test

Handbok för Sun Enterprise Authentication Mechanism

filer i SEAM

Tabell 7-1 filer i SEAM

Filnamn 

Beskrivning 

~/.gkadmin

Standardvärden som används när du skapar nya principaler i administrationsverktyget för SEAM. 

~/.k5login

Lista över principaler som har åtkomst till ett Kerberos-konto. 

/etc/gss/gsscred.conf

Standardfiltyper för tabellen gsscred.

/etc/gss/mech

Mekanismer för RPCSEC_GSS. 

/etc/gss/qop

QOP-parametrar (Quality of Protection) för RPCSEC_GSS.  

/etc/init.d/kdc

init-skript för att starta och stanna krb5kdc.

/etc/init.d/kdc.master

init-skript för att starta och stanna kadmind.

/etc/krb5/kadm5.acl

Fil med lista för åtkomstkontroll för Kerberos; innehåller principalnamn för KDC-administratörer och deras administrationsbehörigheter för Kerberos. 

/etc/krb5/kadm5.keytab

Nyckeltabell för tjänsten kadmin på huvud-KDC:n.

/etc/krb5/kdc.conf

Konfigurationsfil för KDC. 

/etc/krb5/kpropd.acl

Konfigurationsfil för databasöverföring via Kerberos. 

/etc/krb5/krb5.conf

Konfigurationsfil för användarkategori för Kerberos. 

/etc/krb5/krb5.keytab

Nyckeltabell för programservrar i nätverket. 

/etc/krb5/warn.conf

Konfigurationsfil för varningar för Kerberos. 

/etc/pam.conf

Konfigurationsfil för PAM. 

/tmp/krb5cc_ användar-ID

Standardreferenscache (användar-ID är användar-ID:t med decimaler).

/tmp/ovsec_adm. xxxxxx

Temporär referenscache för tidsperioden för åtgärden när lösenordet ändras ( xxxxxx är en slumpmässig sträng).

/var/krb5/.k5.ANVÄNDARKATEGORI

Lagringsfil för KDC-databasen; innehåller en krypterad kopia av huvudnyckeln för KDC-databasen. 

/var/krb5/kadmin.log

Loggfil för kadmind.

/var/krb5/kdc.log

Loggfil för KDC-databasen. 

/var/krb5/principal.db

Principaldatabas för Kerberos. 

/var/krb5/principal.kadm5

Administrationsdatabas för Kerberos; innehåller information för policies. 

/var/krb5/principal.kadm5.lock

Låsningsfil för administrationsdatabasen för Kerberos. 

/var/krb5/principal.ok

Startfil för principaldatabasen för Kerberos; skapas när Kerberos-databasen startas. 

/var/krb5/slave_datatrans

Säkerhetskopia av KDC-databasen som används av kprop_script för överföring.

Konfigurationsfil för PAM

Standardkonfigurationsfilen för PAM som följer med SEAM innehåller poster för hantering av de nya Kerberos-anpassade programmen. Den nya filen innehåller poster för modulerna för verifieringstjänsten, kontohantering, sessionshantering och lösenordshantering.

För verifieringsmodulen finns det nya poster för rlogin, login, dtlogin, krlogin, ktelnet och krsh. Ett exempel på de nya posterna visas nedan. Alla dessa tjänster använder det nya PAM-biblioteket, /usr/lib/security/pam_krb5.so.1, för Kerberos-verifiering.

För de första tre posterna används alternativet try_first_pass, vilket begär verifiering med användarens första lösenord. Det innebär att användaren inte tillfrågas om andra lösenord även om flera mekanismer finns i listan.

För följande tre poster används alternativet acceptor , vilket förhindrar PAM-modulen från att utföra steget för att hämta den första biljettbeviljarbiljetten (TGT). När Kerberos-anpassade program används utförs utbytet av programmet och därför behöver inte steget utföras med PAM. Dessutom finns posten other med som standardpost för alla poster som kräver verifiering som inte har angetts.


# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

För kontohanteringen har dtlogin en ny post som använder Kerberos-biblioteket, vilket visas nedan. En other-post finns med för en standardregel. För tillfället vidtas inga åtgärder av posten other.


dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

De två sista posterna i filen /etc/pam.conf visas nedan. Posten other för sessionshantering förstör användarreferenser. Den nya posten other för lösenordshantering väljer Kerberos-biblioteket. 


other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass