| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
비Kerberos 객체 클래스 유형에서 Kerberos 주체 속성을 함께 사용하는 방법
네트워크 애플리케이션 서버는 ftp, rcp, rlogin, rsh, ssh 및 telnet 네트워크 응용 프로그램 중 하나 이상을 사용하여 액세스를 제공하는 호스트입니다. 몇 단계만으로 서버에서 이러한 명령의 Kerberos 버전을 사용으로 설정할 수 있습니다.
이 절차에서는 다음 구성 매개변수를 사용합니다.
애플리케이션 서버 = boston
admin 주체 = kws/admin
DNS 도메인 이름 = example.com
영역 이름 = EXAMPLE.COM
시작하기 전에
이 절차를 수행하려면 마스터 KDC가 구성되어 있어야 합니다. 프로세스를 완전히 테스트하려면 여러 Kerberos 클라이언트를 구성해야 합니다.
애플리케이션 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
NTP에 대한 자세한 내용은 KDC와 Kerberos 클라이언트 간의 클럭 동기화를 참조하십시오.
다음 명령을 실행하면 host 주체 유무가 보고됩니다.
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
명령이 주체를 반환하지 않을 경우 다음 단계에 따라 새 주체를 만듭니다.
GUI Kerberos 관리 도구를 사용하여 주체를 추가하는 방법은 새 Kerberos 주체를 만드는 방법에서 설명됩니다. 다음 단계의 예에서는 명령줄을 사용하여 필요한 주체를 추가하는 방법을 보여 줍니다. 마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다.
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
host 주체의 용도는 다음과 같습니다.
원격 명령(예: rsh 및 ssh) 사용 시 트래픽 인증
pam_krb5가 host 주체를 통해 사용자의 Kerberos 자격 증명이 신뢰할 수 있는 KDC에서 온 것인지 확인하여 KDC 스푸핑 공격을 방지하는 데 사용
root 사용자가 root 주체 없이도 Kerberos 자격 증명을 자동으로 확보할 수 있도록 허용. 이는 공유에 Kerberos 자격 증명이 필요한 수동 NFS 마운트를 수행할 때 유용할 수 있습니다.
원격 응용 프로그램을 사용하는 트래픽을 Kerberos 서비스를 통해 인증하려는 경우 이 주체가 필요합니다. 서버에 연결된 호스트 이름이 여러 개인 경우 호스트 이름의 FQDN 형식을 사용하여 각 호스트 이름에 대한 주체를 만듭니다.
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
kadmin 명령이 실행되고 있지 않을 경우 /usr/sbin/kadmin -p kws/admin과 유사한 명령을 사용하여 다시 시작합니다.
서버에 연결된 호스트 이름이 여러 개인 경우 각 호스트 이름에 대한 keytab에 주체를 추가합니다.
kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:kadmin: quit
일반 보안 서비스(GSS)를 사용하면 응용 프로그램이 인증, 무결성 및 프라이버시를 위해 간편하게 Kerberos를 사용할 수 있습니다. 다음 단계에서는 ProFTPD에 대해 GSS 서비스를 사용으로 설정하는 방법을 보여 줍니다.
시작하기 전에
FTP 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
변경 사항이 이전에 적용된 경우 이러한 단계가 필요하지 않을 수도 있습니다.
ftpserver1 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
kadmin: ank -randkey ftp/ftpserver1.example.com
새 keytab 파일을 만들면 서버에 대한 keytab 파일의 모든 정보를 노출하지 않고도 ftp 서비스에 이 정보를 제공할 수 있습니다.
kadmin: ktadd -k /etc/krb5/ftp.keytab ftp/ftpserver1.example.com
ftpserver1 # chown ftp:ftp /etc/krb5/ftp.keytab
/etc/proftpd.conf 파일을 다음과 같이 변경합니다.
# cat /etc/proftpd.conf LoadModule mod_gss.c GSSEngine on GSSKeytab /etc/krb5/ftp.keytab
# svcadm restart network/ftp
|