Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
Möglichkeiten zur Verwaltung von Kerberos-Hauptelementen und -Richtlinien
Befehlszeilenäquivalente des SEAM-Tools
Die einzige vom SEAM-Tool geänderte Datei
Druck- und Onlinehilfefunktionen des SEAM-Tools
Arbeiten mit großen Listen im SEAM-Tool
Verwalten von Kerberos-Hauptelementen
Verwalten von Kerberos-Hauptelementen (Übersicht der Schritte)
Automatisieren der Erstellung neuer Kerberos-Hauptelemente
So zeigen Sie die Liste der Kerberos-Hauptelemente an
So zeigen Sie die Attribute eines Kerberos-Hauptelements an
So erstellen Sie ein neues Kerberos-Hauptelement
So duplizieren Sie ein Kerberos-Hauptelement
So ändern Sie ein Kerberos-Hauptelement
So löschen Sie ein Kerberos-Hauptelement
So richten Sie Standardwerte zur Erstellung neuer Kerberos-Hauptelemente ein
So ändern Sie die Kerberos-Administratorberechtigungen
Verwalten von Kerberos-Richtlinien
Verwalten von Kerberos-Richtlinien (Übersicht der Schritte)
So zeigen Sie die Liste der Kerberos-Richtlinien an
So zeigen Sie die Attribute einer Kerberos-Richtlinie an
So erstellen Sie eine neue Kerberos-Richtlinie
So duplizieren Sie eine Kerberos-Richtlinie
So ändern Sie eine Kerberos-Richtlinie
So löschen Sie eine Kerberos-Richtlinie
Beschreibungen der SEAM-Tool-Fensterbereiche
Verwenden des SEAM-Tools mit eingeschränkten Kerberos-Administratorberechtigungen
Verwalten von Schlüsseltabellendateien
Verwalten von Schlüsseltabellendateien (Übersicht der Schritte)
So fügen Sie ein Service-Hauptelement von Kerberos zu einer Schlüsseltabellendatei hinzu
So entfernen Sie ein Service-Hauptelement aus einer Schlüsseltabellendatei
So zeigen Sie die Schlüsselliste (Hauptelemente) in einer Schlüsseltabellendatei an
So deaktivieren Sie vorübergehend die Authentifizierung für einen Service auf einem Host
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Jeder Host, der einen Service bereitstellt, muss über eine lokale Datei verfügen, eine sogenannte Schlüsseltabelle. Die Schlüsseltabelle enthält das Hauptelement für den entsprechenden Service, einen Serviceschlüssel. Mit einem Serviceschlüssel authentifiziert sich ein Service beim KDC. Der Serviceschlüssel ist nur Kerberos und dem Service selbst bekannt. Beispiel: Wenn Sie einen kerberisierten NFS-Server haben, muss dieser Server eine Schlüsseltabellendatei aufweisen, die dessen Service-Hauptelement nfs enthält.
Zum Hinzufügen eines Serviceschlüssels zu einer Schlüsseltabellendatei fügen Sie mit dem Befehl ktadd von kadmin das entsprechende Service-Hauptelement zu einer Schlüsseltabellendatei eines Hosts hinzu. Da Sie ein Service-Hauptelement zu einer Schlüsseltabellendatei hinzufügen, muss das Hauptelement bereits in der Kerberos-Datenbank vorliegen, damit kadmin prüfen kann, ob es vorhanden ist. Auf dem Master-KDC befindet sich die Schlüsseltabellendatei standardmäßig unter /etc/krb5/kadm5.keytab. Auf Anwendungsservern, die kerberisierte Services bereitstellen, liegt die Schlüsseltabellendatei standardmäßig unter /etc/krb5/krb5.keytab.
Eine Schlüsseltabelle entspricht dem Passwort eines Benutzers. Der Schutz der Schüsseltabellendateien ist für Anwendungsserver ebenso wichtig wie für Benutzer der Schutz ihrer Passwörter. Sie sollten Schlüsseltabellendateien immer auf einer lokalen Festplatte speichern und sie nur für den root-Benutzer lesbar machen. Zudem sollten Sie eine Schlüsseltabellendatei nie über ein ungesichertes Netzwerk versenden.
Es ist außerdem eine spezielle Instanz vorhanden, in der ein root-Hauptelement zu der Schlüsseltabellendatei eines Hosts hinzugefügt wird. Wenn ein Benutzer auf dem Kerberos-Client kerberisierte NFS-Dateisysteme einhängen soll, für die root-äquivalenter Zugriff erforderlich ist, müssen Sie das root-Hauptelement des Clients zu der Schlüsseltabellendatei des Clients hinzufügen. Andernfalls müssen Benutzer zum Einhängen eines kerberisierten NFS-Dateisystems mit root-Zugriff den Befehl kinit als root verwenden, um Berechtigungsnachweise für das root-Hauptelement des Clients zu erhalten, auch wenn sie den Automounter verwenden.
Hinweis - Wenn Sie ein Master-KDC einrichten, müssen Sie die Hauptelemente kadmind und changepw zu der Datei kadm5.keytab hinzufügen.
Ein weiterer Befehl zum Verwalten von Schlüsseltabellendateien ist ktutil. Mithilfe dieses interaktiven Befehls können Sie die Schlüsseltabellendatei eines lokalen Hosts ohne Kerberos-Administratorberechtigungen verwalten, da ktutil nicht wie kadmin mit der Kerberos-Datenbank kommuniziert. Somit können Sie nach dem Hinzufügen eines Hauptelements zu einer Schlüsseltabellendatei den Befehl ktutil verwenden, um die Schlüsselliste in einer Schlüsseltabellendatei anzuzeigen oder die Authentifizierung für einen Service vorübergehend zu deaktivieren.
Hinweis - Wenn Sie ein Hauptelement in einer Schlüsseltabellendatei mit dem Befehl ktadd in kadmin ändern, wir ein neuer Schlüssel generiert und der Schlüsseltabellendatei hinzugefügt.
|
Weitere Informationen finden Sie unter So zeigen Sie die Liste der Kerberos-Hauptelemente an.
# /usr/sbin/kadmin
kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
Überschreibt die Liste der in der Datei krb5.conf definierten Verschlüsselungstypen.
Gibt die Schlüsseltabellendatei an. Standardmäßig wird /etc/krb5/krb5.keytab verwendet.
Zeigt weniger ausführliche Informationen an.
Gibt das der Schlüsseltabellendatei hinzuzufügende Hauptelement an. Sie können folgende Service-Hauptelemente hinzufügen: host, root, nfs und ftp.
Gibt die Hauptelement-Ausdrücke an. Alle Hauptelemente, die principal-exp entsprechen, werden der Schlüsseltabellendatei hinzugefügt. Für Hauptelement-Ausdrücke gelten dieselben Regeln wie für den Befehl list_principals von kadmin.
kadmin: quit
Beispiel 25-16 Hinzufügen eines Service-Hauptelements zu einer Schlüsseltabellendatei
Im folgenden Beispiel werden die Hauptelemente kadmin/kdc1.example.com und changepw/kdc1.example.com zu der Schlüsseltabellendatei eines Master-KDC hinzugefügt. Für dieses Beispiel muss es sich bei der Schlüsseltabellendatei um die in der Datei kdc.conf angegebene Datei handeln.
kdc1 # /usr/sbin/kadmin.local kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.example.com changepw/kdc1.example.com Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. kadmin.local: quit
Im folgenden Beispiel wird das Hauptelement host von denver der Schlüsseltabellendatei von denver hinzugefügt, damit das KDC die Netzwerkdienste von denver authentifizieren kann.
denver # /usr/sbin/kadmin kadmin: ktadd host/denver.example.com Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
# /usr/sbin/kadmin
Weitere Informationen finden Sie unter So zeigen Sie die Schlüsselliste (Hauptelemente) in einer Schlüsseltabellendatei an.
kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
Gibt die Schlüsseltabellendatei an. Standardmäßig wird /etc/krb5/krb5.keytab verwendet.
Zeigt weniger ausführliche Informationen an.
Gibt das aus der Schlüsseltabellendatei zu entfernende Hauptelement an.
Entfernt alle Einträge für das angegebene Hauptelement, dessen Schlüsselversionsnummer kvno entspricht.
Entfernt alle Einträge für das angegebene Hauptelement.
Entfernt alle Einträge für das angegebene Hauptelement, abgesehen von den Einträgen mit der höchsten Schlüsselversionsnummer.
kadmin: quit
Beispiel 25-17 Entfernen eines Service-Hauptelements aus einer Schlüsseltabellendatei
Im folgenden Beispiel wird das Hauptelement host von denver aus der Schlüsseltabellendatei von denver entfernt.
denver # /usr/sbin/kadmin kadmin: ktremove host/denver.example.com@EXAMPLE.COM kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3 removed from keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
Hinweis - Obwohl Sie Schlüsseltabellendateien erstellen können, die Eigentum anderer Benutzern sind, sind für die Verwendung des Standardspeicherorts der Schlüsseltabellendatei root-Eigentümerberechtigungen erforderlich.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Der aktuelle Schlüssellistenpuffer wird angezeigt.
ktutil: quit
Beispiel 25-18 Anzeigen der Schlüsselliste (Hauptelemente) in einer Schlüssellistendatei
Im folgenden Beispiel wird die Schlüsselliste in der Datei /etc/krb5/krb5.keytab auf dem Host denver angezeigt.
denver # /usr/bin/ktutil ktutil: read_kt /etc/krb5/krb5.keytab ktutil: list slot KVNO Principal ---- ---- --------------------------------------- 1 5 host/denver@EXAMPLE.COM ktutil: quit
Manchmal müssen Sie gegebenenfalls den Authentifizierungsmechanismus für einen Service, wie zum Beispiel rlogin oder ftp , auf einem Anwendungsserver im Netzwerk vorübergehend deaktivieren. Beispiel: Möglicherweise möchten Sie Benutzer daran hindern, sich bei einem System anzumelden, während Sie Verwaltungsvorgänge durchführen Mithilfe des Befehls ktutil können Sie dies erreichen, indem Sie das Service-Hauptelement aus der Schlüsseltabellendatei des Servers entfernen, ohne dass dafür kadmin-Berechtigungen erforderlich sind. Zum erneuten Aktivieren der Authentifizierung müssen Sie nur die zuvor gespeicherte ursprüngliche Schlüsseltabellendatei zurück an den eigentlichen Speicherort kopieren.
Hinweis - Standardmäßig sind die meisten Services so eingerichtet, dass sie eine Authentifizierung erfordern. Wenn dies nicht der Fall ist, kann der Service auch dann noch ausgeführt werden, wenn Sie die Authentifizierung für diesen Service deaktivieren.
Hinweis - Obwohl Sie Schlüsseltabellendateien erstellen können, die Eigentum anderer Benutzern sind, sind für die Verwendung des Standardspeicherorts der Schlüsseltabellendatei root-Eigentümerberechtigungen erforderlich.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Der aktuelle Schlüssellistenpuffer wird angezeigt. Beachten Sie die Slot-Nummer für den zu deaktivierenden Service.
ktutil: delete_entry slot-number
slot-number gibt die Steckplatznummer des zu löschenden Service-Hauptelements an, das vom Befehl list angezeigt wird.
ktutil: write_kt new-keytab
ktutil: quit
# mv new-keytab keytab
Beispiel 25-19 Vorübergehendes Deaktivieren eines Service auf einem Host
Im folgenden Beispiel wird der Service host auf dem Host denver vorübergehend deaktiviert. Zum erneuten Aktivieren des Hostservice auf denver kopieren Sie die Datei krb5.keytab.temp in die Datei /etc/krb5/krb5.keytab .
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp denver # /usr/bin/ktutil ktutil:read_kt /etc/krb5/krb5.keytab ktutil:list slot KVNO Principal ---- ---- --------------------------------------- 1 8 root/denver@EXAMPLE.COM 2 5 host/denver@EXAMPLE.COM ktutil:delete_entry 2 ktutil:list slot KVNO Principal ---- ---- -------------------------------------- 1 8 root/denver@EXAMPLE.COM ktutil:write_kt /etc/krb5/new.krb5.keytab ktutil: quit denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab