이 절차에서는 이름이 kdc2인 새 슬레이브 KDC가 구성됩니다. 또한 증분 전파가 구성됩니다. 이 절차에서는 다음 구성 매개변수를 사용합니다.
영역 이름 = EXAMPLE.COM
DNS 도메인 이름 = example.com
마스터 KDC = kdc1.example.com
슬레이브 KDC = kdc2.example.com
admin 주체 = kws/admin
시작하기 전에
마스터 KDC를 구성합니다. 이 슬레이브를 교체 가능한 것으로 설정하려는 경우 마스터 KDC와 슬레이브 KDC 교체 방법의 지침을 따릅니다.
KDC 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다.
kdc1 # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.
슬레이브가 작동하려면 host 주체가 있어야 합니다. 주체 인스턴스가 호스트 이름인 경우 FQDN은 이름 서비스의 도메인 이름 대소문자에 관계없이 소문자로 지정되어야 합니다.
kadmin: addprinc -randkey host/kdc2.example.com Principal "host/kdc2.example.com@EXAMPLE.COM" created. kadmin:
kiprop 주체는 마스터 KDC로부터의 증분 전파를 허가하는 데 사용됩니다.
kadmin: addprinc -randkey kiprop/kdc2.example.com Principal "kiprop/kdc2.example.com@EXAMPLE.COM" created. kadmin:
kadmin: quit
슬레이브마다 항목을 하나씩 추가해야 합니다. 이 파일에 대한 설명은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.
kdc1 # pfedit /etc/krb5/krb5.conf
.
.
[realms]
EXAMPLE.COM = {
kdc = kdc1.example.com
kdc = kdc2.example.com
admin_server = kdc1.example.com
}
이 항목은 마스터 KDC가 kdc2 서버에 대한 증분 전파 요청을 수신할 수 있도록 합니다.
kdc1 # pfedit /etc/krb5/kadm5.acl */admin@EXAMPLE.COM * kiprop/kdc2.example.com@EXAMPLE.COM p
kdc1 # svcadm restart network/security/kadmin
각 슬레이브 KDC에 마스터 KDC에 대한 최신 정보가 있어야 합니다. sftp 또는 유사한 전송 방식을 사용하여 마스터 KDC의 다음 파일을 복사할 수 있습니다.
/etc/krb5/krb5.conf
/etc/krb5/kdc.conf
모든 슬레이브 KDC 서버에서 이 정보를 업데이트해야 합니다.
kdc2 # pfedit /etc/krb5/kpropd.acl host/kdc1.example.com@EXAMPLE.COM host/kdc2.example.com@EXAMPLE.COM
수정되지 않은 kadm5.acl 파일은 다음 예와 같이 표시될 수 있습니다.
kdc2 # pfedit /etc/krb5/kadm5.acl */admin@___default_realm___ *
파일에 kiprop 항목이 있을 경우 제거합니다.
sunw_dbprop_master_ulogsize 항목을 슬레이브의 폴링 간격을 정의하는 항목으로 바꿉니다. 다음 항목은 폴링 시간을 2분으로 설정합니다.
kdc1 # pfedit /etc/krb5/kdc.conf
[kdcdefaults]
kdc_ports = 88,750
[realms]
EXAMPLE.COM= {
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
acl_file = /etc/krb5/kadm5.acl
kadmind_port = 749
max_life = 8h 0m 0s
max_renewable_life = 7d 0h 0m 0s
sunw_dbprop_enable = true
sunw_dbprop_slave_poll = 2m
}
마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인합니다.
kdc2 # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
이 항목은 kprop 및 기타 Kerberos화된 응용 프로그램이 작동할 수 있도록 합니다. 주체 인스턴스가 호스트 이름인 경우 FQDN은 이름 서비스의 도메인 이름 대소문자에 관계없이 소문자로 지정되어야 합니다. 자세한 내용은 kprop(1M) 매뉴얼 페이지를 참조하십시오.
kadmin: ktadd host/kdc2.example.com Entry for principal host/kdc2.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc2.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc2.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
krb5.keytab 파일에 kiprop 주체를 추가하면 증분 전파가 시작될 때 kpropd 명령이 자체적으로 인증할 수 있습니다.
kadmin: ktadd kiprop/kdc2.example.com Entry for principal kiprop/kdc2.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc2.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc2.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
kdc2 # svcadm enable network/security/krb5_prop
kdc2 # /usr/sbin/kdb5_util stash kdb5_util: Cannot find/read stored master key while reading master key kdb5_util: Warning: proceeding without master key Enter KDC database master key: xxxxxxxx
자세한 내용은 kdb5_util(1M) 매뉴얼 페이지를 참조하십시오.
인증이 성공하려면 모든 클럭이 krb5.conf 파일의 libdefaults 섹션에 정의된 기본 시간에 속해야 합니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오. NTP(Network Time Protocol)에 대한 자세한 내용은 KDC와 Kerberos 클라이언트 간의 클럭 동기화를 참조하십시오.
kdc2 # svcadm enable network/security/krb5kdc
다음 단계
NTP 서버를 설치한 후 마스터 KDC로 돌아가 마스터 KDC를 NTP 서버의 클라이언트로 설정합니다.