Solaris 10 发行版中的 Kerberos 增强功能

Solaris 10 发行版中包括以下 Kerberos 增强功能。其中的一些增强功能已在先前的 Software Express 发行版中引入，并在 Solaris 10 Beta 版中进行了更新。

• 远程应用程序（如 ftp、rcp、rdist、rlogin、rsh、ssh 和 telnet）支持 Kerberos 协议。有关更多信息，请参见每个命令或守护进程的手册页和 krb5_auth_rules(5) 手册页。

• Kerberos 主体数据库现在可以通过增量更新进行传送，而不必每次传送整个数据库。增量传播有以下优点：

  • 增强了跨服务器数据库的一致性

  • 所需资源（网络、CPU 等）更少

  • 更新的传播更加及时

  • 是一种自动传播方法

• 可提供有助于自动配置 Kerberos 客户机的新脚本。此脚本可以帮助管理员迅速而轻松地安装 Kerberos 客户机。有关使用新脚本的过程，请参见配置 Kerberos 客户机。此外，有关更多信息，请参见 kclient(1M) 手册页。

• 在 Kerberos 服务中添加了几种新的加密类型。这几种加密类型提高了安全性，并增强了与支持这几种类型的其他 Kerberos 实现的兼容性。有关更多信息，请参见使用 Kerberos 加密类型。新的加密类型包括：

  • AES，该加密类型可用于高速、高安全性的 Kerberos 会话加密。通过加密框架启用 AES。

  • ARCFOUR-HMAC，该加密类型可提供与其他 Kerberos 实现的更好兼容性。

  • 带有 SHA1 的三重 DES (3DES)，该加密类型提高了安全性，还增强了与支持此种加密类型的其他 Kerberos 实现的互操作性。

• KDC 软件、用户命令和用户应用程序现在支持使用 TCP 网络协议。这种增强功能可提供更强健的操作，以及与其他 Kerberos 实现（包括 Microsoft 的 Active Directory）之间更好的互操作性。现在，KDC 可在传统的 UDP 端口和 TCP 端口进行侦听，因此可响应使用 UDP 或 TCP 协议的请求。用户命令和应用程序在将请求发送到 KDC 时，首先尝试使用 UDP，如果该操作失败，则尝试使用 TCP。

• KDC 软件（包括 kinit、klist 和 kprop 命令）中增加了对 IPv6 的支持。缺省情况下，提供对 IPv6 地址的支持。无需更改任何配置参数即可启用 IPv6 支持。kadmin 和 kadmind 命令不支持 IPv6。

• kadmin 命令的多个子命令中添加了新的 -e 选项。使用此新选项可以在创建主体过程中选择加密类型。有关更多信息，请参见 kadmin(1M) 手册页。

• 对 pam_krb5 模块进行扩充是为了使用 PAM 框架来管理 Kerberos 凭证高速缓存。有关更多信息，请参见 pam_krb5(5) 手册页。

• 支持自动搜索以下各项：Kerberos KDC、管理服务器、kpasswd 服务器以及使用 DNS 查找的主机（或域名）到领域的映射。此增强功能减少了安装 Kerberos 客户机所需的某些步骤。客户机可通过使用 DNS 而不是通过读取配置文件来找到 KDC 服务器。有关更多信息，请参见 krb5.conf(4) 手册页。

• 引入了称为 pam_krb5_migrate 的新 PAM 模块。该新模块可以帮助那些尚未有 Kerberos 帐户的用户自动向本地 Kerberos 领域迁移。有关更多信息，请参见 pam_krb5_migrate(5) 手册页。

• 现在，~/.k5login 文件可以用于 GSS 应用程序 ftp 和 ssh。有关更多信息，请参见 gss_auth_rules(5) 手册页。

• kproplog 实用程序已更新，可输出每个日志项的所有属性名。有关更多信息，请参见 kproplog(1M) 手册页。

• 使用新的配置文件选项，可以基于每个领域对严格的 TGT 验证功能进行选择性配置。有关更多信息，请参见 krb5.conf(4) 手册页。

• 通过扩充更改口令实用程序，Solaris Kerberos V5 管理服务器可接受未运行 Solaris 软件的客户机的口令更改请求。有关更多信息，请参见 kadmind(1M) 手册页。

• 重放高速缓存的缺省位置已从基于 RAM 的文件系统移动到 /var/krb5/rcache/ 中的持久性存储器。新位置在系统重新引导时可以避免重放。rcache 代码的性能得到增强。但是，由于使用了持久性存储器，因此整个重放高速缓存的性能有可能降低。

• 现在，可以将重放高速缓存配置为使用文件存储器或仅限于内存的存储器。 有关可为密钥表和凭证高速缓存类型或位置配置的环境变量的更多信息，请参阅 krb5envvar(5) 手册页。

• 对 Kerberos GSS 机制来说，GSS 凭证表不再是必需的。有关更多信息，请参见将 GSS 凭证映射到 UNIX 凭证或 gsscred(1M)、gssd(1M) 和 gsscred.conf(4) 手册页。

• Kerberos 实用程序 kinit 和 ktutil 现在都基于 MIT Kerberos 版本 1.2.1。此更改为 kinit 命令添加了新的选项，并为 ktutil 命令添加了新的子命令。有关更多信息，请参见 kinit(1) 和 ktutil(1) 手册页。

• Solaris Kerberos 密钥分发中心 (KDC) 和 kadmind 现在都基于 MIT Kerberos 版本 1.2.1。现在，KDC 在缺省情况下是一个基于二叉树的数据库，这比当前基于散列的数据库更可靠。有关更多信息，请参见 kdb5_util(1M) 手册页。

• kpropd、kadmind、krb5kdc 和 ktkt_warnd 守护进程由服务管理工具管理。 可以使用 svcadm 命令对此服务执行管理操作，如启用、禁用或重新启动。 可使用 svcs 命令来查询此服务对应的所有守护进程的状态。有关服务管理工具的概述，请参阅《系统管理指南：基本管理》中的第 14  章 “管理服务（概述）”。