Verbundene Dateien

RPCSEC_GSS verwendet bestimmte Dateien zur Speicherung von Informationen.

Die gsscred-Tabelle

Wenn ein Server die Berechtigungsnachweise eines Clients empfängt, die mit einer Anfrage verbunden sind, kann er entweder den Hauptbenutzernamen des Clients (in Form eines rpc_gss_principal_t-Strukturzeigers) oder lokale UNIX-Berechtigungsnachweise (UID) für diesen Client abrufen. Services, wie z. B. NFS, erfordern einen lokalen UNIX-Berechtigungsnachweis für die Überprüfung der Zugangsberechtigung. Andere Services gehen da anders vor und speichern den Hauptbenutzernamen z. B. als rpc_gss_principal_t-Struktur direkt in ihren eigenen Zugriffssteuerungslisten.

Die Korrespondenz zwischen dem Netzwerk-Berechtigungsnachweis eines Clients (sein Hauptbenutzername) und einem beliebigen UNIX-Berechtigungsnachweis erfolgt nicht automatisch -- sie muß explizit vom lokalen Sicherheitsverwalter eingerichtet werden.

Die Datei gsscred enthält sowohl die UNIX- und Netzwerk-Berechtigungsnachweise (z. B. Kerberos V5) des Clients. (Letzterer entspricht der Hex-ASCII-Darstellung der Struktur rpc_gss_principal_t.) Der Zugriff erfolgt über XFN; somit kann diese Tabelle über Dateien, NIS oder NIS+ sowie beliebigen zukünftigen Namens-Services implementiert werden, die XFN unterstützt. In de XFN-Hierarchie erscheint diese Tabelle als this_org_unit/service/gsscred. Die Tabelle gsscred wird mit dem Dienstprogramm gsscred verwaltet, mit dem Systemverwalter die Benutzer und Mechanismen hinzufügen und löschen kann.

/etc/gss/qop und /etc/gss/mech

RPCSEC_GSS verwendet einfachheitshalber Zeichenfolgenliterale zur Darstellung von Mechanismen und QOP-Parametern (Quality of Protection, Schutzumfang). Die zugrundeliegenden Mechanismen selbst erfordern jedoch, daß die Mechanismen als Objekt-IDs und die QOPs als 32-Bit Ganzzahlen dargestellt werden. Zusätzlich muß für jeden Mechanismus die gemeinsam genutzte Bibliothek festgelegt werden, die Services für den Mechanismus implementiert.

Die Datei /etc/gss/mech speichert die folgenden Informationen für alle in einem System installierten Mechanismen: Den Mechanismusnamen, als ASCII; die OID des Mechanismusses; die gemeinsam genutzte Bibliothek, die die von diesem Mechanismus bereitgestellten Services implementiert; und (optional) das Kernel-Modul, das den Service implementiert. Eine Beispielzeile könnte wie folgt aussehen:

kerberos_v5   1.2.840.113554.1.2.2    gl/mech_krb5.so gl_kmech_krb5

Die Datei /etc/gss/qop speichert für alle installierten Mechanismen sämtliche QOPs für jeden Mechanismus, sowohl als ASCII-Zeichenfolge als auch als 32--Bit Ganzzahl.

Sowohl /etc/gss/mech als auch /etc/gss/qop werden bei der erstmaligen Installation eines Sicherheitsmechanismusses für ein gegebenes System erstellt.

Da viele der im Kernel befindlichen RPC-Routinen keine Zeichenfolgenwerte zur Darstellung der Mechanismen und QOPs verwenden, können Anwendungen die Funktionen rpc_gss_mech_to_oid() und rpc_gss_qop_to_num() verwenden, um die entsprechenden Äquivalente (keine Zeichenfolgen) für diese Parameter abzurufen, wenn es von Vorteil erscheinen sollte, diese kernelinternen Routinen zu verwenden.