ktab 명령을 사용하여 Kerberos keytab 파일 관리

Kerberos Ktab(key table) 관리자 명령을 사용하여 제품 관리자가 로컬 Kerberos keytab 파일에 저장된 Kerberos 서비스 프린시펄 이름 및 키를 관리할 수 있습니다. IBM SDK(Software Development Kit) 또는 Sun JDK(Java Development Kit) 1.6 이상에서 ktab 명령을 사용하여 두 개의 Kerberos keytab 파일을 병합할 수 있습니다.

[Solaris]ktab 파일을 병합하려면 JDK(Java Development Kit)를 버전 1.6.0_07로 업그레이드하는 JDK 버전 1.6 SR3 누적 수정사항을 설치해야 합니다.

[HP-UX]ktab 파일을 병합하려면 JDK를 버전 1.6.0.02로 업그레이드하는 SDK(Software Development Kit) 버전 1.6 SR3 누적 수정사항을 설치해야 합니다.

[AIX][Windows][Linux]ktab 파일을 병합하려면 SDK를 버전 1.6.0 Java Technology Edition SR3으로 업그레이드하는 JDK(Java Development Kit) 버전 1.6 SR3 누적 수정사항을 설치해야 합니다.

Kerberos keytab 파일에 나열되는 Kerberos 서비스 프린시펄(SPN) 이름 및 키를 통해 호스트에서 실행되는 서비스가 수신 Kerberos 또는 SPNEGO 토큰 요청을 유효성 검증할 수 있습니다. Kerberos 또는 SPNEGO 웹 인증을 구성하기 전에 WebSphere® Application Server 관리자는 WebSphere Application Server에서 실행되고 있는 호스트에서 Kerberos keytab 파일을 설정해야 합니다.
제거된 기능 제거된 기능:

WebSphere 애플리케이션 서버 버전 6.1에서는 SPNEGO(Simple and Protected GSS-API Negotiation Mechanism)를 사용하여 보안 설정된 자원에 대해 HTTP 요청을 안전하게 처리하고 인증하는 신뢰 연관 인터셉터(TAI)가 도입되었습니다. WebSphere Application Server 버전 7.0에서 이 기능은 이제 더 이상 사용되지 않습니다.

이 기능은 다음 개선사항을 제공하기 위해 SPNEGO 웹 인증으로 대체되었습니다.

  • 관리 콘솔을 사용하여 WebSphere Application Server 측에서 SPNEGO 웹 인증 및 필터를 구성하고 사용으로 설정합니다.
  • WebSphere Application Server를 중지하고 다시 시작할 필요 없이 SPNEGO의 동적 다시 로드를 제공합니다.
  • SPNEGO 웹 인증이 실패하면 애플리케이션 로그인 메소드로의 폴백을 제공합니다.
depfeat
중요사항:
  • keytab 파일을 보호하고 권한이 부여된 제품 사용자에 의해서만 읽을 수 있도록 작성하는 것이 중요합니다.
  • Ktab을 사용하는 Kerberos keytab 파일에 대한 업데이트는 Kerberos 데이터베이스에 적용되지 않습니다. Kerberos keytab 파일에서 키를 변경하는 경우 Kerberos 데이터베이스에 대해서도 해당사항을 변경해야 합니다.
-help 피연산자와 함께 Ktab을 사용하는 Ktab의 구문은 이 섹션의 후반부에 설명되어 있습니다.
$ ktab -help

Usage: java com.ibm.security.krb5.internal.tools.Ktab [options]
Available options:
-l                              list the keytab name and entries
-a <principal_name> [password]  add an entry to the keytab
-d <principal_name>             delete an entry from the keytab
-k <keytab_name>                specify keytab name and path with FILE: prefix
-m <source_keytab_name> <destination_keytab_name>      specify merging source keytab file name and destination keytab file name
다음은 krb5Host1.keytab 파일을 krb5.keytab 파일에 병합하기 위해 Ktab을 사용하는 방법의 예제입니다.
[root@wssecjibe bin]# ./ktab -m /etc/krb5Host1.keytab /etc/krb5.keytab
Merging keytab files:   source=krb5Host1.keytab   destination=krb5.keytab
Done!
[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5Host1.keytab/etc/krb5.keytab
/etc/krb5.keytab
다음은 새 프린시펄 이름을 Kerberos keytab 파일에 추가하기 위해 LINUX 플랫폼에서 Ktab을 사용하는 방법의 예제입니다. 여기서, ot56prod는 Kerberos 프린시펄 이름의 비밀번호입니다.
[root@wssecjibe bin]# ./ktab -a	
HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM ot56prod -k /etc/krb5.keytab
Done!
Service key for principal HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM saved

다음은 Kerberos keytab 파일 컨텐츠를 나열하기 위해 Windows 플랫폼에서 Ktab을 사용하는 방법의 예제입니다.
[root@wssecjibe bin]# ./ktab

        KVNO    Principal
        ----    ---------

        1       HTTP/wssecjibe.austin.ibm.com@WSSEC.AUSTIN.IBM.COM

[root@wssecjibe bin]# ls /etc/krb5.*
/etc/krb5.conf 
/etc/krb5.keytab
[AIX Solaris HP-UX Linux Windows]팁: install_root/java/jre/bin 디렉토리에서 ktab 명령을 실행할 수 있습니다.
[z/OS]팁: install_root/java/J5.0/bin 또는 install_root/java64/J5.0_64/bin 디렉토리에서 ktab 명령을 실행할 수 있습니다.

주제 유형을 표시하는 아이콘 참조 주제



시간소인 아이콘 마지막 업데이트 날짜: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_SPNEGO_kerb
파일 이름:rsec_SPNEGO_kerb.html