第 1 章 SEAM 1.0.1 製品の概要

この章では、Sun^TM Enterprise Authentication Mechanism (SEAM) 1.0.1 製品の概要について説明します。内容は次のとおりです。

• 「リリースの内容」

• 「SEAM 1.0.1 製品の前提条件」

• 「製品の現状」

• 「既知のバグ」

はじめに

SEAM 1.0.1 リリースの目的は、Kerberos V5 の認証、プライバシ、整合性をサポートすることによってシステムセキュリティを強化することです。セキュリティは、通常、Kerberos 化したログイン機構を使用しているときにネットワークへのシングルサインオンだけを許可したり、Kerberos 化した NFS^TM サービスを使用することによっても向上します。

リリースの内容

このリリースは次の要素から構成されています。

• 鍵発行センター (KDC)

• KDC サービス

  • kadmind および krb5kdc

• KDC 管理ユーティリティ

  • kadmin、kadmin.local、gkadmin

  • kpropd

• Kerberos 化ユーティリティとデーモン

  • ftp、rcp、rlogin、rsh、telnet

  • ftpd、rlogind、rshd、telnetd

• マニュアル

  • 『Sun Enterprise Authentication Mechanism 1.0.1 ガイド』

  • 『Sun Enterprise Authentication Mechanism 1.0.1 のインストール』(このマニュアル)

  • マニュアルページ

SEAM 1.0.1 製品の前提条件

この製品が正常に機能するためには、Solaris 8 リリースがインストールされている必要があります。さらに、XFN と JDK^TM 1.1 がインストールされている必要があります。

製品の現状

SEAM は発展中のため仕様が変更されることがあります。

SEAM の相互運用性

SEAM の相互運用性は、MIT Kerberos V5 1.0 と NT 5.0 に対してテストされています。

SEAM と MIT との相互運用性

SEAM と MIT との相互運用性には、次の制約があります。

1. gkadmin と kadmin は MIT KDC に対しては使用できません。この理由は、gkadmin と kadmin が PRCSEC_GSS プロトコルを使って KDC との接続を確保するのに対し、MIT Kerberos V5 1.0 は非標準的な AUTH_GSSAPI プロトコルを使ってセキュリティを提供するためです。これら 2 つのプロトコルは異なるため、gkadmin と kadmin を MIT KDC とともに使用することはできません。

2. SEAM には ksu コマンドは含まれていません。この代わりに、PAM が su を使って、ksu が行うほとんどのことを行います。1 つ違う点は、ksu は、.k5login ファイルを見て Kerberos V5 資格をもつユーザーにパスワードなしで su を使用することを許可するかどうかを判定することです。SEAM では、この検査は行われません。

3. SEAM と MIT Kerberos V5 コードは同じホストに共存するようには設計されていません。共存は理論的には可能ですが、サポートしていません。

4. SEAM では、rpcbind が動作している必要があります。これは、MIT Kerberos V5 では必要ありません。

SEAM と NT との相互運用性

SEAM と NT との相互運用性については、「http://www.connectathon.org/seam1.0」を参照してください。このサイトには、SEAM と NT との相互運用に必要なテストの結果や手順についての最新情報が記載されています。

既知のバグ

SEAM 1.0.1 の既知のバグには次のものがあります。各項目には、バグの ID 番号、名称、および簡単な説明があります。

4143644: Kerberized rsh -f did not work correctly

説明:

ユーザーが転送可能な資格を明示的に要求した場合、転送可能な資格がないと rsh は失敗します。

4159036: "telnet> encrypt enable DES_OFB64" hung the session

説明:

暗号化タイプ DES_OFB64 は、telnet のデータ暗号化には使用できません。使用できる暗号化タイプは DES_CFB64 だけです (これはデフォルトの暗号タイプでもある)。

4159419: gkadmin should try to consult policy if possible when generating random passwords

説明:

ユーザーが gkadmin を使ってプリンシパルのランダムなパスワードを生成する場合、ツールは、適用されるポリシーを使って、使用する文字数や文字クラス数を決めます。こうすれば、ほとんどの場合、最初に生成されたパスワードが kadmin API によって受け入れられます。

4170403: Kerberized rlogin in cross-realm does not fail with incorrect password

説明:

Kerberos 化した rlogin が (rlogin サーバーが動作するホストの) inetd.conf で有効であり、pam.conf で有効でない場合、ユーザーは、レルム間で rlogin を使用したとき、Kerberos V5 によって正しく認証されます。しかし、ユーザーがパスワードを要求された場合、どのようなパスワードを入力しても受け入れられます。ユーザーは Kerberos V5 によってすでに認証されているので、これはセキュリティホールではありません。Kerberos 化 rlogin を inetd.conf で有効にする場合は、pam.conf では無効にしないようにしてください。

4172240: when -r option is used to telnet, telnet reports escape character as ^]

説明:

マニュアルページに記述されているように、エスケープ文字は ‾ です。

4177603: kprop command returns "Broken Pipe" when kpropd.acl is missing entry for master

説明:

