UNIX/AD Kerberos 인증이 키탭 파일 없이 작동한다는 것을 입증했으므로 이에 대해 걱정해야 하는지 궁금합니다(별도의 키탭에 AD 인증을 제공하려는 모든 서버에 대해 하나가 필요하다고 가정).
답변1
이것을 어떻게 정확하게 증명합니까?
Net Ads Join을 사용하는 경우 Samba는 실제로 컴퓨터 개체에 대한 표준 주체를 만듭니다. 명시적으로 구성하지 않는 한 시스템 키탭 파일로 내보내지 않습니다.
smb.conf(5)의 "kerberos method" 매개변수를 살펴보십시오(samba 4.0의 경우, 이전 버전은 확실하지 않음).
다른 Kerberos 기반 서비스(예: sshd 또는 httpd)를 도메인의 컴퓨터에 노출할 필요가 없는 경우 명시적인 키탭이 필요하지 않습니다. 목표가 Single Sign-On인 경우 추가 주체를 생성하여 시스템 키 탭에 넣어야 합니다.
답변2
도메인 컨트롤러(Network Ad Join)에 시스템을 등록하면 /etc/krb5.keytab에 시스템에 대한 유효한 호스트 정책이 생성됩니다. 이렇게 하면 AD에 컴퓨터 개체가 생성됩니다. 이 개체는 AD 측 데이터가 /etc/krb5.keytab의 클라이언트 측에 저장되는 방식을 추적합니다.
NSS 계층에만 NIS를 사용하고 PAM 구성 /etc/pam.d/system-auth 및 /etc/pam.d/password-auth에서 pam_krb5를 사용하는 경우 이 시스템을 AD에 등록할 필요가 없습니다.
답변3
시스템에 시스템 수준 인증이 필요합니까? 예를 들어 SSH용 GSSAPI 인증을 사용하여 인증하시겠습니까? 이를 사용하려면 시스템에 키 탭이 있어야 합니다. 또 다른 예: NFSv4는 로컬 키탭을 사용하여 Krb5 보안으로 마운트 지점을 인증합니다.
답변4
UNIX와 AD 통합을 어떻게 설정했습니까? 귀하의 설정을 이해하시면 귀하의 질문에 정확하게 답변하는 데 도움이 됩니다.
AD는 Kerberized 및 LDAP 디렉터리 서비스 환경입니다. Kerberos는 인증 및 암호화에 사용되므로 일반적으로 키탭이 필요합니다.
키탭을 수동으로 관리할 필요 없이 UNIX와 AD 통합에서 Kerberos의 이점을 원할 경우 Centrify Express를 고려하십시오.http://www.centrify.com/express.