Oracle® Solaris 11.2의 Kerberos 및 기타 인증 서비스 관리

인쇄 보기 종료

 
업데이트 날짜: 2014년 8월
 
 

Kerberos 서비스에 액세스할 수 있도록 cron 호스트를 구성하는 방법

    이 절차에서는 다음 구성 매개변수를 사용합니다.

  • cron 호스트 = host1.example.com

  • NFS 서버 = host2.example.com

  • LDAP 서버 = host3.example.com

  1. Kerberos를 지원하도록 cron 서비스를 구성합니다.
    • cron 호스트에 대해 Kerberos가 구성되지 않은 경우에는 시스템에서 kclient 명령을 실행합니다.

      자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.

      예를 들어, 다음 명령은 EXAMPLE.COM 영역에 클라이언트를 구성합니다. 이 명령은 include 방식을 사용하여 /etc/pam.d/cron 서비스 파일에 pam_gss_s4u 파일을 포함합니다.

      # kclient -s cron:optional -R EXAMPLE.COM
    • cron 호스트에 대해 Kerberos가 이미 구성된 경우에는 해당 호스트에서 cron 서비스에 대한 PAM 구성을 수동으로 수정해야 합니다.

      cron 서비스에 대한 PAM 구성에 pam_gss_s4u 파일이 포함되어 있는지 확인합니다.

      # cd /etc/pam.d ; cp cron cron.orig
# pfedit cron
      # PAM include file for optional set credentials
      # through Kerberos keytab and GSS-API S4U support
      auth include          pam_gss_s4u
  2. cron 호스트가 위임으로 작동하도록 설정합니다.

    예를 들면 다음과 같습니다.

    # kadmin -p kws/admin
Enter password: xxxxxxxx
kadmin: modprinc +ok_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
  3. cron 작업을 만든 사용자를 대신해 cron 호스트가 자신에 대한 티켓을 요청하도록 설정합니다. 
    kadmin: modprinc +ok_to_auth_as_delegate host/host1.example.com@EXAMPLE.COM
Principal “host/host1.example.com@EXAMPLE.COM” modified.
kadmin: quit
  4. LDAP에서 cron 호스트가 위임으로 사용하는 서비스를 지정하도록 호스트를 구성합니다.

    예를 들어, cron 호스트가 Kerberos화된 NFS 서버인 host2에 있는 사용자의 홈 디렉토리에 액세스할 수 있도록 하려면 cron 서버의 LDAP 정의에 있는 krbAllowedToDelegateTo 매개변수에 NFS 호스트를 추가합니다.

    1. 위임 지정을 만듭니다. 
      # pfedit /tmp/delghost.ldif
dn: krbprincipalname=host/host1.example.com@EXAMPLE.COM,cn=EXAMPLE.COM,cn=krbcontainer,dc=example,dc=com
changetype: modify
krbAllowedToDelegateTo: nfs/host2.example.com@EXAMPLE.COM
    2. 지정을 LDAP에 추가합니다. 
      # ldapmodify -h host3 -D "cn=directory manager" -f delghost.ldif
Copyright © 2002, 2014, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전
다음