Autonomic Computing __

Document Sample
Autonomic Computing __ Powered By Docstoc
					AIX DIY Special Edition for Autonomic Computing

Certificate Authentication Services (CAS)
유부선 bsyu@kr.ibm.com

AIX 5L Version 5.2부터 자체적으로 Certificate Authentication Service (CAS)를 제공하여 X.509 Public Key Infrastructure (PKI) certificates를 이용하여 user를 인증할 수 있도록 해줍니다.

1. PKI와 CAS의 overview
PKI(Public Key Infrastructure)는 user 및 application이 안전하고 보안성 있게 정보를 교환할 수 있도록 해주는 policy, process, 기술의 종합적인 시스템입니다. PKI는

CA(certificate authority), 즉 신뢰할 수 있는 제3자가 제공해주는 한쌍의 비대칭 key를 이용하여 정보를 암호화하고 해독합니다. 이런 digital certificate은 다음과 같은 보안 기능을 제공합니다.

-

User 및 객체 인증 Data 보안성  암호화를 통해 보안성 없는 network을 통해서도 data를 안전하게 교환

-

Data 정합성  Data가 사고/악의에 의해 변경/손상되지 않았음을 신뢰할 수 있음

-

Non-repudiation  User 등이 어떤 행동을 했는지 증거를 제공

-

차등화된 보안 정책  Digital certificate에 의한 신분 확인에 따라 별도의 보안 정책 제공

CA(certificate authority)는 digital certificate을 생성하고 할당하는 신뢰할 수 있는 entity입니다. CA는 certificate을 새로 할당하기 전에, 그 owner의 identity를 확인합니다.

그 CA를 신뢰하는 user 및 application들은 그 CA가 서명한 certificate을 확인해야 해당 identity를 인증하도록 되어 있습니다. 현재의, 그리고 향후 계획된 PKI 기준에 대해서는 다음 site의 PKIX work group 문서를 참조하시기 바랍니다. http://www.ietf.org/html.charters/pkix-charter.html

2. PKI 및 CAS 구성 요소

1

AIX DIY Special Edition for Autonomic Computing

AIX에서 PKI authentication을 사용하기 위해서는 CA와 LDAP server를 설치해야 합니다. LDAP server에는 CA가 생성한 모든 user의 public key와 AIX PKI repository가 저장됩니다. 여기서는 편의상 가상의 회사를 설정하겠습니다. 회사의 이름은 MyCompany이고, 이 회사 전체의 LDAP 계층구조는

internet domain name은 mycompany.example 입니다. 대략 다음과 같습니다.

즉, 최상위의 distinguished name (DN)은 o=mycompany.example, c=us 입니다.

회사

조직에 따라 LDAP directory 구조를 section으로 나누어, relative distinguished name (RDN) ou=mydept으로 명명된 부서를 위한 subtree가 있습니다. AIX PKI에게는 LDAP directory에 2개의 subtree가 필요합니다. 첫번째 subtree에는 CA가 생성하는 모든 public key가 저장되고, 이 subtree의 기본 distinguished name (DN)은 ou=cert입니다. 대개 CA는 전체 회사를 위한 certificate

모두를 생성하므로, user certificate subtree는 ou=cert,o=mycompany.example, c=us의 DN에 위치시키기로 합니다. 이 subtree에는 CA가 certificate를 생성하는 대상이 되는 모든 entity의 목록이 저장됩니다. 두번째 subtree에는 PKI 인증을 위해 AIX가 필요로 하는 모든 정보, 즉 모든 user의 public key와 인증에 사용되는 certificate이 저장됩니다. 이 subtree를 위한 default DN은

2

AIX DIY Special Edition for Autonomic Computing

ou=pkidata,cn=aixdata입니다.

organizationalUnit ou=mydept는 AIX PKI data를 위한 부서의 PKI data를 위해 정해진 DN은 PKI data

자체의 directory를 가지는 것으로 했습니다.

ou=pkidata,cn=aixdata,ou=mydept, o=mycompany.example,c=us 입니다.

subtree의 첫번째 level에는 AIX PKI 인증이 가능하도록 된 모든 account를 위한 entry가 저장됩니다. 두번째 level에는 AIX PKI 인증 대상이 되는 각각의 certificate의 상세 정보,

예를 들어 주요 매장의 위치를 나타내는 URI 등의 정보가 저장됩니다.

