탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
LDAP 데이터 서버를 사용하도록 KDC를 구성하는 방법
마스터 서버에서 TGS(티켓 부여 서비스) 키를 새로 고치는 방법
FTP 실행 시 Kerberos를 통한 일반 보안 서비스 사용 방법
Kerberos 클라이언트 설치 프로파일을 만드는 방법
Active Directory 서버에 대한 Kerberos 클라이언트 구성 방법
TGT(티켓 부여 티켓) 확인을 사용 안함으로 설정하는 방법
Kerberos로 보호된 NFS 파일 시스템에 root 사용자로 액세스하는 방법
Kerberos 영역에서 사용자의 자동 마이그레이션을 구성하는 방법
모든 TGT(티켓 부여 티켓)를 자동으로 갱신하는 방법
서버 업그레이드 후 Kerberos 데이터베이스 변환 방법
증분 전파를 사용하도록 마스터 KDC를 재구성하는 방법
증분 전파를 사용하도록 슬레이브 KDC를 재구성하는 방법
전체 전파를 사용하도록 슬레이브 KDC를 구성하는 방법
수동으로 슬레이브 KDC에 Kerberos 데이터베이스를 전파하는 방법
비Kerberos 객체 클래스 유형에서 Kerberos 주체 속성을 함께 사용하는 방법
NFS 서비스는 UNIX 사용자 ID(UID)를 사용하여 사용자를 식별하며 GSS 자격 증명을 직접 사용할 수 없습니다. 자격 증명을 UID로 변환하려면 사용자 자격 증명을 UNIX UID에 매핑하는 자격 증명 테이블을 만들어야 할 수 있습니다. 기본 자격 증명 매핑에 대한 자세한 내용은 UNIX 자격 증명과 GSS 자격 증명 간 매핑을 참조하십시오. 이 절의 절차에서는 Kerberos NFS 서버 구성, 자격 증명 테이블 관리 및 NFS 마운트된 파일 시스템에 대한 Kerberos 보안 모드 시작에 필요한 작업을 중점적으로 다룹니다. 다음 작업 맵에서는 이 절에서 다루는 작업에 대해 설명합니다.
표 21-2 Kerberos NFS 서버 구성(작업 맵)
|
이 절차에서는 다음 구성 매개변수가 사용됩니다.
영역 이름 = EXAMPLE.COM
DNS 도메인 이름 = example.com
NFS 서버 = denver.example.com
admin 주체 = kws/admin
시작하기 전에
NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
마스터 KDC를 구성해야 합니다. 프로세스를 완전히 테스트하려면 여러 클라이언트가 필요합니다.
NTP(Network Time Protocol)를 설치하여 사용할 필요가 없습니다. 하지만 인증이 성공하려면 모든 클럭이 krb5.conf 파일에서 clockskew 관계에 정의된 최대 차이 범위 내에서 KDC 서버의 시간과 동기화되어야 합니다. NTP에 대한 자세한 내용은 KDC와 Kerberos 클라이언트 간의 클럭 동기화를 참조하십시오.
Kerberos 클라이언트 구성의 지침을 따릅니다.
새 Kerberos 주체를 만드는 방법에 설명된 대로 그래픽 Kerberos 관리 도구를 사용하여 주체를 추가할 수 있습니다. 이 작업을 수행하려면 마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다. 하지만 다음 예에서는 명령줄을 사용하여 필요한 주체를 추가하는 방법을 보여 줍니다.
denver # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
주체 인스턴스가 호스트 이름인 경우 FQDN은 이름 서비스의 도메인 이름 대소문자에 관계없이 소문자로 지정되어야 합니다.
시스템에서 NFS 데이터에 액세스하는 데 사용할 수 있는 각 고유 인터페이스에 대해 이 단계를 반복합니다. 호스트에 고유 이름이 있는 인터페이스가 여러 개인 경우 각 고유 이름에는 고유한 NFS 서비스 주체가 있어야 합니다.
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
단계 a에서 만든 각 고유 서비스 주체에 대해 이 단계를 반복합니다.
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
일반적으로 Kerberos 서비스는 GSS 자격 증명과 UNIX UID 간에 적절한 맵을 생성합니다. 기본 매핑은 UNIX 자격 증명과 GSS 자격 증명 간 매핑에서 설명됩니다. 기본 매핑으로 충분하지 않을 경우 자세한 내용은 자격 증명 테이블을 만드는 방법을 참조하십시오.
자세한 내용은 Kerberos 보안 모드가 여러 개인 보안 NFS 환경 설정 방법을 참조하십시오.
gsscred 자격 증명 테이블은 NFS 서버가 Kerberos 자격 증명을 UID에 매핑하는 데 사용합니다. 기본적으로 주체 이름의 주요 부분이 UNIX 로그인 이름과 일치됩니다. Kerberos 인증을 사용하는 NFS 서버에서 파일 시스템을 마운트할 NFS 클라이언트의 경우 기본 매핑으로 충분하지 않으면 이 테이블을 만들어야 합니다.
시작하기 전에
NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
방식을 files로 변경합니다.
