test

Handbok för Sun Enterprise Authentication Mechanism

Associerade filer

RPCSEC_GSS använder vissa filer för lagring av information.

Tabellen gsscred

När en server tar emot en klients referenser som hör till en förfrågan, tar servern antingen emot klientens principalnamn (i form av en pekare för en rpc_gss_principal_t-struktur) eller klientens lokala UNIX-referenser (UID, användar-ID). Tjänster som NFS kräver en lokal UNIX-referens för åtkomstkontroll, men andra tjäsnter kanske inte gör det - de kan t ex lagra principalnamnet som en rpc_gss_principal_t-struktur direkt i sina egna listor för åtkomstkontroll.

Obs!

Matchningen av en klients nätverksreferens (dess principalnamn) och lokala UNIX-referenser sker inte automatiskt - den måste uttryckligen anges av den lokala säkerhetsadministratören.

Filen gsscred innehåller både klientens UNIX- och nätverksreferenser (t ex Kerberos V5). (Den senare är Hex-ASCII-motsvarigheten för strukturen rpc_gss_principal_t.) Åtkomsten till filen sker via XFN och därför kan den här tabellen implementeras för filer, NIS eller NIS+, eller valfri kommande namntjänst som stöds av XFN. I XFN-hierarkin visas den här tabellen som this_org_unit/tjänst/gsscred. Tabellen gsscred underhålls med hjälp av gsscred-verktyget, som kan användas av administratörer för att lägga till och ta bort användare och mekanismer.

/etc/gss/qop och /etc/gss/mech

För enkelhets skull använder RPCSEC_GSS strängliteraler för att representera mekanismer och QOP-parametrar (Quality of Protection). Själva de underliggande mekanismerna kräver däremot att mekanismerna representeras som objektidentifierare och QOP:er som 32-bitars heltal. Dessutom måste det delade bibliotek som implementerar tjänsterna för mekanismen anges för varje mekanism.

Filen /etc/gss/mech innehåller följande information om alla installerade mekanismer i systemet: mekanismens namn, i ASCII; mekanismens OID; det delade bibliotek som implementerar tjänsterna som tillhandahålls av mekanismen; och, valfritt, kärnmodulen som implementerar tjänsten. Ett exempel kan se ut så här:


kerberos_v5   1.2.840.113554.1.2.2    gl/mech_krb5.so gl_kmech_krb5

Filen /etc/gss/qop innehåller alla QOP:er som stöds av alla installerade mekanismer, både som ASCII-strängar och 32-bitars heltal.

Både /etc/gss/mech och /etc/gss/qop skapas när en säkerhetsmekanism installeras för första gången i ett system.

Eftersom många RPC-rutiner inom kärnan använder värden som inte är strängar för att representera mekanism och QOP, kan program använda funktionerna rpc_gss_mech_to_oid() och rpc_gss_qop_to_num() för att hämta värden för dessa parametrar, om programmen behöver använda dessa rutiner inom kärnan.