이 절차에서는 다음 구성 매개변수를 사용합니다.
애플리케이션 서버 = boston
admin 주체 = kws/admin
DNS 도메인 이름 = example.com
영역 이름 = EXAMPLE.COM
시작하기 전에
마스터 KDC를 구성합니다. KDC와 Kerberos 클라이언트 간의 클럭 동기화에 설명된 대로 클럭을 동기화합니다. 프로세스를 완전히 테스트하려면 여러 클라이언트가 필요합니다.
애플리케이션 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
다음 명령을 실행하면 host 주체 유무가 보고됩니다.
boston # klist -k | grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
명령이 주체를 반환하면 작업이 완료된 것입니다. 명령이 주체를 반환하지 않을 경우 다음 단계에 따라 새 주체를 만듭니다.
boston # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
host 주체의 용도는 다음과 같습니다.
원격 명령(예: rsh 및 ssh) 사용 시 트래픽 인증
pam_krb5가 host 주체를 통해 사용자의 Kerberos 자격 증명이 신뢰할 수 있는 KDC에서 온 것인지 확인하여 KDC 스푸핑 공격을 방지하는 데 사용
root 사용자가 root 주체 없이도 Kerberos 자격 증명을 자동으로 확보할 수 있도록 허용. 이 기능은 공유에 Kerberos 자격 증명이 필요한 수동 NFS 마운트를 수행할 때 유용할 수 있습니다.
원격 응용 프로그램을 사용하는 트래픽을 Kerberos 서비스를 통해 인증하려는 경우 이 주체가 필요합니다. 서버에 연결된 호스트 이름이 여러 개인 경우 호스트 이름의 FQDN 형식을 사용하여 각 호스트 이름에 대한 주체를 만듭니다.
kadmin 명령이 실행되고 있지 않을 경우 /usr/sbin/kadmin -p kws/admin과 유사한 명령을 사용하여 다시 시작합니다.
서버에 연결된 호스트 이름이 여러 개인 경우 각 호스트 이름에 대한 keytab에 주체를 추가합니다.
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit