탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
Kerberos 서비스를 사용 중인 경우 모든 호스트에서 DNS를 사용으로 설정해야 합니다. DNS를 사용할 경우 주체는 각 호스트의 FQDN(정규화된 도메인 이름)을 포함해야 합니다. 예를 들어 호스트 이름은 boston이고 DNS 도메인 이름은 example.com이며 영역 이름은 EXAMPLE.COM인 경우, 호스트에 대한 주체 이름은 host/boston.example.com@EXAMPLE.COM이어야 합니다. 이 설명서의 예제에서는 DNS가 구성되어 있으며 각 호스트에 대해 FQDN을 사용합니다.
Kerberos 서비스는 DNS를 통해 호스트 별칭을 정규화하며, 연관된 서비스의 주체를 구성할 때 정규화된 형식(cname)을 사용합니다. 따라서 서비스 주체를 만드는 경우 서비스 주체 이름의 호스트 이름 구성 요소는 서비스를 호스팅하는 시스템 호스트 이름의 표준화된 형식이어야 합니다.
다음은 Kerberos 서비스가 호스트 이름을 정규화하는 방식에 대한 예제입니다. 사용자가 “ssh alpha.example.com” 명령을 실행한다고 가정합니다, 여기서 alpha.example.com은 cname beta.example.com에 대한 DNS 호스트 별칭입니다. ssh가 Kerberos를 호출하고 alpha.example.com에 대한 호스트 서비스 티켓을 요청할 경우, Kerberos 서비스는 alpha.example.com을 beta.example.com으로 정규화하고 KDC로부터 서비스 주체 “host/beta.example.com”에 대한 티켓을 요청합니다.
주체 이름에 호스트의 FQDN이 포함된 경우, /etc/resolv.conf 파일에서 DNS 도메인 이름을 설명하는 문자열과 일치시키는 것이 중요합니다. 주체에 대해 FQDN을 지정한 경우 Kerberos 서비스에서 DNS 도메인 이름이 소문자여야 합니다. DNS 도메인 이름에는 대문자와 소문자가 포함될 수 있지만 호스트 주체를 만드는 경우에는 소문자만 사용해야 합니다. 예를 들어 DNS 도메인 이름이 example.com, Example.COM 또는 다른 변형이든지 중요하지 않습니다. 호스트에 대한 주체 이름은 host/boston.example.com@EXAMPLE.COM입니다.
또한 DNS 클라이언트 서비스가 실행 중이지 않은 경우 대부분의 데몬이나 명령이 시작되지 않도록 서비스 관리 기능이 구성되었습니다. kdb5_util, kadmind 및 kpropd 데몬과 kprop 명령은 모두 DNS 서비스에 의존하도록 구성되었습니다. Kerberos 서비스 및 SMF를 사용하여 제공되는 기능을 완전히 활용하려면 모든 호스트에서 DNS 클라이언트 서비스를 사용으로 설정해야 합니다.