이 절차에서는 증분 전파가 구성됩니다. 이 절차에서는 다음 구성 매개변수를 사용합니다.
영역 이름 = EXAMPLE.COM
DNS 도메인 이름 = example.com
마스터 KDC = kdc1.example.com
admin 주체 = kws/admin
온라인 도움말 URL = http://docs.oracle.com/cd/E23824_01/html/821-1456/aadmin-23.html
시작하기 전에
DNS를 사용하도록 호스트를 구성합니다. 이 마스터를 교체 가능한 것으로 설정하려는 경우 구체적인 이름 지정 지침은 마스터 KDC와 슬레이브 KDC 교체를 참조하십시오.
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
KDC 패키지를 설치하는 방법의 지침을 따릅니다.
이 파일에 대한 설명은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.
이 예에서는 관리자가 default_realm, kdc, admin_ server 및 모든 domain_realm 영역에 대한 라인을 변경하고 help_url 항목을 편집합니다.
kdc1 # pfedit /etc/krb5/krb5.conf
...
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc1.example.com
admin_server = kdc1.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
#
# if the domain name and realm name are equivalent,
# this entry is not needed
#
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE:/var/krb5/kdc.log
[appdefaults]
gkadmin = {
help_url = http://docs.oracle.com/cd/E23824_01/html/821-1456/aadmin-23.html
}
이 파일에 대한 설명은 kdc.conf(4) 매뉴얼 페이지를 참조하십시오.
이 예에서는 관리자가 영역 이름 정의뿐 아니라 증분 전파 및 로깅 기본값도 변경합니다.
kdc1 # pfedit /etc/krb5/kdc.conf
[kdcdefaults]
kdc_ports = 88,750
[realms]
EXAMPLE.COM = {
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
acl_file = /etc/krb5/kadm5.acl
kadmind_port = 749
max_life = 8h 0m 0s
max_renewable_life = 7d 0h 0m 0s
sunw_dbprop_enable = true
sunw_dbprop_master_ulogsize = 1000
}
kdb5_util 명령은 KDC 데이터베이스를 만듭니다. 또한 –s 옵션과 함께 사용할 경우 이 명령은 kadmind 및 krb5kdc 데몬이 시작되기 전에 KDC를 자체적으로 인증하는 데 사용되는 stash 파일을 만듭니다. 자세한 내용은 kdb5_util(1M), kadmind(1M) 및 krb5kdc(1M) 매뉴얼 페이지를 참조하십시오.
kdc1 # /usr/sbin/kdb5_util create -s Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM' master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key:/** Type strong password **/ Re-enter KDC database master key to verify: xxxxxxxx
# getent hosts IP-address-of-KDC IP-address-of-KDC kdc/** This entry does not include FQDN **/그런 다음 FQDN을 /etc/hosts 파일의 첫번째 항목으로 추가합니다. 예를 들면 다음과 같습니다.
IP-address-of-KDC kdc.kdc-principal.example.com kdc
채워진 /etc/krb5/kadm5.acl 파일에는 KDC를 관리할 수 있도록 허용된 모든 주체 이름이 포함되어야 합니다.
kws/admin@EXAMPLE.COM *
위 항목은 EXAMPLE.COM 영역의 kws/admin 주체가 KDC의 주체 및 정책을 수정할 수 있도록 합니다. 기본 주체 항목은 모든 admin 주체와 일치하는 별표(*)입니다. 이 항목은 보안 위험을 야기할 수 있습니다. 모든 admin 주체 및 해당 권한을 명시적으로 나열하도록 파일을 수정합니다. 자세한 내용은 kadm5.acl(4) 매뉴얼 페이지를 참조하십시오.
admin 주체는 필요에 따라 여러 개 추가할 수 있습니다. KDC 구성 프로세스를 완료하려면 admin 주체를 하나 이상 추가해야 합니다. 이 예에서는 kws/admin 주체가 추가됩니다. "kws" 대신 적절한 주체 이름으로 대체할 수 있습니다.
kadmin.local: addprinc kws/admin Enter password for principal kws/admin@EXAMPLE.COM:/** Type strong password **/ Re-enter password for principal kws/admin@EXAMPLE.COM: xxxxxxxx Principal "kws/admin@EXAMPLE.COM" created. kadmin.local:
자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.
kdc1 # svcadm enable -r network/security/krb5kdc kdc1 # svcadm enable -r network/security/kadmin
kdc1 # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
호스트 주체는 Kerberos화된 응용 프로그램(예: kprop)이 변경 사항을 슬레이브 KDC에 전파하는 데 사용합니다. 또한 이 주체는 ssh 등의 네트워크 애플리케이션을 사용하여 KDC 서버에 대한 보안 원격 액세스를 제공하는 데 사용됩니다. 주체 인스턴스가 호스트 이름인 경우 FQDN은 이름 서비스의 도메인 이름 대소문자에 관계없이 소문자로 지정되어야 합니다.
kadmin: addprinc -randkey host/kdc1.example.com Principal "host/kdc1.example.com@EXAMPLE.COM" created. kadmin:
이 주체는 kclient 유틸리티가 Kerberos 클라이언트를 설치하는 동안 사용합니다. 이 유틸리티를 사용하지 않으려는 경우 주체를 추가할 필요가 없습니다. kclient 유틸리티 사용자가 이 암호를 사용해야 합니다. 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.
kadmin: addprinc clntconfig/admin Enter password for principal clntconfig/admin@EXAMPLE.COM:/** Type strong password **/ Re-enter password for principal clntconfig/admin@EXAMPLE.COM: xxxxxxxx Principal "clntconfig/admin@EXAMPLE.COM" created. kadmin:
kclient 설치 작업을 수행할 수 있는 충분한 권한을 clntconfig 주체에 지정하도록 kadm5.acl 파일을 편집합니다.
# pfedit /etc/krb5/kadm5.acl ... clntconfig/admin@EXAMPLE.COM acdilm
keytab 파일에 host 주체를 추가하면 sshd 등의 애플리케이션 서버가 자동으로 이 주체를 사용할 수 있습니다.
kadmin: ktadd host/kdc1.example.com Entry for principal host/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
인증이 성공하려면 모든 클럭이 krb5.conf 파일의 libdefaults 섹션에 정의된 기본 시간에 속해야 합니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오. NTP(Network Time Protocol)에 대한 자세한 내용은 KDC와 Kerberos 클라이언트 간의 클럭 동기화를 참조하십시오.
중복을 제공하려면 슬레이브 KDC를 하나 이상 설치해야 합니다. kdcmgr을 사용하여 슬레이브 KDC를 구성하는 방법 또는 수동으로 슬레이브 KDC를 구성하는 방법의 지침을 따릅니다.