第 1 章 SEAM 产品概述

本章提供了Sun^TM企业鉴别机制(SEAM)产品的总概述。其中包括如下主题：

• "版本内容"

• "SEAM产品相依性"

• "状态"

• "已知故障"

介绍

SEAM版本旨在通过支持 Kerberos V5 鉴别、专用性和综合性来改进系统的安全性。当使用Kerberos化的登录机制时，通过允许单个网络进入和提供Kerberos化的NFS^TM服务亦应当使安全性得到提高。

版本内容

该版本包括如下：

• 密钥分配中心(KDC)

• KDC服务

  • kadmind和krb5kdc

• KDC管理实用程序

  • kadmin、kadmin.local和gkadmin

  • kpropd

• Kerberos 实用程序

  • kdestroy、kinit、klist和kpasswd

• Kerberos化的实用程序和守护程序

  • ftp、rcp、rlogin、rsh和telnet

  • ftpd、rlogind、rshd和telnetd

• 文档包括：

  • Sun Enterprise Authentication Mechanism Guide - zh

  • SEAM安装和版本说明(本文件)

  • 手册页

SEAM产品相依性

必须安装 Solaris 2.6 或 2.7 版本以便本产品能够运转。XFN和JDK^TM 1.1版本也必须予以安装。

状态

SEAM是一个正在进化中的软件，可进行更改。

SEAM的互用性

SEAM的互用性已经通过MIT Kerberos V5 1.0 和 NT 5.0 装置进行了测试。

SEAM与MIT的互用性

SEAM用如下警告与MIT装置相互作用：

1. gkadmin和kadmin不能在MIT KDC中工作。 该故障的原因是gkadmin和kadmin使用RPCSEC_GSS协议来确保与KDC的连接。MIT Kerberos V5 1.0 装置则使用非标准的AUTH_GSSAPI协议以提供安全性。由于这两个协议是不同的，您不能用 MIT KDC 使用 gkadmin和kadmin。

2. SEAM不包括ksu的命令。作为替代，使用PAM让su做ksu所做的大多数功能。不同的一点是ksu通过浏览.k5login文件来看正在使用su的用户如有 Kerberos V5 资格，没有口令是否允许他这样做。而SEAM不能做这种检查。

3. 不建议让SEAM 和MIT Kerberos V5 代码共存于同一台主机上。 这在理论上是可行的，但不予支持。

4. SEAM要求rpcbind进行运行。MIT Kerberos V5 装置则无此要求。

SEAM与NT的互用性

有关SEAM与NT的互用性信息能在下处找到：http://www.connectathon.org/seam1.0。该站点包含用于让SEAM与NT互用的测试结果和程序的最新信息。

已知故障

这是SEAM 1.0版中已知故障的列表。每个项目包括故障数目、故障症状以及有关故障的简短描述。

4084755：dtlockscreen使用传统的方法检查口令，而不是使用PAM检查口令。

描述：

dtlockscreen使用传统的检查方法而不是使用PAM来确定用户的口令是否有效。只有当这种方法失败时才调用PAM。这是一个潜在的安全问题，因为用户仅用由UNIX^TM鉴别的名字服务所定义的口令就有可能进入正在显示屏幕锁的一个系统。

4189642：在Kerberos化的rsh使用信息中的无用信息

描述：

rsh、rlogin和rcp打印出非法选项的选项字符串。它们应打印出程序名字。

4211978：gkadmin：口令到期：字段显示产生误解的信息

描述：

当gkadmin用于更改口令时，口令到期时间发生变更，因为它从分配给授权对象的策略中获得到期时间。GUI并没有明确该到期时间来自策略。无论口令是否用kadmin、kadmin.local、gkadmin、kpasswd或passwd进行更改，口令到期的效果是真的。

用户需要知道每次更改口令有两种选择：或者清除口令到期字段通过咨询策略让服务器填上，或者在字段内输入日期以明确设定到期日期。

4143644：Kerberiro 化的 rsh -f 不能正确地工作

描述：

如果用户明确申请可转发资格，而如果没有可转发资格的话，rsh应发生故障。

4159036："telnet> 启用加密 DES_OFB64" 中止对话

描述：

加密类型DES_OFB64不能用来在telnet中进行数据加密。唯一能用于加密的是DES_CFB64，它亦是默认加密类型。

4159419：当生成随机口令时， gkadmin应尽可能咨询策略

描述：

当用户使用gkadmin为某一授权对象生成随机口令时，该工具应当尽量咨询所用的策略以决定字符数量和字符分类数量。在多数情况下，这将导致由kadmin API 接受第一个被生成的口令。

4170403：在跨区域的Kerberos化的rlogin使用不正确的口令不会出现故障

描述：

当 Kerberos 化的 rlogin 在 inetd.conf中被启用而不在 pam.conf (在运行rlogin服务器的主机上)被启用时，用户当在区域间使用rlogin时可运用 Kerberos V5 进行正确鉴别。 然而，如果用户被提示输入口令，任何口令均被接受。这并不是一个安全漏洞，因为用户已被通过Kerberos V5被授权。 如果在netd.conf中启用它，则应避免在pam.conf中禁用Kerberos化的rlogin。

4172240：当 -r 选项用于telnet时，telnet报告换码符为^]

描述：

换码符为~，如手册页中所描述。

4177603：当kpropd.acl遗漏主设备条目时，kpropd命令返回"传输中断"

