탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
Kerberos 서비스의 구성 요소는 여러 릴리스에 포함되어 왔습니다. 처음에는 Kerberos 서비스 및 Kerberos 서비스를 지원하기 위한 기본 운영 체제 변경 사항이 SEAM(Sun Enterprise Authentication Mechanism)이라는 제품 이름으로 릴리스되었습니다. Oracle Solaris 소프트웨어에 포함되는 SEAM 제품의 구성 요소가 많아질수록 SEAM 릴리스의 컨텐츠는 줄었습니다. Oracle Solaris 10 릴리스부터는 SEAM 제품의 모든 구성 요소가 포함되어 더 이상 SEAM 제품이 필요하지 않게 되었습니다. SEAM 제품 이름은 기록상의 이유로 설명서에 포함되어 있습니다.
다음 표는 각 릴리스에 포함된 구성 요소에 대해 설명합니다. 각 제품 릴리스는 연대순으로 나열됩니다. 모든 구성 요소는 다음 절에 설명되어 있습니다.
표 19-1 Kerberos 릴리스 컨텐츠
|
Oracle Solaris 10 릴리스에 포함된 향상된 기능에 대한 자세한 내용은 System Administration Guide: Security Services의 Kerberos Components를 참조하십시오.
Kerberos V5 제품의 MIT 배포판과 마찬가지로, Oracle Solaris 릴리스의 Kerberos 서비스는 다음으로 구성됩니다.
KDC(키 배포 센터)
Kerberos 데이터베이스 관리 데몬 – kadmind
Kerberos 티켓 처리 데몬 – krb5kdc
데이터베이스 관리 프로그램 – kadmin(마스터 전용), kadmin.local 및 kdb5_util
데이터베이스 전파 소프트웨어 – kprop(슬레이브 전용) 및 kpropd
자격 증명 관리를 위한 사용자 프로그램 – kinit, klist 및 kdestroy
Kerberos 암호를 변경하기 위한 사용자 프로그램 – kpasswd
원격 응용 프로그램 – ftp, rcp, rlogin, rsh, scp, sftp, ssh 및 telnet
원격 응용 프로그램 데몬 – ftpd, rlogind, rshd, sshd 및 telnetd
Keytab 관리 유틸리티 – ktutil
GSS-API(Generic Security Service Application Programming Interface) – 새 방식이 추가될 때마다 응용 프로그램을 재컴파일할 필요 없이 응용 프로그램에서 여러 개의 보안 방식을 사용할 수 있도록 해줍니다. GSS-API는 응용 프로그램을 여러 운영 체제에 이식 가능하게 해주는 표준 인터페이스를 사용합니다. 또한 응용 프로그램에 인증을 비롯한 무결성 및 프라이버시 보안 서비스가 포함되도록 해줍니다. ftp 및 ssh는 GSS-API를 사용합니다.
RPCSEC_GSS API(Application Programming Interface) – NFS 서비스가 Kerberos 인증을 사용할 수 있도록 해줍니다. RPCSEC_GSS는 사용 중인 방식과 관계없이 보안 서비스를 제공하는 보안 종류입니다. RPCSEC_GSS는 GSS-API 계층을 기반으로 합니다. 플러그 가능 GSS_API 기반 보안 방식은 RPCSEC_GSS를 사용하는 응용 프로그램에서 사용할 수 있습니다.
또한 Oracle Solaris 릴리스의 Kerberos 서비스에는 다음 항목도 포함됩니다.
Kerberos 관리 GUI 기반 도구(gkadmin) – 주체 및 주체 정책을 관리할 수 있도록 해줍니다. 이 Java 기술 기반의 GUI는 kadmin 명령 대신 사용됩니다.
PAM용 Kerberos V5 서비스 모듈 – Kerberos 서비스에 대해 인증, 계정 관리, 세션 관리 및 암호 관리를 제공합니다. 이 모듈을 사용하면 Kerberos 인증이 사용자에게 투명하게 수행될 수 있습니다.
커널 모듈 – NFS 서비스에서 사용하도록 Kerberos 서비스의 커널 기반 구현을 제공하므로 성능이 크게 향상됩니다.
