test

Manuale di Sun Enterprise Authentication Mechanism

File di SEAM

Tabella 7-1 File di SEAM

Nome del file 

Descrizione 

~/.gkadmin

Valori predefiniti per la creazione di nuovi nomi principali nell'Amministrazione SEAM 

~/.k5login

Elenco dei nomi principali per la concessione dell'accesso a un account Kerberos 

/etc/gss/gsscred.conf

Tipi di file predefiniti per la tabella gsscred

/etc/gss/mech

Meccanismi per RPCSEC_GSS 

/etc/gss/qop

Qualità dei parametri di protezione per RPCSEC_GSS 

/etc/init.d/kdc

Script init per l'avvio o l'arresto di krb5kdc

/etc/init.d/kdc.master

Script init per l'avvio o l'arresto di kadmind

/etc/krb5/kadm5.acl

File con le liste di controllo degli accessi Kerberos; include i nomi principali degli amministratori dei KDC e i loro privilegi di amministrazione Kerberos 

/etc/krb5/kadm5.keytab

Tabella di chiavi per il servizio kadmin sul KDC master

/etc/krb5/kdc.conf

File di configurazione del KDC 

/etc/krb5/kpropd.acl

File di configurazione per la propagazione del database Kerberos 

/etc/krb5/krb5.conf

File di configurazione per i settori Kerberos 

/etc/krb5/krb5.keytab

Tabella di chiavi per i server di applicazioni di rete 

/etc/krb5/warn.conf

File di configurazione per gli avvertimenti di Kerberos 

/etc/pam.conf

File di configurazione PAM 

/tmp/krb5cc_uid

Cache delle credenziali predefinita (uid è l'UID decimale dell'utente)

/tmp/ovsec_adm.xxxxxx

Cache delle credenziali temporanea per la durata dell'operazione di modifica delle password (xxxxxx è una stringa casuale)

/var/krb5/.k5.SETTORE

File nascosto del KDC; contiene una copia cifrata della chiave master del KDC 

/var/krb5/kadmin.log

File di log per kadmind

/var/krb5/kdc.log

File di log per il KDC 

/var/krb5/principal.db

Database dei nomi principali di Kerberos 

/var/krb5/principal.kadm5

Database amministrativo di Kerberos; contiene informazioni sui criteri 

/var/krb5/principal.kadm5.lock

File di lock per il database amministrativo di Kerberos 

/var/krb5/principal.ok

File di inizializzazione per il database dei nomi principali Kerberos; creato durante l'inizializzazione successiva del database di Kerberos 

/var/krb5/slave_datatrans

File di backup del KDC che kprop_script utilizza per la propagazione

File di configurazione PAM

Il file di configurazione PAM predefinito di SEAM include una serie di istruzioni per la gestione delle nuove applicazioni basate su Kerberos. Il nuovo file include istruzioni per il servizio di autenticazione, la gestione degli account, la gestione delle sessioni e la gestione delle password.

In relazione al modulo di autenticazione, le nuove istruzioni riguardano rlogin, login, dtlogin, krlogin, ktelnet e krsh. Qui sotto è mostrato un esempio di queste istruzioni. Tutti questi servizi utilizzano la nuova libreria PAM, /usr/lib/security/pam_krb5.so.1, per l'autenticazione Kerberos.

Le prime tre righe utilizzano l'opzione try_first_pass, che richiede l'autenticazione mediante la password iniziale dell'utente. L'uso della password iniziale comporta che all'utente non venga richiesta un'altra password, anche se sono elencati più meccanismi.

Le tre righe successive utilizzano l'opzione acceptor per evitare che il modulo PAM esegua la procedura per ottenere il TGT iniziale. Le applicazioni server basate su Kerberos eseguono lo scambio direttamente, perciò non è necessario che la procedura venga svolta con il modulo PAM. Inoltre, è inclusa un'istruzione con una voce other predefinita da utilizzare per tutte le operazioni non specificate che richiedono un'autenticazione.


# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

In relazione alla gestione degli account, dtlogin ha una nuova riga che utilizza la libreria Kerberos, come mostrato qui sotto. È anche inclusa una voce other per l'uso di una regola predefinita. Attualmente non vi è nessuna azione che viene eseguita con la voce other.


dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

Qui sotto sono mostrate le ultime due righe del file /etc/pam.conf. La voce other per la gestione delle sessioni distrugge le credenziali dell'utente. La nuova voce other per la gestione delle password seleziona la libreria Kerberos. 


other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass