test

SEAM-Installation und Versionsanmerkungen

Kapitel 1 SEAM-Produktübersicht

Dieses Kapitel bietet eine allgemeine Übersicht über das Produkt SunTM Enterprise Authentication Mechanism (SEAM). Die folgenden Themen werden behandelt:

Einführung

Diese SEAM-Version hat den Zweck, durch Unterstützung der Authentisierung, des Privatsphärenschutzes und der Integrität von Kerberos V5 die Systemsicherheit zu verbessern. Die Sicherheit sollte auch verbessert worden sein, indem mithilfe der kerberosfähigen Anmeldemechanismen nur eine einzige Anmeldung im Netzwerk erforderlich ist, und indem kerberosfähige NFSTM-Services zur Verfügung gestellt werden.

Bestandteile der Version

Diese Version besteht aus den folgenden Teilen:

SEAM-Produktabhängigkeiten

Solaris 2.6 oder 2.7 muß installiert sein, damit dieses Produkt einwandfrei ausgeführt werden kann. XFN und JDKTM 1.1 müssen ebenfalls installiert sein.

Status

SEAM ist eine sich weiterentwickelnde Spezifikation und unterliegt daher Änderungen.

SEAM-Verträglichkeit

Die Verträglichkeit von SEAM ist mit Installationen von MIT Kerberos V5 1.0 und NT 5.0 getestet worden.

SEAM-Verträglichkeit mit MIT

SEAM arbeitet mit einer MIT-Installation zusammen, wobei die folgenden Einschränkungen gelten:

  1. gkadmin und kadmin können nicht für MIT KDCs eingesetzt werden. Der Grund für dieses Versagen liegt darin, daß diese beiden Befehle das Protokoll RPCSEC_GSS verwenden, um eine Verbindung zum KDC abzusichern. Die Installation von MIT Kerberos V5 1.0 verwendet das nicht standardmäßige Protokoll AUTH_GSSAPI, um Sicherheit bereitzustellen. Da diese beiden Protokolle unterschiedlich sind, können Sie die Befehle gkadmin und kadmin nicht für ein MIT-KDC verwenden.

  2. SEAM enthält nicht den Befehl ksu. Stattdessen wird PAM verwendet, damit der Befehl su das meiste von dem erledigt, was normalerweise ksu erledigt. In einer Hinsicht unterscheidet sich jedoch der Befehl ksu: er prüft in der Datei k5login nach, ob der Benutzer von su dazu ohne Paßwort berechtigt ist, falls er Kerberos V5-Berechtigungsnachweise hat. Diese Prüfung wird in SEAM nicht durchgeführt.

  3. Es ist nicht vorgesehen, daß SEAM-Code und MIT Kerberos V5-Code auf demselben Host koexistieren können. Das ist zwar theoretisch möglich, wird aber nicht unterstützt.

  4. SEAM verlangt, daß rpcbind ausgeführt wird. Das ist kein Erfordernis der MIT Kerberos V5-Installation.

SEAM-Verträglichkeit mit NT

Informationen über die Verträglichkeit von SEAM mit NT sind unter der Adresse erhältlich. Diese Site enthält aktuelle Informationen über die Testergebnisse und Verfahren, mit denen man erreichen kann, daß SEAM mit NT zusammenarbeitet.

Bekannte Fehler

Dies ist eine Liste der bekannten Fehler in SEAM 1.0. Jeder Eintrag enthält eine Fehlernummer, eine überschriftsmäßige Formulierung des Fehlers sowie eine kurze Beschreibung des Fehlers.


4084755: dtlockscreen verwendet die traditionelle Methode der Paßwort-Prüfung anstelle von PAM

Beschreibung:

dtlockscreen verwendet die traditionelle Prüfungsmethode um sicherzustellen, daß das Paßwort eines Benutzer gültig ist, anstatt PAM zu verwenden. PAM wird nur aufgerufen, wenn diese Prüfung fehlschlägt. Das ist ein potentielles Sicherheitsproblem, da ein Benutzer Zugang zu einem System erhalten könnte, das eine Bildschirmsperre anzeigt, die nur das im Namenservice für die UNIXTM-Authentisierung definierte Paßwort verwendet.


4189642: Korrupter Text in der rsh-Syntaxmeldung

Beschreibung:

rsh, rlogin und rcp zeigen die Optionszeichenfolge für ungültige Optionen an. Sie sollten den Programmnamen anzeigen.


4211978: gkadmin: Paßwort läuft ab: Feld zeigt irreführende Info an

Beschreibung:

Wenn das Paßwort mithilfe von gkadmin geändert wird, dann ändert sich die Ablaufzeit des Paßworts, weil die Ablaufzeit durch eine Richtlinie generiert wird, die dem Hauptbenutzer zugeordnet ist. Die Benutzeroberfläche macht es nicht deutlich, daß die Ablaufzeit aus einer Richtlinie stammt. Die Auswirkung auf die Ablaufzeit des Paßworts ist stets wahr, unabhängig davon, ob das Paßwort durch kadmin, kadmin.local, gkadmin, kpasswd oder passwd geändert wird.

Der Benutzer muß sich darüber im Klaren sein, daß es zwei Wahlmöglichkeiten gibt, wenn er das Paßwort ändert: Entweder macht er das Feld für den Ablauf des Paßwort leer, damit der Server es entsprechend der Richtlinie ausfüllt, oder er läßt in dem Feld eine Datumseingabe stehen, um damit die Ablaufzeit explizit festzulegen.


4143644: Kerberosfähiges rsh -f arbeitet nicht korrekt

Beschreibung:

Wenn der Benutzer ausdrücklich weiterleitbare Berechtigungsnachweise anfordert, sollte rsh fehlschlagen, wenn es keine weiterleitbaren Berechtigungsnachweise gibt.


4159036: "telnet> encrypt enable DES_OFB64" bringt Sitzung zum Einfrieren

Beschreibung:

Der Verschlüsselungstyp DES_OFB64 kann nicht im Befehl telnet für die Datenverschlüsselung verwendet werden. Die einzige Verschlüsselung, die verwendet werden kann, ist DES_CFB64, was auch der Standard-Verschlüsselungstyp ist.


4159419: gkadmin sollte bei der Generierung von Zufallspaßwörtern nach Möglichkeit die Richtlinie befragen

Beschreibung:

Wenn ein Benutzer mit gkadmin ein Zufallspaßwort für einen Hauptbenutzer generiert, sollte das Tool die zur Anwendung kommende Richtlinie befragen, um die Anzahl der zu verwendenden Zeichen und Zeichenklassen festzulegen. Das führt dazu, daß das erste generierte Paßwort von der kadmin-API in den meisten Fällen akzeptiert wird.


4170403: Kerberosfähiges, bereichsübergreifendes rlogin schlägt bei falschem Paßwort nicht fehl

Beschreibung:

Wenn der kerberosfähige rlogin-Befehl in inetd.conf aktiviert, jedoch nicht aktiviert ist in pam.conf (auf einem Host mit einem rlogin-Server), dann wird ein Benutzer korrekt mithilfe von Kerberos V5 authentisiert, wenn rlogin bereichsübergreifend verwendet wird. Wird der Benutzer jedoch nach einem Paßwort gefragt, dann wird jedes beliebige Paßwort akzeptiert. Dies ist keine Sicherheitslücke, da der Benutzer durch Kerberos V5 authentisiert worden ist. Vermeiden Sie, das kerberosfähige rlogin in pam.conf zu deaktivieren, wenn es in inetd.conf aktiviert wird.


4172240: Wenn bei Telnet die Option -r verwendet wird, gibt Telnet das Esc-Zeichen als ^] zurück

Beschreibung:

Das Escapezeichen ist ~, wie in der Online-Dokumentation beschrieben.


4177603: Der Befehl kprop gibt "Unterbrochene Pipe" zurück, wenn kpropd.acl keinen Eintrag für den Master hat

Beschreibung:

Wenn /etc/krb5/kpropd.acl auf einem Slave-KDC nicht ordnungsgemäß eingerichtet ist, dann schlägt der Befehl kprop mit der Meldung "Unterbrochene Pipe" fehl.


4178210: gkadmin: wenn das Ticket abläuft, sollte zum Anmeldefenster zurückgekehrt werden, damit die Authentisierung erneuert werden kann

Beschreibung:

Wenn der Berechtigungsnachweis des Administrators, der zur Zeit bei gkadmin angemeldet ist, abläuft, dann wäre es nett, wenn gkadmin eine Meldung mit dem Hinweis "Ticket/Berechtigungsnachweis abgelaufen" anzeigt; nachdem dann der Administrator auf die Schaltfläche "OK" klickt, sollte, gkadmin das aktuelle Fenster "SEAM-Verwaltungstools" schließen und den admin-Benutzer zum Fenster "Anmeldung SEAM-Verwaltung" bringen und dabei die Eingabeaufforderung im Feld "Paßwort" plazieren, um damit auszudrücken, daß der Benutzer für die erneute Authentisierung ein Paßwort eingeben muß.


4179331: gkadmin: Kann Namen von Hauptbenutzer/Richtlinie nicht ändern

Beschreibung:

gkadmin unterstützt nicht die Fähigkeit, den Namen eines Hauptbenutzers oder einer Richtlinie zu ändern. Um denselben Effekt zu erzielen, sollte der Hauptbenutzer oder die Richtlinie in den neuen Namen mithilfe der Schaltfläche "Duplizieren" kopiert werden; der alte Name sollte dann gelöscht werden.


4184145: gkadmin: Bei einigen Elementen der Benutzeroberfläche innerhalb des Eigenschaftenfensters fehlen einige Kanten

Beschreibung:

Die Schaltfläche "..." von "Zeitüberschreitung für Listen-Cache" hat keine rechte Seite. Nach Auswahl von "Liste anzeigen" oder "Listen immer zwischenspeichern" fehlt auch beim hervorgehobenen Rechteck, das diese wählbaren Schaltflächen umgibt, die LINKE Seite.


4188923: gkadmin: kleinere Probleme mit der SEAM-Druckhilfe

Beschreibung:

Die SEAM-Druckhilfe kann Daten anzeigen, die vor einem Klicken auf "Abbrechen" eingegeben wurden. Die Abbruchfunktion sollte alle Änderungen rückgängig machen und wiederherstellen, was vorher angezeigt war. Auch wird das Textfeld "Dateiname" im Fenster der SEAM-Druckhilfe nicht ordentlich gelöscht.


4188935: gkadmin: Schaltfläche "Verlassen" funktioniert nicht richtig bei manchen Hilfefenstern

Beschreibung:

Wenn das SEAM-Verwaltungstool per xHost ausgeführt wird, dann funktioniert die Schaltfläche "Verlassen" auf einigen Hilfebildschirmen nicht einwandfrei.


4189590: kadmin und gkadmin sollten alternative Zeichenfolge drucken, wenn Lebensdauer 2^31-1 ist

Beschreibung:

Wenn der Benutzer einen neuen Hauptbenutzer erstellt und dabei wünscht, daß die Lebensdauer von Tickets KDC-seitig festgelegt wird, dann wird der Wert 2147483647 = 2^31-1 in der Hauptbenutzer-Datenbank gespeichert. Bei der Anzeige eines Hauptbenutzers sollten CLI und GUI nicht den Wert 2147483647 (GUI) bzw. 24855 Tage 03:14:07 (CLI) anzeigen, sondern stattdessen eine benutzerfreundlichere Zeichenfolge. Diese Art von Prüfung wird schon im Fall durchgeführt, bei dem das Datum 0 als "Niemals" angezeigt wird.


4191906: Zeitangabe in der Warnungsmeldung bei Ablauf des Berechtigungsnachweises ist irreführend

Beschreibung:

Wenn der eigentliche Ticketablauf kleiner als die Warnschwelle in /etc/krb5/warn.conf ist, dann besagt die ausgegebene Warnmeldung, daß dasTicket innerhalb der in warn.conf angegebenen Zeit ablaufen wird und nicht zum Ende der Ablaufzeit.


4191933: Service-Tickets werden nicht im Ticket-Cache gespeichert, wenn kinit bei einer Lebensdauer von weniger als 30 Minuten verwendet wird

Beschreibung:

Wenn ein Benutzer über kinit -l Berechtigungsnachweise (d. h. ein Ticket-Granting Ticket) erwirbt, und die Lebensdauer ist weniger als 30 Minuten, dann werden aus dem Berechtigungsnachweis gewonnene Service-Tickets nicht im Ticket-Cache angezeigt. Der Grund liegt darin, daß SEAM automatisch versucht, den Berechtigungsnachweis zu verlängern, wenn ein verlängerbarer Berechtigungsnachweis weniger als 30 Minuten Lebensdauer hat, um so die Bedienbarkeit so leicht wie möglich zu machen. Die Verlängerung eines Berechtigungsnachweises hat zur Folge, daß der vorherige Berechtigungsnachweis und die aus ihm gewonnenen Service-Tickets entfernt werden. Es gibt keine andere Auswirkung, weil jede Sitzung, die mit dem alten Service-Ticket eröffnet wurde, nur so lange wie die Lebensdauer des Tickets dauert. Rufen Sie nicht kinit mit der Option -l auf, womit eine Ticket-Lebensdauer von weniger als 30 Minuten angegeben wird.


