JavaScript is required to for searching.
跳过导航链接
退出打印视图
手册页第 5 部分:标准、环境和宏     Oracle Solaris 11.1 Information Library (简体中文)
Oracle 技术网
文档库
PDF
打印视图
反馈
为本文档评分
search filter icon
search icon

文档信息

前言

简介

Standards, Environments, and Macros

acl(5)

ad(5)

advance(5)

adv_cap_1000fdx(5)

adv_cap_1000hdx(5)

adv_cap_100fdx(5)

adv_cap_100hdx(5)

adv_cap_10fdx(5)

adv_cap_10hdx(5)

adv_cap_asym_pause(5)

adv_cap_autoneg(5)

adv_cap_pause(5)

adv_rem_fault(5)

ANSI(5)

architecture(5)

ars(5)

ascii(5)

attributes(5)

audit_binfile(5)

audit_flags(5)

audit_remote(5)

audit_syslog(5)

availability(5)

brands(5)

C++(5)

C(5)

cancellation(5)

cap_1000fdx(5)

cap_1000hdx(5)

cap_100fdx(5)

cap_100hdx(5)

cap_10fdx(5)

cap_10hdx(5)

cap_asym_pause(5)

cap_autoneg(5)

cap_pause(5)

cap_rem_fault(5)

charmap(5)

compile(5)

condition(5)

crypt_bsdbf(5)

crypt_bsdmd5(5)

crypt_sha256(5)

crypt_sha512(5)

crypt_sunmd5(5)

crypt_unix(5)

CSI(5)

datasets(5)

device_clean(5)

dhcp(5)

dhcp_modules(5)

environ(5)

eqnchar(5)

extendedFILE(5)

extensions(5)

fedfs(5)

filesystem(5)

fmri(5)

fnmatch(5)

formats(5)

fsattr(5)

grub(5)

gss_auth_rules(5)

hal(5)

iconv_1250(5)

iconv_1251(5)

iconv(5)

iconv_646(5)

iconv_852(5)

iconv_8859-1(5)

iconv_8859-2(5)

iconv_8859-5(5)

iconv_dhn(5)

iconv_koi8-r(5)

iconv_mac_cyr(5)

iconv_maz(5)

iconv_pc_cyr(5)

iconv_unicode(5)

ieee802.11(5)

ieee802.3(5)

ipfilter(5)

ipkg(5)

isalist(5)

ISO(5)

kerberos(5)

krb5_auth_rules(5)

krb5envvar(5)

KSSL(5)

kssl(5)

labels(5)

largefile(5)

ldap(5)

lf64(5)

lfcompile(5)

lfcompile64(5)

link_duplex(5)

link_rx_pause(5)

link_tx_pause(5)

link_up(5)

locale(5)

locale_alias(5)

lp_cap_1000fdx(5)

lp_cap_1000hdx(5)

lp_cap_100fdx(5)

lp_cap_100hdx(5)

lp_cap_10fdx(5)

lp_cap_10hdx(5)

lp_cap_asym_pause(5)

lp_cap_autoneg(5)

lp_cap_pause(5)

lp_rem_fault(5)

man(5)

mansun(5)

me(5)

mech_spnego(5)

mm(5)

ms(5)

MT-Level(5)

mutex(5)

MWAC(5)

mwac(5)

nfssec(5)

NIS+(5)

NIS(5)

nis(5)

nwam(5)

openssl(5)

pam_allow(5)

pam_authtok_check(5)

pam_authtok_get(5)

pam_authtok_store(5)

pam_deny(5)

pam_dhkeys(5)

pam_dial_auth(5)

pam_krb5(5)

pam_krb5_migrate(5)

pam_ldap(5)

pam_list(5)

pam_passwd_auth(5)

pam_pkcs11(5)

pam_rhosts_auth(5)

pam_roles(5)

pam_sample(5)

pam_smbfs_login(5)

pam_smb_passwd(5)

pam_tsol_account(5)

pam_tty_tickets(5)

pam_unix_account(5)

pam_unix_auth(5)

pam_unix_cred(5)

pam_unix_session(5)

pam_user_policy(5)

pam_zfs_key(5)

pkcs11_kernel(5)

pkcs11_kms(5)

pkcs11_softtoken(5)

pkcs11_tpm(5)

pkg(5)

POSIX.1(5)

POSIX.2(5)

POSIX(5)

privileges(5)

prof(5)

pthreads(5)

RBAC(5)

rbac(5)

regex(5)

regexp(5)

resource_controls(5)

sgml(5)

smf(5)

smf_bootstrap(5)

smf_method(5)

smf_restarter(5)

smf_security(5)

smf_template(5)

solaris10(5)

solaris(5)

solbook(5)

stability(5)

standard(5)

standards(5)

step(5)

sticky(5)

suri(5)

SUS(5)

SUSv2(5)

SUSv3(5)

SVID3(5)

SVID(5)

tecla(5)

teclarc(5)

term(5)

threads(5)

trusted_extensions(5)

vgrindefs(5)

wbem(5)

xcvr_addr(5)

xcvr_id(5)

xcvr_inuse(5)

XNS4(5)

XNS(5)

XNS5(5)

XPG3(5)

XPG4(5)

XPG4v2(5)

XPG(5)

zones(5)

请告诉我们如何提高我们的文档:
过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
其他
Your rating has been updated
感谢您的反馈!

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见?

kerberos

- Solaris Kerberos 实现概述

描述

Solaris Kerberos 实现(后文有时简称为 “Kerberos”)会验证网络环境中的客户机,从而实现安全事务。(客户机可以是用户或网络服务。)Kerberos 会验证客户机的身份以及所传输数据的真实性。Kerberos 是single-sign-on系统,意味着用户仅需要在会话开始时提供口令。Solaris Kerberos 实现是基于 MIT 开发的 Kerberos(TM) 系统,并与异构网络上的 Kerberos V5 系统兼容。

Kerberos 通过授予客户机票证发挥作用,票证可唯一地标识客户机并具有有限生命周期。将针对票证所属网络服务自动验证拥有票证的客户机;例如,具有有效 Kerberos 票证的用户可登录运行 Kerberos 的其他计算机,而无需标识自身。由于每个客户机均具有唯一的票证,因此可保证其身份。

要获得票证,客户机必须首先使用 kinit(1) 命令或 PAM 模块初始化 Kerberos 会话。(请参见 pam_krb5(5))。kinit 提示输入口令,然后与密钥分发中心 (Key Distribution Center, KDC) 通信。KDC 返回票证授予票证 (Ticket-Granting Ticket, TGT) 并提示输入确认口令。如果客户机确认口令,则它可以使用票证授予票证来获得特定网络服务的票证。因为以透明方式授予票证,所以用户无需担心票证管理。可使用 klist(1) 命令查看当前票证。

票证的有效性取决于安装时设置的系统策略。例如,票证具有缺省的有效生命周期。策略可以进一步指示特权票证(如属于 root 的票证)具有很短的生命周期。策略还可以允许覆盖某些缺省值;例如,客户机可以请求生命周期大于或小于缺省值的票证。

可使用 kinit 更新票证。票证也是可转发的,允许您将一台计算机上授予的票证用在其他主机上。可使用 kdestroy(1) 销毁票证。在 .logout 文件中包含 kdestroy 调用是个不错的选择。

在 Kerberos 中,客户机称为主体。主体的格式如下: 

primary/instance@REALM
primary

用户、主机或服务。

instance

主体的限定。如果主体为主机(由关键字 host 表示),则实例是该主机的完全限定域名。如果主体是用户或服务,则实例是可选项。某些实例具有特权,如 adminroot

realm

域的 Kerberos 等效项;事实上,在大部分情况下领域直接映射到 DNS 域名。提供的 Kerberos 领域仅可为大写。有关主体名称的示例,请参见“示例”。

通过利用一般安全服务 API (General Security Services API, GSS-API),Kerberos 还提供用户验证以外的其他两种类型的安全服务:完整性(验证所传输数据的有效性)以及保密性(加密所传输的数据)。开发人员可通过使用 RPCSEC_GSS API 接口来利用 GSS-API(请参见 rpcsec_gss(3NSL))。

示例

示例 1 有效主体名称的示例

以下是有效的主体名称示例:

    joe
    joe/admin
    joe@ENG.ACME.COM
    joe/admin@ENG.ACME.COM
    rlogin/bigmachine.eng.acme.com@ENG.ACME.COM
    host/bigmachine.eng.acme.com@ENG.ACME.COM

前四个例子是用户主体。在前两个例子中,假设用户 joe 与客户机处于相同领域,所以未指定领域。请注意,即使同一用户在使用 joejoe/admin,它们仍是不同的主体;joe/admin 拥有与 joe 不同的特权。第五个例子是服务主体,而最后一个例子是主机主体。对于主机主体,需要 host 这一单词。有了主机主体,实例即是完全限定主机名。请注意,单词 adminhost 是保留关键字。

另请参见

kdestroy(1)kinit(1)klist(1)kpasswd(1)krb5.conf(4)krb5envvar(5)

《Oracle Solaris 11.1 管理:安全服务》

附注

在以前版本的 Solaris 操作系统中,Solaris Kerberos 实现称为“Sun Enterprise 验证机制”(Sun Enterprise Authentication Mechanism, SEAM)。

如果输入您的用户名,kinit 会以下面的消息响应: 

Principal unknown (kerberos)

您尚未注册为 Kerberos 用户。请与您的系统管理员联系或请参见《Oracle Solaris 11.1 管理:安全服务》

版权所有 © 2012, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页 下一页