11.3. Kerberos 클라이언트 구성
Kerberos 5 클라이언트를 설정하는 데 필요한 것은 클라이언트 패키지를 설치하고 각 클라이언트에 유효한
krb5.conf
구성 파일을 제공하는 것입니다. ssh 및 slogin 은 클라이언트 시스템에 원격으로 로그인하는 기본 방법이지만, 추가 구성 변경으로 rsh 및 rlogin 의 Kerberos 인식 버전을 계속 사용할 수 있습니다.
- 모든 클라이언트 시스템에
krb5-libs
및krb5-workstation
패키지를 설치합니다.[root@server ~]# yum install krb5-workstation krb5-libs
- 각 클라이언트에 유효한
/etc/krb5.conf
파일을 제공합니다. 일반적으로 이는 Kerberos Distribution Center(KDC)에서 사용하는 것과 동일한krb5.conf
파일일 수 있습니다. 예를 들어 다음과 같습니다.[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true allow_weak_crypto = true [realms] EXAMPLE.COM = { kdc = kdc.example.com.:88 admin_server = kdc.example.com default_domain = example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM
일부 환경에서 KDC는 HTTPS KKDCP(Kerberos Key Distribution Center Proxy)를 사용해서만 액세스할 수 있습니다. 이 경우 다음과 같이 변경합니다.- [realms] 섹션의 kdc 및 admin_server 옵션에 호스트 이름 대신 KKDCP의 URL을 할당합니다.
[realms] EXAMPLE.COM = { kdc = https://kdc.example.com/KdcProxy admin_server = https://kdc.example.com/KdcProxy kpasswd_server = https://kdc.example.com/KdcProxy default_domain = example.com }
중복을 위해 다양한 KKDCP 서버를 사용하여kdc
,admin
매개 변수를 여러 번 추가할 수 있습니다._server
및 kpasswd_server - IdM 클라이언트에서 sssd 서비스를 다시 시작하여 변경 사항을 적용합니다.
[root@server ~]# systemctl restart sssd
- Kerberos 인식 rsh 및 rlogin 서비스를 사용하려면
rsh
패키지를 설치합니다. - 워크스테이션에서 Kerberos를 사용하여 ssh,rsh 또는 rlogin 을 사용하여 연결하는 사용자를 인증하려면 먼저 Kerberos 데이터베이스에 자체 호스트 주체가 있어야 합니다. sshd,kshd, klogind 서버 프로그램은 모두 호스트 서비스 주체의 키에 액세스할 수 있어야 합니다.
- kadmin 을 사용하여 KDC에 워크스테이션에 대한 호스트 주체를 추가합니다. 이 경우 인스턴스는 워크스테이션의 호스트 이름입니다. kadmin 'saddprinc 명령에 -randkey 옵션을 사용하여 주체를 생성하고 임의의 키를 할당합니다.
addprinc -randkey host/server.example.com
- ktadd 명령을 사용하여 워크스테이션 자체에 kadmin 을 실행하여 워크스테이션에 대해 키를 추출할 수 있습니다.
ktadd -k /etc/krb5.keytab host/server.example.com
- 다른 Kerberos 인식 네트워크 서비스를 사용하려면 krb5-server 패키지를 설치하고 서비스를 시작합니다. Kerberos 인식 서비스는 표 11.3. “일반적인 Kerberos 인식 서비스” 에 나열됩니다.
서비스 이름 | 사용 정보 |
---|---|
ssh | 클라이언트 및 서버 구성이 모두 GSSAPIAuthentication 이 활성화된 경우 OpenSSH는 GSS-API를 사용하여 서버에 사용자를 인증합니다. 클라이언트에 GSSAPIDelegateCredentials 도 활성화된 경우 원격 시스템에서 사용자의 자격 증명을 사용할 수 있습니다. OpenSSH에는 SFTP 서버에 FTP와 같은 인터페이스를 제공하고 GSS-API를 사용할 수 있는 sftp 도구도 포함되어 있습니다. |
IMAP | cyrus-imap 패키지는 cyrus-sasl-gssapi 패키지도 설치된 경우 Kerberos 5를 사용합니다. cyrus-sasl-gssapi 패키지에는 GSS-API 인증을 지원하는 Cyrus SASL 플러그인이 포함되어 있습니다. cyrus 사용자가 /etc/krb5.keytab 에서 적절한 키를 찾을 수 있고 주체의 root가 imap ( kadmin)으로 설정된 경우 Cyrus Cryostat가 Kerberos로 제대로 작동합니다.
cyrus-imap 의 대안은 Red Hat Enterprise Linux에도 포함된 dovecot 패키지에서 찾을 수 있습니다. 이 패키지에는 IMAP 서버가 포함되어 있지만 지금까지는 GSS-API 및 Kerberos를 지원하지 않습니다.
|