이 부록에서는 DTrace 프로브 및 인수 구조에 대해 설명합니다. 사용 예제를 보려면 Kerberos 서비스에서 DTrace 사용을 참조하십시오.
프로브는 DTrace가 일련의 작업을 수행하기 위해 요청을 바인딩할 수 있는 프로그램 위치 또는 작업입니다. 프로브는 공급자가 정의하고 구현합니다. 공급자는 커널에서 로드 가능한 모듈로, 프로브가 데이터를 추적할 수 있도록 해줍니다.
이러한 프로브는 USDT(User Statically Defined Tracing)용입니다. USDT 프로브는 userland의 Kerberos 프로토콜을 검사하도록 설계되었습니다. STD용 커널 프로브는 제공되지 않습니다.
적절한 DTrace 프로브가 원하는 정보(예: 스택 추적, 시간 기록, 또는 함수 인수)를 기록하도록 하는 스크립트를 만듭니다. 프로브가 실행되면 DTrace는 프로브에서 데이터를 수집하여 사용자에게 보고합니다. 프로브가 수행할 작업이 지정되지 않은 경우 DTrace는 프로브가 실행된 시점 및 CPU를 기록합니다.
Kerberos DTrace 프로브는 RFC4120: The Kerberos Network Authentication Service (V5)에 설명된 Kerberos 메시지 유형을 기반으로 모델링되었습니다. libgss를 통해 mech_krb5를 사용하는 응용 프로그램을 비롯하여 libkrb5/mech_krb5의 소비자는 프로브를 사용할 수 있습니다. 프로브는 메시지 생성과 소비 그리고 메시지 송신과 수신으로 나뉩니다. libgss에 대한 자세한 내용은 libgss(3LIB) 매뉴얼 페이지를 참조하십시오.
프로브를 사용하려면 kerberos 공급자, 프로브 이름(예: krb_message-recv) 및 인수를 지정합니다. 예제를 보려면 Kerberos 서비스에서 DTrace 사용을 참조하십시오.
KRB_AP_REP용 프로브
kerberos$pid:::krb_ap_rep-make kerberos$pid:::krb_ap_rep-read args[0] krbinfo_t * args[1] kaprepinfo_t *
KRB_AP_REQ용 프로브
kerberos$pid:::krb_ap_req-make kerberos$pid:::krb_ap_req-read args[0] krbinfo_t * args[1] kapreqinfo_t * args[2] kticketinfo_t * args[3] kauthenticatorinfo_t *
KRB_KDC_REP용 프로브
kerberos$pid:::krb_kdc_rep-make kerberos$pid:::krb_kdc_rep-read args[0] krbinfo_t * args[1] kdcrepinfo_t * args[2] kticketinfo_t *
KRB_KDC_REQ용 프로브
kerberos$pid:::krb_kdc_req-make kerberos$pid:::krb_kdc_req-read args[0] krbinfo_t * args[1] kdcreqinfo_t *
KRB_CRED용 프로브
kerberos$pid:::krb_cred-make kerberos$pid:::krb_cred-read args[0] krbinfo_t * args[1] kcredinfo_t *
KRB_ERROR용 프로브
kerberos$pid:::krb_error-make kerberos$pid:::krb_error-read args[0] krbinfo_t * args[1] kerrorinfo_t *
KRB_PRIV용 프로브
kerberos$pid:::krb_priv-make kerberos$pid:::krb_priv-read args[0] krbinfo_t * args[1] kprivinfo_t *
KRB_SAFE용 프로브
kerberos$pid:::krb_safe-make kerberos$pid:::krb_safe-read args[0] krbinfo_t * args[1] ksafeinfo_t *
메시지 송/수신용 프로브
kerberos$pid:::krb_message-recv kerberos$pid:::krb_message-send args[0] krbinfo_t * args[1] kconninfo_t *
특정 상황에서는 일부 인수의 값이 0이거나 비어 있을 수 있습니다. Kerberos 인수 구조는 일반적으로 RFC4120: The Kerberos Network Authentication Service (V5)와 일치하도록 설계되었습니다.
