File associati

Per memorizzare le informazioni, RPCSEC_GSS utilizza alcuni file specifici.

La tabella gsscred

Quando un server richiama le credenziali del client associate a una richiesta, esso può ottenere il nome principale del client (in forma di puntatore a una struttura rpc_gss_principal_t) o le credenziali UNIX locali (UID) per quel client. I servizi come NFS richiedono una credenziale UNIX locale per il controllo degli accessi, mentre altri servizi non la richiedono e possono, ad esempio, memorizzare il nome principale come struttura rpc_gss_principal_t direttamente nelle loro liste di controllo degli accessi.

La corrispondenza tra la credenziale di rete di un client (il suo nome principale) e la sua credenziale UNIX locale non è automatica: deve essere impostata esplicitamente dall'amministratore della sicurezza locale.

Il file gsscred contiene sia le credenziali UNIX che le credenziali di rete (ad esempio, Kerberos V5) del client. (Le seconde sono una rappresentazione Hex-ASCII della struttura rpc_gss_principal_t.) Il file è accessibile mediante XFN; in questo modo, questa tabella può essere implementata su files, NIS, NIS+ o su qualunque servizio di denominazione supportato da XFN. Nella gerarchia XFN, questa tabella appare come unità_org_corrente/servizio/gsscred. La tabella gsscred viene amministrata con l'utility gsscred, che permette agli amministratori di aggiungere ed eliminare utenti e meccanismi.

/etc/gss/qop e /etc/gss/mech

Per ragioni di comodità, RPCSEC_GSS utilizza denominazioni di tipo stringa per rappresentare i meccanismi e la qualità della protezione (QOP). I meccanismi sottostanti, tuttavia, richiedono che i meccanismi vengano rappresentati come identificativi di oggetti e QOP in forma di numeri interi di 32 bit. In più, per ogni meccanismo, deve essere specificata la libreria condivisa che implementa i servizi per quel meccanismo.

Il file /etc/gss/mech memorizza le seguenti informazioni su tutti i meccanismi installati su un sistema: il nome del meccanismo, in formato ASCII; l'OID del meccanismo; la libreria condivisa che implementa i servizi forniti da quel meccanismo; e, opzionalmente, il modulo kernel che implementa il servizio. Una riga potrebbe avere questa forma:

kerberos_v5   1.2.840.113554.1.2.2    gl/mech_krb5.so gl_kmech_krb5

Il file /etc/gss/qop memorizza, per tutti i meccanismi installati, tutti i QOP supportati da ogni meccanismo, sia come stringa ASCII che come numero intero di 32 bit.

Sia /etc/gss/mech che /etc/gss/qop vengono creati la prima volta che i meccanismi di sicurezza vengono installati su un certo sistema.

Poiché molte delle routine RPC interne del kernel utilizzano valori non-stringa per rappresentare meccanismi e QOP, le applicazioni che debbano usare queste routine potranno usare le funzioni rpc_gss_mech_to_oid() e rpc_gss_qop_to_num() per ottenere gli equivalenti non-stringa per questi parametri.