Kerberos 데이터베이스에 대한 키를 새로 생성, 사용 및 저장하는 방법

시작하기 전에

root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. 새 마스터 키를 만듭니다.

   이 명령은 임의로 생성된 새 마스터 키를 추가합니다. –s 옵션은 새 마스터 키가 기본 keytab에 저장되도록 요청합니다.

   # kdb5_util add_mkey -s
   
   Creating new master key for master key principal 'K/M@EXAMPLE.COM'
   You will be prompted for a new database Master Password.
   It is important that you NOT FORGET this password.
   Enter KDC database master key:/** Type strong password **/
   Re-enter KDC database master key to verify: xxxxxxxx

2. 새 마스터 키가 존재하는지 확인합니다.

   # kdb5_util list_mkeys
   Master keys for Principal: K/M@EXAMPLE.COM
   KNVO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC, No activate time set
   KNVO: 1, Enctype: AES-128 CTS mode with 96-bit SHA-1 HMAC, Active on: Fri Dec 31 18:00:00 CST 2011 *

   이 출력의 별표는 현재 활성 상태의 마스터 키를 식별합니다.

3. 새로 만들어진 마스터 키가 활성화될 시간을 설정합니다.

   # date
   Fri Jul 11 17:57:00 CDT 2014
   # kdb5_util use_mkey 2 'now+2days'
   # kdb5_util list_mkeys
   Master keys for Principal: K/M@EXAMPLE.COM
   KNVO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC,
   Active on: Sun Jul 13 17:57:15 CDT 2014
   KNVO: 1, Enctype: AES-128 CTS mode with 96-bit SHA-1 HMAC,
   Active on: Fri Dec 31 18:00:00 CST 2011 *

   이 예에서는 새 마스터 키가 모든 KDC에 전파되도록 충분한 시간을 확보하기 위해 날짜가 2일로 설정됩니다. 환경에 맞게 날짜를 조정합니다.

4. (옵션) 새 주체를 만든 후 새 마스터 키가 사용되고 있는지 확인합니다.

   # kadmin.local -q 'getprinc tamiko' |egrep 'Principal|MKey'
   Authenticating as principal root/admin@EXAMPLE.COM with password.
   Principal: tamiko@EXAMPLE.COM
   MKey: vno 2

   이 예에서는 MKey: vno 2를 통해 주체의 보안 키가 새로 만들어진 마스터 키 2에 의해 보호되고 있음을 알 수 있습니다.

5. 새 마스터 키로 사용자 주체 보안 키를 다시 암호화합니다.

   명령 끝에 패턴 인수를 추가할 경우 패턴과 일치하는 주체가 업데이트됩니다. 이 명령 구문에 –n 옵션을 추가하여 업데이트할 주체를 식별합니다.

   # kdb5_util update_princ_encryption -f -v
   Principals whose keys WOULD BE re-encrypted to master key vno 2:
   updating: host/kdc1.example.com@EXAMPLE.COM
   skipping:   tamiko@EXAMPLE.COM
   updating: kadmin/changepw@EXAMPLE.COM
   updating: kadmin/history@EXAMPLE.COM
   updating: kdc/admin@EXAMPLE.COM
   updating: host/kdc2.example.com@EXAMPLE.COM
   6 principals processed: 5 updated, 1 already current

6. 이전 마스터 키를 제거합니다.

   주체 보안 키를 보호하는 데 더 이상 마스터 키가 사용되지 않을 경우 마스터 키 주체에서 제거할 수 있습니다. 이 명령은 주체가 키를 사용하고 있을 경우 키를 제거하지 않습니다. 이 명령에 –n 옵션을 추가하여 올바른 마스터 키가 제거될지 확인합니다.

   # kdb5_util purge_mkeys -f -v
   Purging the follwing master key(s) from K/M@EXAMPLE.COM:
   KNVO: 1
   1 key(s) purged.

7. 이전 마스터 키가 제거되었는지 확인합니다.

   # kdb5_util list_mkeys
   Master keys for Principal: K/M@EXAMPLE.COM
   KNVO: 2, Enctype: AES-256 CTS mode with 96-bit SHA-1 HMAC,
   Active on: Sun Jul 13 17:57:15 CDT 2014 *

8. stash 파일을 업데이트합니다.

   # kdb5_util stash
   Using existing stashed keys to update stash file.

9. stash 파일이 업데이트되었는지 확인합니다.

   # klist -kt /var/krb5/.k5.EXAMPLE.COM
   Keytab name: FILE:.k5.EXAMPLE.COM
   KVNO Timestamp              Principal
   ---- ---------------- ---------------------------------------------------------
   2 05/11/2014 18:03 K/M@EXAMPLE.COM