3. LDAP의 설치와 구성
PKI user certificate data와 AIX local repository의 저장을 위해 IBM Directory Server v4.1을 설치해야 합니다. IBM Directory Server의 소개, 설치 등에 대한 자세한 정보는

이번 Autonomic Computing DIY 중의 “SecureWay LDAP directory integration” 장을 참조하시기 바랍니다. 일단 software의 설치가 끝나면 directory server의 administrator DN과 password를 설정해야 합니다. 다음 command를 사용하면 cn=admin,ou=mydept,o=mycompany.example,c=us의 administrator DN을 설정하고, 그 password를 mysecret으로 설정합니다. ldapcfg command의 ‘-u’는 해당 directory server의 administration DN을, ‘ –p’는 password를 뜻합니다.

# ldapcfg -u cn=admin,ou=mydept,o=mycompany.example,c=us -p mysecret Password for administrator DN cn=admin,ou=mydept,o=mycompany.example,c=us has been set. IBM Directory Server Configuration complete.

그 다음으로는 directory server 구성 GUI tool을 사용하기 위해 web server를 설정합니다. ldapcfg command의 ‘-s’는 web server type을, ‘-f’는 web server configuration file의 위치를 뜻합니다. 다음 command를 수행한 뒤, web server를 restart해야 합니다.

# ldapcfg -s ibmhttp -f /usr/HTTPServer/conf/httpd.conf IBM Directory Server Configuration complete. # /usr/HTTPServer/bin/apachectl restart /usr/HTTPServer/bin/apachectl restart: httpd restarted

그 후에 다음과 같은 URL을 browser에서 접속하여 구성 업무를 수행할 수 있습니다. http://ldap.mycompany.example/ldap.

3

AIX DIY Special Edition for Autonomic Computing

그 다음 단계는 directory server가 사용할 DB2 database를 생성하는 것입니다.

다음

command를 수행하면 되는데, ldapcfg command의 ‘-l’은 DB2 database의 위치를 뜻합니다. 해당 filesystem에는 최소 80MB 이상의 free space가 있어야 합니다.

# ldapcfg -l /home/ldapdb2 Creating the directory DB2 default database. This operation may take a few minutes. Configuring the database. Creating database instance: ldapdb2. Created database instance: ldapdb2. Starting database manager for instance: ldapdb2. Started database manager for instance: ldapdb2. Creating database: ldapdb2. Created database: ldapdb2. Updating configuration for database: ldapdb2. Updated configuration for database: ldapdb2. Completed configuration of the database. IBM Directory Server Configuration complete.

그 다음 단계에서는 LDAP 계층구조에 필요한 suffix를 가진 directory server를 구성해야 합니다. Suffix란 지역 directory 계층 구조에서 최상위 entry를 확인할 수 있는

DN입니다. Suffix를 추가하려면 directory server 구성 GUI tool을 이용하거나 /usr/ldap/etc/slapd32.conf file을 직접 편집하면 됩니다. 여기서의 예에서는 DN

o=mycompany.example,c=us 가 유일한 지역 directory 계층 구조입니다. Suffix를 추가한 뒤에 그 효과가 나기 위해서는 directory server를 restart해야 합니다. Directory server 구성 GUI를 사용하려면, 예전 단계에서 설정된 DN (cn=admin,ou=mydept,o=mycompany.example,c=us)과 그 password (mysecret)을 이용하여 directory server에 login합니다. 다음 그림에서와 같이, 왼쪽 화면의 navigation bar 중에서 suffixes administration page를 click합니다. Select Settings -> Suffixes Suffix DN text box에 o=mycompany.example,c=us을 입력하고 update button을 누릅니다. 이 구성의 효과가 나타나기 위해서는 directory server를 restart해야 하는데, 이는 오른쪽 상단 화면의 restart icon을 click하면 됩니다.

4

AIX DIY Special Edition for Autonomic Computing

GUI tool을 이용하지 않는 경우, /usr/ldap/etc/slapd32.conf file을 직접 편집해도 됩니다. 여기서의 예의 경우, 다음과 같이 cn=localhost 다음 줄에 o=mycompany.example,c=us suffix를 삽입하면 됩니다.

dn: cn=Directory, cn=RDBM Backends, cn=IBM SecureWay, cn=Schemas, cn=Configuration cn: Directory ibm-slapdDbAlias: ldapdb2b ibm-slapdDbConnections: 15 ibm-slapdDbInstance: ldapdb2 ibm-slapdDbLocation: /home/ldapdb2 ibm-slapdDbName: ldapdb2 ibm-slapdDbUserId: ldapdb2 ibm-slapdDbUserPW: <encryped passowrd> ibm-slapdPlugin: database /lib/libback-rdbm.a rdbm_backend_init ibm-slapdReadOnly: FALSE ibm-slapdSuffix: cn=localhost ibm-slapdSuffix: o=mycompany.example,c=us

5

AIX DIY Special Edition for Autonomic Computing

objectclass: top objectclass: ibm-slapdRdbmBackend

Directory server를 command line에서 restart하려면 다음과 같이 하면 됩니다.

# ps -ef | grep slapd root 40650 58530 1 14:53:05 pts/7 0:00 grep slapd ldap 50440 1 4 14:15:22 - 0:52 /bin/slapd -f /etc/slapd32.conf # kill -9 50440 # /bin/slapd -f /etc/slapd32.conf Plugin of type EXTENDEDOP is successfully loaded from libevent.a. Plugin of type EXTENDEDOP is successfully loaded from libtranext.a. Plugin of type PREOPERATION is successfully loaded from libDSP.a. Plugin of type EXTENDEDOP is successfully loaded from libevent.a. Plugin of type EXTENDEDOP is successfully loaded from libtranext.a. Plugin of type AUDIT is successfully loaded from /lib/libldapaudit.a. Plugin of type EXTENDEDOP is successfully loaded from libevent.a. Plugin of type EXTENDEDOP is successfully loaded from libtranext.a. Plugin of type DATABASE is successfully loaded from /lib/libback-rdbm.a. Non-SSL port initialized to 389. Local UNIX socket name initialized to /tmp/s.slapd.

다음 단계에서는 directory에 원하는 LDAP 계층 구조를 생성하기 위한 entry들을 넣으면 됩니다. 이를 위해서는 먼저 LDAP Data Interchange Format (LDIF) file을 만들고 ldapadd command를 사용하면 됩니다. 먼저 다음 stanza를 mycompany.ldif 라는 이름의 file로 copy합니다. 처음 stanza는 이전 단계에서 삽입한 top level suffix o=mycompany.example,c=us를 위한 organizational entry를 삽입하는 것이고, 두번째 stanza는 부서내 정보를 위한 organizationalUnit entry를 삽입하는 것입니다.

dn: o=mycompany.example,c=us objectclass: top objectclass: organization o: mycompany.example

dn: ou=mydept,o=mycompany.example,c=us

6

AIX DIY Special Edition for Autonomic Computing

objectclass: organizationalUnit ou: mydept

그 다음에 다음과 같이 ldapadd command를 수행하여 이 entry들을 directory에 삽입합니다. ‘-D’는 directory administrator DN을, ‘-w’는 그 password를, ‘-f’는 import할 LDIF file 이름을 뜻합니다.

# ldapadd -c -D cn=admin,ou=mydept,o=mycompany.example,c=us -w mysecret -f mycompany.ldif adding new entry o=mycompany.example,c=us adding new entry ou=mydept,o=mycompany.example,c=us

4. CAS의 구성
Certificate Authentication Service (CAS)를 위해서는, Expansion Pack CD에 들어있는 Java security fileset과 CAS fileset을 설치해야 합니다. 아래에서, LPPSOURCE라는

string은 /dev/cd0나 해당 fileset이 들어 있는 directory 이름으로 바꾸어야 합니다.

# installp -acgXd LPPSOURCE java131.ext.security # installp -acgXd LPPSOURCE cas.server cas.client

다음 단계에서는 LDAP 계층 구조와 local AIX repository 및 user certificate tree를 위한 access control list (ACL)을 생성합니다. cas.server.rte fileset에는 이 단계에서 사용할 이 template에

/usr/cas/server/ldap 속의 template LDIF file들이 포함되어 있습니다. 필요한 사항만 변경하여 사용하면 됩니다.

pkiconfig.ldif file은 local AIX repository를 생성하기 위해 entry를 삽입하고 ACL을 설정합니다. Template으로 제공된 pkiconfig.ldif을 다음의 sample과 같이 수정합니다.

이때, 아래 sample의 첫번째 stanza는 aixdata tree의 entry를 생성하는 것이고, 두번째 것은 AIX에 관련된 PKI data의 저장 및 관리를 위한, password로 보호되는 entry를 생성하는 것입니다. 설정하는 것입니다. 세번째 stanza는 자신의 PKIDATA entry를 위한 entryOwner를 마지막 stanza는 PKIDATA administrator DN만이 PKIDATA tree를

access할 수 있도록 PKIDATA tree에 ACL을 설정하는 것입니다.

dn: cn=aixdata,ou=mydept,o=mycompany.example,c=us objectclass: container cn: aixdata

7

AIX DIY Special Edition for Autonomic Computing

dn: ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us objectclass: organizationalUnit ou: cert userpassword: secret

dn: ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us changetype: modify add: entryOwner entryOwner: access-id:ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us ownerPropagate: true

dn: ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us changetype: modify add: aclEntry aclEntry: group:cn=anybody:normal:grant:rsc:normal:deny:w aclEntry: group:cn=anybody:sensitive:grant:rsc:sensitive:deny:w aclEntry: group:cn=anybody:critical:grant:rsc:critical:deny:w aclEntry: group:cn=anybody:object:deny:ad aclPropagate: true

이 entry들을 directory에 삽입하고 ACL을 설정하려면 다음 command를 수행하면 됩니다. “-f” flag은 import할 LDIF file 이름을 지칭합니다.

# ldapadd -c -D cn=admin,ou=mydept,o=mycompany.example,c=us -w mysecret -f pkiconfig_custom.ldif adding new entry cn=aixdata,ou=mydept,o=mycompany.example,c=us adding new entry ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us modifying entry ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us modifying entry ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us

setup.ldif file은 LDAP server의 schema가 향상된 PKI를 위해 적절한 objectClasses와 attribute를 가지도록 해주는 것입니다. 이 file은 수정할 필요가 없습니다.

dn: cn=schema changetype: modify

8

AIX DIY Special Edition for Autonomic Computing

add: objectClasses objectClasses: ( 2.5.6.21 NAME 'pkiuser' DESC 'auxiliary class for non-CA certificate owners' SUP top AUXILIARY MAY userCertificate )

dn: cn=schema changetype: modify add: objectClasses objectClasses: ( 2.5.6.22 NAME 'pkiCA' DESC 'class for Certification Authorities' SUP top AUXILIARY MAY ( authorityRevocationList $ caCertificate $ certificateRevocationList $ crossCertificatePair ) )

dn:cn=schema changetype: modify replace: attributetypes attributetypes: ( 2.5.4.39 NAME ( 'certificateRevocationList' 'certificateRevocationList;binary' ) DESC ' ' SYNTAX 1.3.6.1.4.1.1466.115.121.1.5 SINGLE-VALUE ) replace:ibmattributetypes ibmattributetypes:( 2.5.4.39 DBNAME ( 'certRevocationLst' 'certRevocationLst' ) ACCESS-CLASS NORMAL)

LDAP directory schema에 수정을 가하기 위해서는 다음과 같은 ldapmodify command를 수행하면 됩니다. 만약 schema에 이미 이러한 objectClasses가 들어있다면, 이 작업은 fail됩니다만, 무시해도 됩니다.

# ldapmodify -c -D cn=admin,ou=mydept,o=mycompany.example,c=us -w mysecret -f setup.ldif modifying entry cn=schema ldap_modify: Type or value exists ldap_modify: additional info: object class '2.5.6.21' already exists, add operation failed. modifying entry cn=schema ldap_modify: Type or value exists ldap_modify: additional info: object class '2.5.6.22' already exists, add operation failed. modifying entry cn=schema

9

AIX DIY Special Edition for Autonomic Computing

addentries.ldif file은 CAS가 발행한 certificate에 필요한 entry를 추가하여, LDAP 계층 구조를 생성합니다. addentries.ldif file을 다음 stanza와 같이 수정하여 사용합니다.

dn: ou=cert,o=mycompany.example,c=us changetype: add objectclass: organizationalUnit objectclass: pkiCA ou: cert

위의 addentries.ldif file은 다음과 같이, ldapadd command와 함께 사용합니다.

# ldapadd -c -D cn=admin,ou=mydept,o=mycompany.example,c=us -w mysecret -f addentries_custom.ldif adding new entry ou=cert,o=mycompany.example,c=us

다음 단계에서는 CAS server를 구성합니다. 먼저 reference file을 만들어야 하는데, 이 file에는 하나 이상의 certificate 생성 reference number 및 password의 조합이 들어있습니다. 여기서는 다음과 같은 certificate 생성 reference number와 password를

포함하는 file /usr/cas/server/iafile 을 예로 하겠습니다. 12345678 password1234 mksecpki command를 사용하여 CAS server를 구성하게 되는데, 필요한 parameter는 다음과 같습니다.

-u : CAS server가 수행될 때 ownership을 가지게 될 user 이름 -f : reference file -p : CAS server가 request를 받기 위해 listen할 port 번호 -H : certificate이 발행되는 LDAP server 이름 -D : LDAP server administrator DN -w : LDAP server password -i : certificate을 발행할 LDAP 계층 구조의 위치

Certificate이 test1 user에게 생성되는 것이라면, certificate DN은 cn=test1,ou=cert,o=mycompany.example,c=us 이 됩니다. mksecpki command가 수행될 때, error message가 보이더라도, “Configuration is completed.”라는 message만 나오면 무시해도 됩니다.

10

AIX DIY Special Edition for Autonomic Computing

# mksecpki -u pkiuser -f /usr/cas/server/iafile -p 1077 -H ldap.mycompany.example -D cn=admin,ou=mydept,o=mycompany.example,c=us -w mysecret -i ou=cert,o=mycompany.example,c=us Enter new Password: abc123 Enter the new password again: abc123 ... Please wait for the configuration to complete. Configuration is completed.

# keytool -list -v -keystore /usr/lib/security/pki/trusted.pkcs12 -keyalg RSA -storetype pkcs12ks Enter keystore password: abc123 Keystore type: pkcs12ks Keystore provider: IBMJCE Your keystore contains 1 entry: Alias name: trustedkey Creation date: Wed Dec 31 18:00:00 CST 1969 Entry type: keyEntry Certificate chain length: 1 Certificate[1]: Owner: CN=trusted key Issuer: CN=trusted key Serial number: 3d6ba75d Valid from: Tue Aug 27 11:22:53 CDT 2002 until: Mon Nov 25 10:22:53 CST 2002 Certificate fingerprints: MD5: 6A:95:51:9C:AA:2F:B2:29:3A:30:A9:FD:CC:22:41:0C SHA1: 04:7D:C6:A7:7C:27:04:2B:1D:B5:CA:4C:F8:B6:D8:34:69:1E:36:7A *******************************************

