탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
FTP 실행 시 Kerberos를 통한 일반 보안 서비스 사용 방법
Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
비Kerberos 객체 클래스 유형에서 Kerberos 주체 속성을 함께 사용하는 방법
마스터 KDC와 슬레이브 KDC를 간편하게 교체하려면 이 절의 절차를 사용해야 합니다. 마스터 KDC 서버가 특정 이유로 실패한 경우 또는 새 하드웨어 설치 등으로 인해 마스터 KDC를 다시 설치해야 하는 경우에만 마스터 KDC와 슬레이브 KDC를 교체해야 합니다.
마스터 KDC로 사용할 수 있도록 설정하려는 슬레이브 KDC에서 이 절차를 수행하십시오. 이 절차에서는 증분 전파를 사용 중인 것으로 간주합니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
KDC에 대한 호스트 이름을 정의하는 경우 각 시스템의 DNS에 별칭이 포함되어 있는지 확인합니다. /etc/krb5/krb5.conf 파일에서 호스트를 정의하는 경우에도 별칭 이름을 사용합니다.
교체에 앞서 이 서버가 영역의 기타 모든 슬레이브 KDC로 작동해야 합니다. 지침은 수동으로 슬레이브 KDC를 구성하는 방법을 참조하십시오.
마스터 KDC 명령이 이 슬레이브 KDC에서 실행되지 않도록 하려면 kprop, kadmind 및 kadmin.local 명령을 예약된 위치로 이동합니다.
kdc4 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save kdc4 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save kdc4 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
이 절차에서 교체하려는 마스터 KDC 서버의 이름은 kdc1이며, 새 마스터 KDC가 될 슬레이브 KDC의 이름은 kdc4입니다. 이 절차에서는 증분 전파를 사용 중인 것으로 간주합니다.
시작하기 전에
이 절차를 수행하려면 슬레이브 KDC 서버가 교체 가능한 슬레이브로 설정되어 있어야 합니다. 자세한 내용은 교체 가능한 슬레이브 KDC 구성 방법을 참조하십시오.
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
kdc4 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
다음 예에서는 두 행의 첫번째 addprinc 명령을 보여 주지만 명령은 한 행에만 입력되어야 합니다.
kadmin: addprinc -randkey -allow_tgs_req +password_changing_service -clearpolicy \ changepw/kdc4.example.com Principal "changepw/kdc4.example.com@ENG.SUN.COM" created. kadmin: addprinc -randkey -allow_tgs_req -clearpolicy kadmin/kdc4.example.com Principal "kadmin/kdc4.example.com@EXAMPLE.COM" created. kadmin:
kadmin: quit
다음 단계에서는 슬레이브 서버에서 강제로 전체 KDC 업데이트를 수행합니다.
kdc4 # svcadm disable network/security/krb5kdc kdc4 # rm /var/krb5/principal.ulog
kdc4 # /usr/sbin/kproplog -h
kdc4 # svcadm enable -r network/security/krb5kdc
이러한 단계는 새 마스터 KDC 서버에 대한 업데이트 로그를 다시 초기화합니다.
kdc4 # svcadm disable network/security/krb5kdc kdc4 # rm /var/krb5/principal.ulog
kadmind 프로세스를 강제 종료할 경우 변경 사항이 KDC 데이터베이스에 적용되지 않습니다.
kdc1 # svcadm disable network/security/kadmin kdc1 # svcadm disable network/security/krb5kdc
/etc/krb5/kdc.conf에서 sunw_dbprop_master_ulogsize 항목을 주석 처리하고 sunw_dbprop_slave_poll을 정의하는 항목을 추가합니다. 이 항목은 폴링 시간을 2분으로 설정합니다.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true # sunw_dbprop_master_ulogsize = 1000 sunw_dbprop_slave_poll = 2m }
마스터 KDC 명령이 실행되지 않도록 하려면 kprop, kadmind 및 kadmin.local 명령을 예약된 위치로 이동합니다.
kdc1 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save kdc1 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save kdc1 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save kdc1 # mv /etc/krb5/kadm5.acl /etc/krb5/kadm5.acl.save
서버를 변경하려면 example.com 영역 파일을 편집하고 masterkdc에 대한 항목을 변경합니다.
masterkdc IN CNAME kdc4
다음 명령을 실행하여 새 별칭 정보를 재로드합니다.
# svcadm refresh network/dns/server
kdc4 # mv /usr/lib/krb5/kprop.save /usr/lib/krb5/kprop kdc4 # mv /usr/lib/krb5/kadmind.save /usr/lib/krb5/kadmind kdc4 # mv /usr/sbin/kadmin.local.save /usr/sbin/kadmin.local kdc4 # mv /etc/krb5/kpropd.acl /etc/krb5/kpropd.acl.save
채워진 /etc/krb5/kadm5.acl 파일에는 KDC를 관리할 수 있도록 허용된 모든 주체 이름이 포함되어야 합니다. 또한 파일은 증분 전파에 대한 요청을 생성하는 슬레이브를 모두 나열해야 합니다. 자세한 내용은 kadm5.acl(4) 매뉴얼 페이지를 참조하십시오.
kdc4 # cat /etc/krb5/kadm5.acl kws/admin@EXAMPLE.COM * kiprop/kdc1.example.com@EXAMPLE.COM p
sunw_dbprop_slave_poll 항목을 주석 처리하고 sunw_dbprop_master_ulogsize를 정의하는 항목을 추가합니다. 항목은 로그 크기를 1000개 항목으로 설정합니다.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true # sunw_dbprop_slave_poll = 2m sunw_dbprop_master_ulogsize = 1000 }
kdc4 # svcadm enable -r network/security/krb5kdc kdc4 # svcadm enable -r network/security/kadmin
krb5.keytab 파일에 kiprop 주체를 추가하면 증분 전파 서비스에 대해 kpropd 데몬이 자체적으로 인증할 수 있습니다.
kdc1 # /usr/sbin/kadmin -p kws/admin Authenticating as pricipal kws/admin@EXAMPLE.COM with password. Enter password: <Type kws/admin password> kadmin: ktadd kiprop/kdc1.example.com Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.example.com@EXAMPLE.COM host/kdc2.example.com@EXAMPLE.COM host/kdc3.example.com@EXAMPLE.COM host/kdc4.example.com@EXAMPLE.COM
kdc1 # svcadm enable -r network/security/krb5_prop kdc1 # svcadm enable -r network/security/krb5kdc