탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
영역은 도메인과 유사한 논리적 그룹으로, 동일한 마스터 KDC 아래에 있는 시스템 그룹을 정의합니다. DNS 도메인 이름을 설정하는 경우와 마찬가지로, Kerberos 서비스를 구성하기 전에 영역 이름, 각 영역의 개수 및 크기, 영역 간 인증을 위한 다른 영역과의 관계와 같은 문제를 해결해야 합니다.
영역 이름은 ASCII 문자열로 구성될 수 있습니다. 보통 영역 이름이 대문자인 경우를 제외하고는 DNS 도메인 이름과 같습니다. 이 규칙은 친숙한 이름을 사용하면서 Kerberos 서비스 관련 문제와 DNS 이름 공간 관련 문제를 구별하는 데 도움이 됩니다. DNS를 사용하지 않거나 다른 문자를 사용하도록 선택한 경우 원하는 문자열을 사용할 수 있습니다. 그러나 구성 프로세스에 더 많은 작업이 필요합니다. 표준 인터넷 명명 구조를 준수하는 영역 이름을 사용하는 것이 좋습니다.
설치에 필요한 영역 수는 다음과 같은 몇 가지 요인에 따라 달라집니다.
지원될 클라이언트 수. 한 영역에 클라이언트가 너무 많이 있을 경우 관리하기 어려워지므로 결과적으로 영역을 분할해야 합니다. 지원 가능한 클라이언트 수를 결정하는 주요 요인은 다음과 같습니다.
각 클라이언트가 생성하는 Kerberos 양
물리적 네트워크의 대역폭
호스트 속도
설치 시마다 제한 사항이 달라지므로 최대 클라이언트 수를 결정하는 규칙은 없습니다.
클라이언트가 떨어져 있는 거리. 클라이언트가 서로 다른 지역에 있는 경우 여러 개의 작은 영역을 설정할 수 있습니다.
KDC로 설치할 수 있는 호스트 수. 각 영역에는 마스터 서버와 슬레이브 서버 각각 하나씩, 최소 두 개의 KDC 서버가 있어야 합니다.
관리 도메인과 Kerberos 영역을 조정하는 것이 좋습니다. Kerberos V 영역은 영역이 대응되는 DNS 도메인의 여러 하위 도메인으로 확장될 수 있습니다.
영역 간 인증을 위해 여러 개의 영역을 구성하는 경우 영역을 서로 연결하는 방법을 결정해야 합니다. 영역 간에 계층 관계를 설정하여 관련 도메인에 대한 자동 경로를 제공할 수 있습니다. 물론 계층 체인의 모든 영역이 제대로 구성되어 있어야 합니다. 자동 경로를 사용하면 관리 부담이 줄어듭니다. 그러나 여러 레벨의 도메인이 있을 경우 기본 경로에는 너무 많은 트랜잭션이 필요하기 때문에 기본 경로를 사용하지 않을 수 있습니다.
신뢰 관계를 직접 설정하도록 선택할 수도 있습니다. 직접 신뢰 관계는 두 계층 영역 간에 너무 많은 레벨이 있거나 계층 관계가 존재하지 않을 경우에 가장 유용합니다. 연결을 사용하는 모든 호스트의 /etc/krb5/krb5.conf 파일에 연결을 정의해야 합니다. 따라서 약간의 추가 작업이 필요합니다. 직접 신뢰 관계는 추이적 관계라고도 합니다. 지침은 Kerberos 영역을 참조하십시오. 여러 영역에 대한 구성 절차는 영역 간 인증 구성을 참조하십시오.