Kerberos 增強功能

這些 Kerberos 增強功能包含在 Solaris 10 發行版本中。其中幾項增強功能是 Software Express 之前發行版本中的新增功能。

• 遠端應用程式提供的 Kerberos 通訊協定支援，像是 ftp、rcp、rdist、rlogin、rsh 及 telnet。如需更多資訊，請參閱每個指令或常駐程式的線上手冊及「krb5_auth_rules(5) 線上手冊」。

• Kerberos 主要資料庫現在可以傳輸增量更新，而不用每次傳輸整個資料庫。增量傳遞提供下列幾個優點：

  • 提升資料庫跨不同伺服器的一致性

  • 需要更少資源，像是網路和 CPU 資源

  • 更新的傳遞更及時

  • 傳遞的自動方法

• 新的程序檔可協助自動配置 Kerberos 用戶端。該程序檔協助管理員輕鬆快速地設置 Kerberos 用戶端。如需有關使用新程序檔的程序，請參閱「System Administration Guide: Security Services」中的第 22 章「Configuring the Kerberos Service (Tasks)」。如需更多資訊，另請參閱「kclient(1M) 線上手冊」。

• Kerberos 服務增加了幾個加密類型。這些新的加密類型使用支援這些加密類型的其他 Kerberos 實作，提升安全性並增強相容性。所有加密類型在「mech(4) 線上手冊」中均有說明。如需更多資訊，請參閱「System Administration Guide: Security Services」中的「Using Kerberos Encryption Types」。加密類型提供下列能力：

  • AES 加密可用在高速、高安全性的 Kerberos 階段作業加密。AES 的使用透過 Cryptographic Framework 啟用。

  • ARCFOUR-HMAC 提供與其他 Kerberos 版本更佳的相容性。

  • 具備 SHA1 的三倍 DES (3DE) 能增加安全性。此加密類型也會增強與支援此加密類型的其他 Kerberos 實作之間的互通能力。

• KDC 軟體及 kinit 指令現在支援使用 TCP 網路通訊協定。此新增功能提供更強的作業能力，且與其他 Kerberos 實作有更佳的互通能力。KDC 現在可以「偵聽」傳統的 UDP 通訊埠與 TCP 通訊埠，因此可以回應兩種通訊協定的要求。kinit 指令傳送要求給 KDC 時會先嘗試 UDP。如果失敗，kinit 指令才會嘗試 TCP。

• KDC 軟體增加 IPv6 的支援，包括 kinit、klist 及 kprop 指令。預設為提供 IPv6 位址的支援。不需要變更配置參數即可啟用此支援。

• 新的 -e 選項已增加到 kadmin 指令的幾個子指令中。此新的選項允許在建立主體時選取加密類型。如需更多資訊，請參閱「kadmin(1M) 線上手冊」。

• pam_krb5 模組的附加功能使用 PAM 架構管理 Kerberos 憑證快取。如需更多資訊，請參閱「pam_krb5(5) 線上手冊」。

• 對自動探索 Kerberos KDC、管理伺服器、kpasswd 伺服器，和使用 DNS 查詢的主機或網域名稱與範圍對應，提供支援。這個支援會減少安裝 Kerberos 用戶端的所需步驟。該用戶端使用 DNS 而不是讀取配置檔案來找到 KDC 伺服器。如需更多資訊，請參閱「krb5.conf(4) 線上手冊」。

• 已引入新的 PAM 模組，稱為 pam_krb5_migrate。如果使用者還沒有 Kerberos 帳號，新的模組能幫助使用者自動遷移到本機 Kerberos 範圍上。如需更多資訊，請參閱「pam_krb5_migrate(5) 線上手冊」。

• ~/.k5login 檔案現在可以和 GSS 應用程式、ftp 和 ssh 一起使用。如需更多資訊，請參閱「krb5_auth_rules(5) 線上手冊」。

• kproplog 公用程式已更新為顯示每筆記錄項目的所有屬性名稱。請參閱「kproplog(1M) 線上手冊」，以取得更多資訊。

• 新的配置檔案選項讓嚴格的票證授予票證 (TGT) 驗證功能在每一範圍上可以選擇性地進行配置。如需更多資訊，請參閱「krb5.conf(4) 線上手冊」。

• 變更密碼公用程式的延伸功能，能讓 Solaris Kerberos V5 管理伺服器接受來自非 Solaris 用戶端的密碼變更要求。如需更多資訊，請參閱「kadmin(1M) 線上手冊」。

• 重新執行快取的預設位置已從 RAM 型檔案系統移到 /var/krb5/rcache/ 中的永久儲存體。新的位置能在系統重新啟動時避免重新執行。已對 rcache 程式碼增強了效能。但是，整個重新執行快取效能可能因為使用永久儲存體而較慢。

• 重新執行快取現在可配置成使用檔案儲存或僅記憶體儲存。如需有關金鑰表格和憑證快取類型或位置可配置之環境變數的更多資訊，請參閱「krb5envvar(5) 線上手冊」。

• Kerberos GSS 機制不再需要GSS 憑證表格。如需更多資訊，請參閱gsscred(1M)線上手冊」、「gssd(1M)線上手冊」和「gsscred.conf(4)線上手冊」。

• Kerberos 公用程式、kinit 指令和 ktutil 指令現在以 MIT Kerberos 版本 1.2.1 為基礎。此項變更會增加新選項到 kinit 指令，並增加子指令到 ktutil 指令。如需更多資訊，請參閱「kinit(1)線上手冊」和「ktutil(1)線上手冊」。

• Solaris Kerberos Key Distribution Center (KDC) 現在以 MIT Kerberos 版本 1.2.1 為基礎。現在，KDC 預設為基於二元樹的資料庫，該資料庫比目前基於雜湊的資料庫更為可靠。如需更多資訊，請參閱「kdb5_util(1M) 線上手冊」。對於 Solaris 9 的使用者而言，此變更是 Solaris 9 12/03 發行版本中的新增功能。