검색

11.3. Kerberos 클라이언트 구성

download PDF
Kerberos 5 클라이언트를 설정하는 데 필요한 것은 클라이언트 패키지를 설치하고 각 클라이언트에 유효한 krb5.conf 구성 파일을 제공하는 것입니다. sshslogin 은 클라이언트 시스템에 원격으로 로그인하는 기본 방법이지만, 추가 구성 변경으로 rshrlogin 의 Kerberos 인식 버전을 계속 사용할 수 있습니다.
  1. 모든 클라이언트 시스템에 krb5-libskrb5-workstation 패키지를 설치합니다.
    [root@server ~]# yum install krb5-workstation krb5-libs
  2. 각 클라이언트에 유효한 /etc/krb5.conf 파일을 제공합니다. 일반적으로 이는 Kerberos Distribution Center(KDC)에서 사용하는 것과 동일한 krb5.conf 파일일 수 있습니다. 예를 들어 다음과 같습니다.
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
     default_realm = EXAMPLE.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     allow_weak_crypto = true
    
    [realms]
      EXAMPLE.COM = {
      kdc = kdc.example.com.:88
      admin_server = kdc.example.com
      default_domain = example.com
     }
    
    [domain_realm]
     .example.com = EXAMPLE.COM
     example.com = EXAMPLE.COM
    일부 환경에서 KDC는 HTTPS KKDCP(Kerberos Key Distribution Center Proxy)를 사용해서만 액세스할 수 있습니다. 이 경우 다음과 같이 변경합니다.
    1. [realms] 섹션의 kdcadmin_server 옵션에 호스트 이름 대신 KKDCP의 URL을 할당합니다.
      [realms]
      EXAMPLE.COM = {
        kdc = https://kdc.example.com/KdcProxy
        admin_server = https://kdc.example.com/KdcProxy
        kpasswd_server = https://kdc.example.com/KdcProxy
        default_domain = example.com
      }
      중복을 위해 다양한 KKDCP 서버를 사용하여 kdc,admin _server 및 kpasswd_server 매개 변수를 여러 번 추가할 수 있습니다.
    2. IdM 클라이언트에서 sssd 서비스를 다시 시작하여 변경 사항을 적용합니다.
      [root@server ~]# systemctl restart sssd
  3. Kerberos 인식 rshrlogin 서비스를 사용하려면 rsh 패키지를 설치합니다.
  4. 워크스테이션에서 Kerberos를 사용하여 ssh,rsh 또는 rlogin 을 사용하여 연결하는 사용자를 인증하려면 먼저 Kerberos 데이터베이스에 자체 호스트 주체가 있어야 합니다. sshd,kshd, klogind 서버 프로그램은 모두 호스트 서비스 주체의 키에 액세스할 수 있어야 합니다.
    1. kadmin 을 사용하여 KDC에 워크스테이션에 대한 호스트 주체를 추가합니다. 이 경우 인스턴스는 워크스테이션의 호스트 이름입니다. kadmin 'saddprinc 명령에 -randkey 옵션을 사용하여 주체를 생성하고 임의의 키를 할당합니다.
      addprinc -randkey host/server.example.com
    2. ktadd 명령을 사용하여 워크스테이션 자체에 kadmin 을 실행하여 워크스테이션에 대해 키를 추출할 수 있습니다.
      ktadd -k /etc/krb5.keytab host/server.example.com
  5. 다른 Kerberos 인식 네트워크 서비스를 사용하려면 krb5-server 패키지를 설치하고 서비스를 시작합니다. Kerberos 인식 서비스는 표 11.3. “일반적인 Kerberos 인식 서비스” 에 나열됩니다.
표 11.3. 일반적인 Kerberos 인식 서비스
서비스 이름 사용 정보
ssh 클라이언트 및 서버 구성이 모두 GSSAPIAuthentication 이 활성화된 경우 OpenSSH는 GSS-API를 사용하여 서버에 사용자를 인증합니다. 클라이언트에 GSSAPIDelegateCredentials 도 활성화된 경우 원격 시스템에서 사용자의 자격 증명을 사용할 수 있습니다. OpenSSH에는 SFTP 서버에 FTP와 같은 인터페이스를 제공하고 GSS-API를 사용할 수 있는 sftp 도구도 포함되어 있습니다.
IMAP
cyrus-imap 패키지는 cyrus-sasl-gssapi 패키지도 설치된 경우 Kerberos 5를 사용합니다. cyrus-sasl-gssapi 패키지에는 GSS-API 인증을 지원하는 Cyrus SASL 플러그인이 포함되어 있습니다. cyrus 사용자가 /etc/krb5.keytab 에서 적절한 키를 찾을 수 있고 주체의 root가 imap ( kadmin)으로 설정된 경우 Cyrus Cryostat가 Kerberos로 제대로 작동합니다.
cyrus-imap 의 대안은 Red Hat Enterprise Linux에도 포함된 dovecot 패키지에서 찾을 수 있습니다. 이 패키지에는 IMAP 서버가 포함되어 있지만 지금까지는 GSS-API 및 Kerberos를 지원하지 않습니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.