Kerberos-Verbesserungen

Diese Kerberos-Verbesserungen sind in Solaris 10 enthalten. Einige Verbesserungen wurden bereits mit früheren Software Express-Versionen eingeführt.

• Für Fernanwendungen wie ftp, rcp, rdist, rlogin, rsh und telnet steht Kerberos-Protokollunterstützung zur Verfügung. Weitere Informationen finden Sie in den Manpages für die einzelnen Befehle bzw. Daemons und in der Manpage krb5_auth_rules(5).

• Die Principal-Datenbank für Kerberos muss nicht mehr jedes Mal vollständig übertragen werden, sondern kann inkrementell aktualisiert werden. Die inkrementelle Übertragung bietet u. a. die folgenden Vorteile:

  • Bessere Konsistenz der Datenbanken auf den verschiedenen Servern

  • Geringerer Ressourcenbedarf, z. B. an Netzwerk-und CPU-Kapazität

  • Bedeutend schnellere Übertragung von Aktualisierungen

  • Automatisiertes Übertragungsverfahren

• Ein neues Skript assistiert automatisch bei der Konfiguration von Kerberos-Clients. Mit dessen Hilfe können Administratoren schnell und problemlos Kerberos-Clients einrichten. Eine Beschreibung von Verfahren, bei denen das neue Skript zum Einsatz kommt, finden Sie in Kapitel 22, „Configuring the Kerberos Service (Tasks)“ im Dokument System Administration Guide: Security Services . Weitere Informationen entnehmen Sie bitte der Man Page kclient(1M).

• Der Kerberos-Dienst wurde um mehrere neue Verschlüsselungstypen erweitert. Diese sorgen für mehr Sicherheit und eine verbesserte Kompatibilität mit anderen Kerberos-Implementierungen, die diese Verschlüsselungstypen unterstützen. In der Man Page mech(4) sind sämtliche Verschlüsselungstypen beschrieben. Weitere Informationen finden Sie unter „Using Kerberos Encryption Types“ im Dokument System Administration Guide: Security Services Die Verschlüsselungstypen weisen folgende Merkmale auf:

  • Der AES-Verschlüsselungstyp kann für eine besonders schnelle, besonders sichere Verschlüsselung von Kerberos-Sitzungen eingesetzt werden. Die Verwendung von AES wird durch das Crypographic Framework aktiviert.

  • ARCFOUR-HMAC sorgt für eine bessere Kompatibilität mit anderen Kerberos-Versionen.

  • Triple DES (3DES) mit SHA1 erhöht die Sicherheit. Außerdem bewirkt dieser Verschlüsselungstyp eine bessere direkte Kommunikation mit anderen Kerberos-Implementierungen, die diesen Verschlüsselungstyp unterstützen.

• Die KDC-Software und der Befehl kinit unterstützen nun das TCP-Netzwerkprotokoll. Das Ergebnis dieser Neuerung sind ein robusterer Betrieb und eine verbesserte direkte Kommunikation mit anderen Kerberos-Implementierungen. KDC “überwacht” nun sowohl die traditionellen UDP- als auch die TCP-Ports und kann folglich auf Anforderungen in beiden Protokollen reagieren. Anforderungen des Befehls kinit an KDC werden zunächst mit dem Protokoll UDP gesendet. Schlägt dies fehl, versucht es der Befehl kinit per TCP.

• Mit den Befehlen kinit , klist und kprop wurde die KDC-Software um IPv6-Unterstützung erweitert. IPv6-Adressen werden standardmäßig unterstützt. Hierfür müssen keine Konfigurationsparameter geändert werden.

• Mehrere Unterbefehle des Befehls kadmin wurden um die Option -e erweitert. Mit dieser neuen Option kann bei der Erstellung von Hauptelementen (Principals) der Verschlüsselungstyp ausgewählt werden. Näheres hierzu entnehmen Sie bitte der Manpage kadmin(1M)

• Erweiterungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework. Weitere Informationen entnehmen Sie bitte der Manpage pam_krb5(5).