スレーブ KDC の /etc/krb5/kpropd.acl が適切に設定されていないと、クライアントの kprop コマンドは「Broken Pipe (パイプの切断)」で失敗します。

4178210: gkadmin: when the ticket expires it should return to login window for re-authentication

説明:

gkadmin にログインした admin の資格の有効期限が切れている場合に必要な、 以下のような動作が行われません。gkadmin で「Ticket/credential is expired」というメッセージが表示され、admin が「了解 (OK)」ボタンをクリックしたら、gkadmin により、現在の「SEAM 管理ツール (SEAM Administration Tools)」ウィンドウが閉じられる。そして、「SEAM 管理ログイン (SEAM Administration Login)」ウィンドウが開かれる。このウィンドウで「パスワード (Password:)」フィールドのプロンプトをアクティブにして、admin ユーザーが再認証のためにパスワードを入力する。

4179331: gkadmin: Can not change the Principal/Policy name

説明:

gkadmin は、プリンシパルの名前やポリシーを変更する機能をサポートしていません。同じ結果を得るには、「複製 (Duplicate)」ボタンを使ってプリンシパルまたはポリシーをコピーして新しい名前に変更し、古いものを削除します。

4184145: gkadmin: Some GUI items inside Properties window are missing some edges

説明:

「リストキャッシュタイムアウト (List Cache Timeout)」の「...」ボタンの右側が欠けています。さらに、「リストを表示 (Show List)」または「リストを永続キャッシュ (Cache Lists Forever)」を選択した後でも、選択可能ボタンを囲む強調表示された矩形の左端が欠けています。

4188923: gkadmin: some minor problems with SEAM Print Helper

説明:

「SEAM 印刷ヘルパー (SEAM Print Helper)」が「取消し (Cnacel)」ボタンを選択する前に入力されたデータを表示します。取消しを選択した場合には、変更が破棄され、変更前のものが復元されなければなりません。さらに、「SEAM 印刷ヘルパー (SEAM Print Helper)」ウィンドウの「ファイル名 (File Name)」というテキストフィールドが正しく消去されません。

4188935: gkadmin: Dismiss button does not work correctly on some Help windows

説明:

SEAM GUI 管理ツールが xhost で実行されるとき、一部の「ヘルプ (Help)」画面で「消去 (Dismiss)」ボタンが正しく動作しません。

4189590: kadmin and gkadmin should print alternate string when lifetimes are 2^31-1

説明:

ユーザーが新しいプリンシパルを作成し、KDC 側でチケット有効期間を設定すると、2147483647 = 2^31-1 という値がプリンシパルデータベースに格納されます。プリンシパルを表示したとき、CLI や GUI は、2147483647 (GUI) や 24855 日 03:14:07 (CLI) という値ではなく、もっとユーザーにわかりやすい値を表示すべきです。この種の修正は、日付 0 が「Never」と表示されるところなどはすでに行われています。

4189642: garbage in the kerberized rsh usage message

説明:

rsh、rlogin、rcp コマンドを使用した場合には、プログラム名が出力されるはずですが、間違ったオプションのオプション文字列が出力されます。

4191906: The time on the warning msg when the credential is expired is misleading

説明:

チケットの初期有効期限が /etc/krb5/warn.conf の警告しきい値より小さいと、送信される警告メッセージには、チケットの期限切れ時間ではなく、チケットが warn.conf ファイルに指定された時間内に期限切れになることが示されます。

4191933: service tickets do not get stored in ticket cache when kinit is used with a lifetime of less than 30 minutes

説明:

ユーザーが kinit -1 を使って有効期間が 30 分より短い資格 (チケット許可チケット) を取得した場合、この資格から派生したサービスチケットは、チケットキャッシュに入っていません。これは、更新可能資格の有効期間が 30 分より短いと、SEAM が資格を自動的に更新し、できるだけ使いやすいものにしようとするためです。資格を更新すると、前の資格とその資格から派生したサービスチケットは削除されます。古いサービスチケットで作成されたセッションはそのチケットの有効期間だけ有効なので、特別な影響はありません。kinit -1 を呼び出す場合は、チケット有効期間に 30 分より長い値を指定してださい。

4193608: kinit -s has some issues

説明:

ユーザーは kinit を使って、現在の日付から 19 日以上後に使用可能となる遅延チケットを取得することはできません。

4193925: gkadmin: inconsistency of Enter key behavior when creating a new policy

説明:

現在、「ポリシーの詳細 (Policy Details)」パネルにデフォルトのパラメータ値を使ってポリシー名を入力し、Enter (Return) キーを押しても、ポリシーは自動的には作成されません。Enter/Return キーは、「完了 (Done)」ボタンをクリックしたのと同じ結果になります。

4194001: gkadmin: "Last Changed By:" field does not display the full name

説明:

「最終変更者 (Last Changed By)」フィールドにインスタンス名が表示されないため、正しい admin プリンシパルを識別できません。

4206443: Document the lifetime and renewable lifetime negotiation in kinit man page

説明:

ユーザーがコマンド行から有効期間を指定すると、チケットの実際の有効期間として、次のうちの一番短いものが適用されます。

• コマンド行から指定された値

• KDC 構成ファイルに指定されている値

• サーバープリンシパルの Kerberos データベースに指定されている値。kinit の場合、これは krbtgt/<realmname> です。

• ユーザープリンシパルの Kerberos データベースに指定されている値

4210970: gkadmin: Date/Time Helper doesn't change Feb 29 to Feb 28 if year is changed

説明:

「日付/時刻ヘルパー (Date/Time Helper)」で年を変更しても、その月の許容可能最大日数 は再計算されません。

4211978: gkadmin: Password Expires: field displayed misleading info

説明:

gkadmin コマンドを使用してパスワードを変更する場合には、プリンシパルに割り当てられたポリシーから有効期限が決定されるため、パスワードの有効期限が変更されます。 GUI では、有効期限がポリシーで決定されているのかどうかは判断できません。しかし、kadmin、kadmin.local、gkadmin、kpasswd、または passwd のいずれのコマンドでパスワード変更したとしても、パスワードの有効期限は適用されます。

ユーザーがパスワードを変更する場合には、パスワードの有効期限は次の 2 つの方法のうちいずれかで設定されます。有効期限フィールドを空欄にした場合には、ポリシーによりサーバーが有効期限を自動的にフィールドに指定します。あるいは、フィールドに日付を記入して明示的に期限を設定することもできます。

4218214: gkadmin: "Return" key doesn't work on highlighted GUI buttons

説明:

GUI ボタンのマウスクリックは正しく機能するが、強調表示されたボタンに対して Enter キーまたは Return キーは機能しません。

4220042: "kadmin: add_principal -expire "1/1/2000 7:00am" xhu" doesn't work

説明:

kadmin の add_principal コマンドで -expire オプションに a.m. 時間を指定した場合、次の例のように、エラーメッセージが表示されます。

kadmin: add_principal -expire "9/1/1999 7:00am" xhu Invalid date specification "9/1/1999 7:00am".

「pm」を指定した場合は正しく適用されます。午前中の時間の指定には「am」を指定しないでください。このプリンシパルを追加するには、次のようにします。

kadmin: add_principal -expire "9/1/1999 7:00"

4245090: document how to add principals when not using DNS

説明:

SEAM マニュアルの手順は DNS の使用を前提に書かれています。したがって、すべてのホストプリンシパルやサービスプリンシパルには、完全指定のドメイン名が使用されています。DNS を使用しない場合は、プリンシパルを作成するときにドメイン名を指定しないでください。たとえば、kdc1.acme.com は kdc1 とします。

4245982: error response for "mdtm" not consistent with other non-supported ftp commands

説明:

mdtm サブコマンドはサポートされていないため、このコマンドを使用した場合には、size コマンドを使用した場合に表示されるエラーメッセージとは別にエラーメッセージが表示されるためエラーが 2 回表示されることになります。

4247366: kdb5_util create command does not work correctly with -r option specified

説明:

kdb5_util create コマンドでは、-r [realm] 引数を適切に処理することができないため、 Kerberos データベースを作成する前に必要なレルム用に /etc/krb5/krb5.conf を構成しておく必要があります。

4248395: gkadmin: auto wrap feature is not fit for Japanese language.

説明:

gkadmin コンテキストヘルプを使用すると、日本語ロケールでは改行がうまくいかないため、行末がそろいません。

4249206: date parser has some i18n problems

説明:

英語以外のロケールでは、日付が適切に表示されない場合があります。また、省略形や接頭辞が正しく表示されない場合もあります。 実際には使用されていない省略形として判断される場合もあります。このバグは、バグ ID 4220042 と関連があります。

4250805: SEAM, l10n_euro, i18n, Admin tool, entry box does not accept extended chars

説明:

拡張 8 ビット文字を含むポリシー名は、gkadmin で使用された場合には拒否されます。7 ビットのポリシー名を使用してください。

4258360: SEAM is not able to display certain localized messages

説明:

システムテストでローカライズされていないエラーメッセージが表示されることがあります。これらのメッセージは、翻訳されているにも関わらず英語で表示されます。

4260991: inconsistent error message from rcp command

説明:

Kerberos 対応の rcp コマンドを使用した場合に、ターゲットファイルに書き込み権がないと、Solaris 8 リリースで通常使用されている rcp コマンドを使用した場合のメッセージとは異なるエラーメッセージが表示されます。

4284200: SEAM uninstall leaves configuration files behind

説明:

SEAM をアンインストールしても、ユーザーにはメッセージが表示されずに構成ファイルが削除されず残ります。完全に SEAM をアンインストールするには、/etc/pam.conf、/etc/krb5/warn.conf、/etc/krb5/krb5.conf、および /etc/inet/inetd.conf を編集する必要があります。

4291596: Kerberized ftpd does not support PAM

説明:

Solaris バージョンとは異なり、SEAM の ftpd では、PAM フレームワークをサポートしていません。