CAS server 및 client 구성 file은 /usr/lib/security/pki directory에 있는 acct.cfg, ca.cfg, 및 policy.cfg file들입니다. 가능합니다. acct.cfg file에는 CAS 구성 요소를 위한 private account information이 들어있습니다. 여기에는 두 종류의 stanza, 즉 LDAP과 CA를 위한 stanza가 있습니다. LDAP stanza에는 다음과 같은 것들이 들어 있습니다. 이들 file을 직접 편집하거나 SMIT tool을 이용하여 구성이

11

AIX DIY Special Edition for Autonomic Computing

LDAP server 이름 certificate directory tree DN PKI administration DN과 password CA stanza에는 다음의 것이 들어 있습니다. certificate 생성 reference number와 password 조합 ca.cfg file에는 다음과 같이 CAS 구성요소를 위한 public information이 들어 있습니다. CA server를 위한 URI encryption algorithm type key size signing hash types. policy.cfg file에는 CAS 구성 요소가 집행하는 policy의 속성이 들어 있습니다. 초기 user password keystore 위치 유효 기간 CA name

SMIT로 ca.cfg 부분의 구성을 하려면 다음과 같습니다.

smitty pki Select Change/Show a Certificate Authority

acct,cfg의 CA stanza 구성은 다음과 같습니다.

12

AIX DIY Special Edition for Autonomic Computing

smitty pki Select Change/Show a CA Account

acct.cfg의 LDAP stanza 구성은 다음과 같습니다.

smitty pki Select Add/Change/Show an LDAP Account

policy.cfg의 구성은 다음과 같습니다.

smitty pki Select Add/Change/Show the Policy

CAS를 command line에서 구성하려면, /usr/lib/security/pki directory에 위치한 acct.cfg, ca.cfg, policy.cfg 구성 file을 편집하면 됩니다. file에 추가하면 됩니다. 즉, 다음의 예와 같은 stanza를 해당

/usr/lib/security/pki/acct.cfg ldap: ldappkiadmin = "ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us" ldappkiadmpwd = "secret" ldapservers = "ldap.mycompany.example" ldapsuffix = "ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us" local: carefnum = 12345678 capasswd = "password1234" rvrefnum = 89347389 rvpasswd = "notpassword123"

13

AIX DIY Special Edition for Autonomic Computing

keylabel = "trustedkey" keypasswd = "abc123"

/usr/lib/security/pki/ca.cfg local: program = /usr/lib/security/pki/JSML.sml certfile = /usr/lib/security/pki/CERTFILE_NAME.der trustedkey = file:/usr/lib/security/pki/trusted.pkcs12 server = "cmp://ca.mycompany.example:1077" cdp = test crl = "ldap://ldap.mycompany.example/ou=cert,o=mycompany.example,c=us" dn = "ou=cert,o=mycompany.example,c=us" url = "http://www.mycompany.example/" algorithm = RSA keysize = 1024 retries = 5 signinghash = MD5

/usr/lib/security/pki/policy.cfg newuser: cert = new ca = local passwd = default version = 3 keysize = 128 keystore = file:/var/pki/security/keys validity = 1y storage: replicate = yes crl: check = no comm: timeout = 60

/usr/lib/security/methods.cfg PKI:

14

AIX DIY Special Edition for Autonomic Computing

program = /usr/lib/security/PKI options = authonly PKIfiles: options = auth=PKI,db=BUILTIN

5. PKI를 이용한 user 및 admin 작업
가장 흔히 하게 되는 관리 업무는 user 관리입니다. PKI에 user를 추가할 때, 기존 다음의 예는 이 두가지

user를 migration하거나 아예 새로 만드는 경우가 있습니다. 경우를 각각 보여줍니다.

A. 기존 user를 PKI 인증에 migration

1. certcreate command로 CA에서 새로운 certificate을 만듭니다.

