JavaScript is required to for searching.
跳过导航链接
退出打印视图
系统管理指南:安全性服务     Oracle Solaris 10 8/11 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  控制对设备的访问(任务)

5.  使用基本审计报告工具(任务)

6.  控制对文件的访问(任务)

7.  使用自动安全性增强工具(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  基于角色的访问控制(参考)

11.  特权(任务)

12.  特权(参考)

第 4 部分加密服务

13.  Oracle Solaris 加密框架(概述)

14.  Oracle Solaris 加密框架(任务)

15.  Oracle Solaris 密钥管理框架

第 5 部分验证服务和安全通信

16.  使用验证服务(任务)

17.  使用 PAM

18.  使用 SASL

19.  使用 Oracle Solaris 安全 Shell(任务)

20.  Oracle Solaris 安全 Shell(参考)

第 6 部分Kerberos 服务

21.  Kerberos 服务介绍

22.  规划 Kerberos 服务

23.  配置 Kerberos 服务(任务)

配置 Kerberos 服务(任务列表)

配置额外 Kerberos 服务(任务列表)

配置 KDC 服务器

如何手动配置主 KDC 服务器

如何配置 KDC 以使用 LDAP 数据服务器

如何手动配置从 KDC 服务器

如何刷新主服务器上的票证授予服务密钥

配置跨领域验证

如何建立分层跨领域验证

如何建立直接跨领域验证

配置 Kerberos 网络应用服务器

如何配置 Kerberos 网络应用服务器

配置 Kerberos NFS 服务器

如何配置 Kerberos NFS 服务器

如何创建凭证表

如何向凭证表中添加单个项

如何提供各领域之间的凭证映射

如何使用多种 Kerberos 安全模式设置安全的 NFS 环境

配置 Kerberos 客户机

配置 Kerberos 客户机(任务列表)

如何创建 Kerberos 客户机安装配置文件

如何自动配置 Kerberos 客户机

如何交互配置 Kerberos 客户机

如何手动配置 Kerberos 客户机

如何禁用票证授予票证 (Ticket Granting Ticket, TGT) 的验证

如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统

如何在 Kerberos 领域中配置用户自动迁移

同步 KDC 与 Kerberos 客户机的时钟

交换主 KDC 服务器与从 KDC 服务器

如何配置可交换的从 KDC 服务器

如何交换主 KDC 服务器与从 KDC 服务器

管理 Kerberos 数据库

备份和传播 Kerberos 数据库

kpropd.acl 文件

kprop_script 命令

如何备份 Kerberos 数据库

如何恢复 Kerberos 数据库

如何在服务升级后转换 Kerberos 数据库

如何重新配置主 KDC 服务器以使用增量传播

如何重新配置从 KDC 服务器以使用增量传播

如何配置从 KDC 服务器以使用完全传播

如何验证 KDC 服务器是否已同步

如何手动将 Kerberos 数据库传播到从 KDC 服务器

设置并行传播

设置并行传播的配置步骤

管理存储文件

如何删除存储文件

在 LDAP 目录服务器上管理 KDC

如何在非 Kerberos 对象类类型中混合 Kerberos 主体属性

如何在 LDAP 目录服务器上销毁领域

增强 Kerberos 服务器的安全性

如何仅启用基于 Kerberos 的应用程序

如何限制对 KDC 服务器的访问

如何使用字典文件提高口令的安全性

24.  Kerberos 错误消息和故障排除

25.  管理 Kerberos 主体和策略(任务)

26.  使用 Kerberos 应用程序(任务)

27.  Kerberos 服务(参考)

第 7 部分Oracle Solaris 审计

28.  Oracle Solaris 审计(概述)

29.  规划 Oracle Solaris 审计

30.  管理 Oracle Solaris 审计(任务)

31.  Oracle Solaris 审计(参考)

词汇表

索引

配置 Kerberos 网络应用服务器

网络应用服务器是使用以下一个或多个网络应用程序提供访问的主机:ftprcprloginrshsshtelnet。要在服务器上启用这些命令的 Kerberos 版本,只需执行几个步骤。

如何配置 Kerberos 网络应用服务器

此过程使用以下配置参数:

开始之前

此过程要求已配置主 KDC 服务器。要完全测试该过程,必须配置多个 Kerberos 客户机。

  1. 可选安装 NTP 客户机或其他时钟同步机制。

    有关 NTP 的信息,请参见同步 KDC 与 Kerberos 客户机的时钟

  2. 为新服务器添加主体并更新该服务器的密钥表。

    以下命令报告是否存在主机主体:

    boston # klist -k |grep host
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM

    如果此命令未返回主体,请执行以下步骤创建新主体。

    有关如何使用图形化 Kerberos 管理工具添加主体的说明,请参见如何创建新的 Kerberos 主体。以下步骤中的示例说明如何使用命令行添加所需的主体。必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。

    boston # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:
    1. 创建服务器的 host 主体。

      host 主体用于:

      • 使用远程命令时(如 rshssh)时验证通信。

      • pam_krb5 防止 KDC 欺骗攻击,以确认用户的 Kerberos 凭证是从可信 KDC 获取的。

      • 允许 root 用户在不要求存在 root 主体的情况下,自动获取 Kerberos 凭证。在执行手动 NFS 挂载时,若共享需要使用 Kerberos 凭证,此功能很有用。

      如果要使用 Kerberos 服务验证使用远程应用程序的通信,则需要该主体。如果服务器有多个与之关联的主机名,则应使用主机名的 FQDN 格式为每个主机名创建一个主体。

      kadmin: addprinc -randkey host/boston.example.com
Principal "host/boston.example.com" created.
kadmin:
    2. 将服务器的 host 主体添加到服务器的密钥表中。

      如果没有运行 kadmin 命令,请使用以下类似语法重新启动该命令: /usr/sbin/kadmin -p kws/admin

      如果服务器有多个与之相关的主机名,请为每个主机名向密钥表添加一个主体。

      kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
    3. 退出 kadmin
      kadmin: quit
版权所有 © 2002, 2011, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页