跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
10. Oracle Solaris 中的安全属性(参考信息)
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)
如何手动将 Kerberos 数据库传播到从 KDC 服务器
使用本节中的过程可以使交换主 KDC 服务器与从 KDC 服务器的任务更轻松。仅当主 KDC 服务器由于某种原因出现故障,或者需要重新安装主 KDC 服务器(例如,由于安装了新硬件)时,才应将主 KDC 服务器与从 KDC 服务器进行交换。
在您希望成为主 KDC 服务器的从 KDC 服务器上执行此过程。该过程假定使用了增量传播。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
定义 KDC 的主机名时,请确保 DNS 中包含每个系统的别名。此外,在 /etc/krb5/krb5.conf 文件中定义主机时也应使用别名。
在进行任何交换之前,该服务器应该充当领域中的任何其他从 KDC 服务器。有关说明,请参见如何手动配置从 KDC 服务器。
要禁止从该从 KDC 服务器运行主 KDC 服务器命令,请将 kprop、kadmind 和 kadmin.local 命令移到一个保留位置。
kdc4 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save kdc4 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save kdc4 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
在此过程中,要交换出来的主 KDC 服务器名为 kdc1。将成为新的主 KDC 服务器的从 KDC 服务器名为 kdc4。该过程假定使用了增量传播。
开始之前
此过程要求已将从 KDC 服务器设置为可交换的从 KDC 服务器。有关更多信息,请参见如何配置可交换的从 KDC 服务器。
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
kdc4 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
以下示例中将第一个 addprinc 命令显示为两行,但实际上应在同一行中键入该命令。
kadmin: addprinc -randkey -allow_tgs_req +password_changing_service -clearpolicy \ changepw/kdc4.example.com Principal "changepw/kdc4.example.com@ENG.SUN.COM" created. kadmin: addprinc -randkey -allow_tgs_req -clearpolicy kadmin/kdc4.example.com Principal "kadmin/kdc4.example.com@EXAMPLE.COM" created. kadmin:
kadmin: quit
以下步骤将在从服务器上强制执行完全 KDC 更新。
kdc4 # svcadm disable network/security/krb5kdc kdc4 # rm /var/krb5/principal.ulog
kdc4 # /usr/sbin/kproplog -h
kdc4 # svcadm enable -r network/security/krb5kdc
这些步骤将重新初始化新的主 KDC 服务器的更新日志。
kdc4 # svcadm disable network/security/krb5kdc kdc4 # rm /var/krb5/principal.ulog
中止 kadmind 进程可防止对 KDC 数据库进行任何更改。
kdc1 # svcadm disable network/security/kadmin kdc1 # svcadm disable network/security/krb5kdc
注释掉 /etc/krb5/kdc.conf 中的 sunw_dbprop_master_ulogsize 项,并添加定义 sunw_dbprop_slave_poll 的项。该项将轮询时间设为两分钟。
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true # sunw_dbprop_master_ulogsize = 1000 sunw_dbprop_slave_poll = 2m }
要禁止运行主 KDC 服务器命令,请将 kprop、kadmind 和 kadmin.local 命令移到一个保留位置。
kdc1 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save kdc1 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save kdc1 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save kdc1 # mv /etc/krb5/kadm5.acl /etc/krb5/kadm5.acl.save
要更改服务器,请编辑 example.com 区域文件并更改 masterkdc 的项。
masterkdc IN CNAME kdc4
运行以下命令以重新装入新的别名信息:
# svcadm refresh network/dns/server
kdc4 # mv /usr/lib/krb5/kprop.save /usr/lib/krb5/kprop kdc4 # mv /usr/lib/krb5/kadmind.save /usr/lib/krb5/kadmind kdc4 # mv /usr/sbin/kadmin.local.save /usr/sbin/kadmin.local kdc4 # mv /etc/krb5/kpropd.acl /etc/krb5/kpropd.acl.save
填充后,/etc/krb5/kadm5.acl 文件应包含所有获许管理 KDC 的主体名称。该文件还应列出请求增量传播的所有从 KDC 服务器。有关更多信息,请参见 kadm5.acl(4) 手册页。
kdc4 # cat /etc/krb5/kadm5.acl kws/admin@EXAMPLE.COM * kiprop/kdc1.example.com@EXAMPLE.COM p
注释掉 sunw_dbprop_slave_poll 项,并添加定义 sunw_dbprop_master_ulogsize 的项。该项将日志大小设置为 1000 个项。
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true # sunw_dbprop_slave_poll = 2m sunw_dbprop_master_ulogsize = 1000 }
kdc4 # svcadm enable -r network/security/krb5kdc kdc4 # svcadm enable -r network/security/kadmin
通过将 kiprop 主体添加到 krb5.keytab 文件,允许 kpropd 守护进程对自身进行增量传播服务验证。
kdc1 # /usr/sbin/kadmin -p kws/admin Authenticating as pricipal kws/admin@EXAMPLE.COM with password. Enter password: <Type kws/admin password> kadmin: ktadd kiprop/kdc1.example.com Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.example.com@EXAMPLE.COM host/kdc2.example.com@EXAMPLE.COM host/kdc3.example.com@EXAMPLE.COM host/kdc4.example.com@EXAMPLE.COM
kdc1 # svcadm enable -r network/security/krb5_prop kdc1 # svcadm enable -r network/security/krb5kdc