跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
10. Oracle Solaris 中的安全属性(参考信息)
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)
如何手动将 Kerberos 数据库传播到从 KDC 服务器
执行以下步骤可以增强 Kerberos 应用服务器和 KDC 服务器的安全性。
表 21-4 增强 Kerberos 服务器的安全性(任务列表)
|
主 KDC 服务器和从 KDC 服务器都包含存储在本地的 KDC 数据库的副本。限制对这些服务器的访问以保证数据库安全对于 Kerberos 安装的整体安全性非常重要。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
要限制物理访问,请确保 KDC 服务器及其监视器位于安全场所。用户不应能够以任何方式访问此服务器。
仅在可以安全存储磁带时才应创建 KDC 的磁带备份。此做法同样适用于密钥表文件的备份。最好在不与其他系统共享的本地文件系统上存储这些文件。存储文件系统可以位于主 KDC 服务器或任何从 KDC 服务器上。
Kerberos 服务可以使用字典文件来防止在创建新凭证时将字典中的词用作口令。防止将字典术语用作口令可以让其他人更难猜到口令。缺省情况下使用 /var/krb5/kadm5.dict 文件,但它是空的。
开始之前
您必须承担 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
您需要添加一个行来指示该服务使用字典文件。在此示例中,使用包括在 spell 实用程序中的字典。有关配置文件的完整说明,请参见 kdc.conf(4) 手册页。
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 dict_file = /usr/share/lib/dict/words }
kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin