이 절차에서는 클라이언트의 keytab 파일이 이미 만들어져서 AI 서버에 저장되어 있습니다. 이 예에서는 자동 등록 기능을 통해 기존 인증서 또는 새 주체를 사용하여 Kerberos 클라이언트를 구성합니다. 자동 등록 프로세스는 각 클라이언트에 대한 keytab 파일을 만들고 인코딩할 필요가 없으므로 더 간편합니다.
자세한 내용은 How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Services을 참조하십시오.
# installadm create-service -n krb-sparc \
-d /export/auto_install/krb-sparc \
-s /export/auto_install/iso/sol-11_2-ai-sparc.iso
Creating service from:
/export/auto_install/iso/sol-11_2-ai-sparc.iso
Setting up the image ...
Creating sparc service: krb-sparc
Image path: /export/auto_install/krb-sparc
Refreshing install services
Kerberos를 실행하여 설치해야 할 모든 클라이언트에 대해 이 단계를 반복합니다. 이 예에서는 11:11:11:11:11:11 주소를 사용하는 클라이언트가 krb-sparc 설치 서비스와 연결됩니다.
# installadm create-client -n krb-sparc -e 11:11:11:11:11:11 Adding host entry for 11:11:11:11:11:11 to local DHCP configuration.
# installadm set-client -c 11:11:11:11:11:11 -g Generating credentials for client 11:11:11:11:11:11... A new certificate key has been generated. A new certificate has been generated.
이 예에서는 kclient 명령을 대화식으로 실행하여 프로파일을 만듭니다. 또는 명령줄 옵션 또는 입력 프로파일을 사용하여 명령을 호출할 수 있습니다. 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.
이 예에서는 KDC가 MIT 서버에서 실행 중입니다. Solaris KDC의 샘플 출력을 보려면 Example 8–31을 참조하십시오. AD 클라이언트의 샘플 출력을 보려면 Example 8–33을 참조하십시오.
# kclient -x /root/krb-sc.xml
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: y
Which type of KDC is the server:
ms_ad: Microsoft Active Directory
mit: MIT KDC server
heimdal: Heimdal KDC server
shishi: Shishi KDC server
Enter required KDC type: mit
Do you want to use DNS for kerberos lookups ? [y/n]: n
No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the master KDCs for the above realm using a comma-separated list: kdc.example.com
Do you have any slave KDC(s) ? [y/n]: y
Enter a comma-separated list of slave KDC host names: kdc2.example.com
Do you have multiple domains/hosts to map to a realm ? [y/n]: n
No action performed.
Setting up /root/krb-sc.xml.
자동 등록을 통해 키를 가져올 수 있거나 클라이언트에 키가 없는 경우 이 단계가 필요하지 않습니다. 클라이언트에서는 keytab 파일을 만들어야 하는데 이 작업은 주로 클라이언트를 처음 구성할 때 KDC 관리자가 수행합니다.
# kclient-kt2prof -k ./host1.keytab -p /root/host1.xml
이 절차에서는 프로파일을 사용해야 하므로 시스템 구성 프로파일을 사용하여 클라이언트 수만큼 프로파일을 구성합니다.
클라이언트 프로파일에 keytab이 포함된 경우 인증된 클라이언트만 keytab 파일을 다운로드할 수 있도록 서비스에 require-client-auth 보안 정책을 지정해야 합니다.
# installadm set-service -p require-client-auth -n krb-sparc
Kerberos 구성 파일, 클라이언트 keytab 파일 및 설치 서비스에 생성한 기타 프로파일을 연결합니다.
# installadm create-profile -n krb-sparc -f /root/krb-sc.xml Profile krb-sc.xml added to database. # installadm create-profile -n krb-sparc -f /root/host1.xml -c mac="11:11:11:11:11:11" Profile host1.xml added to database.
자동 등록은 KDC가 Solaris KDC 또는 MS AD인 경우에만 사용할 수 있습니다. KDC가 MIT, Heimdal 또는 Shishi인 경우 미리 생성된 keytab 전송만 가능합니다.
자동 등록을 사용하여 기존 키를 다운로드하려면 먼저 c 및 i 관리 권한을 사용하여 KDC에 관리 주체를 만들어야 합니다. 이 예에서 주체의 이름은 download/admin입니다. 자세한 지침은 Oracle Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리 의 새 Kerberos 주체 만들기 및 Oracle Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리 의 주체의 Kerberos 관리 권한 수정을 참조하십시오.
이 예에서 KDC는 Oracle Solaris를 실행 중입니다. 또한 클라이언트용 키가 이미 생성되어 있습니다.
이 예에서는 Kerberos 구성 파일에 대한 시스템 구성 프로파일을 만들 때 download/admin 주체를 추가하는 방법을 보여줍니다. download/admin 주체는 Kerberos 클라이언트를 배포할 때 KDC 서버에서 기존 키를 전송하는 데 사용하는 특수 관리 주체입니다.
# kclient -x /root/krb-sc.xml
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: n
No action performed.
Do you want to use DNS for kerberos lookups ? [y/n]: n
No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the master KDCs for the above realm using a comma-separated
list: kdc.example.com
Do you have any slave KDC(s) ? [y/n]: y
Enter a comma-separated list of slave KDC host names: kdc2.example.com
Do you have multiple domains/hosts to map to realm ? EXAMPLE.COM [y/n]: n
No action performed.
Should the client automatically join the realm ? [y/n]: y
Enter the krb5 administrative principal to be used: download/admin
Password for download/admin: xxxxxxxx
Do you plan on doing Kerberized nfs ? [y/n]: n
No action performed.
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
No action performed.
Do you have multiple DNS domains spanning the Kerberos realm EXAMPLE.COM ? [y/n]: n
No action performed.
Setting up /root/krb-sc.xml.
예 8-32 Kerberos 클라이언트 배포 중 새 키 만들기
자동 등록은 KDC가 Solaris KDC 또는 MS AD인 경우에만 사용할 수 있습니다. KDC가 MIT, Heimdal 또는 Shishi인 경우 미리 생성된 keytab 전송만 가능합니다.
자동 등록을 사용하여 새 키를 다운로드하려면 먼저 a, c 및 i 관리 권한을 사용하여 KDC에 관리 주체를 만들어야 합니다. 이 예에서 주체의 이름은 create/admin입니다. 자세한 지침은 Oracle Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리 의 새 Kerberos 주체 만들기 및 Oracle Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리 의 주체의 Kerberos 관리 권한 수정을 참조하십시오.
이 예에서 KDC는 Oracle Solaris를 실행 중입니다. 이 예에서는 Kerberos 구성 파일에 대한 시스템 구성 프로파일을 만들 때 create/admin 주체를 추가합니다. create/admin 주체는 Kerberos 클라이언트를 배포할 때 KDC 서버에서 새 키를 전송하는 데 사용하는 특수 관리 주체입니다. 이 명령에는 더 많은 옵션이 포함되어 있으므로 더 적은 질문을 묻습니다.
# kclient -x /root/krb-sc.xml -R EXAMPLE.COM -a create/admin -d none -m kdc.example.com
Starting client setup
---------------------------------------------------
Do you have multiple domains/hosts to map to realm ? EXAMPLE.COM [y/n]: n
No action performed.
Should the client automatically join the realm ? [y/n]: y
Password for create/admin: xxxxxxxx
Setting up /root/krb-sc.xml.
예 8-33 AI 클라이언트를 MS AD 도메인에 자동 연결
이 예에서 클라이언트는 AD 도메인을 연결합니다. 다음 명령을 사용하여 Kerberos 구성 파일에 대한 시스템 구성 프로파일을 만들 때 Adminstrator 주체를 추가합니다.
# kclient -x /root/krb-sc.xml
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: y
Which type of KDC is the server:
ms_ad: Microsoft Active Directory
mit: MIT KDC server
heimdal: Heimdal KDC server
shishi: Shishi KDC server
Enter required KDC type: ms_ad
Should the client automatically join AD domain ? [y/n]: y
Enter the Kerberos realm: EXAMPLE.COM
Enter the krb5 administrative principal to be used: Administrator
Password for Administrator: xxxxxxxx
Setting up /root/krb-sc.xml.