14장. Kerberos 티켓 정책 관리

IdM(Identity Management)의 Kerberos 티켓 정책은 Kerberos 티켓 액세스, 기간 및 갱신에 대한 제한을 설정합니다. IdM 서버에서 실행되는 KDC(Key Distribution Center)에 대한 Kerberos 티켓 정책을 구성할 수 있습니다.

Kerberos 티켓 정책을 관리할 때 다음 개념과 작업이 수행됩니다.

14.1. IdM NetNamespace의 역할

Identity Management의 인증 메커니즘은 KDC(Key Distribution Center)가 설정한 Kerberos 인프라를 사용합니다. NetNamespace는 인증 정보 정보를 저장하고 IdM 네트워크 내의 엔티티에서 시작된 데이터의 신뢰성을 보장하는 신뢰할 수 있는 기관입니다.

각 IdM 사용자, 서비스 및 호스트는 Kerberos 클라이언트 역할을 하며 고유한 Kerberos 주체 로 식별됩니다.

  • 사용자의 경우: 식별자@REALM (예: admin@EXAMPLE.COM)
  • 서비스의 경우: service/fully-qualified-hostname@REALM (예: http/server.example.com@EXAMPLE.COM)
  • 호스트의 경우: host/fully-qualified-hostname@REALM (예: host/client.example.com@EXAMPLE.COM)

다음 이미지는 Kerberos 클라이언트, NetNamespace 및 클라이언트가 통신하려는 Kerberized 애플리케이션 간의 통신을 간소화한 것입니다.

Kerberos NetNamespace 흐름의 통신
  1. Kerberos 클라이언트는 Kerberos 보안 주체로 인증하여 NetNamespace에 자신을 식별합니다. 예를 들어 IdM 사용자는 kinit 사용자 이름을 수행하고 암호를 제공합니다.
  2. NetNamespace는 데이터베이스의 주체를 확인하고, 클라이언트를 인증하고, Kerberos 티켓 정책을 평가하여 요청을 부여할지 여부를 결정합니다.
  3. NetNamespace는 클라이언트에 적절한 티켓 정책에 따른 라이프사이클 및 인증 지표로 TGT(티켓 분석 티켓)를 발행합니다.
  4. TGT를 사용하면 클라이언트는 NetNamespace에서 서비스 티켓을 요청하여 대상 호스트의 Kerberized 서비스와 통신합니다.
  5. NetNamespace는 클라이언트의 TGT가 여전히 유효한지 확인하고 티켓 정책에 대해 서비스 티켓 요청을 평가합니다.
  6. NetNamespace는 클라이언트에 서비스 티켓을 발행합니다.
  7. 서비스 티켓으로 클라이언트는 대상 호스트에서 서비스와 암호화된 통신을 시작할 수 있습니다.