Ubuntu Online, Fedora Online, Windows ์จ๋ผ์ธ ์๋ฎฌ๋ ์ดํฐ ๋๋ MAC OS ์จ๋ผ์ธ ์๋ฎฌ๋ ์ดํฐ์ ๊ฐ์ ์ฌ๋ฌ ๋ฌด๋ฃ ์จ๋ผ์ธ ์ํฌ์คํ ์ด์ ์ค ํ๋๋ฅผ ์ฌ์ฉํ์ฌ OnWorks ๋ฌด๋ฃ ํธ์คํ ๊ณต๊ธ์์์ ์คํํ ์ ์๋ ipa-getkeytab ๋ช ๋ น์ ๋๋ค.
ํ๋ก๊ทธ๋จ:
์ด๋ฆ
ipa-getkeytab - Kerberos ์ฃผ์ฒด์ ๋ํ keytab ๊ฐ์ ธ์ค๊ธฐ
๊ฐ์
ipa-getkeytab -p ๊ต์ฅ ์ด๋ฆ -k ํคํญ ํ์ผ [ -e ์ํธํ ์ ํ ] [ -s ์์ดํ์๋ฒ ] [
-q ] [ -D|--binddn ๋ฐ์ธ๋DN ] [ -w|--bindpw ] [ -P|--๋น๋ฐ๋ฒํธ PASSWORD ] [ -r ]
๊ธฐ์
Kerberos ๊ฒ์ ํคํญ.
Kerberos keytab์ Kerberos ์ธ์ฆ์ ์ํํ๊ธฐ ์ํด ์๋น์ค(์: sshd)์ ์ฌ์ฉ๋ฉ๋๋ค. ใ
keytab์ Kerberos ์ฃผ์ฒด์ ๋ํ ํ๋ ์ด์์ ๋น๋ฐ(๋๋ ํค)์ด ์๋ ํ์ผ์ ๋๋ค.
Kerberos ์๋น์ค ์ฃผ์ฒด๋ ์ธ์ฆ์ ์ฌ์ฉํ ์ ์๋ Kerberos ID์ ๋๋ค.
์๋น์ค ์ฃผ์ฒด์๋ ์๋น์ค ์ด๋ฆ, ์๋ฒ์ ํธ์คํธ ์ด๋ฆ ๋ฐ
์์ญ ์ด๋ฆ. ์๋ฅผ ๋ค์ด, ๋ค์์ ldap ์๋ฒ์ ๋ํ ์์ ์ฃผ์ฒด์ ๋๋ค.
LDAP/[์ด๋ฉ์ผ ๋ณดํธ]
ipa-getkeytab์ ์ฌ์ฉํ ๋ ์์ญ ์ด๋ฆ์ด ์ด๋ฏธ ์ ๊ณต๋์์ผ๋ฏ๋ก ์ฃผ์ฒด ์ด๋ฆ์
์๋น์ค ์ด๋ฆ ๋ฐ ํธ์คํธ ์ด๋ฆ(์ ์์ ldap/foo.example.com).
๊ฒฝ๊ณ : keytab์ ๊ฒ์ํ๋ฉด Kerberos ์ฃผ์ฒด์ ๋น๋ฐ์ด ์ฌ์ค์ ๋ฉ๋๋ค. ์ด๊ฒ์ ๋ ๋๋ง
ํด๋น ๋ณด์ ์ฃผ์ฒด์ ๋ํ ๋ค๋ฅธ ๋ชจ๋ keytab์ ์ ํจํ์ง ์์ต๋๋ค.
ํธ์คํธ ์๋น์ค ์ฃผ์ฒด ๋ฐ ์ ์ฅ์๋ฅผ ๊ฒ์ํ๊ธฐ ์ํด IPA ํด๋ผ์ด์ธํธ ๋ฑ๋ก ์ค์ ์ฌ์ฉ๋ฉ๋๋ค.
/etc/krb5.keytab์ ์์ต๋๋ค. Kerberos ์๊ฒฉ ์ฆ๋ช ์์ด keytab์ ๊ฒ์ํ ์ ์์ต๋๋ค.
ํธ์คํธ๊ฐ ์ผํ์ฉ ๋น๋ฐ๋ฒํธ๋ก ์ฌ์ ์์ฑ๋ ๊ฒฝ์ฐ. keytab์ ๋ค์์ ํตํด ๊ฒ์ํ ์ ์์ต๋๋ค.
ํธ์คํธ๋ก ๋ฐ์ธ๋ฉํ๊ณ ์ด ์ผํ์ฉ ์ํธ๋ก ์ธ์ฆํฉ๋๋ค. ๊ทธ๋งํผ -D|--binddn ๊ณผ
-w|--bindpw ์ต์ ์ ์ด ์ธ์ฆ์ ์ฌ์ฉ๋ฉ๋๋ค.
์ต์
-p ๊ต์ฅ ์ด๋ฆ
์ ์ฒด ์ฃผ์ฒด ์ด๋ฆ์ ๋น์์ญ ๋ถ๋ถ์ ๋๋ค.
-k ํคํญ ํ์ผ
์ ํค๋ฅผ ์ถ๊ฐํ keytab ํ์ผ์ ๋๋ค(์กด์ฌํ์ง ์๋ ๊ฒฝ์ฐ ์์ฑ๋จ).
-e ์ํธํ ์ ํ
ํค๋ฅผ ์์ฑํ๋ ๋ฐ ์ฌ์ฉํ ์ํธํ ์ ํ ๋ชฉ๋ก์ ๋๋ค. ipa-getkeytab์ ๋ก์ปฌ์ ์ฌ์ฉํฉ๋๋ค.
ํด๋ผ์ด์ธํธ๊ฐ ์ ๊ณต๋์ง ์์ผ๋ฉด ๊ธฐ๋ณธ๊ฐ์ ๋๋ค. ์ ํจํ ๊ฐ์ Kerberos ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ๋ฐ๋ผ ๋ค๋ฆ ๋๋ค.
๋ฒ์ ๋ฐ ๊ตฌ์ฑ. ์ผ๋ฐ์ ์ธ ๊ฐ์ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. aes256-cts aes128-cts des3-hmac-sha1
arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
-s ์์ดํ์๋ฒ
(FQDN)์์ keytab์ ๊ฒ์ํ IPA ์๋ฒ์ ๋๋ค. ์ด ์ต์ ์ด ์ ๊ณต๋์ง ์์ผ๋ฉด
IPA ๊ตฌ์ฑ ํ์ผ(/etc/ipa/default.conf)์์ ์๋ฒ ์ด๋ฆ์ ์ฝ์ต๋๋ค.
-q ์กฐ์ฉํ ๋ชจ๋. ์ค๋ฅ๋ง ํ์๋ฉ๋๋ค.
--ํ์ฉ๋ ์ ํ
์ด ์ต์ ์ ๋ค์๊ณผ ๊ฐ์ด ํ์ฉ๋๋ ์ํธํ ์ ํ์ ๋ํ ์ค๋ช ์ ๋ฐํํฉ๋๋ค.
์ง์๋๋ ์ํธํ ์ ํ: 256๋นํธ SHA-96 HMAC AES-1 CTS๋ฅผ ์ฌ์ฉํ๋ AES-128 CTS ๋ชจ๋
๋ชจ๋ 96๋นํธ SHA-1 HMAC Triple DES cbc ๋ชจ๋ HMAC/sha1 ArcFour ํฌํจ
HMAC/md5 DES cbc ๋ชจ๋(CRC-32 ํฌํจ) DES cbc ๋ชจ๋(RSA-MD5 ํฌํจ) DES cbc ๋ชจ๋(RSA-MDXNUMX ํฌํจ)
RSA-MD4
-NS, --๋น๋ฐ๋ฒํธ
์์๋ก ์์ฑ๋ ์ํธ ๋์ ์ด ์ํธ๋ฅผ ํค์ ์ฌ์ฉํ์ญ์์ค.
-NS, --binddn
Kerberos ์๊ฒฉ ์ฆ๋ช ์์ด keytab์ ๊ฒ์ํ ๋ ๋ฐ์ธ๋ฉํ LDAP DN์ ๋๋ค.
์ผ๋ฐ์ ์ผ๋ก -w ์ต์ ์ ์ ํํฉ๋๋ค.
-w, --bindpw
Kerberos์ ๋ฐ์ธ๋ฉํ์ง ์์ ๋ ์ฌ์ฉํ LDAP ์ํธ์ ๋๋ค.