CA는 DER로

encoding된 certificate을 반송해주고, CA repository로 certificate을 발행합니다. 이 경우에서의 user 이름은 test3이고, CA repository는 ou=cert,o=mycompany.example,c=us 입니다.

# certcreate -f test3.der -l defaultLabel cn=test3 test3 Enter password for the keystore : test3 Re-enter password for the keystore : test3

# certlist -f ALL test3 test3: auth_cert= distinguished_name=c=us,o=mycompany.example,ou=cert,cn=test3 alternate_name= validafter=0830103702 validuntil=0827152403 issuer=c=us,o=mycompany.example,ou=cert tag=tag1 verified=false label=defaultLabel keystore=file:/var/pki/security/keys/test3 serialnumber=0D

15

AIX DIY Special Edition for Autonomic Computing

2. certadd command로 certificate를 local AIX repository의 LDAP 안으로 발행합니다. 이 경우에서의 local AIX repository 위치는

ou=pkidata,cn=aixdata,ou=mydept,o=mycompany.example,c=us 입니다.

# certadd -f test3.der -l defaultLabel tag1 test3

3. certverify command로 invoker가 certificate의 private key를 가지고 있는지 확인합니다. 이를 확인하기 전까지는 AIX는 그 certificate를 신뢰할 수 없는 확인 상태를 보려면 certlist command를 사용합니다.

것으로 판단합니다.

# certverify tag1 test3 Enter password for the keystore : test3

# certlist -f ALL test3 test3: auth_cert= distinguished_name=c=us,o=mycompany.example,ou=cert,cn=test3 alternate_name= validafter=0830103702 validuntil=0827152403 issuer=c=us,o=mycompany.example,ou=cert tag=tag1 verified=true label=defaultLabel keystore=file:/var/pki/security/keys/test3 serialnumber=0D

4. chuser command로 PKIfile에 대한 user의 SYSTEM과 registry 속성을 변경합니다. chuser command로 user의 auth_cert 속성을 AIX에 login하기 위한

certificate tag로 설정합니다.

# chuser SYSTEM="PKIfiles" registry=PKIfiles test3 # chuser -R PKIfiles auth_cert=tag1 test3 # lsuser -R PKIfiles test3 test3 id=209 pgrp=staff groups=staff home=/home/test3 shell=/usr/bin/ksh login=true su=true rlogin=true daemon=true admin=false sugroups=ALL admgroups= tpath=nosak

16

AIX DIY Special Edition for Autonomic Computing

ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 registry=PKIfiles SYSTEM=PKIfiles logintimes= loginretries=0 pwdwarntime=0 account_locked=false minage=0 maxage=0 maxexpired=-1 minalpha=0 minother=0 mindiff=0 maxrepeats=8 minlen=0 histexpire=0 histsize=0 pwdchecks= dictionlist= fsize=3097151 cpu=-1 data=262144 stack=65536 core=2097151 rss=65536 nofiles=2000 roles= auth_cert=tag1 subject_DN=c=us,o=mycompany.example,ou=cert,cn=test3 subject_altname=c=us,o=mycompany.example,ou=cert,cn=test3 valid_after=20020830 valid_until=20030827 issuer=c=us,o=mycompany.example,ou=cert

위의 4가지 step 중 1~3번은 non-root user도 수행이 가능하지만, 4번은 root 만이 할 수 있습니다.

B. 새로 user를 생성

다음과 같이, mkuser, certlist command를 사용하면 됩니다.

