탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
FTP 실행 시 Kerberos를 통한 일반 보안 서비스 사용 방법
Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
Kerberos 애플리케이션 서버 및 KDC 서버에서 보안 수준을 향상시키려면 다음 단계를 수행하십시오.
표 21-4 Kerberos 서버에서 보안 수준 향상(작업 맵)
|
마스터 KDC 서버와 슬레이브 KDC 서버에는 로컬에 저장된 KDC 데이터베이스의 복사본이 있습니다. 이러한 서버에 대한 액세스를 제한하여 데이터베이스 보안을 유지하는 것은 Kerberos 설치의 전반적인 보안을 위해 중요합니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
물리적 액세스를 제한하려면 KDC 서버 및 해당 모니터가 보안 설비에 있어야 합니다. 사용자는 어떤 방식으로도 이 서버에 액세스할 수 없어야 합니다.
테이프가 안전하게 저장된 경우에만 KDC의 테이프 백업을 수행합니다. keytab 파일의 복사본에 대해 동일한 단계를 수행합니다. 다른 시스템과 공유되지 않는 로컬 파일 시스템에 해당 파일을 저장하는 것이 좋습니다. 저장소 파일 시스템은 마스터 KDC 서버 또는 슬레이브 KDC에 있을 수 있습니다.
Kerberos 서비스는 새 자격 증명을 만들 때 사전 파일을 사용하여 사전에 있는 단어가 암호로 사용되지 못하도록 할 수 있습니다. 사전에 있는 용어를 암호로 사용하지 못하도록 하면 다른 사람이 암호를 쉽게 추측할 수 없습니다. 기본적으로 /var/krb5/kadm5.dict 파일이 사용되지만 비어 있습니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
서비스에 사전 파일을 사용하도록 알릴 행을 추가해야 합니다. 이 예에서는 spell 유틸리티와 함께 포함된 사전이 사용됩니다. 구성 파일에 대한 자세한 설명은 kdc.conf(4) 매뉴얼 페이지를 참조하십시오.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 dict_file = /usr/share/lib/dict/words }
kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin