탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
FTP 실행 시 Kerberos를 통한 일반 보안 서비스 사용 방법
Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
비Kerberos 객체 클래스 유형에서 Kerberos 주체 속성을 함께 사용하는 방법
Kerberos 인증 시스템에 참여하는 모든 호스트의 내부 클럭은 지정된 최대 시간 범위(클럭 불균형이라고 함) 내에서 동기화되어야 합니다. 이 요구 사항을 충족하면 다른 Kerberos 보안 점검이 제공됩니다. 참여 호스트 간에 클럭 불균형이 초과되면 클라이언트 요청이 거부됩니다.
또한 클럭 불균형은 재생된 요청을 인식 및 거부하기 위해 애플리케이션 서버가 모든 Kerberos 프로토콜 메시지를 추적해야 할 기간을 결정합니다. 따라서 클럭 불균형 값이 클수록 애플리케이션 서버가 수집해야 할 정보가 많아집니다.
최대 클럭 불균형의 기본값은 300초(5분)입니다. krb5.conf 파일의 libdefaults 섹션에서 이 기본값을 변경할 수 있습니다.
주 - 보안상 클럭 불균형을 300초 이상으로 늘리지 마십시오.
KDC와 Kerberos 클라이언트 간의 클럭은 동기화 상태로 유지되어야 하므로 동기화를 위해서는 NTP(Network Time Protocol) 소프트웨어를 사용해야 합니다. Oracle Solaris 소프트웨어에는 University of Delaware의 NTP 공용 도메인 소프트웨어가 포함되어 있습니다.
주 - 클럭 동기화의 다른 방법은 rdate 명령 및 cron 작업을 사용하는 것으로, 이 프로세스는 NTP를 사용하는 것보다 간단할 수 있습니다. 하지만 이 절에서는 NTP 사용을 집중적으로 다룹니다. 네트워크를 사용하여 클럭을 동기화할 경우 클럭 동기화 프로토콜이 자체적으로 보안되어야 합니다.
NTP를 통해 네트워크 환경에서 정확한 시간 또는 네트워크 클럭 동기화를 관리하거나 모두 관리할 수 있습니다. 기본적으로 NTP는 서버-클라이언트 구현입니다. 마스터 클럭으로 사용할 하나의 시스템(NTP 서버)을 선택합니다. 그런 다음 해당 클럭이 마스터 클럭과 동기화되도록 기타 모든 시스템(NTP 클라이언트)을 설정합니다.
클럭을 동기화하기 위해 NTP는 인터넷 표준 시간 서버와의 계약에 따라 UNIX 시스템 시간을 설정 및 유지 관리하는 xntpd 데몬을 사용합니다. 다음은 이 서버-클라이언트 NTP 구현의 예를 보여 줍니다.
그림 21-1 NTP를 사용하여 클럭 동기화
KDC 클라이언트와 Kerberos 클라이언트의 클럭이 동기화 상태로 유지되도록 하는 과정에서는 다음 단계가 구현됩니다.
네트워크에서 NTP 서버를 설정합니다. 이 서버는 마스터 KDC를 제외한 모든 시스템일 수 있습니다. NTP 서버 작업을 찾으려면 Oracle Solaris 11 네트워크 서비스 소개의 NTP(Network Time Protocol) 관리(작업)를 참조하십시오.
네트워크에서 KDC 및 Kerberos 클라이언트를 구성하면 NTP 서버의 NTP 클라이언트가 되도록 설정됩니다. NTP 클라이언트 작업을 찾으려면 Oracle Solaris 11 네트워크 서비스 소개의 NTP(Network Time Protocol) 관리(작업)를 참조하십시오.