test

SEAM 설치 및 제품 출시 정보

SEAM 패키지 내용

SEAM 소프트웨어는 클라이언트인 KDC 슬레이브 서버나 KDC 마스터 서버에 설치할 수 있습니다. SEAM 응용 프로그램이나 SEAM NFS 서버와 같은 다른 유형의 서버들은 클라이언트 소프트웨어 패키지가 설치된 후 구성됩니다. 각 유형의 설치에서 하나 이상의 패키지가 추가되며, 이 중 일부는 시스템 보안에 중요한 파일을 변경합니다.

SEAM 클라이언트 패키지

클라이언트 패키지는 SEAM 매뉴얼 페이지, Kerberos 응용 프로그램(예를들어klist), 관리 응용 프로그램(kadmingkadmin)뿐만 아니라 Kerberos 암호화를 지원하는 데몬과 유틸리티(ftpftpd)를 설치합니다. 설치 프로세스에서는 /etc/inetd.conf, /etc/services, /etc/pam.conf /etc/krb5/krb5.conf 파일이 편집됩니다. 특정 사이트에 대해 이 파일들을 수정했으면, 설치 후 파일 내용을 확인해야 합니다.

또한 Solaris 2.6 클라이언트 경우에는 GSS_API 프레임워크와 RPCSEC_GSS를 지원하는 파일이 설치됩니다. 이 파일들은 Solaris 7 릴리스에 이미 포함되어 있으므로 Solaris 2.6 클라이언트에만 추가됩니다. 설치되는 새로운 보안 관련 파일에는 /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop, /etc/nfssec.conf 등이 있습니다. 또한, root/etc/inetd.conf를 위한 crontab 파일이 편집됩니다. 이번에도 특정 사이트에 대해 이 파일들을 수정했으면, 설치 후 파일 내용을 확인해야 합니다.

슬레이브 KDC 패키지

슬레이브 KDC 설치 프로세스에서는 모든 클라이언트 패키지뿐 아니라 KDC 서버에 필요한 유틸리티가 들어 있는 추가 패키지도 설치됩니다. 시작 스크립트는 슬레이브 KDC 데몬을 시작하는 /etc/init.d/kdc에 설치됩니다. 또한, /etc/krb5/kdc.conf/etc/inetd.conf파일이 편집됩니다.

마스터 KDC 패키지

마스터 KDC 설치 프로세스에서는 클라이언트 패키지, 슬레이브 KDC 패키지 및 마스터 KDC 서버에만 필요한 파일과 유틸리티가 들어 있는 모든 패키지가 설치됩니다. 이 프로세스에서 root에 대한 crontab 파일을 편집하고 시작 스크립트를 /etc/init.d/kdc.master에 설치합니다. KDC 제어 액세스 파일인 /etc/krb5/kadm5.acl과 KDC 데이터베이스의 전파를 제어하는 파일인 /etc/krb5/kpropd.acl이 추가됩니다. 이 파일들의 보안은 KDC 데이터베이스의 보안에 매우 중요합니다.

패치

SEAM 릴리스에 포함된 모든 패치는 SolarisTM2.6 SPARCTM 및 Intel 시스템에 대한 패치입니다. 일부 패치는 SEAM과 관련되지 않은 수정을 포함합니다. 이것은 SEAM과 비 SEAM 수정이 동일한 이진에 영향을 미치기 때문이며, 포함된 모든 패치는 공식적인 패치입니다.

NFS 파일 시스템 및 내보내기와 함께 Kerberos V5 보안을 사용하려면 이들 패치가 모두 필요합니다. NFS 파일 시스템 보안에 SEAM을 사용하지 않는 경우에는 이들 패치가 필요 없습니다.

Solaris 패치의 번호는 XXXXXX-VV 형식입니다. 여기서 XXXXXX는 패치 기본 ID 번호이고 VV는 버전 번호입니다. 일반적으로 i386 패치 기본 ID 번호는 SPARC 기본 ID 번호에 1을 더한 번호입니다.

다음은 SEAM 1.0 릴리스에 포함된 전체 패치 목록입니다. 앞에 오는 ID는 SPARC 패치 ID입니다.

105472-04 / 105473-04 - 이렇게 수정하지 않으면, Kerberos V5 보안과 함께 마운트된 NFS 파일 시스템을 액세스할 때 자동마운터가 충돌합니다(즉, NFS 서버는 sec= krb5, krb5i 또는 krb5p와 파일 시스템 공유).

105564-03 / 105565-03 - 이렇게 수정하지 않으면, chgrp 명령이 Kerberos V5 보안과 함께 마운트된 NFS 파일 시스템에서 작동하지 않습니다.

105615-04 / 105616-04 - 이렇게 수정하지 않으면, share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5와 같은 명령을 사용하여 서버에서 NFS 파일 시스템을 성공적으로 내보낼 수 없습니다. 이보다 단순한 명령(예: share -o sec=krb5 /export/krb5)은 패치의 존재 여부에 관계없이 성공적으로 수행됩니다.

106639-01 / 106640-01 - 이 패치는 Kerberos V5 보안을 사용중인 NFS 파일 시스템을 사용할 때 발생하는 메모리 누출을 수정합니다.

107228-01 / 107281-01 - 이 패치는 XFN을 수정하여 gsscred명령에 사용하기 적당한 큰 테이블로 크기를 조정합니다. XFN을 사용하지 않는 경우에는 이 패치가 필요 없습니다.