檔案名稱 |
說明 |
---|---|
~/.gkadmin |
在 SEAM 管理工具中建立新主管的預設值 |
~/.k5login |
能賦予一個 Kerberos 帳號存取權限的主管清單 |
/etc/gss/gsscred.conf |
gsscred 表的預設檔案類型 |
/etc/gss/mech |
RPCSEC_GSS 的機制 |
/etc/gss/qop |
RPCSEC_GSS 的保護參數品質 |
/etc/init.d/kdc |
開始或停止 krb5kdc 的 init 指令集 |
/etc/init.d/kdc.master |
開始或停止 kadmind 的 init 指令集 |
/etc/krb5/kadm5.acl |
Kerberos 存取控制清單檔案;包括 KDC 管理員的主管名稱及其 Kerberos 管理許可 |
/etc/krb5/kadm5.keytab |
主 KDC 之上 kadmin 服務的密鑰表 |
/etc/krb5/kdc.conf |
KDC 設置檔案 |
/etc/krb5/kpropd.acl |
Kerberos 資料庫傳播設置檔案 |
/etc/krb5/krb5.conf |
Kerberos 範疇設置檔案 |
/etc/krb5/krb5.keytab |
網路應用程式伺服器的密鑰表 |
/etc/krb5/warn.conf |
Kerberos 警告設置檔案 |
/etc/pam.conf |
PAM 設置檔案 |
/tmp/krb5cc_uid |
預設的證書快取記憶體(uid 是使用者的分界符號 UID) |
/tmp/ovsec_adm.xxxxxx |
變更操作的密碼壽命暫存的證書快取記憶體(xxxxxx 是一個隨機字串) |
/var/krb5/.k5.REALM |
KDC 存放檔案;包含 KDC 主密鑰的加密副本 |
/var/krb5/kadmin.log |
kadmind 的記錄檔 |
/var/krb5/kdc.log |
KDC 的記錄檔 |
/var/krb5/principal.db |
Kerberos 主管資料庫 |
/var/krb5/principal.kadm5 |
Kerberos 管理資料庫;包含政策資訊 |
/var/krb5/principal.kadm5.lock |
Kerberos 管理資料庫鎖定檔案 |
/var/krb5/principal.ok |
Kerberos 主管資料庫初始化檔案;成功初始化 Kerberos 資料庫時所建立 |
/var/krb5/slave_datatrans |
kprop_script 用來傳播的 KDC 備份檔案 |
SEAM 所附的預設 PAM 設置檔案,其中包括處理新 Kerberos 化應用程式的項目。新的檔案包括辯證服務、帳號管理、作業階段管理、及密碼管理模組等的項目。
rlogin、login、dtlogin、krlogin、ktelnet、及 krsh 的新辯證模組項目。以下為這些項目的範例。所有的服務都使用新的 PAM 程式庫,/usr/lib/security/pam_krb5.so.1,來提供 Kerberos 的辯證。
前三個項目採用 try_first_pass 選項,要求以使用者最初的密碼來辯證。使用最初的密碼表示即使列出多個機制,使用者也不會被提示輸入另一個密碼。
後三個項目則使用 acceptor 選項來防止 PAM 模組執行取得能賦予許可證的初始許可證的步驟。就 Kerberos 化 伺服器應用程式而言,應用程式已經執行此交換,因此不需要使用 PAM 來進行此步驟。此外,另外包含的一個 other 項目是作為所有需要辯證但尚未指定的項目之預設項目。
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
在帳號管理方面,dtlogin 有一個使用 Kerberos 程式庫的新項目,如下所示。此外還包括一個 other 項目以作為預設的規則。目前 other 項目並未採取任何行動。
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
/etc/pam.conf 檔案中的最後兩個項目如下所示。作業階段管理的 other 項目會損毀使用者的證書。而密碼管理的新 other 項目則會選擇 Kerberos 程式庫。
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |