Miglioramenti a Kerberos

Questi miglioramenti a Kerberos sono inclusi in Solaris 10. Diversi miglioramenti erano stati introdotti in precedenti versioni di Software Express.

• Il supporto del protocollo Kerberos è disponibile in applicazioni remote, ad esempio ftp, rcp, rdist, rlogin, rsh e telnet. Per maggiori informazioni, vedere le pagine man dei rispettivi comandi e daemon e la pagina man krb5_auth_rules(5).

• Il database dei nomi principali di Kerberos può ora essere trasferito con un aggiornamento incrementale (non è quindi più necessario trasferire ogni volta l'intero database). La propagazione incrementale presenta una serie di vantaggi, tra cui:

  • Una migliore coerenza dei database sui vari server

  • Una minore occupazione di risorse (rete e CPU)

  • Una propagazione molto più efficiente degli aggiornamenti

  • Un metodo di propagazione automatizzato

• Un nuovo script facilita la configurazione automatica di un client Kerberos. Questo script permette agli amministratori di impostare in modo semplice e rapido un client Kerberos. Per le procedure che utilizzano il nuovo script, vedere il Capitolo 22, “Configuring the Kerberos Service (Tasks)”, nel manuale System Administration Guide: Security Services. Vedere anche la pagina man kclient(1M).

• Al servizio Kerberos sono stati aggiunti nuovi tipi di cifratura. Questi nuovi tipi di cifratura migliorano la sicurezza e la compatibilità con altre implementazioni di Kerberos che li supportano. Tutti i tipi di cifratura sono documentati nella pagina man mech(4) Per maggiori informazioni, vedere “Using Kerberos Encryption Types” nel manuale System Administration Guide: Security Services I tipi di cifratura offrono le seguenti capacità:

  • Il tipo di cifratura AES può essere utilizzato per la cifratura con un elevato livello di velocità e sicurezza delle sessioni Kerberos. L'utilizzo di AES è abilitato tramite il framework crittografico.

  • ARCFOUR-HMAC fornisce una maggiore compatibilità con altre versioni di Kerberos.

  • Il tipo Triple DES (3DES) con SHA1 migliora la sicurezza. Questo tipo di cifratura aumenta anche l'interoperabilità con altre implementazioni di Kerberos che lo supportano.

• Il software KDC e il comando kinit ora supportano l'utilizzo del protocollo di rete TCP. Questa aggiunta consente un funzionamento più affidabile e una migliore interoperabilità con le altre implementazioni di Kerberos. Il KDC ora “resta in attesa” sia sulle consuete porte UDP che sulle porte TCP ed è pronto a rispondere alle richieste che usano uno dei due protocolli. Quando il comando kinit invia una richiesta al KDC utilizza il protocollo UDP. Se si verifica un errore, il comando kinit prova ad utilizzare TCP.

• Il supporto per IPv6 è stato aggiunto al software KDC con i comandi kinit, klist e kprop. Il supporto per gli indirizzi IPv6 è impostato come predefinito. Non è necessario modificare nessun parametro per abilitare tale supporto.

• Una nuova opzione -e è stata aggiunta a diversi sottocomandi di kadmin. Questa nuova opzione consente di selezionare il tipo di cifratura al momento della creazione dei nomi principali. Per maggiori informazioni, vedere la pagina man kadmin(1M).

• Alcune aggiunte al modulo pam_krb5 gestiscono la cache delle credenziali Kerberos utilizzando il framework PAM. Per maggiori informazioni, vedere la pagina man pam_krb5(5).

• È fornito il supporto per la rilevazione automatica del KCD Kerberos, del server di amministrazione, del server kpasswd e una serie di mappature dal nome dell'host o del dominio al settore che utilizzano DNS. Questo supporto elimina alcuni passaggi richiesti per l'installazione di un client Kerberos. Il client è in grado di individuare il server KDC usando il DNS anziché dover consultare un file di configurazione. Per maggiori informazioni, vedere la pagina man krb5.conf(4).

• È stato introdotto un nuovo modulo PAM denominato pam_krb5_migrate. Il nuovo modulo facilita la migrazione automatica degli utenti al settore locale Kerberos se questi non dispongono già di un account Kerberos. Per maggiori informazioni, vedere la pagina man pam_krb5_migrate(5).

• Il file ~/.k5login può ora essere utilizzato con le applicazioni GSS ftp e ssh. Per maggiori informazioni, vedere la pagina man krb5_auth_rules(5).

• Il programma kproplog è stato aggiornato in modo da visualizzare tutti i nomi degli attributi nelle voci di log. Per maggiori informazioni, vedere la pagina man kproplog(1M).

• Una nuova opzione del file di configurazione rende la funzione di verifica rigorosa del TGT configurabile opzionalmente per singolo settore. Per maggiori informazioni, vedere la pagina man krb5.conf(4).

• Alcune estensioni ai programmi di modifica delle password consentono al server di amministrazioni di Solaris Kerberos V5 di accettare modifiche alle password richieste da client non Solaris. Per maggiori informazioni, vedere la pagina man kadmin(1M).

• La posizione predefinita della cache di replay è stata trasferita dai file system in RAM a un file system persistente in /var/krb5/rcache/. Questa nuova posizione evita i replay quando il sistema viene riavviato. Alcuni miglioramenti alle prestazioni sono stati apportati al codice rcache. Tuttavia, le prestazioni della cache di replay possono essere rallentate dall'utilizzo della memorizzazione persistente.

• È ora possibile configurare l'utilizzo della memorizzazione su file o in RAM per la cache di replay. Fare riferimento alla pagina man krb5envvar(5) per maggiori informazioni sulle variabili d'ambiente che è possibile configurare per la tabella delle chiavi e per i tipi e le posizioni della cache delle credenziali.

• La tabella delle credenziali GSS non è più richiesta per il meccanismo Kerberos GSS. Per maggiori informazioni, vedere le pagine man gsscred(1M), gssd(1M) e gsscred.conf(4).

• Le utility Kerberos kinit e ktutil sono ora basate sulla versione MIT Kerberos 1.2.1. Questa modifica comporta l'aggiunta di nuove opzioni al comando kinit e la disponibilità di nuovi sottocomandi per il comando ktutil. Per maggiori informazioni, vedere le pagine man kinit(1) e ktutil(1).

• IL KDC (Key Distribution Center) Kerberos di Solaris si basa ora sul MIT Kerberos versione 1.2.1. Nell'impostazione predefinita, KDC utilizza ora un database basato su btree, più affidabile di quello attuale basato sugli hash. Per maggiori informazioni, vedere la pagina man kdb5_util(1M) Per gli utenti di Solaris 9, questa modifica era stata introdotta nella versione Solaris 9 12/03.