• Es besteht Unterstützung für die automatische Erkennung von Kerberos-KDC, admin server, kpasswd-Server und auf DNS-Abfragen basierenden Zuordnungen von Host- oder Domänennamen zu Bereichen. Durch diese Unterstützung fallen einige der zur Installation eines Kerberos-Client erforderlichen Schritte weg. Anstatt eine Konfigurationsdatei lesen zu müssen, kann der Client einen KDC-Server mithilfe von DNS ausfindig machen. Weitere Informationen entnehmen Sie bitte der Man Page krb5.conf(4).

• Eine weitere Neuerung stellt das PAM-Modul pam_krb5_migrate dar. Das neue Modul unterstützt die automatische Übernahme von Benutzern, die noch nicht über ein Kerberos-Konto verfügen, in den lokalen Kerberos-Bereich. Weitere Informationen entnehmen Sie bitte der Manpage pam_krb5_migrate(5).

• Die Datei ~/.k5login kann jetzt mit den GSS-Anwendungen ftp und ssh eingesetzt werden. In der Man Page krb5_auth_rules(5) erfahren Sie Näheres.

• Das Dienstprogramm kproplog wurde aktualisiert. Es gibt jetzt alle Attributnamen pro Protokolleintrag aus. Weitere Informationen entnehmen Sie bitte der Manpage kproplog(1M).

• Dank einer neuen Konfigurationsdateioption lässt sich die strikte TGT-Überprüfungsfunktion auf Bereichsbasis optional konfigurieren. Weitere Informationen entnehmen Sie bitte der Man Page krb5.conf(4).

• Erweiterungen der Dienstprogramme zum Ändern von Passwörtern ermöglichen dem Solaris Kerberos V5-Administrationsserver die Annahme von Passwortänderungsanforderungen von Solaris-fremden Clients. Näheres hierzu entnehmen Sie bitte der Manpage kadmin(1M)

• Der Wiedergabe-Cache wird jetzt standardmäßig nicht mehr in arbeitsspeicherabhängigen Dateisystemen gespeichert, sondern dauerhaft unter /var/krb5/rcache/. Dieser neue Speicherort bietet Schutz vor Wiedergaben bei Systemneustarts. Die Leistung des rcache-Codes wurde verbessert. Da sich der Wiedergabe-Cache jetzt aber im Dauerspeicher befindet, kann es sein, dass er trotzdem insgesamt langsamer arbeitet.

• Der Wiedergabe-Speicher kann jetzt für die Speicherung in Dateien oder ausschließlich im Arbeitsspeicher konfiguriert werden. Weitere Informationen zu Umgebungsvariablen, die hinsichtlich der Typen und Speicherpositionen für Schlüsseltabelle und Berechtigungs-Cache konfiguriert werden können, finden Sie in der Man Page krb5envvar(5).

• Der Kerberos-GSS-Mechanismus kommt nunmehr ohne GSS-Berechtigungstabelle aus. Lesen Sie außerdem die Man Pages gsscred(1M), gssd(1M) und gsscred.conf(4).

• Die Kerberos-Dienstprogramme kinit und ktutil beruhen neuerdings auf MIT Kerberos Version 1.2.1. Durch diese Änderung wurde der Befehl kinit um neue Optionen und der Befehl ktutil um neue Unterbefehle bereichert. Weitere Informationen entnehmen Sie bitte den Manpages kinit(1) und ktutil(1).

• Solaris Kerberos Key Distribution Center (KDC) baut jetzt auf MIT Kerberos Version 1.2.1 auf. KDC verwendet nun standardmäßig eine btree-basierte Datenbank, die zuverlässiger ist als die aktuelle Hash-basierte Datenbank. Weitere Informationen entnehmen Sie bitte der Manpage kdb5_util(1M) Für Benutzer von Solaris 9 wurde diese Änderung mit Solaris 9 12/03 eingeführt.