Keytab 파일 관리

서비스를 제공하는 모든 호스트에는 keytab file(keytab 파일)(“키 테이블”의 줄임말)이라는 로컬 파일이 있습니다. keytab에는 서비스 키라고 하는 해당 서비스에 대한 주체가 포함되어 있습니다. 서비스 키는 서비스가 KDC에 대해 자신을 인증하는 데 사용되며, Kerberos 및 서비스 자체를 통해서만 알려집니다. 예를 들어 Kerberos화된 NFS 서버가 있는 경우, 이 서버에는 nfs 서비스 주체에 대한 서비스 키를 포함하는 keytab 파일이 있어야 합니다.

서비스 키를 keytab 파일에 추가하려면 kadmin 프로세스의 ktadd 명령을 사용하여 적절한 서비스 주체를 호스트의 keytab 파일에 추가합니다. 서비스 주체를 keytab 파일에 추가하는 것이기 때문에 주체가 이미 Kerberos 데이터베이스에 있어야 합니다. Kerberos화된 서비스를 제공하는 애플리케이션 서버의 경우 keytab 파일은 기본적으로 /etc/krb5/krb5.keytab입니다.

keytab은 사용자 암호와 비슷합니다. 사용자가 자신의 암호를 보호해야 하듯이, 애플리케이션 서버도 해당 keytab 파일을 보호해야 합니다. keytab 파일은 항상 로컬 디스크에 저장하고 root 사용자만 읽을 수 있도록 설정해야 합니다. 또한 비보안 상태의 네트워크를 통해 keytab 파일을 전송해서도 안됩니다.

root 주체를 호스트의 keytab 파일에 추가해야 하는 특별한 경우가 있을 수 있습니다. Kerberos 클라이언트의 사용자가 Kerberos화된 NFS 파일 시스템을 마운트하려는데 이때 root와 동등한 액세스 권한이 필요한 경우, 클라이언트의 root 주체를 클라이언트의 keytab 파일에 추가해야 합니다. 또는 사용자가 자동 마운트를 사용하고 있지만 root 액세스 권한으로 Kerberos화된 NFS 파일 시스템을 마운트하려는 경우 항상 kinit 명령을 root로 사용하여 클라이언트의 root 주체에 대한 자격 증명을 얻어야 합니다.

ktutil 명령을 사용하여 keytab 파일을 관리할 수도 있습니다. 이 대화식 명령은 kadmin과 마찬가지로 Kerberos 데이터베이스와 상호 작용하지 않기 때문에 이 명령을 사용하면 Kerberos 관리 권한 없이도 로컬 호스트의 keytab 파일을 관리할 수 있습니다. 주체가 keytab 파일에 추가되면 ktutil을 사용하여 keytab 파일의 키 목록을 확인하거나 일시적으로 서비스에 대한 인증을 사용 안함으로 설정할 수 있습니다.