Red Hat Summit1.5. Kerberos는 JBoss EAP에 SSO를 어떻게 제공합니까?
Kerberos는 클라이언트 및 서버에서 사용할 KDC에서 티켓을 발행하여 데스크탑 기반 SSO를 제공합니다. JBoss EAP는 자체 인증 및 권한 부여 프로세스에서 동일한 티켓을 사용하여 기존 프로세스와 통합할 수 있습니다. JBoss EAP가 이러한 티켓을 재사용하는 방법을 이해하기 전에 먼저 이러한 티켓을 발행하는 방법과 JBoss EAP가 없는 데스크탑 기반 SSO의 Kerberos에서 인증 및 권한 부여가 작동하는 방식을 자세히 이해하는 것이 가장 좋습니다.
1.5.1. 데스크탑 기반 SSO에서 Kerberos를 사용한 인증 및 권한 부여
Kerberos는 인증 및 권한 부여를 제공하기 위해 타사인 KDC를 사용하여 서버에 액세스하는 클라이언트에 인증 및 권한 부여 결정을 제공합니다. 이러한 결정은 다음 세 단계로 이루어집니다.
인증 교환.
주체가 먼저 네트워크에 액세스하거나 TGT( 티켓 부여 티켓) 없이 보안 서비스에 액세스하려고 하면 자격 증명을 사용하여 인증 서비스(AS)에 대해 인증해야 합니다. AS는 구성된 ID 저장소에 대해 사용자 제공 자격 증명을 검증하고 성공적인 인증을 받으면 클라이언트가 캐시하는 TGT를 발행합니다. 또한 TGT에는 몇 가지 세션 정보가 포함되어 클라이언트와 KDC 간의 향후 통신이 보호됩니다.
교환 또는 권한 부여, 티켓 부여.
주체가 TGT를 발행하면 보안 서비스 또는 리소스에 액세스를 시도할 수 있습니다. 주체는 티켓 부여 서비스(TGS)에 요청을 보내 KDC에서 발급한 TGT를 전달하고 특정 목적지에 대한 서비스 티켓(ST)을 요청합니다. TGS는 주체가 제공하는 TGT를 확인하고 요청된 리소스에 액세스할 수 있는 적절한 권한이 있는지 확인합니다. 성공하면 TGS는 주체가 특정 대상에 액세스하기 위해 ST를 발행합니다. 또한 TGS는 두 클라이언트와 대상 서버 모두에 대한 세션 정보를 생성하여 둘 사이의 안전한 통신을 허용합니다. 클라이언트와 서버가 KDC에서 각각 제공하는 장기 키를 사용하여 이전 트랜잭션에서 각각에 이르기까지 자체 세션 정보만 해독할 수 있도록 이 세션 정보는 별도로 암호화됩니다. TGS는 클라이언트와 서버 모두에 대한 세션 정보를 포함하는 ST를 사용하여 클라이언트에 응답합니다.
서버 액세스.
이제 주체는 보안 서비스의 ST와 해당 서버와의 보안 통신을 위한 메커니즘을 보유하므로 이제 클라이언트는 연결을 설정하고 보안 리소스에 액세스를 시도할 수 있습니다. 클라이언트는 ST를 대상 서버에 전달하여 시작합니다. 이 ST에는 해당 대상을 위해 TGS에서 수신한 세션 정보의 서버 구성 요소가 포함되어 있습니다. 서버는 KDC에서 장기 키를 사용하여 클라이언트가 전달하는 세션 정보를 암호 해독하려고 합니다. 성공하면 클라이언트가 서버에 성공적으로 인증되고 서버가 클라이언트에 인증된 것으로 간주됩니다. 이때 클라이언트와 서버 간에 신뢰가 설정되고 보안 통신을 진행할 수 있습니다.
권한 없는 주체는 실제로 TGT를 사용할 수 없다는 사실에도 불구하고 주체는 AS 인증을 처음 취득한 후에만 TGT를 발행하게 됩니다. 이렇게 하면 적절한 승인된 주체만 TGT를 발행할 수 있을 뿐 아니라, 오프라인 사전 또는 무차별/강제 공격을 사용하는 등 권한 없는 타사가 손상 또는 악용을 시도할 수 있는 기능도 줄어듭니다.
1.5.2. Kerberos 및 JBoss EAP
JBoss EAP는 기존 Kerberos 데스크탑 기반 SSO 환경과 통합하여 동일한 티켓을 사용하여 JBoss EAP 인스턴스에 호스팅된 웹 애플리케이션에 대한 액세스를 제공할 수 있습니다. 일반적인 설정에서는 레거시 보안 하위 시스템 또는 elytron 하위 시스템을 사용하여 SPNEGO에서 Kerberos 인증을 사용하도록 JBoss EAP 인스턴스를 구성합니다. SPNEGO 인증을 사용하도록 구성된 애플리케이션은 해당 JBoss EAP 인스턴스에 배포됩니다. 사용자가 Kerberos로 관리되는 데스크탑에 로그인하고 KDC를 사용하여 인증 교환을 완료합니다. 그런 다음 사용자는 웹 브라우저를 사용하여 배포된 애플리케이션에서 직접 해당 JBoss EAP 인스턴스에 있는 보안 리소스에 액세스를 시도합니다. JBoss EAP는 보안 리소스에 액세스하는 데 권한 부여가 필요하다고 응답합니다. 웹 브라우저는 사용자의 TGT 티켓을 가져온 다음 KDC와 교환하여 KDC와 교환하여 티켓 부여 또는 권한 부여를 수행하여 사용자를 검증하고 서비스 티켓을 받습니다. ST가 브라우저로 반환되면 SPNEGO에 대해 포맷된 요청의 ST를 래핑하고 JBoss EAP에서 실행 중인 웹 애플리케이션으로 다시 보냅니다. 그런 다음 JBoss EAP는 SPNEGO 요청의 압축을 풀고 레거시 보안 하위 시스템 또는 elytron 하위 시스템을 사용하여 인증을 수행합니다. 인증에 성공하면 사용자에게 보안 리소스에 대한 액세스 권한이 부여됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}