Active Directory가 포함된 macOS Sierra 10.12에 대비하기
Active Directory가 포함된 macOS Sierra를 사용할 때 필요한 요구 사항에 대해 알아봅니다.
Active Directory 관리자는 다음 권장 사항을 검토하여 조직에 알맞은 것인지 확인해야 합니다.
이 변경 사항의 영향을 받는다고 생각되는 경우 소속 기관의 시스템 관리자에게 문의하십시오.
macOS Sierra에서 Active Directory 사용자가 터미널에 kinit 명령을 입력하여 Kerberos TGT(티켓 발급 티켓)를 얻으려고 하면 다음과 같은 메시지가 나타날 수 있습니다.
Encryption type arcfour-hmac-md5(23) used for authentication is weak and will be deprecated.
이 메시지가 나타나면 Active Directory 도메인에서 Kerberos용 RC4 암호화만 지원하는 것입니다. 이 암호화 유형은 보안에 취약하기 때문에 앞으로 발표되는 macOS 버전에서는 Kerberos용 RC4 암호화를 지원하지 않을 것입니다.
macOS Sierra Active Directory 클라이언트에서 계속 RC4를 사용하는 경우 이후의 호환성을 확보하기 위해 Kerberos에 AES-128 또는 AES-256 암호화를 사용하도록 Active Directory의 도메인과 포리스트를 구성해야 합니다.
AES Kerberos 암호화를 사용하고 있는지 확인하기
AES Kerberos 암호화를 사용하고 있는지 확인하기 위해 TGT를 얻을 때 kinit 명령과 함께 -e 플래그를 사용하여 AES 암호화를 명시적으로 요청할 수 있습니다. 예를 들면 다음과 같습니다.
kinit -e aes128-cts-hmac-sha1-96 userprinc@TEST.EXAMPLE.COM
이 명령이 작동하는 경우 Active Directory 환경에서 AES-128 Kerberos 암호화를 지원하는 것입니다. 명령이 실패하면 다음과 같은 오류 메시지가 나타납니다.
kinit: krb5_get_init_creds: Preauth required but no preauth options send by KDC
이 오류가 나타나면 Active Directory 도메인에서 AES 암호화를 지원하지 않는 것이며 이후 macOS 클라이언트와 호환되지 않습니다.
iOS 10 또는 macOS Sierra로 업데이트하기 전에 기관에서 대비해야 하는 기타 변경 사항에 대해 알아봅니다.