ktab 명령을 사용하여 Kerberos keytab 파일 관리
Kerberos Ktab(key table) 관리자 명령을 사용하여 제품 관리자가 로컬 Kerberos keytab 파일에 저장된 Kerberos 서비스 프린시펄 이름 및 키를 관리할 수 있습니다. IBM SDK(Software Development Kit) 또는 Sun JDK(Java Development Kit) 1.6 이상에서 ktab 명령을 사용하여 두 개의 Kerberos keytab 파일을 병합할 수 있습니다.
ktab 파일을 병합하려면
JDK(Java Development Kit)를 버전 1.6.0_07로 업그레이드하는 JDK 버전 1.6 SR3
누적 수정사항을 설치해야 합니다.
ktab
파일을 병합하려면 JDK를 버전 1.6.0.02로 업그레이드하는 SDK(Software Development Kit) 버전 1.6 SR3
누적 수정사항을 설치해야 합니다.
ktab 파일을 병합하려면
SDK를 버전 1.6.0 Java Technology Edition SR3으로 업그레이드하는 JDK(Java Development Kit) 버전 1.6 SR3
누적 수정사항을 설치해야 합니다.

WebSphere 애플리케이션 서버 버전 6.1에서는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 설정된 자원에 대해 HTTP 요청을 안전하게 처리하고 인증하는 신뢰 연관 인터셉터(TAI)가 도입되었습니다. WebSphere Application Server 버전 7.0에서 이 기능은 이제 더 이상 사용되지 않습니다.
이 기능은 다음 개선사항을 제공하기 위해 SPNEGO 웹 인증으로 대체되었습니다.
- 관리 콘솔을 사용하여 WebSphere Application Server 측에서 SPNEGO 웹 인증 및 필터를 구성하고 사용으로 설정합니다.
- WebSphere Application Server를 중지하고 다시 시작할 필요 없이 SPNEGO의 동적 다시 로드를 제공합니다.
- SPNEGO 웹 인증이 실패하면 애플리케이션 로그인 메소드로의 폴백을 제공합니다.
- keytab 파일을 보호하고 권한이 부여된 제품 사용자에 의해서만 읽을 수 있도록 작성하는 것이 중요합니다.
- Ktab을 사용하는 Kerberos keytab 파일에 대한 업데이트는 Kerberos 데이터베이스에 적용되지 않습니다. Kerberos keytab 파일에서 키를 변경하는 경우 Kerberos 데이터베이스에 대해서도 해당사항을 변경해야 합니다.
$ ktab -help
Usage: java com.ibm.security.krb5.internal.tools.Ktab [options]
Available options:
-l list the keytab name and entries
-a <principal_name> [password] add an entry to the keytab
-d <principal_name> delete an entry from the keytab
-k <keytab_name> specify keytab name and path with FILE: prefix
-m <source_keytab_name> <destination_keytab_name> specify merging source keytab file name and destination keytab file name
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files: source=krb5Host1.keytab destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
[root@wssecjibe bin]# ./ktab -a
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved
[root@wssecjibe bin]# ./ktab
KVNO Principal
---- ---------
1 HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf
/etc/krb5.keytab
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)