이 절에서는 Oracle Solaris 11.1 릴리스에서 제공하는 변경 사항에 대해 설명합니다.
Kerberos 서비스는 MIT 1.8 릴리스와 동기화되었습니다. 포함된 기능은 다음과 같습니다.
취약한 암호화 유형인 arcfour-hmac-md5-exp, des-cbc-md5 및 des-cbc-crc는 기본적으로 허용되지 않습니다. 그러나 /etc/krb5/krb5.conf 파일의 allow_weak_crypto = true 선언을 추가하면 취약한 암호화 알고리즘을 사용할 수 있습니다.
/etc/krb5/krb5.conf 파일에서 permitted_enctypes 관계는 선택적 DEFAULT 키워드를 + 또는 - enctyp_family와 함께 사용하여 기본 세트에서 지정된 암호화 유형 제거를 추가할 수 있습니다.
대부분의 경우 클라이언트 측에서 domain_realm 매핑 테이블에 대한 필요를 제거할 수 있는데, 이를 위해서는 KDC에서 최소 참조 지원을 구현한 다음 해당 프로토콜을 통해 매핑 정보를 클라이언트에 제공하십시오. 서비스 주체 name service/canonical-fqdn@LOCAL.REALM에 대한 요청을 로컬 KDC로 보낸 다음 참조를 요청하면 클라이언트가 domain_realm 매핑 테이블 없이도 작동할 수 있습니다. 이 기능은 특정 이름 유형 또는 특정 형식을 사용하는 서비스 주체 이름으로 제한됩니다. KDC에서는 domain_realm 매핑 테이블만 사용할 수 있습니다. DNS에 대한 블록화 쿼리를 사용할 수 없습니다.
Kerberos 데이터베이스에 LDAP 백엔드를 사용 중인 경우 주체 항목에 대한 별칭을 만들 수 있습니다. 서비스에 다른 호스트 이름으로 액세스할 수 있는 경우 또는 DNS를 사용하여 트 이름을 정규화할 수 없는 경우 즉, 간략한 형식을 사용하는 경우에 주체 별칭 지원이 유용합니다. 서비스가 알려진 여러 주체 이름에 대한 별칭을 사용할 수 있으므로, keytab 파일에는 실제 서비스 주체에 대한 하나의 키 세트만 필요합니다.
kvno 유틸리티를 사용하여 /etc/krb5/krb5.keytab에 지정된 서비스 주체 키와 관련된 문제를 진단할 수 있습니다.
kadmin ktadd 명령은 -norandkey 옵션을 지원하여 kadmind 명령이 난수화된 새 키를 만들지 못하도록 합니다. -norandkey 옵션은 암호 파생 키가 있는 주체에 대한 keytab을 만들려는 경우에 유용합니다. 따라서 암호를 지정할 필요 없이 kinit 명령을 실행하는 데 사용할 수 있는 keytab을 만들 수 있습니다.
지정된 시간 제한 내에 사전 인증이 특정 횟수만큼 실패할 경우 주체가 잠길 수 있습니다. 자세한 내용은 계정 잠금 구성 방법을 참조하십시오.
OK_AS_DELEGATE 플래그는 위임된 자격 증명을 수락할 정도로 중간 서버를 신뢰하는지 여부와 관련하여 KDC가 로컬 영역 정책을 클라이언트로 전달할 수 있도록 해줍니다. 자세한 내용은 위임을 위해 서비스 신뢰를 참조하십시오.
Solaris 클라이언트가 여러 KDC 마스터 환경에서 항목을 업데이트할 수 있는 기능을 제공하도록 Kerberos 서비스가 업데이트되었습니다. 자세한 내용은 예 21-15를 참조하십시오.
주체를 기존 자격 증명으로 등록하고 각 사용자를 명시적으로 지정하지 않고도 사용자에게 메일을 전송할 수 있도록 ktkt_warnd 데몬이 향상되었습니다. 또한 이 서비스는 이제 사용자가 구성할 수 있습니다. 실행 예를 보려면 모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법을 참조하십시오.