Les améliorations suivantes de Kerberos sont incluses dans la version Solaris 10. La plupart d'entre elles sont nouvelles dans les version précédentes de Software Express.
Les applications distances, telles que ftp, rcp, rdist, rlogin, rsh ou telnet, prennent en charge le protocole Kerberos. Pour plus d'informations, reportez-vous aux pages de manuel correspondant à chaque commande ou démon et à la page de manuel krb5_auth_rules(5).
Grâce à la mise à jour incrémentielle rendue désormais possible, il n'est plus nécessaire de systématiquement transférer l'intégralité de la base de données principale Kerberos. La propagation incrémentielle présente plusieurs avantages, notamment :
une meilleure cohérence des bases de données entre les serveurs ;
un besoin moindre en ressources, telles que les ressources réseau et CPU ;
une propagation des mises à jour bien plus adéquate ;
une automatisation de la méthode de propagation.
Un nouveau script aide les administrateurs à définir rapidement et facilement un client Kerberos, en permettant une configuration automatique de ce dernier. Pour connaître les procédures utilisant ce nouveau script, reportez-vous au chapitre 22, “Configuring the Kerberos Service (Tasks),” du System Administration Guide: Security Services . Consultez également la page de manuel kclient(1M) pour plus d'informations.
Plusieurs nouveaux types de chiffrement ont été ajoutés au service Kerberos. Ils viennent renforcer la sécurité et améliorer la compatibilité avec d'autres mises en œuvre Kerberos prenant en charge ces types de chiffrement. Tous les types de chiffrement sont décrits dans la page de manuel mech(4) Pour plus d'informations, reportez-vous à la section “Using Kerberos Encryption Types” du System Administration Guide: Security Services Les types de chiffrement offrent les avantages suivants :
Le type de chiffrement AES peut être utilisé pour le chiffrement à haute vitesse et haute sécurité des sessions Kerberos. L'utilisation d'AES est activée via la structure cryptographique.
ARCFOUR-HMAC offre une meilleure compatibilité avec les autres versions Kerberos.
Le chiffrement triple DES (3DES) avec SHA1 accroît la sécurité. Ce type de chiffrement améliore par ailleurs l'intéropérabilité avec d'autres mises en œuvre Kerberos le prenant en charge.
Le logiciel KDC et la commande kinit prennent maintenant en charge le protocole réseau TCP. Cet ajout augmente la fiabilité des opérations et améliore l'intéropérabilité avec les autres mises en œuvre Kerberos. KDC “écoute” maintenant à la fois sur les ports UDP traditionnels et sur les ports TCP, de sorte qu'il peut répondre aux requêtes utilisant les deux protocoles. La commande kinit commence par essayer le protocole UDP lors de l'envoi d'une requête au logiciel KDC. Si l'opération échoue, elle tente le protocole TCP.
La prise en charge d'IPv6 a été ajoutée au logiciel KDC avec les commandes kinit , klist et kprop. Par défaut, les adresses IPv6 sont prises en charge. Aucun paramètre de configuration n'est à modifier pour activer cette prise en charge.
Une nouvelle option -e a été ajoutée à plusieurs sous-commandes de la commande kadmin. Elle permet de sélectionner le type de chiffrement lors de la création des sections principales. Pour plus d'informations, reportez-vous à la page de manuel kadmin(1M).
Des ajouts au module pam_krb5 permettent de gérer le cache des informations d'identification Kerberos à l'aide de la structure des modules PAM. Pour plus d'informations, reportez-vous à la page de manuel pam_krb5(5).
La détection automatique de KDC, du serveur d'administration, du serveur kpasswd et des mappages de nom de domaine ou d'hôte-domaine de Kerberos utilisant les recherches DNS est prise en charge. Cette prise en charge réduit certaines des étapes requises pour l'installation d'un client Kerberos. Ce dernier est capable de localiser un serveur KDC à l'aide du DNS plutôt qu'en procédant à la lecture d'un fichier de configuration. Pour plus d'informations, reportez-vous à la page de manuel krb5.conf(4).
Un nouveau module PAM appelé pam_krb5_migrate a été intégré. Il facilite la migration automatique des utilisateurs vers le domaine Kerberos local si les utilisateurs ne disposent pas encore d'un compte Kerberos. Pour plus d'informations, reportez-vous à la page de manuel pam_krb5_migrate(5).
Le fichier ~/.k5login peut désormais être utilisé avec les applications GSS, ftp et ssh. Pour plus d'informations, reportez-vous à la page de manuel krb5_auth_rules(5).
L'utilitaire kproplog a été mis à jour pour afficher tous les noms d'attributs par entrée de journal. Pour de plus amples informations, reportez-vous à la page de manuel kproplog(1M).
Une nouvelle option du fichier de configuration rend la fonction de vérification Ticket Granting Ticket (TGT) stricte configurable par domaine. Pour plus d'informations, reportez-vous à la page de manuel krb5.conf(4).
Les extensions des utilitaires de modification de mot de passe permettent au serveur d'administration Solaris Kerberos V5 d'accepter les demandes de modification de mot de passe émises par des clients non-Solaris. Pour plus d'informations, reportez-vous à la page de manuel kadmin(1M).
L'emplacement par défaut du cache de rediffusion a été modifié : auparavant sur les systèmes de fichiers RAM, il se trouve sous /var/krb5/rcache/, dans un emplacement de stockage persistant. Le nouvel emplacement empêche les rediffusions en cas de réinitialisation d'un système. Le code rcache a été amélioré sur le plan des performances. Toutefois, les performances générales du cache de rediffusion risquent d'être ralenties en raison de l'utilisation d'un stockage persistant.
Le cache de rediffusion peut maintenant être configuré en vue de l'utilisation du stockage de fichiers ou du stockage de mémoire uniquement. Reportez-vous à la page de manuel krb5envvar(5) pour plus d'informations sur les variables d'environnement pouvant être configurées pour les emplacements ou types de cache des informations d'identification et de table de clés.
La table des informations d'identification des services GSS n'est plus nécessaire pour le mécanisme GSS de Kerberos. Pour de plus amples informations, reportez-vous aux pages de manuel gsscred(1M), gssd(1M) et gsscred.conf(4).
Les utilitaires Kerberos, kinit et ktutil sont désormais basés sur la version 1.2.1 de MIT Kerberos. Ce changement a apporté de nouvelles options à la commande kinit et de nouvelles sous-commandes à la commande ktutil. Pour plus d'informations, reportez-vous aux pages de manuel kinit(1) et ktutil(1).
Le KDC (Solaris Kerberos Key Distribution Center) est désormais basé sur MIT Kerberos version 1.2.1. Il utilise désormais par défaut la base de données btree, plus fiable que l'actuelle base de données basée sur le hachage. Pour plus d'informations, reportez-vous à la page de manuel kdb5_util(1M) Pour les utilisateurs de Solaris 9, cette modification a été introduite dans la version 12/03.