TGS(티켓 부여 서비스) 주체에 DES 키만 있을 경우 이 키는 TGT(티켓 부여 티켓) 세션 키의 암호화 유형을 DES로 제한합니다. KDC가 더 강력한 암호화 유형을 추가로 지원하는 릴리스로 업데이트되면 관리자는 TGS 주체가 모든 세션 키에 대해 더 강력한 암호화를 생성할 수 있도록 주체의 DES 키를 바꿔야 합니다.
원격에서 또는 마스터 서버에서 직접 키를 바꿀 수 있습니다. changepw 권한이 지정된 admin 주체여야 합니다.
모든 Kerberos 시스템에서 TGS 서비스 주체 키를 바꾸려면 kadmin 명령을 사용합니다.
kdc1 % /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin: cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM Enter TGS key: xxxxxxxx Enter new TGS key:/** Type strong password **/ Re-enter TGS key to verify: xxxxxxxx
cpw는 change_password 명령의 별칭입니다. –randkey 옵션은 새 암호를 묻는 프롬프트를 표시합니다.
root로 KDC 마스터에 로그온하면 kadmin.local 명령을 사용할 수 있습니다. 새 데이터베이스 암호를 묻는 프롬프트가 표시됩니다.
kdc1 # kadmin.local -q 'cpw -randkey krbtgt/EXAMPLE.COM@EXAMPLE.COM'