De här Kerberos-förbättringarna har inkluderats i Solaris 10. Flera av förbättringarna var nya i tidigare Software Express-versioner.
Stöd för Kerberos-protokollet tillhandahålls i fjärrprogram som t.ex. ftp, rcp, rdist, rlogin, rsh och telnet. Mer information finns i direkthjälpen för respektive kommando och bakgrundsprogram, och i direkthjälpen för krb5_auth_rules(5).
Kerberos-huvuddatabasen kan nu överföras med inkrementell uppdatering i stället för att hela databasen måste överföras varje gång. Med inkrementell propagering följer flera fördelar bl.a. de här:
Ökad databaskonsekvens över servrar
Mindre resurser krävs, exempelvis nätverks- och processorsresurser
Propagering av uppdateringar sker lägligare
En automatiserad propageringsmetod
Med ett nytt skript kan du konfigurera en Kerberos-klient automatiskt. Med skriptet kan en administratör snabbt och lätt konfigurera Kerberos-klient. Procedurer som använder det nya skriptet beskrivs i kapitel 22, ”Configuring the Kerberos Service (Tasks)”, i System Administration Guide: Security Services. Mer information finns även i direkthjälpen för kclient(1M).
Flera nya krypteringstyper har lagts till i Kerberos-tjänsten. Med de här nya krypteringstyperna ökar säkerheten och kompatibiliteten med andra Kerberos-implementeringar som stöder krypteringstyperna förbättras. Alla krypteringstyper finns dokumenterade i direkthjälpen för mech(4). Mer information finns i ”Using Kerberos Encryption Types” i System Administration Guide: Security Services. Krypteringstyperna ger följande funktioner:
Krypteringstypen AES kan användas för höghastighets- och högsäkerhetskryptering av Kerberos-sessioner. Det går att använda AES i hela det kryptografiska ramverket.
ARCFOUR-HMAC ger bättre kompatibilitet med andra Kerberos-versioner.
3DES (Triple DES) med SHA1 ökar säkerheten. Den här krypteringstypen ökar också interoperabiliteten med andra Kerberos-implementeringar som stöder denna krypteringstyp.
KDC-programvaran och kommandot kinit stöder nu användningen av nätverksprotokollet TCP. Det här tillägget ger en mer robust funktionalitet och bättre interoperabilitet med andra Kerberos-implementeringar. KDC ”lyssnar” nu på både de traditionella UDP-portarna och på TCP-portarna så att den kan svara på förfrågningar via båda protokollen. Kommandot kinit använder i första hand UDP när en begäran skickas till KDC. Om ett fel inträffar försöker kinit använda TCP.
Stöd för IPv6 har lagts till i KDC-programvaran med kommandona kinit, klist och kprop. Stöd för IPv6-adresser ingår som standard. Du behöver inte ändra några konfigurationsparametrar för att aktivera det här stödet.
Ett nytt -e-alternativ har lagts till för flera underkommandon till kadmin-kommandot. Med det här nya alternativet kan du välja krypteringstyp när du skapar klienter. Mer information finns i direkthjälpen för kadmin(1M).
Tillägg i modulen pam_krb5 hanterar Kerberos-referenscachen via PAM-ramverket. Mer information finns i direkthjälpen för pam_krb5(5).
Stöd finns för automatisk detektering av Kerberos KDC, administrationsservern, kpasswd-servern och värd- eller domänmappningar av typen namn-till-område som använder DNS-sökningar. Det här stödet tar bort en del av stegen på vägen för att installera en Kerberos-klient. Klienten kan lokalisera en KDC-server genom att använda DNS i stället för att läsa en konfigurationsfil. Mer information finns i direkthjälpen för krb5.conf(4).
En ny PAM-modul som heter pam_krb5_migrate har introducerats. Den nya modulen underlättar den automatiska överflyttningen av användare till det lokala Kerberos-området om användarna inte redan har Kerberos-konton. Mer information finns i direkthjälpen för pam_krb5_migrate(5).
Filen ~/.k5login kan nu användas tillsammans med GSS-program, ftp och ssh. Mer information finns i direkthjälpen för krb5_auth_rules(5).
Verktyget kproplog har uppdaterats så att det visar alla attributnamn per loggpost. Mer information finns i direkthjälpen för kproplog(1M).
Ett nytt konfigurationsfilsalternativ gör att den stränga verifieringsfunktionen TGT (Ticket Granting Ticket) valfritt kan konfigureras baserat på område. Mer information finns i direkthjälpen för krb5.conf(4).
Tillägg i verktyg som används för lösenordsändringar gör att Solaris Kerberos V5-administrationsservern kan acceptera förfrågningar om lösenordsändringar från icke-Solaris-klienter. Mer information finns i direkthjälpen för kadmin(1M).
Standardplatsen för repetitionscachen har flyttats från RAM-baserade filsystem till beständig lagring i /var/krb5/rcache/. Den nya platsen skyddar mot repetitioner om ett system startas om. Prestandaförbättringar har gjorts i rcache-koden. Sammantaget kan dock repetitionscachen vara långsammare på grund av den beständiga lagringen.
Repetitionscachen kan nu konfigureras så att den använder fillager eller lager för endast minne. Mer information om miljövariabler som kan konfigureras för nyckeltabell- och kreditivcachetyper eller platser finns i direkthjälpen för krb5envvar(5).
Kerberos GSS-mekanismen behöver inte längre GSS-kreditivtabellen. Mer information finns i direkthjälpsavsnitten för gsscred(1M), gssd(1M) och gsscred.conf(4).
Kerberos-verktygen, kinit och ktutil, baseras nu på MIT Kerberos version 1.2.1. Den här ändringen innebär nya alternativ för kommandot kinit och nya underkommandon till ktutil-kommandot. Mer information finns i direkthjälpen för kinit(1) och ktutil(1).
Solaris KDC (Kerberos Key Distribution Center) bygger nu på MIT Kerberos version 1.2.1. KDC använder nu som standard en btree-baserad databas som är mer pålitlig än den nuvarande hash-baserade databasen. Mer information finns i direkthjälpen för kdb5_util(1M). För Solaris 9-användare är den här ändringen ny för Solaris 9 12/03.