描述：

如果/etc/krb5/kpropd.acl未能适当地设置在从属的KDC上，客户机上的kprop命令由于"传输中断。"而失效。

4178210：gkadmin：当票券到期时，它应回到登录窗口进行重新鉴别。

描述：

当现已登录到gkadmin的管理资格到期时，如果gkadmin弹出信息说"票券/资格到期"，那就太好了；那么在管理员单击"确定"按钮后，gkadmin应关闭当前的"SEAM管理工具"窗口，并在通过"口令："字段的当前提示表明管理用户需要输入口令以便进行重新鉴别后，使管理用户回到"SEAM管理登录"窗口。

4179331：gkadmin：不要更改授权对象/策略名

描述：

gkadmin不支持更改授权对象或策略名的能力。为达到同样的效果，授权对象或策略应使用"复制"按钮复制到一个新的名字，然后应删除其原名。

4184145：gkadmin：在"属性"窗口内的一些GUI项目丢失了一些边缘

描述：

"列表缓存超时"的"..."按钮丢失了右边。同样，在选择了"显示列表"或"永久缓存列表"之后，包围这些可选按钮的高亮矩形丢失了LEFT边缘。

4188923：gkadmin：SEAM打印帮助程序有一些小问题

描述：

SEAM打印帮助程序能在打击"取消"之前显示已输入的数据。"取消"应当撤销更改并恢复原先所有的一切。同样，在"SEAM打印帮助程序"窗口内的"文件名"字段不会适当清除。

4188935：gkadmin："撤消"按钮在某些"帮助"窗口不能正确运行

描述：

当xhosting SEAM GUI 管理工具时，"撤消"按钮在某些"帮助"屏幕上不能正确运行。

4189590：当期限为2^31-1时， kadmin和gkadmin应打印替代字符串

描述：

当用户创建一个新的授权对象要把票券期限设置在KDC侧时，值2147483647 = 2^31-1 被存储到授权对象数据库中。当查看授权对象时，CLI和GUI不应显示值2147483647(GUI)或24855天03:14:07(CLI)，而显示一个更加用户友善的字符串。当日期0以"永不"字样打印出来时，这种检查早已完成。

4191906：当资格到期时，警告msg上的时间是误导的

描述：

如果初始票券到期少于在/etc/krb5/warn.conf的警告阈，那么，发出的警告信息将告诉您该票券将在warn.conf文件中所规定的时间内到期，而不是在票券到期时间到期。

4191933：当使用期限少于30分钟的kinit时，服务票券不会被储存在票券缓存内

描述：

当用户使用期限不到30分钟的 kinit-l 获取资格(具有票券授予权的票券)时，任何由此资格衍生的服务票券均不会出现在票券缓存中。这是因为当可续延的资格期限少于30分钟时，SEAM便会自动延长该资格以最大限度地方便用户。续延某一资格导致该原先的资格以及由该资格衍生的服务票券被删除。这不会产生其它影响，因为用旧的服务票券建立的任何对话持续时间以票券期限为限。请不要用带-l选项的kinit来指定少于30分钟的票券期限。

4193608：kinit-s 有一些问题

描述：

用户无法用kinit取得从今天开始计算超过19天后方开始计时的填迟日期票券。

4193925：当创建新策略时出现不稳定的回车键行为

描述：

目前，在"策略细节"面板上使用默认参数值输入一策略名后，按回车键并不会自动创建该策略。按回车键应当和单击"完成"按钮的作用相当。

4194001：gkadmin："上次更改人："字段未显示全名

描述：

"上次更改人"字段未显示实例名，因此管理授权对象没有被正确识别。

4206443：在kinit手册页上提供期限及可续延期限协商文件

描述：

当用户在命令行中确定期限时，获得票券的实际期限为下列最小值：

• 在命令行中指定的值

• 在KDC配置文件中指定的值

• 在Kerberos数据库中为服务授权对象指定的值；就kinit而言，它为 krbtgt/<realmname>。

• 在Kerberos数据库中为用户授权对象指定的值

4210970：gkadmin：如果年份被更改，日期/时间帮助程序不会把2月29日变为2月28日

描述：

在日期/时间帮助程序中变更年份并不会重新计算那个月的最大允许日期。

4218214：gkadmin："回车"键不能在被高亮的GUI按钮上起作用

描述：

当用鼠标器单击GUI按钮时，不小心在GUI按钮上按了"输入"或"回车"键并不会产生作用。

4220042："kadmin: add_principal -expire "1/1/2000 7:00am" xhu" 不工作。

描述：

当指定午前时间时，kadmin的add_principal命令的-到期选项不发生作用。例如：

Kadmin:add_principal -expire "9/1/1999 7:00am" xhu Invalid date specification "9/1/1999 7:00am".

使用"pm"会发生作用。在正午之前使用午前时间时，请不要在指定时间中加入"am"。加入这种授权对象的方法为：

kadmin:add_principal -expire "9/1/1999 7:00"

4245090：提供当不使用DNS时如何加入授权对象的文件

描述：

SEAM文档中的程序在使用DNS的基础上被写入，因此所有主机和服务授权对象均使用完全合格的域名。如果不使用DNS，那么在创建授权对象时请不要包括域名。举例说明， kdc1.acme.com 将应是kdc1。