SEAM 文件
表 7-1 SEAM 文件|
文件名 |
描述 |
|---|---|
|
~/.gkadmin |
SEAM 管理工具中用于创建新的授权对象的默认的值 |
|
~/.k5login |
用于将访问授予一个 Kerberos 帐户的授权对象的列表 |
|
/etc/gss/gsscred.conf |
用于 gsscred 表的默认的文件类型 |
|
/etc/gss/mech |
用于 RPCSEC_GSS 的机制 |
|
/etc/gss/qop |
用于 RPCSEC_GSS 的保护质量参数 |
|
/etc/init.d/kdc |
用于启动或停止 krb5kdc 的 init 正文 |
|
/etc/init.d/kdc.master |
用于启动或停止 kadmind 的 init 正文 |
|
/etc/krb5/kadm5.acl |
Kerberos 访问控制列表文件; 包括 KDC 管理员的授权对象名称及其 Kerberos 管理特权 |
|
/etc/krb5/kadm5.keytab |
主 KDC 上用于 kadmin 服务的密钥表 |
|
/etc/krb5/kdc.conf |
KDC 配置文件 |
|
/etc/krb5/kpropd.acl |
Kerberos 数据库传播配置文件 |
|
/etc/krb5/krb5.conf |
Kerberos 区域配置文件 |
|
/etc/krb5/krb5.keytab |
用于网络应用程序服务器的密钥表 |
|
/etc/krb5/warn.conf |
Kerberos 警告配置文件 |
|
/etc/pam.conf |
PAM 配置文件 |
|
/tmp/krb5cc_uid |
默认的资格高速缓存 (uid 是用户的十进制 UID) |
|
/tmp/ovsec_adm.xxxxxx |
用于口令更改操作期限的临时资格高速缓存 (xxxxxx 是一个随机字符串) |
|
/var/krb5/.k5.REALM |
KDC 贮藏文件; 包含 KDC 主密钥之经过加密的副本 |
|
/var/krb5/kadmin.log |
用于 kadmind 的日志文件 |
|
/var/krb5/kdc.log |
用于 KDC 的日志文件 |
|
/var/krb5/principal.db |
Kerberos 授权对象数据库 |
|
/var/krb5/principal.kadm5 |
Kerberos 管理数据库; 包含策略信息 |
|
/var/krb5/principal.kadm5.lock |
Kerberos 管理数据库锁定文件 |
|
/var/krb5/principal.ok |
Kerberos 授权对象数据库初始化文件; 在 Kerberos 在数据库成功地得到初始化时创建 |
|
/var/krb5/slave_datatrans |
kprop_script 用于传播的 KDC 的备份文件 |
PAM 配置文件
与 SEAM 一同交付的默认的 PAM 配置文件包括用于处理新的 Kerberized 应用程序的条目。新的文件包括用于鉴别服务、帐户管理、对话管理以及口令管理模块的条目。
对于鉴别模块,新的条目是针对 rlogin、 login、 dtlogin、krlogin、 ktelnet 和 krsh 的。下文显示有此类条目的一个示例。所有这些服务均使用新的 PAM 库,/usr/lib/security/pam_krb5.so.1,来提供 Kerberos 鉴别。
前面三个条目使用 try_first_pass 选项,这请求使用用户的初始口令进行鉴别。使用初始口令是指不提示用户键入另一口令,即使列示了多重机制。
后面三个条目使用 acceptor 选项来避免该 PAM 模块进行获得初始的具有票券授予权的票券的步骤。对于 Kerberized 服务器应用程序,交换业已由应用程序进行,因而不必通过 PAM 进行该步骤。另外还包含有一个 other条目,用作所有未加指定而需要鉴别的条目的默认条目。
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
对于帐户管理,dtlogin 拥有一个使用 Kerberos 库的新的条目,如下文所示。包含有一个 other 条目,用以提供一个默认的规则。目前,other 条目并不采取任何动作。
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
/etc/pam.conf 文件中的最后两个条目在如下有示。用于对话管理的 other 条目销毁用户资格。用于口令管理的新的 other 条目选择 Kerberos 库。
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates