티켓 유형

티켓에는 티켓 사용 방법을 결정하는 속성이 있습니다. 이 속성은 티켓을 작성할 때 지정하며 나중에 변경할 수도 있습니다. 예를 들어, 티켓의 속성을 전송 가능에서 전송됨으로 변경할 수 있습니다. 티켓 속성을 보려면 klist 명령을 사용합니다("티켓 보는 방법" 참고).

티켓에는 다음과 같은 속성이 있습니다.

전송 가능/전송됨

전송 티켓은 호스트 간에 전송이 가능하며 클라이언트가 재인증 받을 필요가 없습니다. 예를 들어, 사용자 david가 jennifer의 컴퓨터에서 전송 티켓을 얻은 경우 새 티켓을 얻어 재인증 받지 않아도 자신의 컴퓨터에 로그인할 수 있습니다. 전송 티켓의 예는 "예 - 티켓 작성"을 참고하십시오. 전송 티켓을 아래의 프록시 가능 티켓과 비교하십시오.

초기

초기 티켓은 티켓 부여 티켓과 상관없이 직접 발행된 티켓입니다. 응용 프로그램에서 암호를 변경할 경우와 같이 일부 서비스에서는 클라이언트가 비밀 키를 확실히 알고 있다는 것을 확인하기 위해, 초기 티켓을 요구할 수 있습니다. 초기 티켓은 클라이언트가 최근에 인증받았음을 나타내므로, 장기간 사용되었을 수도 있는 티켓 부여 티켓을 사용하는 대신 초기 티켓을 사용합니다.

유효하지 않은

유효하지 않은 티켓은 아직 사용할 수 없도록 날짜를 늦춰 적은 티켓입니다. 아래의 날짜를 늦춰 적은 티켓을 참고하십시오. 티켓이 유효해질 때까지 응용 프로그램 서버에서는 이 티켓을 거부합니다. 티켓이 유효해지려면 유효 기간의 시작 시간이 지난 후 VALIDATE 플래그 설정을 사용하여 클라이언트의 TGS 요청에서 티켓을 KDC에 제출해야 합니다.

날짜를 늦출 수 있는/날짜를 늦춰 적은

날짜를 늦춰 적은 티켓은 작성 후 지정된 시간까지 유효하지 않은 티켓입니다. 이 티켓은 밤 늦게 실행되는 일괄 처리 작업 등에 유용합니다. 티켓을 분실해도 일괄 처리 작업이 실행되기 전에는 사용할 수 없기 때문입니다. 날짜를 늦춰 적은 티켓은 발행 시 유효하지 않은 티켓으로 발행되며, 시작 시간이 지나고 클라이언트에서 KDC에 유효화를 요청할 때까지 이러한 상태가 유지됩니다. 위에서 설명한 유효하지 않은 티켓을 참고하십시오. 날짜를 늦춰 적은 티켓은 일반적으로 티켓 부여 티켓의 만기 시간까지 유효하지만, 갱신 표시가 있을 경우에는 티켓 부여 티켓의 최대 유효 기간과 동일하게 설정됩니다. 아래의 갱신 티켓을 참고하십시오.

프록시 가능/프록시

주체는 서비스가 대신 작업을 수행하도록 요청할 경우가 있습니다. 예를 들어, 주체는 서비스에게 제3의 호스트에서 인쇄 작업을 실행하도록 요청할 수 있습니다. 이 때 서비스는 해당 작업에 대해 클라이언트의 ID를 사용할 수 있어야 합니다. 이런 경우 서버가 클라이언트의 프록시로서 작동한다고 말합니다. 프록시의 주체 이름은 티켓이 작성될 때 지정해야 합니다.

프록시 가능 티켓은 전송 가능 티켓과 유사하지만 단지 한 종류의 서비스에 대해서만 유효하고, 전송 가능 티켓은 서비스에게 클라이언트 ID의 전체 사용권을 부여한다는 점이 다릅니다. 따라서 전송 가능 티켓은 일종의 슈퍼 프록시로 생각할 수 있습니다.

갱신

유효 기간이 매우 긴 티켓은 보안상 위험이 있기 때문에 갱신 티켓을 지정할 수 있습니다. 갱신 티켓에는 두 개의 만료 기간이 있습니다. 즉, 현재의 티켓 인스턴스가 만료되는 시간과 모든 티켓에 적용되는 최대 유효 기간입니다. 클라이언트는 티켓을 계속 사용하려면 첫번째 만기일 전에 갱신해야 합니다. 예를 들어, 현재 티켓 인스턴스의 유효 기간은 1시간이고 모든 티켓의 최대 유효 기간은 10시간일 경우, 해당 티켓을 클라이언트가 1시간 이상 보유하려면 이를 1시간 내에 갱신해야 합니다. 최대 유효 기간(10시간)이 지나면 티켓이 자동으로 만기되며 갱신할 수 없습니다.

