Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
29.2. Kerberos 보안 주체 다시 키 입력
Kerberos 주체를 다시 키 입력하면 더 높은 키 버전 번호(KVNO)를 사용하는 새 키탭 항목이 보안 주체의 키 탭에 추가됩니다. 원래 항목은 키 탭에 남아 있지만 더 이상 티켓을 발급하는 데 사용되지 않습니다.
- 필요한 기간 내에 발행된 모든 키탭을 찾습니다. 예를 들어, 다음 명령은
ldapsearch유틸리티를 사용하여 2016년 1월 1일에 자정 사이에 생성된 모든 호스트 및 서비스 주체를 표시하고 2016년 12월 31일 Greenwich Mean Time(GMT)에 11:59 PM을 표시합니다.# ldapsearch -x -b "cn=computers,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname# ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname- searchbase(
-b)는ldapsearch가 보안 주체를 찾는 하위 트리를 정의합니다.- 호스트 주체는 cn=ECDHEs,cn=accounts,dc=example,dc=com 하위 트리 아래에 저장됩니다.
- 서비스 주체는 cn=services,cn=accounts,dc=example,dc=com 하위 트리에 저장됩니다.
- &
gt;-<lastpwdchange매개변수는 마지막 변경 날짜로 검색 결과를 필터링합니다. 매개 변수는 날짜의 YYYYMMDD 형식을 사용할 수 있으며 시간 동안 HHMMSS 형식을 의 시간으로 허용합니다. dn및>-<principalname특성을 지정하면 검색 결과가 항목 이름 및 보안 주체로 제한됩니다.
- 보안 주체를 다시 입력해야 하는 모든 서비스 및 호스트에 대해
ipa-getkeytab유틸리티를 사용하여 새 keytab 항목을 검색합니다. 다음 옵션을 전달합니다.--principal(-p)을 사용하여 주체를 지정합니다.--keytab(-k)을 사용하여 원래 키 탭의 위치를 지정합니다.ID 관리 서버 호스트 이름을 지정하는--server(-s)
예를 들어 다음과 같습니다./etc/krb5.keytab의 기본 위치에 keytab을 사용하여 호스트 주체를 다시 입력하려면 다음을 수행합니다.# ipa-getkeytab -p host/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/krb5.keytab/etc/httpd/conf/ipa.keytab의 기본 위치에 Apache 서비스의 keytab을 다시 입력하려면 다음을 수행합니다.# ipa-getkeytab -p HTTP/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/httpd/conf/ipa.keytab중요NFS 버전 4와 같은 일부 서비스는 제한된 암호화 유형 세트만 지원합니다. 적절한 인수를 ipa-getkeytab 명령에 전달하여 키 탭을 올바르게 구성합니다.
- 선택 사항입니다. 보안 주체를 다시 키를 다시 입력했는지 확인합니다.
klist유틸리티를 사용하여 모든 Kerberos 티켓을 나열합니다. 예를 들어/etc/krb5.keytab의 모든 keytab 항목을 나열하려면 다음을 수행합니다.# klist -kt /etc/krb5.keytab Keytab: WRFILE:/etc/krb5.keytab KVNO Timestamp Principal ---- ----------------- -------------------------------------------------------- 1 06/09/16 05:58:47 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 2 06/09/16 11:23:01 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 HTTP/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 ldap/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
출력에는client.example.com의 keytab 항목이 더 높은 KVNO로 다시 입력되었음이 표시됩니다. 원본 키탭은 이전 KVNO를 통해 데이터베이스에 계속 존재합니다.이전 키탭에 대해 발행된 티켓은 계속 작동하지만 KVNO 가장 높은 키를 사용하여 새 티켓이 발급됩니다. 따라서 시스템 운영 중단을 방지할 수 있습니다.
