Kerberos-förbättringar

De här Kerberos-förbättringarna har inkluderats i Solaris 10. Flera av förbättringarna var nya i tidigare Software Express-versioner.

• Stöd för Kerberos-protokollet tillhandahålls i fjärrprogram som t.ex. ftp, rcp, rdist, rlogin, rsh och telnet. Mer information finns i direkthjälpen för respektive kommando och bakgrundsprogram, och i direkthjälpen för krb5_auth_rules(5).

• Kerberos-huvuddatabasen kan nu överföras med inkrementell uppdatering i stället för att hela databasen måste överföras varje gång. Med inkrementell propagering följer flera fördelar bl.a. de här:

  • Ökad databaskonsekvens över servrar

  • Mindre resurser krävs, exempelvis nätverks- och processorsresurser

  • Propagering av uppdateringar sker lägligare

  • En automatiserad propageringsmetod

• Med ett nytt skript kan du konfigurera en Kerberos-klient automatiskt. Med skriptet kan en administratör snabbt och lätt konfigurera Kerberos-klient. Procedurer som använder det nya skriptet beskrivs i kapitel 22, ”Configuring the Kerberos Service (Tasks)”, i System Administration Guide: Security Services. Mer information finns även i direkthjälpen för kclient(1M).

• Flera nya krypteringstyper har lagts till i Kerberos-tjänsten. Med de här nya krypteringstyperna ökar säkerheten och kompatibiliteten med andra Kerberos-implementeringar som stöder krypteringstyperna förbättras. Alla krypteringstyper finns dokumenterade i direkthjälpen för mech(4). Mer information finns i ”Using Kerberos Encryption Types” i System Administration Guide: Security Services. Krypteringstyperna ger följande funktioner:

  • Krypteringstypen AES kan användas för höghastighets- och högsäkerhetskryptering av Kerberos-sessioner. Det går att använda AES i hela det kryptografiska ramverket.

  • ARCFOUR-HMAC ger bättre kompatibilitet med andra Kerberos-versioner.

  • 3DES (Triple DES) med SHA1 ökar säkerheten. Den här krypteringstypen ökar också interoperabiliteten med andra Kerberos-implementeringar som stöder denna krypteringstyp.

• KDC-programvaran och kommandot kinit stöder nu användningen av nätverksprotokollet TCP. Det här tillägget ger en mer robust funktionalitet och bättre interoperabilitet med andra Kerberos-implementeringar. KDC ”lyssnar” nu på både de traditionella UDP-portarna och på TCP-portarna så att den kan svara på förfrågningar via båda protokollen. Kommandot kinit använder i första hand UDP när en begäran skickas till KDC. Om ett fel inträffar försöker kinit använda TCP.

• Stöd för IPv6 har lagts till i KDC-programvaran med kommandona kinit, klist och kprop. Stöd för IPv6-adresser ingår som standard. Du behöver inte ändra några konfigurationsparametrar för att aktivera det här stödet.

• Ett nytt -e-alternativ har lagts till för flera underkommandon till kadmin-kommandot. Med det här nya alternativet kan du välja krypteringstyp när du skapar klienter. Mer information finns i direkthjälpen för kadmin(1M).

• Tillägg i modulen pam_krb5 hanterar Kerberos-referenscachen via PAM-ramverket. Mer information finns i direkthjälpen för pam_krb5(5).

• Stöd finns för automatisk detektering av Kerberos KDC, administrationsservern, kpasswd-servern och värd- eller domänmappningar av typen namn-till-område som använder DNS-sökningar. Det här stödet tar bort en del av stegen på vägen för att installera en Kerberos-klient. Klienten kan lokalisera en KDC-server genom att använda DNS i stället för att läsa en konfigurationsfil. Mer information finns i direkthjälpen för krb5.conf(4).

• En ny PAM-modul som heter pam_krb5_migrate har introducerats. Den nya modulen underlättar den automatiska överflyttningen av användare till det lokala Kerberos-området om användarna inte redan har Kerberos-konton. Mer information finns i direkthjälpen för pam_krb5_migrate(5).

• Filen ~/.k5login kan nu användas tillsammans med GSS-program, ftp och ssh. Mer information finns i direkthjälpen för krb5_auth_rules(5).

• Verktyget kproplog har uppdaterats så att det visar alla attributnamn per loggpost. Mer information finns i direkthjälpen för kproplog(1M).

• Ett nytt konfigurationsfilsalternativ gör att den stränga verifieringsfunktionen TGT (Ticket Granting Ticket) valfritt kan konfigureras baserat på område. Mer information finns i direkthjälpen för krb5.conf(4).

• Tillägg i verktyg som används för lösenordsändringar gör att Solaris Kerberos V5-administrationsservern kan acceptera förfrågningar om lösenordsändringar från icke-Solaris-klienter. Mer information finns i direkthjälpen för kadmin(1M).

• Standardplatsen för repetitionscachen har flyttats från RAM-baserade filsystem till beständig lagring i /var/krb5/rcache/. Den nya platsen skyddar mot repetitioner om ett system startas om. Prestandaförbättringar har gjorts i rcache-koden. Sammantaget kan dock repetitionscachen vara långsammare på grund av den beständiga lagringen.

• Repetitionscachen kan nu konfigureras så att den använder fillager eller lager för endast minne. Mer information om miljövariabler som kan konfigureras för nyckeltabell- och kreditivcachetyper eller platser finns i direkthjälpen för krb5envvar(5).

• Kerberos GSS-mekanismen behöver inte längre GSS-kreditivtabellen. Mer information finns i direkthjälpsavsnitten för gsscred(1M), gssd(1M) och gsscred.conf(4).

• Kerberos-verktygen, kinit och ktutil, baseras nu på MIT Kerberos version 1.2.1. Den här ändringen innebär nya alternativ för kommandot kinit och nya underkommandon till ktutil-kommandot. Mer information finns i direkthjälpen för kinit(1) och ktutil(1).

• Solaris KDC (Kerberos Key Distribution Center) bygger nu på MIT Kerberos version 1.2.1. KDC använder nu som standard en btree-baserad databas som är mer pålitlig än den nuvarande hash-baserade databasen. Mer information finns i direkthjälpen för kdb5_util(1M). För Solaris 9-användare är den här ändringen ny för Solaris 9 12/03.