跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
10. Oracle Solaris 中的安全属性(参考信息)
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)
如何手动将 Kerberos 数据库传播到从 KDC 服务器
所有参与 Kerberos 验证系统的主机都必须在指定的最长时间(称为时钟相位差)内同步其内部时钟。针对这一要求,需要进行另一种 Kerberos 安全检查。如果任意两个参与主机之间的时间偏差超过了时钟相位差,则客户机请求会被拒绝。
时钟相位差还决定应用服务器必须跟踪所有 Kerberos 协议消息的时间长度,以便识别和拒绝重放的请求。因此,时钟相位差的值越大,应用服务器必须收集的信息就越多。
时钟相位差的最大缺省值为 300 秒(5 分钟)。可以在 krb5.conf 文件的 libdefaults 部分中更改此缺省值。
注 - 出于安全原因,不要将时钟相位差增大到超过 300 秒。
保持 KDC 与 Kerberos 客户机之间的时钟同步非常重要,因此应使用网络时间协议 (Network Time Protocol, NTP) 软件同步这些时钟。Oracle Solaris 软件中包括了由美国特拉华大学开发的 NTP 公共域软件。
注 - 另一种同步时钟的方法是使用 rdate 命令和 cron 作业,这是一种比使用 NTP 更简单的过程。不过,本节将着重介绍如何使用 NTP。并且,如果使用网络来同步时钟,时钟同步协议本身必须是安全的。
通过 NTP,您可以在网络环境中管理精确时间或网络时钟同步,或者同时管理这两者。本质上,NTP 是一种服务器/客户机实现。可以选择一个系统(NTP 服务器)作为主时钟。然后,设置所有其他系统(NTP 客户机),使这些系统的时钟与主时钟同步。
为了同步时钟,NTP 使用 xntpd 守护进程,该守护进程设置并维护 UNIX 系统时间,使其与 Internet 标准时间服务器的时间保持一致。以下给出了该服务器/客户机 NTP 实现的示例。
图 21-1 使用 NTP 同步时钟
确保 KDC 与 Kerberos 客户机保持时钟同步需要实现以下步骤:
在网络上设置一个 NTP 服务器。此服务器可以是主 KDC 服务器以外的任何系统。要了解 NTP 服务器任务,请参见《Oracle Solaris 11 网络服务介绍》中的"管理网络时间协议(任务)"。
在网络上配置 KDC 和 Kerberos 客户机时,将它们设置为 NTP 服务器的 NTP 客户机。要了解 NTP 客户机任务,请参见《Oracle Solaris 11 网络服务介绍》中的"管理网络时间协议(任务)"。