typedef struct krbinfo { uint8_t krb_version; /* protocol version number (5) */ string krb_message_type; /* Message type (AS_REQ(10), ...) */ uint64_t krb_message_id; /* message identifier */ uint32_t krb_message_length; /* message length */ uintptr_t krb_message; /* raw ASN.1 encoded message */ } krbinfo_t;
typedef struct kconninfo { string kconn_remote; /* remote host address */ string kconn_local; /* local host address */ uint16_t kconn_localport; /* local port */ uint16_t kconn_remoteport; /* remote port */ string kconn_protocol; /* protocol (ipv4, ipv6) */ string kconn_type; /* transport type (udp, tcp) */ } kconninfo_t;
typedef struct kauthenticatorinfo { string kauth_client; /* client principal identifier */ string kauth_cksum_type; /* type of checksum (des-cbc, ...) */ uint32_t kauth_cksum_length; /* length of checksum */ uintptr_t kauth_cksum_value; /* raw checksum data */ uint32_t kauth_cusec; /* client time, microseconds */ uint32_t kauth_ctime; /* client time in seconds */ string kauth_subkey_type; /* sub-key type (des3-cbc-sha1, ...) */ uint32_t kauth_subkey_length; /* sub-key length */ uintptr_t kauth_subkey_value; /* sub-key data */ uint32_t kauth_seq_number; /* sequence number */ string kauth_authorization_data; /* top-level authorization types (AD-IF-RELEVANT, ... ) */ } kauthenticatorinfo_t; typedef struct kticketinfo_t { string kticket_server; /* service principal identifier */ uint32_t kticket_enc_part_kvno; /* key version number */ string kticket_enc_part_etype; /* enc type of encrypted ticket */ string kticket_enc_flags; /* ticket flags (forwardable, ...) */ string kticket_enc_key_type; /* key type (des3-cbc-sha1, ...) */ uint32_t kticket_enc_key_length; /* key length */ uintptr_t kticket_enc_key_value; /* key data */ string kticket_enc_client; /* client principal identifier */ string kticket_enc_transited; /* list of transited Kerberos realms */ string kticket_enc_transited_type; /* encoding type */ uint32_t kticket_enc_authtime; /* time of initial authentication */ uint32_t kticket_enc_starttime; /* ticket start time in seconds */ uint32_t kticket_enc_endtime; /* ticket end time in seconds */ uint32_t kticket_enc_renew_till; /* ticket renewal time in seconds */ string kticket_enc_addresses; /* addresses associated with ticket */ string kticket_enc_authorization_data; /* list of top-level auth types */ } kticketinfo_t; typedef struct kdcreqinfo { string kdcreq_padata_types; /* list of pre-auth types */ string kdcreq_kdc_options; /* requested ticket flags */ string kdcreq_client; /* client principal identifier */ string kdcreq_server; /* server principal identifier */ uint32_t kdcreq_from; /* requested start time in seconds */ uint32_t kdcreq_till; /* requested end time in seconds */ uint32_t kdcreq_rtime; /* requested renewal time in seconds */ uint32_t kdcreq_nonce; /* nonce for replay detection */ string kdcreq_etype; /* preferred encryption types */ string kdcreq_addresses; /* list of requested ticket addresses */ string kdcreq_authorization_data; /* list of top-level auth types */ uint32_t kdcreq_num_additional_tickets; /* number of additional tickets */ } kdcreqinfo_t; typedef struct kdcrepinfo { string kdcrep_padata_types; /* list of pre-auth types */ string kdcrep_client; /* client principal identifier */ uint32_t kdcrep_enc_part_kvno; /* key version number */ string kdcrep_enc_part_etype; /* enc type of encrypted KDC reply */ string kdcrep_enc_key_type; /* key type (des3-cbc-sha1, ...) */ uint32_t kdcrep_enc_key_length; /* key