KDC와 Kerberos 클라이언트 간의 클럭 동기화
Kerberos 인증 시스템에 참여하는 모든 호스트의 내부 클럭은 지정된 최대 시간 범위(클럭 불균형이라고 함) 내에서 동기화되어야 합니다. 이 요구 사항을 충족하면 다른 Kerberos 보안 점검이 제공됩니다. 참여 호스트 간에 클럭 불균형이 초과되면 클라이언트 요청이 거부됩니다.
또한 클럭 불균형은 재생된 요청을 인식 및 거부하기 위해 애플리케이션 서버가 Kerberos 프로토콜 메시지를 추적해야 할 기간을 결정합니다. 따라서 클럭 불균형 값이 클수록 애플리케이션 서버가 수집해야 할 정보가 많아집니다.
최대 클럭 불균형의 기본값은 300초(5분)입니다. krb5.conf 파일의 libdefaults 절에서 이 기본값을 변경할 수 있습니다.
주 - 보안상 클럭 불균형을 300초 이상으로 늘리지 마십시오.
KDC와 Kerberos 클라이언트 간의 클럭은 동기화 상태로 유지되어야 하므로 동기화를 위해 NTP(Network Time Protocol) 소프트웨어를 사용하십시오. Oracle Solaris 소프트웨어에는 University of Delaware의 NTP 공용 도메인 소프트웨어가 포함되어 있습니다. 설명서는 NTP Documentation에서 제공합니다.
NTP를 통해 네트워크 환경에서 정확한 시간 또는 네트워크 클럭 동기화를 관리하거나 모두 관리할 수 있습니다. NTP는 서버-클라이언트 프로토콜입니다. 한 시스템은 마스터 클럭, 즉 NTP 서버입니다. 기타 모든 시스템은 시스템 클럭을 마스터 클럭과 동기화하는 NTP 클라이언트입니다. 클럭을 동기화하기 위해 NTP는 인터넷 표준 시간 서버와의 계약에 따라 UNIX 시스템 시간을 설정 및 유지 관리하는 xntpd 데몬을 사용합니다. 다음 그림은 이 서버-클라이언트 NTP 구현의 예를 보여 줍니다.
그림 4-1 NTP를 사용하여 클럭 동기화
-
네트워크에서 NTP 서버를 설정합니다. 이 서버는 마스터 KDC를 제외한 모든 시스템일 수 있습니다.
-
네트워크에서 KDC 및 Kerberos 클라이언트를 구성하면 NTP 서버의 NTP 클라이언트가 되도록 설정됩니다. NTP 클라이언트로 구성하려면 마스터 KDC로 돌아가십시오.
-
모든 시스템에서 NTP 서비스를 사용으로 설정합니다.
KDC 클라이언트와 Kerberos 클라이언트의 클럭이 동기화 상태로 유지되도록 하는 과정에서는 다음 단계가 구현됩니다.