Red Hat Summit29장. Kerberos 도메인 관리
이 장에서는 ID 관리 서버의 KDC(Kerberos 키 배포 센터) 구성 요소에 대해 설명합니다.
중요
kadmin 또는 kadmin.local 유틸리티를 사용하여 Identity Management Kerberos 정책을 관리하지 마십시오. 이 가이드에 설명된 대로 기본 ID 관리 명령줄 도구를 사용합니다.
언급된 Kerberos 도구를 사용하여 ID 관리 정책을 관리하려고 하면 일부 작업은 해당 Directory Server 인스턴스에 저장된 ID 관리 구성에 영향을 미치지 않습니다.
29.1. Kerberos 티켓 정책 관리
ID 관리의 Kerberos 티켓 정책은 티켓 기간 및 갱신에 대한 제한을 설정합니다. 다음 절차에 따라 ID 관리 서버에서 실행되는 Kerberos KDC(키 배포 센터)에 대한 Kerberos 티켓 정책을 구성할 수 있습니다.
29.1.1. Kerberos 티켓의 수명 확인
ID 관리 클라이언트가 user_name 대신 Kerberos 티켓을 요청한 후 ID 관리 클라이언트가 부여될 티켓의 수명을 결정하는 경우 몇 가지 매개 변수가 고려됩니다. 먼저 kinit 명령 및
/etc/krb5.conf 파일의 ticket_lifetime 설정에 따라 요청할 값을 계산하는 클라이언트 쪽 평가가 수행됩니다. 그런 다음 값은 서버 측 평가가 수행되는 ID 관리 서버로 전송됩니다. 요청된 수명이 전역 설정에서 허용하는 것보다 낮은 경우 요청된 수명 주기가 부여됩니다. 그렇지 않은 경우 부여되는 수명은 전역 설정에서 허용하는 값입니다.
user_name 대신 클라이언트가 요청한 수명은 다음과 같이 결정됩니다.
고객측
-l옵션을 사용하여 kinit 명령 자체에서 user_name 의 값을 명시적으로 표시하는 경우 예를 들면 다음과 같습니다.$ kinit user_name -l 90000
이 경우 90000초는 user_name 을 대신하여 클라이언트에서 해당 값을 요청합니다.- 또는 kinit user_name 명령의 인수로 라이프사이클 값이 전달되지 않으면 클라이언트의
/etc/krb5.conf파일의ticket_lifetime설정 값이 user_name 대신 클라이언트에 의해 사용됩니다./etc/krb5.conf파일에 값이 지정되지 않은 경우 초기 티켓 요청의 기본 IdM 값이 사용됩니다.
서버측
서버 측에서 2단계 평가가 수행됩니다.
- 클라이언트에서 요청한 값은 user_name- 이러한 정책이 존재하는 경우 특정 Kerberos 티켓 정책의
--maxlife설정과 비교되고 두 정책의 하위 값이 선택됩니다. user_name- 특정 Kerberos 티켓 정책이 없으면 클라이언트에서 보낸 값이 Global Kerberos 티켓 정책의--maxlife설정과 비교되고 이 둘 중 더 낮은 값이 선택됩니다. 글로벌 및 사용자별 Kerberos 티켓 정책에 대한 자세한 내용은 29.1.2절. “글로벌 및 사용자별 Kerberos 티켓 정책” 을 참조하십시오. - 이전 단계에서 선택한 값은 다음 두 개의 다른 값과 비교됩니다.
/var/kerberos/krb5kdc/kdc.conf파일의max_life설정 값- 고유 이름(DN):ECDHE
PrincipalName=속성에 설정된 값krbtgt/REALM_NAME@REALM_NAME,cn=NAME ,cn=kerberos,domain_name을 사용하여 LDAP 항목의>-<MaxTicketLife
세 값 중 최저가 궁극적으로 user_name 에 부여된 Kerberos 티켓의 수명 동안 선택됩니다.
29.1.2. 글로벌 및 사용자별 Kerberos 티켓 정책
글로벌 Kerberos 티켓 정책을 재정의하고 개별 사용자에게 특별히 추가 정책을 정의할 수 있습니다.
- 글로벌 Kerberos 티켓 정책
- 글로벌 정책은 ID 관리 Kerberos 영역 내에서 발행된 모든 티켓에 적용됩니다.
- 사용자별 Kerberos 티켓 정책
- 사용자별 정책은 연결된 사용자 계정에만 적용됩니다. 예를 들어 사용자별 Kerberos 티켓 정책은
관리자의 최대 티켓 수명을 정의할 수 있습니다.사용자별 정책은 글로벌 정책보다 우선합니다.
29.1.3. 글로벌 Kerberos 티켓 정책 구성
글로벌 Kerberos 티켓 정책을 구성하려면 다음을 사용합니다.
- ID 관리 웹 UI: 보기 “웹 UI: 글로벌 Kerberos 티켓 정책 구성”
- 명령줄: 표시 “명령줄: 글로벌 Kerberos 티켓 정책 구성”
| 속성 | 설명 | 예제 |
|---|---|---|
| 최대 갱신 수 |
사용자가 만료 후 Kerberos 티켓을 갱신할 수 있는 시간(초)입니다. 갱신 기간이 지난 후 사용자는
kinit 유틸리티를 사용하여 새 티켓을 받아야 합니다.
티켓을 갱신하려면 kinit -R 명령을 사용합니다.
|
최대 갱신 = 604800
티켓이 만료되면 사용자는 다음 7일 이내에 갱신할 수 있습니다(604,800초).
|
| 최대 수명 | Kerberos 티켓의 수명(초). Kerberos 티켓이 활성화된 기간입니다. |
최대 수명 = 86400
티켓은 발행된 후 24시간(86,400초) 후에 만료됩니다.
|
웹 UI: 글로벌 Kerberos 티켓 정책 구성
선택합니다. - 필요한 값을 정의합니다.
- Max renew (최대 갱신) 필드에 Kerberos 티켓의 최대 갱신 기간을 입력합니다.
- 최대 수명 필드에 Kerberos 티켓의 최대 수명을 입력합니다.
그림 29.1. 글로벌 Kerberos 티켓 정책 구성
- 을 클릭합니다.
명령줄: 글로벌 Kerberos 티켓 정책 구성
글로벌 Kerberos 티켓 정책을 수정하려면 다음을 수행합니다.
- ipa>-<tpolicy-mod 명령을 사용하고 다음 옵션 중 하나 이상을 전달합니다.
- Kerberos 티켓의 최대 갱신 기간을 정의하는
--maxrenew - Kerberos 티켓의 최대 수명 주기를 정의하는
--maxlife
예를 들어 최대 수명을 변경하려면 다음을 수행합니다.$ ipa krbtpolicy-mod --maxlife=80000 Max life: 80000 Max renew: 604800
글로벌 Kerberos 티켓 정책을 원래 기본값으로 재설정하려면 다음을 수행합니다.
- ipa>-<tpolicy-reset 명령을 사용합니다.
- 선택 사항입니다. ipa>-<tpolicy-show 명령을 사용하여 현재 설정을 확인합니다.
ipa>-<tpolicy-mod 및 ipa>-<tpolicy-reset 에 대한 자세한 내용은
--help 옵션을 전달합니다.
29.1.4. 사용자별 Kerberos 티켓 정책 구성
특정 사용자에 대한 Kerberos 티켓 정책을 수정하려면 다음을 수행합니다.
- ipa>-<tpolicy-mod user_name 명령을 사용하고 다음 옵션 중 하나를 전달합니다.
- Kerberos 티켓의 최대 갱신 기간을 정의하는
--maxrenew - Kerberos 티켓의 최대 수명 주기를 정의하는
--maxlife
특성 중 하나만 정의하는 경우 Identity Management는 다른 속성에 대한 글로벌 Kerberos 티켓 정책 값을 적용합니다.예를 들어admin사용자의 최대 수명을 변경하려면 다음을 수행합니다.$ ipa krbtpolicy-mod admin --maxlife=160000 Max life: 80000 Max renew: 604800 - 선택 사항입니다. ipa>-<tpolicy-show user_name 명령을 사용하여 지정된 사용자의 현재 값을 표시합니다.
새 정책은
kinit 유틸리티 사용 시와 같이 사용자가 요청한 다음 Kerberos 티켓에 즉시 적용됩니다.
사용자별 Kerberos 티켓 정책을 재설정하려면 ipa>-<tpolicy-reset user_name 명령을 사용합니다. 명령은 사용자에게 구체적으로 정의된 값을 지운 다음 Identity Management에서 글로벌 정책 값을 적용합니다.
ipa>-<tpolicy-mod 및 ipa>-<tpolicy-reset 에 대한 자세한 내용은
--help 옵션을 전달합니다.