4193608: kinit -s hat einige Probleme

Beschreibung:

Ein Benutzer kann kinit nicht verwenden, um ein nachdatiertes Ticket mit einer Startzeit später als 19 Tage vom aktuellen Tagesdatum erwerben.


4193925: gkadmin: Inkonsistenz im Verhalten der Eingabetaste beim Erstellen einer neuen Richtlinie

Beschreibung:

Nach Eingabe eines Richtliniennamens mit Standard-Parameterwerten im Bereich "Richtliniendetails" wird derzeit bei Drücken der Eingabetaste (Return) nicht automatisch die Richtlinie erstellt. Die Eingabetaste sollte eine Aktion auslösen, die dem Klicken auf die Schaltfläche "Fertig" entspricht.


4194001: gkadmin: Feld "Zuletzt geändert von:" zeigt nicht den vollständigen Namen an

Beschreibung:

Das Feld "Zuletzt geändert von" zeigt nicht den Instanznamen an, wodurch Admin-Hauptbenutzer nicht richtig identifiziert werden.


4206443: Dokumentieren der Verhandlung von Lebensdauer und verlängerbarer Lebensdauer in Online-Dokumentation zu kinit

Beschreibung:

Wenn ein Benutzer in der Befehlszeile die Lebensdauer angibt, dann ist die tatsächliche Lebensdauer des erhaltenen Tickets wenigstens eine der folgenden:

  • In Befehlszeile angegebener Wert

  • In KDC-Konfigurationsdatei angegebener Wert

  • Der für den Server-Hauptbenutzer in der Kerberos-Datenbank angegebene Wert; im Fall von kinit ist dies krbtgt/< bereichsname>.

  • Der in der Kerberos-Datenbank für den Benutzer-Hauptbenutzer angegebene Wert


4210970: gkadmin: Datum/Uhrzeit-Hilfe ändert bei Jahreswechsel nicht 29. Feb. in 28. Feb.

Beschreibung:

Bei Änderung des Jahres in der Datum/Uhrzeit-Hilfe wird das maximale zulässige Datum dieses Monats nicht neu berechnet.


4218214: gkadmin: Eingabetaste funktioniert nicht bei hervorgehobenen Schaltflächen der Benutzeroberfläche

Beschreibung:

Obwohl Klicken mit der Maus auf Schaltflächen der Benutzeroberfläche funktioniert, ist dies leider nicht der Fall, wenn die Eingabetaste (Return) für die hervorgehobene Schaltfläche gedrückt wird.


4220042: "kadmin: add_principal -expire "1/1/2000 7:00am" xhu" funktioniert nicht

Beschreibung:

Die Option -expire für den Befehl add_principal von kadmin funktioniert nicht, wenn eine Vormittagszeit (a.m.) angegeben wird. Zum Beispiel: 


kadmin: add_principal -expire "9/1/1999 7:00am" xhu
Ungültige Datumsangabe "9/1/1999 7:00am".

Die Verwendung von "pm" funktioniert. Um eine a.m.-Zeit zu erhalten, fügen Sie nicht "am" bei der Angabe von Vormittagszeiten hinzu. Dieser Hauptbenutzer wird so hinzugefügt:


kadmin: add_principal -expire "9/1/1999 7:00"

4245090: Dokumentieren, wie Hauptbenutzer ohne Verwendung von DNS hinzugefügt werden

Beschreibung:

Die Verfahren in der SEAM-Dokumentation wurden auf der Basis einer DNS-Verwendung geschrieben, weswegen alle Host- und Service-Hauptbenutzer voll qualifizierte Domainnamen haben. Wenn Sie DNS nicht verwenden, fügen Sie beim Erstellen von Hauptbenutzern nicht den Domainnamen hinzu. Zum Beispiel würde kdc1.acme.com heißen: kdc1.