티켓의 속성을 확인하는 방법에 대한 자세한 내용은 "티켓 보는 방법"을 참고하십시오.

티켓 유효 기간

티켓 부여 티켓을 포함하여 주체가 티켓을 얻으면 티켓의 유효 기간은 다음 유효 기간 중 최소값으로 설정됩니다.

• kinit 명령의 -l 옵션으로 지정된 유효 기간 값(티켓을 얻기 위해 kinit 명령을 사용할 경우)

• kdc.conf 파일에 지정된 최대 유효 기간 값(max_life)

• 티켓을 제공하는 서비스 주체의 Kerberos 데이터베이스에 지정된 최대 유효 기간 값(kinit 명령의 경우 서비스 주체는 krbtgt/ 영역임.)

• 티켓을 요청한 사용자 주체의 Kerberos 데이터베이스에 지정된 최대 유효 기간 값

그림 7-1에서는 TGT의 유효 기간 결정 방법과 네 가지 유효 기간 값의 계산 방법을 설명합니다. 그림 7-1에 설명된 TGT의 유효 기간 결정 방법에 따르면 모든 주체는 티켓을 얻을 때 기본적으로 동일한 방법으로 유효 기간이 결정됩니다. 유일한 차이점은 kinit는 유효 기간 값을 제공하지 않으며 티켓을 제공하는 서비스 주체( krbtgt/ 영역 주체 대신)가 최대 유효 기간 값을 제공한다는 점입니다.

그림 7-1 TGT의 유효 기간 결정 방법

갱신 티켓의 유효 기간도 다음 네 가지 유효 기간 중 최소값으로 결정되지만 대신에 갱신 가능 유효 기간 값이 사용됩니다.

• kinit 명령의 -r 옵션으로 지정된 갱신 가능 유효 기간 값( kinit 명령을 사용하여 티켓을 얻거나 갱신한 경우)

• kdc.conf 파일에 지정된 최대 갱신 가능 유효 기간 값(max_renewable_life)

• 티켓을 제공하는 서비스 주체의 Kerberos 데이터베이스에 지정된 최대 갱신 가능 유효 기간 값(kinit 명령의 경우 서비스 주체는 krbtgt/영역임.)

• 티켓을 요청하는 사용자 주체의 Kerberos 데이터베이스에 지정된 최대 갱신 가능 유효 기간 값

주체 이름

각 티켓은 주체 이름에 의해 구별되며, 주체 이름은 사용자나 서비스를 나타냅니다. 다음은 몇 가지 주체 이름의 예입니다.

표 7-4 주체 이름의 예

주체 이름	설명
root/boston.acme.com@ACME.COM	NFS 클라이언트에서 root 계정과 관련된 주체로서, root 주체라고 합니다. 이것은 인증된 NFS 마운팅을 성공적으로 수행하는 데 필요합니다.
host/boston.acme.com@ACME.COM	Kerberos 응용 프로그램(예:klist, kprop)과 서비스(예: ftp, telnet)에서 사용되는 주체입니다. host 주체 또는 서비스 주체라고 합니다.
username@ACME.COM	사용자 주체입니다.
username/admin@ACME.COM	KDC 데이터베이스 관리에 사용할 수 있는 admin 주체입니다.
ftp/boston.acme.com@ACME.COM	ftp 서비스에서 사용되는 주체로서 host 주체 대신 사용될 수 있습니다.
K/M@ACME.COM	마스터 키 이름 주체로서 각 마스터 KDC에 한 개씩 연결되어 있습니다.
kadmin/history@ACME.COM	다른 주체의 암호 사용 기록을 유지하는 키가 포함된 주체입니다. 이 주체는 각 마스터 KDC에 한 개씩 있습니다.
kadmin/kdc1.acme.com@ACME.COM	kadmind 명령을 사용하여 KDC에 액세스할 수 있도록 하는 마스터 KDC 서버의 주체입니다.
changepw/kdc1.acme.com@ACME.COM	암호 변경 시 KDC에 액세스할 수 있도록 하는 마스터 KDC 서버의 주체입니다.
krbtgt/ACME.COM@ACME.COM	이 주체는 티켓 부여 티켓을 생성할 때 사용됩니다.