계정에 대한 액세스 부여

타인이 자신의 계정에 로그인할 수 있도록 액세스를 부여할 경우 홈 디렉토리에 .k5login 파일을 두면, 암호를 알리지 않고도 Kerberos를 통해 이 작업을 수행할 수 있습니다. .k5login 파일은 액세스를 부여할 각 사용자에 해당하는 여러 Kerberos 주체의 목록입니다 각 주체는 서로 다른 행에 있어야 합니다.

사용자 david가 홈 디렉토리에 다음과 같은 .k5login파일을 가지고 있다고 가정합시다.

jennifer@ENG.ACME.COM
joe@ACME.ORG  

이 파일에 의해 사용자 jennifer와 joe는 각기 해당 영역에 Kerberos 티켓을 가지고 있을 경우 david의 ID를 사용할 수 있습니다. 예를 들어, jennifer는 david의 시스템(boston)에 암호를 몰라도rlogin할 수 있습니다.

그림 6-1 파일.k5login 사용

(david의 홈 디렉토리에 Kerberos V5 프로토콜을 통해 다른 시스템(세 번째 시스템)의 NFS가 마운트되어 있을 경우, jennifer는 그의 홈 디렉토리에 액세스하기 위해 전송 가능 티켓이 있어야 합니다. 전송 가능 티켓 사용에 대한 예는 "티켓 작성 방법"을 참고하십시오).

네트워크에서 다른 시스템에 로그인하려면 해당 시스템의 .k5login 파일에 자신의 Kerberos 주체가 포함되어야 합니다.

.k5login 파일을 사용하는 방법이 암호를 알려 주는 것보다 훨씬 안전합니다.

• .k5login 파일에서 주체를 삭제하면 언제든지 액세스를 중단시킬 수 있습니다.

• 홈 디렉토리의 .k5login 파일에 이름이 포함된 사용자는 해당 시스템(NFS 등을 통해 파일이 공유될 경우 여러 시스템일 수도 있음)에서 계정에 완전히 액세스할 수 있지만, 네트워크 권한은 상속받지 않습니다. 즉, 모든 Kerberos 암호화를 지원하는 서비스는 액세스 제공자가 아니라 해당 사용자의 ID에 따라 액세스 권한을 부여합니다. 따라서 jennifer는 joe의 시스템에 로그인하여 작업을 수행할 수 있으나, ftp, rlogin 등의 Kerberos 암호화를 지원하는 프로그램을 사용할 경우 그녀 자신이 수행하는 것으로 됩니다.

• Kerberos는 티켓을 얻는 자에 대해 로그 파일을 기록하므로, 필요한 경우 시스템 관리자는 특정 시점에서 타인의 사용자 ID를 사용할 수 있는 사람을 찾을 수 있습니다.

.k5login 파일을 사용하는 방법 중 하나는 root의 홈 디렉토리에 이 파일을 두고, 목록에 있는 Kerberos 주체에게 해당 시스템에 대한 root 권한을 부여하는 것입니다. 이렇게 하면 타인에게 root 암호를 제공하거나 네트워크에서 root 암호를 입력하지 않아도 시스템 관리자가 로컬에서 관리자 계정으로 들어가거나 원격으로 root에 로그인할 수 있습니다.

예 - 사용 파일.k5loginFile

사용자 jennifer가 boston.acme.com 시스템에 root로 로그인한다고 가정합니다. 그녀는 boston.acme.com에서 root의 홈 디렉토리에 있는.k5login 파일에 그녀의 주체 이름 항목이 있으므로 암호를 다시 입력할 필요가 없습니다.

% rlogin boston.acme.com -l root -x
이 rlogin 세션은 모든 데이터 전송에 DES 암호화를 사용합니다. 
마지막 로그인: 6월 20일 목요일 16:20:50, daffodil   
SunOS 5.7 버전(일반) #2: 1998년 11월 14일 화요일 18:09:31 EST    
boston[root]%