Oracle® Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

계층 영역 간 인증 설정 방법

이 절차의 예에서는 CORP.EAST.EXAMPLE.COMEAST.EXAMPLE.COM 간에 양방향 영역 간 인증을 설정합니다. 이 절차는 두 영역의 마스터 KDC에서 수행해야 합니다.

시작하기 전에

각 영역에 대한 마스터 KDC를 구성합니다. 인증 프로세스를 완전히 테스트하려면 여러 클라이언트가 필요합니다.

두 KDC 서버에서 root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

  1. 두 영역에 대한 TGT(티켓 부여 티켓)서비스 주체를 만듭니다.

    마스터 KDC를 구성할 때 만든 admin 주체 이름 중 하나로 로그인해야 합니다.

    # /usr/sbin/kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: addprinc krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM
Enter password for principal krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM:/** Type strong password **/
kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM
Enter password for principal krbtgt/EAST.EXAMPLE.COM@CORP.EAST.EXAMPLE.COM:/** Type strong password **/
kadmin: quit
    주 -  두 암호를 안전한 위치에 저장하고 보관하십시오.
  2. Kerberos 구성 파일에 모든 영역에 대한 도메인 이름을 정의할 항목을 추가합니다. 
    # pfedit /etc/krb5/krb5.conf
[libdefaults]
.
.
[domain_realm]
.corp.east.example.com = CORP.EAST.EXAMPLE.COM
.east.example.com = EAST.EXAMPLE.COM

    이 예에서는 CORP.EAST.EXAMPLE.COMEAST.EXAMPLE.COM 영역에 대한 도메인 이름이 정의됩니다. 파일은 하향식으로 검색되므로 이 파일에서 하위 도메인이 도메인 이름 앞에 나와야 합니다.

  3. Kerberos 구성 파일을 이 영역의 모든 클라이언트에 복사합니다.

    영역 간 인증이 작동하려면 모든 시스템(슬레이브 KDC 및 기타 서버 포함)이 /etc/krb5/krb5.conf의 마스터 KDC 버전을 사용해야 합니다.

  4. 두번째 영역에서 이 절차를 반복합니다.
    주 -  각 서비스 주체에 대해 지정된 암호는 두 KDC에서 같아야 합니다. 따라서 서비스 주체 krbtgt/CORP.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM에 대한 암호는 두 영역에서 동일해야 합니다.
Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음