JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:安全服务     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  病毒扫描服务(任务)

5.  控制对设备的访问(任务)

6.  使用 BART 验证文件完整性(任务)

7.  控制对文件的访问(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  Oracle Solaris 中的安全属性(参考信息)

第 4 部分加密服务

11.  加密框架(概述)

12.  加密框架(任务)

13.  密钥管理框架

第 5 部分验证服务和安全通信

14.  使用可插拔验证模块

15.  使用 安全 Shell

16.  安全 Shell(参考信息)

17.  使用简单验证和安全层

18.  网络服务验证(任务)

第 6 部分Kerberos 服务

19.  Kerberos 服务介绍

20.  规划 Kerberos 服务

21.  配置 Kerberos 服务(任务)

配置 Kerberos 服务(任务列表)

配置额外 Kerberos 服务(任务列表)

配置 KDC 服务器

如何自动配置主 KDC

如何交互配置主 KDC

如何手动配置主 KDC 服务器

如何配置 KDC 以使用 LDAP 数据服务器

如何自动配置从 KDC

如何交互配置从 KDC

如何手动配置从 KDC 服务器

如何刷新主服务器上的票证授予服务密钥

配置跨领域验证

如何建立层次化跨领域验证

如何建立直接跨领域验证

配置 Kerberos 网络应用服务器

如何配置 Kerberos 网络应用服务器

运行 FTP 时如何使用带有 Kerberos 的通用安全服务

配置 Kerberos NFS 服务器

如何配置 Kerberos NFS 服务器

如何创建凭证表

如何向凭证表中添加单个项

如何提供各领域之间的凭证映射

如何使用多种 Kerberos 安全模式设置安全的 NFS 环境

配置 Kerberos 客户机

配置 Kerberos 客户机(任务列表)

如何创建 Kerberos 客户机安装配置文件

如何自动配置 Kerberos 客户机

如何交互配置 Kerberos 客户机

如何为 Active Directory 服务器配置 Kerberos 客户机

如何手动配置 Kerberos 客户机

如何禁用票务授予票证的验证

如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统

如何在 Kerberos 领域中配置用户自动迁移

如何配置帐户锁定

如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)

同步 KDC 与 Kerberos 客户机的时钟

交换主 KDC 服务器与从 KDC 服务器

如何配置可交换的从 KDC 服务器

如何交换主 KDC 服务器与从 KDC 服务器

管理 Kerberos 数据库

备份和传播 Kerberos 数据库

kpropd.acl 文件

kprop_script 命令

如何备份 Kerberos 数据库

如何恢复 Kerberos 数据库

如何在服务升级后转换 Kerberos 数据库

如何重新配置主 KDC 服务器以使用增量传播

如何重新配置从 KDC 服务器以使用增量传播

如何配置从 KDC 服务器以使用完全传播

如何验证 KDC 服务器是否已同步

如何手动将 Kerberos 数据库传播到从 KDC 服务器

设置并行传播

设置并行传播的配置步骤

管理存储文件

如何删除存储文件

如何使用新的主密钥

在 LDAP 目录服务器上管理 KDC

如何在非 Kerberos 对象类类型中混合 Kerberos 主体属性

如何在 LDAP 目录服务器上销毁领域

增强 Kerberos 服务器的安全性

如何限制对 KDC 服务器的访问

如何使用字典文件提高口令的安全性

22.  Kerberos 错误消息和故障排除

23.  管理 Kerberos 主体和策略(任务)

24.  使用 Kerberos 应用程序(任务)

25.  Kerberos 服务(参考信息)

第 7 部分在 Oracle Solaris 中审计

26.  审计(概述)

27.  规划审计

28.  管理审计(任务)

29.  审计(参考信息)

词汇表

索引

在 LDAP 目录服务器上管理 KDC

大多数使用 LDAP 目录服务器管理 KDC 的任务与使用 DB2 服务器相同。不过有一些特定于使用 LDAP 的新任务。

表 21-3 配置 KDC 服务器以使用 LDAP(任务列表)

任务
说明
参考
配置主 KDC。
通过使用手动过程并将 KDC 配置为使用 LDAP,为领域配置并构建主 KDC 服务器和数据库。
混合使用 Kerberos 主体属性与非 Kerberos 对象类类型。
允许将信息存储在 Kerberos 记录中,以与其他 LDAP 数据库共享。
销毁领域。
删除与领域关联的所有数据。

如何在非 Kerberos 对象类类型中混合 Kerberos 主体属性

此过程允许 Kerberos 主体属性与非 Kerberos 对象类类型关联。在该过程中,krbprincipalauxkrbTicketPolicyAuxkrbPrincipalName 属性都与 people 对象类关联。

此过程中使用以下配置参数:

开始之前

您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限

  1. 准备 people 对象类中的每一项。

    对每一项重复此步骤。

    cat << EOF | ldapmodify -h dsserver.example.com -D "cn=directory manager"
    dn: uid=willf,ou=people,dc=example,dc=com
    changetype: modify
    objectClass: krbprincipalaux
    objectClass: krbTicketPolicyAux
    krbPrincipalName: willf@EXAMPLE.COM
    EOF
  2. 将一个子树属性添加到领域容器。

    此步骤允许在 ou=people,dc=example,dc=com 容器和缺省 EXAMPLE.COM 容器中搜索主体项。

    # kdb5_ldap_util -D "cn=directory manager" modify \
                -subtrees 'ou=people,dc=example,dc=com' -r EXAMPLE.COM
  3. 可选如果 KDC 记录存储在 DB2 中,迁移 DB2 项。
    1. 转储 DB2 项。
      # kdb5_util dump > dumpfile
    2. 将数据库装入 LDAP 服务器。
      # kdb5_util load -update dumpfile
  4. 可选将主体属性添加到 KDC。
    # kadmin.local -q 'addprinc willf'

如何在 LDAP 目录服务器上销毁领域

此过程可用于已经将其他 LDAP 目录服务器配置为处理领域的情况。

开始之前

您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限