# gsscred -m kerberos_v5 -a
gsscred 명령은 svc:/system/name-service/switch:default 서비스의 passwd 항목으로 나열되는 모든 소스에서 정보를 수집합니다. 로컬 암호 항목이 자격 증명 테이블에 포함되지 않도록 하려는 경우 일시적으로 files 항목을 제거해야 할 수도 있습니다. 자세한 내용은 gsscred(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
이 절차를 수행하려면 gsscred 테이블이 NFS 서버에서 이미 만들어져 있어야 합니다. 지침은 자격 증명 테이블을 만드는 방법을 참조하십시오.
NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# gsscred -m mech [ -n name [ -u uid ]] -a
사용할 보안 방식을 정의합니다.
KDC에 정의된 대로 사용자에 대한 주체 이름을 정의합니다.
암호 데이터베이스에 정의된 대로 사용자에 대한 UID를 정의합니다.
주체 이름 매핑에 UID를 추가합니다.
예 21-3 자격 증명 테이블에 여러 구성 요소 주체 추가
다음 예에서는 UID 3736에 매핑된 이름이 sandy/admin인 주체에 대해 항목이 추가됩니다.
# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a
예 21-4 자격 증명 테이블에 다른 도메인의 주체 추가
다음 예에서는 UID 3736에 매핑된 이름이 sandy/admin@EXAMPLE.COM인 주체에 대해 항목이 추가됩니다.
# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a
이 절차에서는 동일한 암호 파일을 사용하는 영역 간에 적절한 자격 증명 매핑을 제공합니다. 이 예에서는 CORP.EXAMPLE.COM 및 SALES.EXAMPLE.COM 영역에서 동일한 암호 파일을 사용합니다. bob@CORP.EXAMPLE.COM 및 bob@SALES.EXAMPLE.COM에 대한 자격 증명이 동일한 UID에 매핑됩니다.
시작하기 전에
클라이언트 시스템에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
예 21-5 동일한 암호 파일을 사용하여 영역 간에 자격 증명 매핑
이 예에서는 동일한 암호 파일을 사용하는 영역 간에 적절한 자격 증명 매핑을 제공합니다. 이 예에서는 CORP.EXAMPLE.COM 및 SALES.EXAMPLE.COM 영역에서 동일한 암호 파일을 사용합니다. bob@CORP.EXAMPLE.COM 및 bob@SALES.EXAMPLE.COM에 대한 자격 증명이 동일한 UID에 매핑됩니다. 클라이언트 시스템에서 krb5.conf 파일에 항목을 추가합니다.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
일반 오류
자격 증명 매핑 문제 해결 프로세스에 대한 지원은 GSS 자격 증명에서 UNIX 자격 증명으로 매핑을 참조하십시오.
이 절차에서는 NFS 서버가 다른 보안 모드 또는 종류를 사용하여 보안 NFS 액세스를 제공할 수 있도록 합니다. 클라이언트가 NFS 서버와 보안 종류를 협상하는 경우 클라이언트가 액세스할 수 있는 서버에서 제공하는 첫번째 종류가 사용됩니다. 이 종류는 NFS 서버가 공유하는 파일 시스템의 모든 후속 클라이언트 요청에 사용됩니다.
시작하기 전에
NFS 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
klist 명령은 keytab 파일이 있는지 여부를 보고하고 주체를 표시합니다. keytab 파일이 존재하지 않거나 NFS 서비스 주체가 존재하지 않는 것으로 결과가 표시되면 Kerberos NFS 서버 구성 방법에 나오는 모든 단계의 완료를 확인해야 합니다.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
/etc/nfssec.conf 파일을 편집하고 Kerberos 보안 모드 앞에 배치된 "#"을 제거합니다.
# cat /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
파일 시스템 공유 시 사용할 보안 모드를 지정합니다. 여러 보안 모드를 사용 중인 경우 목록의 첫번째 모드가 기본 모드로 사용됩니다.
공유할 파일 시스템에 대한 경로를 정의합니다.
명명된 파일 시스템의 파일에 액세스하려고 시도하는 모든 클라이언트에는 Kerberos 인증이 필요합니다. 파일에 액세스하려면 NFS 클라이언트의 사용자 주체가 인증되어야 합니다.
파일 시스템에 액세스하는 데 자동 마운트를 사용하고 있지 않거나 기본 보안 모드 선택을 그대로 적용할 수 있을 경우 이 절차를 따르지 않아도 됩니다.
file-system auto_home -nosuid,sec=mode
또는 mount 명령을 사용하여 보안 모드를 지정할 수도 있지만 이 대체 방법은 자동 마운트를 사용하지 않습니다.
# mount -F nfs -o sec=mode file-system
예 21-6 하나의 Kerberos 보안 모드와 파일 시스템 공유
이 예에서는 Kerberos 인증이 성공해야만 NFS 서비스를 통해 파일에 액세스할 수 있습니다.
# share -F nfs -o sec=krb5 /export/home
예 21-7 여러 Kerberos 보안 모드와 파일 시스템 공유
이 예에서는 세 개의 모든 Kerberos 보안 모드가 선택되었습니다. 사용되는 모드는 클라이언트와 NFS 서버 간에 협상됩니다. 명령의 첫번째 모드가 실패하면 다음 모드가 시도됩니다. 자세한 내용은 nfssec(5) 매뉴얼 페이지를 참조하십시오.
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home