대화식으로 Kerberos 클라이언트를 구성하는 방법

이 절차에서는 설치 프로파일 없이 kclient 설치 유틸리티를 사용합니다. 클라이언트가 Active Directory 서버에 참여하도록 설정하려는 경우 Kerberos 클라이언트가 Active Directory 서버에 참여하도록 설정하는 방법으로 이동합니다.

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. 인수 없이 kclient 명령을 실행합니다.

   client# /usr/sbin/kclient

   다음 정보를 묻는 프롬프트가 표시됩니다.

   • Kerberos 영역 이름

   • KDC 마스터 호스트 이름

   • KDC 슬레이브 호스트 이름

   • 로컬 영역에 매핑할 도메인

   • Kerberos 인증에 사용할 PAM 서비스 이름 및 옵션

   자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.

2. KDC 서버가 Oracle Solaris 릴리스를 실행하고 있지 않은 경우 y로 응답하고 KDC를 실행하는 서버의 유형을 정의합니다.

   사용할 수 있는 서버 목록은 kclient(1M) 매뉴얼 페이지의 –T 옵션을 참조하십시오.

3. Kerberos 조회에 DNS가 사용되어야 하는 경우에는 y로 응답하고 사용할 DNS 조회 옵션을 지정합니다.

   유효한 옵션은 –dns_lookup_kdc, –dns_lookup_realm 및 –dns_fallback입니다. 이러한 값에 대한 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.

4. Kerberos 영역의 이름 및 마스터 KDC 호스트 이름을 정의합니다.

   이 정보는 /etc/krb5/krb5.conf 구성 파일에 추가됩니다.

5. 영역에 슬레이브 KDC가 있는 경우 y로 응답하고 슬레이브 KDC 호스트 이름을 제공합니다.

   이 정보는 클라이언트의 구성 파일에 추가 KDC 항목을 만드는 데 사용됩니다.

6. 서비스 또는 호스트 키가 필요한 경우 y로 응답합니다.

   일반적으로 클라이언트 시스템이 Kerberos화된 서비스를 호스트하는 경우 서비스 또는 호스트 키가 필요하지 않습니다.

7. 클라이언트가 클러스터의 구성원인 경우 y로 응답하고 클러스터의 논리적 이름을 제공합니다.

   논리적 호스트 이름은 서비스 키를 만들 때 사용되며, 클러스터에서 Kerberos 서비스를 호스트하는 경우 필요합니다.

8. 현재 영역에 매핑할 도메인 또는 호스트를 식별합니다.

   이 매핑은 다른 도메인이 클라이언트의 기본 영역에 속할 수 있도록 합니다.

9. 클라이언트가 Kerberos화된 NFS를 사용할지 여부를 지정합니다.

   클라이언트가 Kerberos를 사용하는 NFS 서비스를 호스트할 경우 NFS 서비스 키를 만들어야 합니다.

10. 새 PAM 정책을 만들어야 하는지 여부를 나타냅니다.

    인증에 Kerberos를 사용할 PAM 서비스를 설정하려면 서비스 이름과 Kerberos 인증의 사용 방식을 나타내는 플래그를 제공합니다. 유효한 플래그 옵션은 다음과 같습니다.

    • first - Kerberos 인증을 먼저 사용하고 Kerberos 인증을 실패한 경우에만 UNIX를 사용합니다.

    • only - Kerberos 인증만 사용합니다.

    • optional - 선택적으로 Kerberos 인증을 사용합니다.

    Kerberos용으로 제공된 PAM 서비스에 대한 자세한 내용은 /etc/security/pam_policy를 참조하십시오.

11. 마스터 /etc/krb5/krb5.conf 파일을 복사해야 하는지 여부를 지정합니다.

    이 옵션을 설정하면 kclient에 대한 인수가 충분하지 않을 경우 특정 구성 정보를 사용할 수 있습니다.

예 4-3  kclient 스크립트 샘플 실행

...
Starting client setup
---------------------------------------------------

Is this a client of a non-Solaris KDC ? [y/n]: n
No action performed.
Do you want to use DNS for kerberos lookups ? [y/n]: n
No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the KDC host name for the above realm: kdc1.example.com

Note, this system and the KDC's time must be within 5 minutes of each other for
Kerberos to function. Both systems should run some form of time synchronization
system like Network Time Protocol (NTP).
Do you have any slave KDC(s) ? [y/n]: y
Enter a comma-separated list of slave KDC host names: kdc2.example.com

Will this client need service keys ? [y/n]: n
No action performed.
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
No action performed.
Do you have multiple domains/hosts to map to realm ? [y/n]: y
Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \
example.com

Setting up /etc/krb5/krb5.conf.

Do you plan on doing Kerberized nfs ? [y/n]: y
Do you want to update /etc/pam.conf ? [y/n]: y
Enter a comma-separated list of PAM service names in the following format:
service:{first|only|optional}: xscreensaver:first
Configuring /etc/pam.conf.

Do you want to copy over the master krb5.conf file ? [y/n]: n
No action performed.

---------------------------------------------------
Setup COMPLETE.