length */ uintptr_t kdcrep_enc_key_value; /* key data */ string kdcrep_enc_last_req; /* times of last request of principal */ uint32_t kdcrep_enc_nonce; /* nonce for replay detection */ uint32_t kdcrep_enc_key_expiration; /* expiration time of client's key */ string kdcrep_enc_flags; /* ticket flags */ uint32_t kdcrep_enc_authtime; /* time of authentication of ticket */ uint32_t kdcrep_enc_starttime; /* ticket start time in seconds */ uint32_t kdcrep_enc_endtime; /* ticket end time in seconds */ uint32_t kdcrep_enc_renew_till; /* ticket renewal time in seconds*/ string kdcrep_enc_server; /* server principal identifier */ string kdcrep_enc_caddr; /* zero or more client addresses */ } kdcrepinfo_t; typedef struct kapreqinfo { string kapreq_ap_options; /* options (use-session-key,... ) */ uint32_t kapreq_authenticator_kvno; /* key version number */ string kapreq_authenticator_etype; /* enc type of authenticator */ } kapreqinfo_t; typedef struct kaprepinfo { uint32_t kaprep_enc_part_kvno; /* key version number */ string kaprep_enc_part_etype; /* enc type of encrypted AP reply */ uint32_t kaprep_enc_ctime; /* client time in seconds */ uint32_t kaprep_enc_cusec; /* client time, microseconds portion */ string kaprep_enc_subkey_type; /* sub-key type */ uint32_t kaprep_enc_subkey_length; /* sub-key length */ uintptr_t kaprep_enc_subkey_value; /* sub-key data */ uint32_t kaprep_enc_seq_number; /* sequence number */ } kaprepinfo_t; typedef struct kerrorinfo { uint32_t kerror_ctime; /* client time in seconds */ uint32_t kerror_cusec; /* client time, microseconds */ uint32_t kerror_stime; /* server time in seconds */ uint32_t kerror_susec; /* server time, microseconds */ string kerror_error_code; /* error code (KRB_AP_ERR_SKEW, ...) */ string kerror_client; /* client principal identifier */ string kerror_server; /* server principal identifier */ string kerror_e_text; /* additional error text */ string kerror_e_data; /* additional error data */ } kerrorinfo_t; typedef struct ksafeinfo { uintptr_t ksafe_user_data; /* raw application specific data */ uint32_t ksafe_timestamp; /* time of sender in seconds */ uint32_t ksafe_usec; /* time of sender, microseconds */ uint32_t ksafe_seq_number; /* sequence number */ string ksafe_s_address; /* sender's address */ string ksafe_r_address; /* recipient's address */ string ksafe_cksum_type; /* checksum type (des-cbc, ...) */ uint32_t ksafe_cksum_length; /* length of checksum */ uintptr_t ksafe_cksum_value; /* raw checksum data */ } ksafeinfo_t; typedef struct kprivinfo { uint32_t kpriv_enc_part_kvno; /* key version number */ string kpriv_enc_part_etype; /* enc type of encrypted message */ uintptr_t kpriv_enc_user_data; /* raw application specific data */ uint32_t kpriv_enc_timestamp; /* time of sender in seconds */ uint32_t kpriv_enc_usec; /* time of sender, microseconds */ uint32_t kpriv_enc_seq_number; /* sequence number */ string kpriv_enc_s_address; /* sender's address */ string kpriv_enc_r_address; /* recipient's address */ } kprivinfo_t; typedef struct kcredinfo { uint32_t kcred_enc_part_kvno; /* key version number */ string kcred_enc_part_etype; /* enc type of encrypted message */ uint32_t kcred_tickets; /* number of tickets */ uint32_t kcred_enc_nonce; /* nonce for replay detection */ uint32_t kcred_enc_timestamp; /* time of sender in seconds */ uint32_t kcred_enc_usec; /* time of sender, microseconds */ string kcred_enc_s_address; /* sender's address */ string kcred_enc_r_address; /* recipient's address */ } kcredinfo_t;