# mkuser -R PKIfiles SYSTEM=PKIfiles registry=PKIfiles test1 # certlist -f ALL test1 test1: auth_cert=auth_cert distinguished_name=c=us,o=mycompany.example,ou=cert,cn=test1 alternate_name=email=test1@itsc.austin.ibm.com validafter=0830091302 validuntil=0827152403 issuer=c=us,o=mycompany.example,ou=cert tag=auth_cert verified=true label=DefaultLabel keystore=file:/var/pki/security/keys/test1 serialnumber=07 # lsuser -R PKIfiles test1 test1 id=205 pgrp=staff groups=staff home=/home/test1 shell=/usr/bin/ksh login=true su=true rlogin=true daemon=true admin=false sugroups=ALL admgroups= tpath=nosak ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 registry=PKIfiles SYSTEM=compat logintimes= loginretries=0 pwdwarntime=0 account_locked=false minage=0 maxage=0 maxexpired=-1 minalpha=0 minother=0 mindiff=0 maxrepeats=8

17

AIX DIY Special Edition for Autonomic Computing

minlen=0 histexpire=0 histsize=0 pwdchecks= dictionlist= fsize=3097151 cpu=-1 data=262144 stack=65536 core=2097151 rss=65536 nofiles=2000 roles= auth_cert=auth_cert subject_DN=c=us,o=mycompany.example,ou=cert,cn=test1 subject_altname=email=test1@itsc.austin.ibm.com valid_after=20020830 valid_until=20030827 issuer=c=us,o=mycompany.example,ou=cert

6. Process Authentication Group (PAG)
Process authentication group (PAG)이란 user 인증 data를 process와 연계시키는 data structure입니다. PAG가 enable되어 있고 CAS를 사용 중이라면, user의 인증

certificate는 user의 login shell과 연계됩니다. Shell이 새로운 process를 spawn하게 되면 PAG 정보는 각 child로 전파되게 됩니다. CAS를 사용하기 위해 꼭 PAG가 필요한 것은 아니며, PAG는 기본적으로는 disable되어 있습니다. PAG를 enable하려면 certdaemon을 구동해야 합니다. 다음과 같이, mkitab

명령으로 /etc/inittab file에서 자동으로 certdaemon을 구동하도록 할 수 있습니다.

# mkitab "certdaemon:2:wait:/usr/sbin/certdaemon" # lsitab certdaemon certdaemon:2:wait:/usr/sbin/certdaemon

AIX version 5.2부터는 다음과 같이 3가지 PAG 관련 command가 새로 지원됩니다.

1. paglist command - 현재 process와 연관된 PAG를 보여줍니다. $ who am i test3 pts/14 Aug 30 15:20 (9.3.4.144) $ paglist PAG_DATA=308202c730820230a00302010202010d300d06092a864886f70d01010505003 038310b3009060355040613027573 311a3018060355040a13116d79636f6d70616e792e6578616d706c65310d300b060355040 b130463657274301e170d3032303 833303135333735365a170d3033303832373230323435335a3048310b300906035504061 3027573311a3018060355040a1311 ...

2. paginit command – 현재 user를 인증하고, PAG 연계성을 맺어줍니다. 이 command는 su 사용시에 유용합니다. 즉, root user가 su command로 PKI user

18

AIX DIY Special Edition for Autonomic Computing

test3로 변경했을 때, password를 입력할 필요가 없습니다. 인증되지 않은 상태입니다.

그러므로, test3 user는 PKI로

이때 paginit command를 사용하여 인증을 해야 합니다.

# su - test3 $ paglist PAG_DATA= $ paginit test3's Password: $ paglist PAG_DATA=308202c730820230a00302010202010d300d06092a864886f70d01010505003 038310b3009060355040613027573 311a3018060355040a13116d79636f6d70616e792e6578616d706c65310d300b060355040 b130463657274301e170d3032303 833303135333735365a170d3033303832373230323435335a3048310b300906035504061 3027573311a3018060355040a1311 ...

3. pagdel command – 현재 process와 연계된 현재 PAG를 삭제합니다.

$ paglist PAG_DATA=308202c730820230a00302010202010d300d06092a864886f70d01010505003 038310b3009060355040613027573 311a3018060355040a13116d79636f6d70616e792e6578616d706c65310d300b060355040 b130463657274301e170d3032303 833303135333735365a170d3033303832373230323435335a3048310b300906035504061 3027573311a3018060355040a1311 ... $ pagdel $ paglist PAG_DATA=

19