Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

42.3. Kerberos 인증 표시기

KDC(Kerberos Key Distribution Center)는 클라이언트가 ID를 증명하는 데 사용한 사전 인증 메커니즘을 기반으로 인증 표시기 를 TGT( 티켓 제공 티켓)에 연결합니다.

otp
이중 인증 (암호 + 일회 암호)
마케도니아
RAID 인증(일반적으로 802.1x 인증의 경우)
pkinit
PKINIT, 스마트 카드 또는 인증서 인증
강화
강화된 암호 (SPAKE 또는 FAST)[1]

그런 다음 KDC는 TGT의 인증 표시기를 통해 발생하는 모든 서비스 티켓 요청에 연결합니다. KDC는 인증 지표에 따라 서비스 액세스 제어, 최대 티켓 수명, 최대 재생성 기간 등의 정책을 시행합니다.

42.3.1. 인증 표시기 및 IdM 서비스

서비스 또는 호스트를 인증 표시기와 연결할 경우 해당 인증 메커니즘을 사용하여 TGT를 획득한 클라이언트만 액세스할 수 있습니다. 애플리케이션 또는 서비스가 아닌 KDC는 서비스 티켓 요청의 인증 표시기를 확인하고 Kerberos 연결 정책에 따라 요청을 허용하거나 거부합니다.

예를 들어 호스트 secure.example.com 에 연결하기 위해 이중 인증을 요구하려면 otp 인증 표시기를 host/secure.example.com@EXAMPLE.COM Kerberos 주체와 연결합니다. KDC에서 초기 TGT를 얻기 위해 일회성 암호를 사용한 사용자만 로그인할 수 있습니다.

서비스 또는 호스트에 인증 표시기가 할당되지 않은 경우 메커니즘에서 인증된 티켓을 수락합니다.

추가 리소스



[1] 강화된 암호는 단일 파티 공개 키-키 인증 키 교환(SPAKE) 사전 인증 및/또는 FAST(Secure 터널링)를 통한 유연한 인증을 사용하여 무차별 암호 사전 공격으로부터 보호됩니다.