Kerberos 增强功能包括在 Solaris 10 发行版中。有几个增强功能是以前的 Software Express 发行版中的新增功能。
在远程应用程序中提供了 Kerberos 协议支持,如 ftp、rcp、rdist、rlogin、rsh 和 telnet。有关更多信息,请参见每个命令或守护进程的手册页以及 krb5_auth_rules(5) 手册页。
Kerberos 主要数据库现在可以通过增量更新进行传送,而不必每次传送整个数据库。增量传播有以下几个优点:
增强了跨服务器数据库的一致性
减少了对资源(如网络和 CPU 资源)的需求
更新的传播更加及时
是一种自动传播方法
新脚本有助于自动配置 Kerberos 客户机。此脚本可以帮助管理员迅速而轻松地安装 Kerberos 客户机。有关使用新脚本的过程,请参见《System Administration Guide: Security Services 》中的第 22 章,“配置 Kerberos 服务(任务)”。有关更多信息,另请参见 kclient(1M) 手册页。
在 Kerberos 服务中添加了几种新的加密类型。这几种加密类型提高了安全性,并增强了与支持这几种类型的其他 Kerberos 实现的兼容性。可以在 mech(4) 手册页中找到对所有加密类型的介绍。有关更多信息,请参见《System Administration Guide: Security Services 》中的“使用 Kerberos 加密类型”。加密类型提供以下功能:
AES 加密类型可用于高速、高安全性的 Kerberos 会话加密。通过加密框架启用 AES。
ARCFOUR-HMAC 提供了与其他 Kerberos 版本的更好的兼容性。
带有 SHA1 的三重 DES (3DES) 提高了安全性。这种加密类型还增强了与支持此种加密类型的其他 Kerberos 实现的互操作性。
KDC 软件和 kinit 命令现在支持 TCP 网络协议。这种增强功能提供了更强健的操作,以及与其他 Kerberos 实现之间更好的互操作性。现在,KDC 可在传统的 UDP 端口和 TCP 端口进行“侦听”,这样,便可响应使用 UDP 和/或 TCP 协议的请求。将请求发送给 KDC 时,kinit 命令先尝试使用 UDP;如果失败,则 kinit 命令再尝试使用 TCP。
通过使用 kinit、klist 和 kprop 命令,可将对 IPv6 的支持添加到 KDC 软件中。缺省情况下,提供对 IPv6 地址的支持。启用这一支持不需要更改任何配置参数。
新的 -e 选项已被添加到 kadmin 命令的几个子命令中。使用此新选项可以在创建主体时选择加密类型。有关更多信息,请参见 kadmin(1M) 手册页。
对 pam_krb5 模块进行扩充是为了使用 PAM 框架来管理 Kerberos 凭证高速缓存。有关更多信息,请参见 pam_krb5(5) 手册页。
支持自动发现以下各项:Kerberos KDC、管理服务器、kpasswd 服务器,以及使用 DNS 查找的主机(或域名)到领域的映射。这一支持减少了安装 Kerberos 客户机所需的某些步骤。客户机能够使用 DNS 而不是读取配置文件来找到 KDC 服务器。有关更多信息,请参见 krb5.conf(4) 手册页。
引入了新的 PAM 模块 pam_krb5_migrate。新模块可以帮助那些没有 Kerberos 帐户的用户自动向其本地 Kerberos 领域移植。有关更多信息,请参见 pam_krb5_migrate(5) 手册页。
~/.k5login 文件现在可以同 GSS 应用程序、ftp 和 ssh 一起使用。有关更多信息,请参见 krb5_auth_rules(5) 手册页。
kproplog 实用程序已得到更新,可显示每个日志项的所有属性名。有关更多信息,请参见 kproplog(1M) 手册页。
使用新的配置文件选项,可以基于每个领域对严格的 Ticket Granting Ticket (TGT) 验证功能进行选择性配置。有关更多信息,请参见 krb5.conf(4) 手册页。
对更改口令实用程序的扩充启用了 Solaris Kerberos V5 管理服务器,可接受非 Solaris 客户机的口令更改请求。有关更多信息,请参见 kadmin(1M) 手册页。
重放高速缓存的缺省位置已从基于 RAM 的文件系统移动到 /var/krb5/rcache/ 中的持久性存储器。新位置在系统重新引导时可以避免重放。rcache 代码的性能得到增强。但是,由于使用了持久性存储器,整个重放高速缓存的性能有可能降低。
现在,可以对重放高速缓存进行配置,以使用文件存储器或仅限于内存的存储器。有关可为密钥表和凭证高速缓存类型或位置进行配置的环境变量的更多信息,请参阅 krb5envvar(5) 手册页。
对 Kerberos GSS 机制来说,GSS 凭证表不再是必需的。有关更多信息,请参见 gsscred(1M)、gssd(1M) 和 gsscred.conf(4) 手册页。
Kerberos 实用程序 kinit 和 ktutil 现在都基于 MIT Kerberos 1.2.1 版。这一更改为 kinit 命令添加了新的选项,并为 ktutil 命令添加了新的子命令。有关更多信息,请参见 kinit(1) 和 ktutil(1) 手册页。
Solaris Kerberos 密钥发行中心 (KDC) 现在基于 MIT Kerberos 的 1.2.1 版。缺省情况下,KDC 现在是一个基于二叉树的数据库,这比当前基于散列的数据库更可靠。有关更多信息,请参见 kdb5_util(1M) 手册页。对于 Solaris 9 用户,这一更改是 Solaris 9 12/03 发行版中的新增功能。