test

Sun Enterprise Authentication Mechanism Handbuch

SEAM-Dateien

Tabelle 7-1 SEAM-Dateien

Dateiname 

Beschreibung 

~/.gkadmin

Standardwerte für die Erstellung neuer Hauptbenutzer im SEAM-Verwaltungs-Tool 

~/.k5login

Liste mit Hauptbenutzern, denen der Zugriff auf ein Kerberos-Konto gewährt werden soll 

/etc/gss/gsscred.conf

Standarddateitypen für die Tabelle von gsscred

/etc/gss/mech

Mechanismus für RPCSEC_GSS 

/etc/gss/qop

Parameter für den Schutzumfang von RPCSEC_GSS  

/etc/init.d/kdc

init-Skript zum Starten oder Anhalten von krb5kdc

/etc/init.d/kdc.master

init-Skript zum Starten oder Anhalten von kadmin

/etc/krb5/kadm5.acl

Kerberos-Datei für die Zugriffssteuerungsliste; einschließlich Hauptbenutzernamen von KDC-Verwaltern und ihrer Kerberos-Verwaltungsberechtigungen 

/etc/krb5/kadm5.keytab

Schlüsseltabelle für den Service kadmin auf der Master-KDC

/etc/krb5/kdc.conf

KDC-Konfigurationsdatei 

/etc/krb5/kpropd.acl

Konfigurationsdatei für die Verbreitung der Kerberos-Datenbank 

/etc/krb5/krb5.conf

Konfigurationsdatei für den Kerberos-Bereich 

/etc/krb5/krb5.keytab

Schlüsseltabelle für Netzwerkanwendungs-Server 

/etc/krb5/warn.conf

Konfigurationsdatei für Kerberos-Warnungen 

/etc/pam.conf

PAM-Konfigurationsdatei 

/tmp/krb5cc_ uid

Standard-Cache für Berechtigungsnachweise (uid stellt die dezimale UID des Benutzers dar)

/tmp/ovsec_adm. xxxxxx

Temporärer Cache für Berechtigungsnachweise, der für die Dauer der Paßwortänderung gültig ist ( xxxxxx stellt eine zufällige Zeichenfolge dar)

/var/krb5/.k5.BEREICH

KDC stash-Datei; diese enthält eine verschlüsselte Kopie des KDC-Master-Schlüssels 

/var/krb5/kadmin.log

Protokolldatei für den Befehl kadmind

/var/krb5/kdc.log

Protokolldatei für das KDC 

/var/krb5/principal.db

Kerberos-Datenbank für die Hauptbenutzer 

/var/krb5/principal.kadm5

Kerberos-Datenbank für die Verwaltung; diese enthält Richtlinieninformationen 

/var/krb5/principal.kadm5.lock

Sperrdatei für die Kerberos-Verwaltungsdatenbank 

/var/krb5/principal.ok

Initialisierungsdatei für die Kerberos-Hauptbenutzerdatenbank; diese wird nach der erfolgreichen Initialisierung der Kerberos-Datenbank erstellt 

/var/krb5/slave_datatrans

Sicherungsdatei für das KDC, das der Befehl kprop_script für die Verbreitung verwendet

PAM-Konfigurationsdatei

Die mit SEAM ausgelieferte Standarddatei für die PAM-Konfiguration enthält Einträge für die Behandlung der neuen, für Kerberos ausgestatteten Anwendungen. Die neue Datei enthält Einträge für die Module des Authentisierungs-Services, der Konto-, Sitzungs- und Paßwortverwaltung.

Für das Authentisierungsmodul sind die neuen Einträge für rlogin, login, dtlogin, krlogin, ktelnet und krsh. Ein Beispiel für diese Einträge finden Sie unten. Jeder dieser Services verwendet die neue PAM-Bibliothe, /usr/lib/security/pam_krb5.so.1 , um die Kerberos-Authentisierung bereitzustellen.

Die ersten drei Einträge beschäftigen sich mit der Option try_first_pass, die die Authentisierung mit Hilfe des anfänglichen Benutzerpaßworts anfordern. Die Verwendung des anfänglichen Paßworts bedeutet für den Benutzer, daß er auch dann nicht zur Eingabe eines weiteren Paßworts aufgefordert wird, wenn mehrere Mechanismen aufgeführt sind.

Die nächsten drei Einträge verwenden die Option acceptor, um das PAM-Modul davon abzuhalten, den Prozeß für den Empfang des anfänglichen Ticket-granting Tickets durchzuführen. Dieser Austausch wurde für die mit Kerberos ausgestatteten Server-Anwendungen bereits von der Anwendung durchgeführt, daher muß für diesen Schritt PAM nicht verwendet werden. Zusätzlich wird ein other-Eintrag als Standardeintrag für alle Einträge eingefügt, die nicht festgelegt sind und die eine Authentisierung erfordern.


# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

Für die Kontoverwaltung verfügt dtlogin über einen neuen Eintrag, der die Kerberos-Bibliothek verwendet, wie unten dargestellt. Es ist ein other-Eintrag einbezogen, um eine Standardregel bereitzustellen. Momentan werden von dem other-Eintrag keine Aktionen durchgeführt.


dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

Die letzten beiden Einträge in der Datei /etc/pam.conf werden unten dargestellt. Der other-Eintrag für die Sitzungsverwaltung vernichtet Berechtigungsnachweise von Benutzern. Der neue other-Eintrag für die Paßwortverwaltung wählt die Kerberos-Bibliothek aus. 


other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass