Solaris 9 作業環境的新功能

安全性增強功能

功能說明	發行日期
網路金鑰交換 (IKE) 協定網路金鑰交換（Internet Key Exchange，IKE）會將 IPsec 的密鑰管理自動化。 IKE 會取代 IPv4 網路上的手動密鑰指派和更新，其讓管理員能夠管理大量的安全網路。系統管理員使用 IPsec 以設定安全 IPv4 網路。 `in.iked` 常駐程式提供開機時的密鑰衍生、認證和認證保護。常駐程式是可配置的。管理員在配置檔中設定參數。在設定好參數之後，就不需要手動密鑰更新。若需要進一步的資訊，請參閱 "Internet Key Exchange" in System Administration Guide: IP Services。	Solaris 9
Solaris 安全 Shell 「安全 Shell」允許使用者能透過不安全的網路來安全地存取遠端主機。資料傳輸和互動式使用者網路階段作業都會受到保護，免於被竊聽、階段作業被侵襲及過程中被侵襲。 Solaris 9「安全 Shell」支援 SSHv1 和 SSHv2 協定版本。利用公用密鑰密碼學提供了加強式認證。為了有額外的保護，「X 視窗系統」和其他網路服務可以透過「安全 Shell」連接提供安全通道。 Secure Shell 伺服器 `sshd` 支援網路服務進來請求的監控和過濾支援。伺服器可以配置來紀錄進來請求的用戶端主機名稱，因此可增加網路的安全性。 `sshd` 使用描述在"免費軟體" 的 `Tcp-wrappers 7.6` 公用程式所使用的相同機制。如需進一步的資訊，請參閱 sshd(1M), `hosts_access`(4) 和 `hosts_options`(4) 線上援助頁。	Solaris 9
Kerberos 密鑰分配中心 (KDC) 和管理工具系統管理員可以利用 Kerberos V5 認證、私密性和整合性來改善系統安全性。 NFS 是使用 Kerberos V5 提供安全性的應用程式範例。下列清單顯示 Kerberos V5 的新功能。 Kerberos V5 伺服器 - 該伺服器包括下列的元件：主要的（使用者）管理系統 - 包括一個中央伺服器，它是作為主要使用者和安全性策略的本機和遠端管理之用。系統同時包括 GUI 和 CLI 管理工具。「密鑰分配中心」（KDC）- 使用管理伺服器所建立的主要資料庫資訊並發佈用戶端的憑證。主要資料庫複製系統 - 將 KDC 資料庫複製到備份伺服器 MIT 以及 Microsoft Windows 2000 密碼變更相互可操作性 - Kerberos V5 密碼現在可以從 Solaris 用戶端變更為 MIT Kerberos 伺服器以及 Windows 2000。調整的 DES - Kerberos V5 核心 DES 作業已針對 Sun4u 系統進行最佳化。 Kerberos 加密通訊現在支援 Solaris 核心 - 在 Solaris 9 版本中，Solaris 作業環境提供支援 Kerberos 加密通訊的的加密模組。之前，只有在 Solaris Encryption Kit CD-ROM 或透過網際網路下載才能取得加密模組。無位址的憑證 - 系統管理員以及使用者現在可以指定無位址的憑證。此能力在多網址以及 NAT 網路環境中可能是必須的。 Kerberos V5 PAM 模組支援密碼老化 - 該 `pam_krb5` 模組針對每個主要使用者在 KDC 中支援密碼老化集。若需要進一步資訊，請參閱 "Administering the Kerberos Database" in System Administration Guide: Security Services。	Solaris 9
安全 LDAP 用戶端 Solaris 9 發行版本包括以 LDAP 用戶端為基礎的安全性新功能。提供 SSL（TLS）以及 CRAM-MD5 加密機制新的 LDAP 程式庫。這些加密的機制讓客戶能夠在線上部署 LDAP 用戶端以及 LDAP 伺服器之間加密的方法。若需要關於 LDAP 目錄伺服器，「iPlanet 目錄伺服器 5.1」的進一步資訊，請參閱"網路"。	Solaris 9
IPsec 和 Kerberos 的加密模組 Solaris 9 版本包含最大鍵長度 128 位元的加密。在 Solaris 9 版本之前，只有在 Solaris Encryption Kit CD-ROM 或透過網際網路下載可以取得加密模組。 Solaris 9 作業環境中有一些這種演算法。這些演算法包括 Kerberos 的 56 位元 DES 私密性支援，以及 56 位元 DES 和 IPsec 的 3 鍵 Triple-DES 支援。註解 - 此外，在 Solaris 9 版本中，以 IPsec 支援大於 128 位元的加密，可以在 Solaris Encryption Kit CD-ROM 或透過網際網路下載取得。 IPsec 支援 128 位元、192 位元或 256 位元的先進加密標準 (AES) 和 32 位元到 448 位元的 Blowfish (以 8-位元遞增)。如需 IPsec 支援的資訊，請參閱 "IPsec (Overview)" in System Administration Guide: IP Services。如需 Kerberos 支援的資訊，請參閱 "Introduction to SEAM" in System Administration Guide: Security Services。	Solaris 9
IPv6 的 IP 安全性架構 Solaris 9 版本中增強 IPsec 的安全性架構，以確保機器間 IPv6 資料封包的安全。對於 Solaris 9 版本，只有使用 IPv6 的 IPsec 時，才支援使用手冊鍵。註解 - IPv4 的 IPsec 安全性架構在 Solaris 8 版本中做介紹。IPv4 可用 Internet Key Exchange (IKE) 通訊協定。如需要進一步資訊，請參閱 "IPsec (Overview)" in System Administration Guide: IP Services。	Solaris 9
以角色為基礎的存取控制 (RBAC) 增強功能以角色為基礎的存取控制（RBAC）資料庫能夠透過「Solaris 管理主控台」的圖形介面來管理。授權現在也可以經由在`policy.conf`檔案中的預設值來指定。此外，如今權限中還可以包含其他權限。若需要關於 RBAC 的進一步資訊，請參閱"角色型存取控制（RBAC）"。若需要進一步的資訊，請參閱 "Role-Based Access Control (Overview)" in System Administration Guide: Security Services。	Solaris 8 1/01
Xserver 連接安全性選項新的選項讓系統管理員能夠只允許加密的連接至 Solaris X 伺服器。若需要進一步的資訊，請參閱"Xserver 功能"。	Solaris 9
一般安全性服務應用程式設計介面 (GSS-API) 「一般安全性服務應用程式設計介面」(GSS-API) 是個安全性框架，能使得應用程式可以保護其所傳輸的資料。 GSS-API 對於應用程式提供有認證、整合以及機密性的服務。此介面允許這些應用程式基於安全性考量而成為完全地一般性。也就是說，應用程式不需要知道所使用的基礎平台 (例如 Solaris 平台) 或安全性機制 (例如 Kerberos)。這代表使用 GSS-API 的應用程式具有高度的可攜性。若需要更多資訊，請參閱「GSS-API Programming Guide」。	Solaris 8 6/00
其他安全性軟體若需 SunScreen ^TM3.2 的防火牆產品相關資訊，請參閱"附加的軟體"。請參閱"免費軟體" 取得關於 Solaris 9 發行版本中 `Tcp-wrappers 7.6` 免費軟體的資訊。 `Tcp-wrappers 7.6` 為小型常駐程式，可用來監視並過濾進來的網路服務要求。	Solaris 9