Oracle® Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

Kerberos 데이터베이스 백업 및 전파

마스터 KDC에서 슬레이브 KDC로 Kerberos 데이터베이스를 전파하는 작업은 가장 중요한 구성 작업 중 하나입니다. 전파가 충분히 자주 실행되지 않으면 마스터 KDC와 슬레이브 KDC의 동기화가 끊깁니다. 이 경우 마스터 KDC의 작동이 중지될 경우 슬레이브 KDC가 최신 데이터베이스 정보를 가지지 못합니다. 또한 로드 균형 조정 용도로 슬레이브 KDC가 마스터 KDC로 구성된 경우 슬레이브 KDC를 마스터 KDC로 사용하는 클라이언트가 최신 정보를 가지지 못합니다.

전파가 충분히 자주 실행되도록 하거나 Kerberos 데이터베이스 변경 빈도에 따라 서버에서 증분 전파를 구성해야 합니다. 다른 전파 방법보다 증분 전파가 기본적으로 사용됩니다. 데이터베이스를 수동으로 전파할 경우 관리 오버헤드가 늘어나고 전체 전파는 효율성이 떨어집니다.

Caution

주의  -  정기적으로 예약된 전파 전에 Kerberos 데이터베이스에 중요한 업데이트를 추가할 경우 데이터가 손실되지 않도록 수동으로 데이터베이스를 전파해야 합니다.

kpropd.acl 파일

슬레이브 KDC의 kpropd.acl 파일은 host 주체 이름 목록(한 행당 하나의 이름)을 제공합니다. 이 목록에는 KDC가 전파를 통해 업데이트된 데이터베이스를 수신할 수 있는 시스템이 지정됩니다. 마스터 KDC를 사용하여 모든 슬레이브 KDC를 전파할 경우 각 슬레이브의 kpropd.acl 파일에는 마스터 KDC의 host 주체 이름만 포함되어야 합니다.

단, 본 설명서에 설명된 Kerberos 설치 및 후속 구성 단계에서는 마스터 KDC와 슬레이브 KDC에 동일한 kpropd.acl 파일을 사용하도록 안내합니다. 이 파일에는 모든 KDC host 주체 이름이 포함되어 있습니다. 전파하는 KDC를 일시적으로 사용할 수 없을 경우 이 구성을 통해 KDC에서의 전파를 실행할 수 있습니다. 모든 KDC에서 동일한 복사본을 사용하면 유지 관리가 간편해집니다.

kprop_script 명령

kprop_script 명령은 kprop 명령을 사용하여 Kerberos 데이터베이스를 다른 KDC에 전파합니다. kprop_script 명령이 슬레이브 KDC에서 실행되면 Kerberos 데이터베이스의 슬레이브 KDC 복사본을 다른 KDC에 전파합니다. kprop_script는 전파할 KDC를 나타내는 인수에 대해 공백으로 구분된 호스트 이름 목록을 허용합니다.

kprop_script가 실행되면 /var/krb5/slave_datatrans 파일에 Kerberos 데이터베이스 백업을 만들고 지정된 KDC에 해당 파일을 복사합니다. Kerberos 데이터베이스는 전파가 완료될 때까지 잠깁니다.

Kerberos 데이터베이스 백업

마스터 KDC를 구성할 때 자동으로 Kerberos 데이터베이스를 /var/krb5/slave_datatrans 덤프 파일에 백업하여 슬레이브 KDC에 전파하도록 cron 작업의 kprop_script 명령을 설정합니다. 하지만 다른 파일과 마찬가지로 Kerberos 데이터베이스도 손상될 수 있습니다. 다음 번 데이터베이스 자동 전파 시 복사본이 다시 설치되므로 슬레이브 KDC에서 데이터가 손상된 경우 문제가 되지 않습니다. 하지만 마스터 KDC에서 데이터가 손상된 경우 다음 번 전파 중 손상된 데이터베이스가 모든 슬레이브 KDC에 전파됩니다. 또한 손상된 백업이 손상되지 않은 마스터 KDC의 이전 백업 파일을 덮어씁니다.

이 시나리오를 방지하려면 주기적으로 slave_datatrans 덤프 파일이 다른 위치에 복사되거나 kdb5_utildump 명령을 사용하여 별도의 다른 백업 복사본이 만들어지도록 cron 작업을 설정해야 합니다. 그런 다음 데이터베이스가 손상되면 kdb5_utilload 명령을 사용하여 마스터 KDC에서 최신 백업을 복원할 수 있습니다.

데이터베이스 덤프 파일에는 주체 키가 포함되어 있으므로 권한이 없는 사용자가 액세스하지 못하도록 파일을 보호해야 합니다. 기본적으로 데이터베이스 덤프 파일은 root로만 읽기 및 쓰기 권한을 가집니다. 허용되지 않은 액세스를 방지하려면 kprop 명령을 사용하여 데이터베이스 덤프 파일을 전파하십시오. 이 명령은 전송되는 데이터를 암호화합니다. 또한 kprop는 슬레이브 KDC로만 데이터를 전파하므로 허용되지 않은 호스트로 데이터베이스 덤프 파일이 잘못 전송될 가능성이 최소화됩니다.

예 4-13  Kerberos 데이터베이스 수동 백업

kdb5_util 명령의 dump 명령을 사용하여 데이터베이스를 백업합니다. root가 소유한 디렉토리에서 이 명령을 실행합니다.

# /usr/sbin/kdb5_util dump

다음 예에서는 이름이 dumpfile인 파일에 Kerberos 데이터베이스가 백업됩니다. –상세 정보 표시 옵션이 지정되었으므로 각 주체가 백업된 대로 인쇄됩니다. 주체를 지정하지 않았으므로 전체 데이터베이스가 백업됩니다.

# kdb5_util dump -verbose /var/user/kadmin/dumpfile
kadmin/kdc1.corp.example.com@CORP.EXAMPLE.COM
krbtgt/CORP.EXAMPLE.COM@CORP.EXAMPLE.COM
kadmin/history@CORP.EXAMPLE.COM
pak/admin@CORP.EXAMPLE.COM
pak@CORP.EXAMPLE.COM
changepw/kdc1.corp.example.com@CORP.EXAMPLE.COM

다음 예에서는 pakpak/admin만 덤프에 포함됩니다.

# kdb5_util dump -verbose pakfile pak/admin@CORP.EXAMPLE.COM pak@CORP.EXAMPLE.COM
pak/admin@CORP.EXAMPLE.COM
pak@CORP.EXAMPLE.COM

자세한 내용은 kdb5_util(1M) 매뉴얼 페이지를 참조하십시오.

Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음