보내기 전에 암호화하는 보안 서비스입니다. 프라이버시에도 데이터 무결성과 사용자 인증이 포함됩니다. 인증, integrity, 서비스를 참고하십시오.
- 개인키
-
각 사용자 주체에 키가 제공되며 해당 주체의 사용자와 KDC만 알 수 있습니다. 사용자 주체에서 키는 사용자 암호를 기준으로 합니다. 키를 참고하십시오.
- 개인키 암호화
-
개인키 암호화에서 발신인과 수신인은 암호화에 같은 키를 사용합니다. 공개키 암호화를 참고하십시오.
- 프록시 가능 티켓
-
클라이언트를 위한 작업을 수행하기 위해 서비스에서 클라이언트 대신 사용할 수 있는 티켓입니다(따라서 서비스는 클라이언트의 프록시로서 동작한다고 합니다). 이 티켓으로 서비스에서는 클라이언트의 ID를 흉내낼 수 있습니다. 서비스에서는 이 티켓을 사용하여 다른 서비스에 대한 티켓을 취득할 수 있지만 티켓 부여 티켓을 취득할 수는 없습니다. 프록시 가능 티켓과 전송 가능 티켓 사이의 차이점은 프록시 티켓은 단일 작업에 대해서만 유효하다는 점입니다. 전송 가능 티켓을 참고하십시오.
- 공개키 암호화
-
각 사용자가 공개키와 개인키를 하나씩 갖는 암호화 방법입니다. 공개키 암호화에서 발신인은 수신인의 공개키를 사용하여 메시지를 암호화하고 수신인은 개인키를 사용하여 이를 해독합니다. SEAM은 개인키 시스템입니다. 개인키 암호화를 참고하십시오.
- QOP
-
(Quality of Protection) 무결성 또는 프라이버시 서비스와 함께 사용될 암호 알고리즘을 선택할 때 사용되는 매개변수입니다.
- 영역
-
-
단일 SEAM 데이터베이스와 KDC(Key Distribution Center) 세트가 제공하는 논리적 네트워크입니다.
-
주체 이름의 세번째 부분입니다. 주체 이름 joe/admin@ENG.ACME.COM에서 영역은 ENG.ACME.COM입니다. 주체 이름을 참고하십시오.
-
- 관계
-
파일 kdc.conf또는 krb5.conf에서 정의된 구성 변수 또는 관계입니다.
- 갱신 티켓
-
티켓을 장기간 사용할 수 있도록 설정하면 보안상 위험이 따르므로 티켓을 renewable로 지정할 수 있습니다. 갱신 티켓에는 두 개의 만기 시간이 있습니다. 현재의 티켓 인스턴스가 만기되는 시간과 모든 티켓의 최대 사용 시간입니다. 클라이언트가 티켓을 계속 사용하려면 첫번째 만기일 전에 갱신합니다. 예를 들어, 모든 티켓의 최대 사용 시간은 10시간이며 이 중 하나의 티켓은 한 시간 동안 유효할 수 있습니다. 티켓을 보유하고 있는 클라이언트가 티켓을 한 시간 이상 유지하려면 이를 갱신해야 합니다. 티켓이 최대 사용 시간에 이르면 자동으로 만기되어 갱신할 수 없습니다.
- SEAM
-
(Sun Enterprise Authentication Mechanism) 네트워크에서 사용자를 인증하기 위한 시스템으로서 Massachusetts Institute of Technology에서 개발한 Kerberos V5 기술을 기반으로 합니다.
"SEAM"과 "Kerberos"는 SEAM 설명서에서 종종 동일한 의미로 사용됩니다.
- 비밀키
-
개인키를 참고하십시오.
- 보안 플레이버
-
플레이버를 참고하십시오.
- 보안 메커니즘
-
mechanism을 참고하십시오.
- 보안 서비스
-
서비스를 참고하십시오.
- 서버
-
네트워크 클라이언트에게 자원을 제공하는 특정 주체입니다.예를 들어, 시스템boston.eng.acme.com에 rlogin하면 이 시스템은 rlogin 서비스를 제공하는 서버입니다. 서비스 주체를 참고하십시오.
- 서버 주체
-
(RPCSEC_GSS API) 서비스를 제공하는 주체입니다. 이는 서비스@호스트 형식의 ASCII 문자열로 저장됩니다. 클라이언트 주체를 참고하십시오.
- 서비스
- 서비스 키
-
서비스 주체와 KDC에서 공유하고 시스템 범위 외로 배포되는 암호화 키입니다. 키를 참고하십시오.
- 서비스 주체
-
서비스에 대해 Kerberos 인증을 제공하는 주체입니다. 서비스 주체의 경우 기본 이름은
ftp같은 서비스 이름이고 인스턴스는 이 서비스를 제공하는 시스템의 호스트 전체 이름입니다. 호스트 주체, 사용자 주체를 참고하십시오. - 세션 키
-
인증 서비스 또는 티켓 부여 서비스에서 생성하는 키입니다. 클라이언트와 서비스 간의 안전한 트랜잭션을 위해 세션 키가 생성됩니다. 이 키의 유효 기간은 단일 로그인 세션 중으로 제한됩니다. 키를 참고하십시오.
- 슬레이브 KDC
-
마스터 기능을 대부분 수행할 수 있는 마스터 KDC의 복사본입니다. 각 영역에는 일반적으로 여러 개의 슬레이브 KDC와 한 개의 마스터 KDC가 들어 있습니다. KDC, 마스터 KDC를 참고하십시오.
- 보관 파일
-
보관 파일에는 KDC에 대한 암호화된 마스터 키 복사본이 포함되어 있습니다. 이 키는 kadmind 및 krb5kdc 프로세스를 시작하기 전에 KDC를 자동으로 인증하기 위해 서버가 재부팅될 때 사용됩니다. 이 파일에는 마스터 키가 포함되므로 파일과 모든 파일 백업을 안전하게 보관해야 합니다. 암호화가 협의되면 KDC 데이터베이스를 액세스하거나 수정하는 데 키를 사용할 수 있습니다.
- 티켓
-
사용자의 ID를 서버나 서비스에 안전하게 전달하기 위해 사용되는 정보 패킷입니다. 티켓은 단일 클라이언트와 특정 서버의 특정 서비스에만 사용할 수 있습니다. 서비스 주체 이름, 사용자 주체 이름, 사용자 호스트 IP 주소, 타임스탬프, 티켓 유효 기간 정의 값이 포함됩니다. 클라이언트와 서비스가 사용할 랜덤 세션 키를 사용해 티켓이 작성됩니다. 티켓을 한번 발행하면 만기일까지 재사용할 수 있습니다. 티켓은 새 인증자와 함께 제시될 때 클라이언트를 인증하기 위해서만 사용됩니다. 인증자, 증명서, 서비스, 세션 키를 참고하십시오.
- 티켓 파일
-
증명서 캐시를 참고하십시오.
- TGS
-
(Ticket-Granting Service) 티켓 발행을 담당하는 KDC의 부분입니다.
- TGT
-
(Ticket-Granting Ticket) 클라이언트가 다른 서비스에 대한 티켓을 요청할 수 있도록 KDC에서 발행하는 티켓입니다.
- 사용자 주체
-
특정 사용자에 속한 주체로 기본 이름은 사용자 이름이고 선택적 인스턴스는 해당 증명서의 사용 목적을 설명하기 위해 사용되는 이름입니다(예: joe 또는 joe/admin). 사용자 인스턴스로도 알려져 있습니다. 서비스 주체를 참고하십시오.
- © 2010, Oracle Corporation and/or its affiliates