16장. IdM Kerberos 키탭 파일 유지 관리

Kerberos 키탭은 Kerberos 주체와 해당 암호화 키를 포함하는 파일입니다. 호스트, 서비스, 사용자 및 스크립트는 키탭을 사용하여 사람이 개입하지 않고도 Kerberos KMS(Key Distribution Center)를 안전하게 인증할 수 있습니다.

IdM 서버의 모든 IdM 서비스에는 Kerberos 데이터베이스에 저장된 고유한 Kerberos 주체가 있습니다. 예를 들어 IdM 서버 east.idm.example.com 및 west.idm.example.com 이 DNS 서비스를 제공하는 경우 IdM은 두 개의 고유한 DNS Kerberos 주체를 생성하여 이름 지정 규칙 < service>/host.domain.com@REALM.COM 에 따라 이러한 서비스를 식별합니다.

IdM은 이러한 각 서비스에 대해 KVNO(키 버전 번호)와 함께 Kerberos 키의 로컬 사본을 저장할 수 있도록 서버에 키탭을 생성합니다. 예를 들어 기본 키탭 파일 /etc/krb5.keytab 은 Kerberos 영역에 해당 시스템을 나타내며 로그인 인증에 사용되는 호스트 주체를 저장합니다. KDC는 지원하는 다양한 암호화 알고리즘(예: aes256-cts-hmac-sha1-96 및 aes128-cts-hmac-sha 1-96)에 대한 암호화 키를 생성합니다.

klist 명령을 사용하여 키탭 파일의 내용을 표시할 수 있습니다.

klist -ekt /etc/krb5.keytab

[root@idmserver ~]# klist -ekt /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes256-cts-hmac-sha1-96)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (aes128-cts-hmac-sha1-96)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia128-cts-cmac)
   2 02/24/2022 20:28:09 host/idmserver.idm.example.com@IDM.EXAMPLE.COM (camellia256-cts-cmac)