49장. Kerberos 플래그 관리

OK_AS_DELEGATE

이 플래그를 사용하여 위임에 신뢰할 수 있는 Kerberos 티켓을 지정합니다.

AD(활성 디렉터리) 클라이언트는 Kerberos 티켓의 OK_AS_DELEGATE 플래그를 확인하여 사용자 인증 정보를 특정 서버에 전달할 수 있는지 여부를 결정합니다. AD는 OK_AS_DELEGATE 가 구성된 서비스 또는 호스트에만 TGT( ticket-granting ticket)를 전달합니다. 이 플래그를 사용하면 SSSD(System Security Services daemon)에서 IdM 클라이언트 시스템의 기본 Kerberos 인증 정보 캐시에 AD 사용자 TGT를 추가할 수 있습니다.

REQUIRES_PRE_AUTH

이 플래그를 사용하여 사전 인증된 티켓만 보안 주체에 인증할 수 있도록 지정합니다.

REQUIRES_PRE_AUTH 플래그를 설정하면 키 배포 센터(KDC)에 추가 인증이 필요합니다. KDC는 TGT가 사전 인증된 경우에만 REQUIRES_PRE_AUTH 를 사용하여 주체에 대해 TGT를 발행합니다.

REQUIRES_PRE_AUTH 를 지워 선택한 서비스 또는 호스트에 대해 사전 인증을 비활성화할 수 있습니다. 이렇게 하면 KDC의 부하가 줄어들지만 장기적인 키에 대한 무차별 공격 가능성이 약간 증가합니다.

OK_TO_AUTH_AS_DELEGATE

OK_TO_AUTH_AS_DELEGATE 플래그를 사용하여 서비스를 사용자 대신 Kerberos 티켓을 받을 수 있도록 지정합니다. 사용자를 대신하여 다른 티켓을 얻으려면 OK_AS_DELEGATE 플래그와 키 배포 센터 측에서 허용되는 해당 정책 결정이 필요합니다.