탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
기본적으로 사용자 암호는 crypt_sha256 알고리즘으로 보안 처리됩니다. 기본 암호 보안 처리 알고리즘을 변경하여 다른 암호화 알고리즘을 사용할 수 있습니다.
이 절차에서는 MD5 알고리즘의 BSD-Linux 버전이 기본 암호화 알고리즘으로, 사용자가 암호를 변경할 때 사용됩니다. 이 알고리즘은 Oracle Solaris, BSD 및 Linux 버전의 UNIX를 실행하는 혼합 시스템 네트워크에 적합합니다. 암호 보안 처리 알고리즘 및 알고리즘 식별자 목록은 표 2-1을 참조하십시오.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
/etc/security/policy.conf 파일에서 CRYPT_DEFAULT 변수에 대한 값으로 식별자를 입력합니다.
파일에서 선택한 내용을 설명할 주석을 처리할 수도 있습니다.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 (5) that works with Linux and BSD systems. # Passwords previously encrypted with SHA256 (1) will be encrypted # with MD5 when users change their passwords. # # #CRYPT_DEFAULT=5 CRYPT_DEFAULT=1
이 예에서는 알고리즘 구성이 암호 보안 처리에 sha256 알고리즘이 사용되지 않도록 합니다. 암호가 sha256 모듈로 보안 처리된 사용자는 암호를 변경할 때 암호가 crypt_bsdmd5로 보안 처리됩니다.
알고리즘 선택 구성에 대한 자세한 내용은 policy.conf(4) 매뉴얼 페이지를 참조하십시오.
예 3-6 이기종 환경에서의 암호 보안 처리 알고리즘 제약
이 예에서는 BSD 및 Linux 시스템이 포함된 네트워크에서 관리자가 암호를 모든 시스템에서 사용 가능한 것으로 구성합니다. 일부 네트워크 응용 프로그램에서는 SHA512 암호화를 처리할 수 없으므로 관리자가 허용되는 알고리즘 목록에 해당 식별자를 포함시키지 않습니다. 관리자는 SHA256 알고리즘 5를 CRYPT_DEFAULT 변수에 대한 값으로 유지합니다. CRYPT_ALGORITHMS_ALLOW 변수에는 BSD 및 Linux 시스템과 호환되는 MD5 식별자와 BSD 시스템과 호환되는 Blowfish 식별자가 포함됩니다. 5는 CRYPT_DEFAULT 알고리즘이므로 CRYPT_ALGORITHMS_ALLOW 목록에 나열되지 않아도 됩니다. 하지만 유지 관리를 위해 관리자는 CRYPT_ALGORITHMS_ALLOW 목록에 5를 배치하고 CRYPT_ALGORITHMS_DEPRECATE 목록에 사용되지 않은 식별자를 배치합니다.
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5
NIS 도메인의 사용자가 암호를 변경하면 NIS 클라이언트는 /etc/security/policy.conf 파일에서 로컬 알고리즘 구성을 확인합니다. NIS 클라이언트 시스템이 암호를 보안 처리합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
LDAP 클라이언트가 제대로 구성되면 LDAP 클라이언트는 새 암호 알고리즘을 사용할 수 있습니다. LDAP 클라이언트의 작동 방식은 NIS 클라이언트의 작동 방식과 동일합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
pam_ldap.so.1이 포함된 항목 앞에 주석 기호(#)가 있는지 확인합니다. server_policy 옵션은 pam_authtok_store.so.1 모듈과 함께 사용하지 마십시오.
클라이언트의 pam.conf 파일에 있는 PAM 항목은 로컬 알고리즘 구성에 따라 암호가 보안 처리될 수 있도록 합니다. 또한 PAM 항목은 암호가 인증될 수 있도록 합니다.
LDAP 도메인의 사용자가 암호를 변경하면 LDAP 클라이언트는 /etc/security/policy.conf 파일에서 로컬 알고리즘 구성을 확인합니다. LDAP 클라이언트 시스템이 암호를 보안 처리합니다. 그러면 클라이언트가 {crypt} 태그를 가진 보안 처리된 암호를 서버로 보냅니다. 서버에서는 태그를 통해 암호가 이미 보안 처리되었음을 확인하고, 암호를 그대로 저장합니다. 인증을 위해 클라이언트는 저장된 암호를 서버에서 검색합니다. 그런 다음 사용자가 입력한 암호를 기반으로 클라이언트가 생성한 암호화된 버전과 저장된 암호를 비교합니다.
주 - LDAP 서버에서 암호 정책 제어를 사용하려면 pam.conf 파일의 pam_authtok_store 항목과 함께 server_policy 옵션을 사용하십시오. 그러면 Oracle Directory Server Enterprise Edition의 암호화 방식을 사용하여 서버에서 암호가 보안 처리됩니다. 절차는 Oracle Solaris Administration: Naming and Directory Services의 11 장, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks)을 참조하십시오.