-r ๊ฒ์ ๋ชจ๋. ์ ํค๋ฅผ ์์ฑํ๋ ๋์ ์๋ฒ์์ ๊ธฐ์กด ํค ๊ฒ์
ํ๋. ์ด๊ฒ์ --password ์ต์ ๊ณผ ํธํ๋์ง ์์ผ๋ฉฐ
๋ฒ์ 3.3๋ณด๋ค ์ต์ FreeIPA ์๋ฒ. keytab์ ์์ฒญํ๋ ์ฌ์ฉ์๋ ๋ค์์ ์ํํด์ผ ํฉ๋๋ค.
์ด ์์ ์ด ์ฑ๊ณตํ๋ ค๋ฉด ํค์ ์ก์ธ์คํด์ผ ํฉ๋๋ค.
์ฌ์ฉ ์
ํธ์คํธ foo.example.com์์ NFS ์๋น์ค ์ฃผ์ฒด์ ๋ํ keytab์ ์ถ๊ฐํ๊ณ ๊ฒ์ํฉ๋๋ค.
/tmp/nfs.keytab ํ์ผ์ ์ ์ฅํ๊ณ des-cbc-crc ํค๋ง ๊ฒ์ํฉ๋๋ค.
# ipa-getkeytab -p nfs/foo.example.com -k /tmp/nfs.keytab -e des-cbc-crc
ํธ์คํธ foo.example.com์์ ldap ์๋น์ค ์ฃผ์ฒด์ ๋ํ keytab์ ์ถ๊ฐํ๊ณ ๊ฒ์ํฉ๋๋ค.
/tmp/ldap.keytab ํ์ผ์ ์ ์ฅํฉ๋๋ค.
# ipa-getkeytab -s ipaserver.example.com -p ldap/foo.example.com -k /tmp/ldap.keytab
LDAP ์๊ฒฉ ์ฆ๋ช ์ ์ฌ์ฉํ์ฌ keytab์ ๊ฒ์ํฉ๋๋ค(์ด ์์ ์ ์ผ๋ฐ์ ์ผ๋ก ipa ์กฐ์ธ(1) ์ธ์
๋ฅผ ์ฌ์ฉํ์ฌ ํด๋ผ์ด์ธํธ ๋ฑ๋ก ipa ํด๋ผ์ด์ธํธ ์ค์น(1) ๋ช ๋ น:
# ipa-getkeytab -s ipaserver.example.com -p ํธ์คํธ/foo.example.com -k /etc/krb5.keytab -D
fqdn=foo.example.com,cn=computers,cn=accounts,dc=example,dc=com -w ๋น๋ฐ๋ฒํธ
EXIT ์ง์
์ข ๋ฃ ์ํ๋ ์ฑ๊ณต ์ 0์ด๊ณ ์ค๋ฅ ์ XNUMX์ด ์๋๋๋ค.
0 ์ฑ๊ณต
1 Kerberos ์ปจํ ์คํธ ์ด๊ธฐํ ์คํจ
2 ์๋ชป๋ ์ฌ์ฉ๋ฒ
3 ๋ฉ๋ชจ๋ฆฌ ๋ถ์กฑ
4 ์๋ชป๋ ์๋น์ค ์ฃผ์ฒด ์ด๋ฆ
5 Kerberos ์๊ฒฉ ์ฆ๋ช ์บ์ ์์
6 Kerberos ์ฃผ์ฒด ๋ฐ ๋ฐ์ธ๋ DN ๋ฐ ์ํธ ์์
7 keytab์ ์ด์ง ๋ชปํ์ต๋๋ค.
8 ํค ์๋ฃ ์์ฑ ์คํจ
9 ํคํญ ์ค์ ์คํจ
10 ๋ฐ์ธ๋ DN์ ์ฌ์ฉํ ๋ ํ์ํ ๋ฐ์ธ๋ ์ํธ
11 keytab์ ํค๋ฅผ ์ถ๊ฐํ์ง ๋ชปํ์ต๋๋ค.
12 ํค ํญ์ ๋ซ์ง ๋ชปํ์ต๋๋ค.
onworks.net ์๋น์ค๋ฅผ ์ฌ์ฉํ์ฌ ์จ๋ผ์ธ์์ ipa-getkeytab ์ฌ์ฉ