| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
DES-Verschlüsselung mit Secure NFS
Diffie-Hellman-Authentifizierung und Secure RPC
Implementierung der Diffie-Hellman-Authentifizierung
Verwalten von Secure RPC (Übersicht der Schritte)
Verwalten von Authentifizierung mit Secure RPC (Aufgaben)
So starten Sie den Schlüsselserver mit Secure RPC neu
So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS+-Host ein
So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS+-Benutzer ein
So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS-Host ein
So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS-Benutzer ein
So können Sie NFS-Dateien mit Diffie-Hellman-Authentifizierung gemeinsam nutzen
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Indem Sie eine Authentifizierung für die Verwendung eingehängter NFS-Dateisysteme fordern, können Sie die Sicherheit im Netzwerk erhöhen.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
Führen Sie dieses Verfahren auf jedem Host in der NIS+-Domain aus. Nachdem durch den root der Befehl keylogin ausgeführt wurde, verfügt der Server über GSS-API-Verarbeiter-Berechtigungsnachweise für mech_dh und der Client über GSS-API-Initiator-Berechtigungsnachweise.
Eine ausführliche Beschreibung der NIS+-Sicherheit erhalten Sie unter System Administration Guide: Naming and Directory Services (NIS+).
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Fügen Sie folgende Zeile zur Datei /etc/nsswitch.conf hinzu:
publickey: nisplus
# nisinit -cH hostname
Ersetzen Sie hostname durch den Namen eines vertrauenswürdigen NIS+-Servers, der einen Eintrag in den zugehörigen Tabellen für das Clientsystem enthält.
Geben Sie die folgenden Befehle ein:
# nisaddcred local # nisaddcred des
Wenn Sie zur Eingabe eines Passworts aufgefordert werden, wurde das Verfahren erfolgreich durchgeführt.
# keylogin Password:
Beispiel 16-1 Einrichten eines neuen Schlüssels für root auf einem NIS+-Client
Im folgenden Beispiel wird der Host pluto für die Einrichtung von earth als ein NIS+-Client verwendet. Sie können die Warnungen ignorieren. Durch Akzeptieren des Befehls keylogin wird sichergestellt, dass earth als sicherer NIS+-Client ordnungsgemäß eingerichtet wurde.
# nisinit -cH pluto NIS Server/Client setup utility. This system is in the example.com. directory. Setting up NIS+ client ... All done. # nisaddcred local # nisaddcred des DES principal name : unix.earth@example.com Adding new key for unix.earth@example.com (earth.example.com.) Network password:<Type password> Warning, password differs from login password. Retype password: <Retype password> # keylogin Password: <Type password> #
Führen Sie dieses Verfahren für jeden Benutzer in der NIS+-Domain aus.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Geben Sie folgenden Befehl ein:
# nisaddcred -p unix.UID@domain-name -P username.domain-name. des
Beachten Sie, dass in diesem Fall username.domain-name auf einen Punkt (.) enden muss.
Beispiel 16-2 Einrichten eines neuen Schlüssel für einen NIS+-Benutzer
Im folgenden Beispiel wird ein Schlüssel für die Diffie-Hellman-Authentifizierung an den Benutzer jdoe übergeben.
# nisaddcred -p unix.1234@example.com -P jdoe.example.com. des DES principal name : unix.1234@example.com Adding new key for unix.1234@example.com (jdoe.example.com.) Password: <Type password> Retype password:<Retype password> # rlogin rootmaster -l jdoe % keylogin Password: <Type password> %
Führen Sie dieses Verfahren auf jedem Host in der NIS-Domain aus.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Fügen Sie folgende Zeile zur Datei /etc/nsswitch.conf hinzu:
publickey: nis
# newkey -h hostname
Ersetzen Sie hostname durch den Namen des Clients.
Beispiel 16-3 Einrichten eines neuen Schlüssels für root auf einem NIS-Client
Im folgenden Beispiel wird earth als ein sicherer NIS-Client eingerichtet.
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Führen Sie dieses Verfahren für jeden Benutzer in der NIS-Domain aus.
Bevor Sie beginnen
Nur Systemadministratoren, die am NIS-Master-Server angemeldet sind, können einen neuen Schlüssel für einen Benutzer generieren.
Die Rolle "Primary Administrator" enthält das gleichnamige Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
# newkey -u username
Ersetzen Sie username durch den Namen des Benutzers. Das System fordert Sie zur Eingabe eines Passworts auf. Sie können ein allgemeines Passwort eingeben. Der private Schlüssel wird in verschlüsselter Form durch ein allgemeines Passwort gespeichert.
Durch diesen Befehl können Benutzer ihre privaten Schlüssel durch ein nur dem Benutzer bekanntes Passwort erneut verschlüsseln.
Hinweis - Mit dem Befehl chkey kann ein neues Schlüsselpaar für einen Benutzer erstellt werden.
Beispiel 16-4 Einrichten und Verschlüsseln eines neuen Benutzerschlüssels in NIS
In diesem Beispiel richtet der Superuser den Schlüssel ein.
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Anschließend verschlüsselt der Benutzer jdoe den Schlüssel mit einem privaten Passwort erneut.
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
Durch dieses Verfahren werden gemeinsam genutzte Dateisysteme auf einem NFS-Server geschützt, indem eine Authentifizierung für den Zugriff benötigt wird.
Bevor Sie beginnen
Die Diffie-Hellman-Authentifizierung mit öffentlichen Schlüsseln muss auf dem Netzwerk aktiviert sein. Führen Sie eines der folgenden Verfahren durch, um die Authentifizierung auf dem Netzwerk zu aktivieren:
So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS+-Host ein
So richten Sie einen Diffie-Hellman-Schlüssel für einen NIS-Host ein
Beispielsweise beinhaltet die Rolle des Systemadministrators das File System Management-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte).
# share -F nfs -o sec=dh /filesystem
Ersetzen Sie filesystem durch das Dateisystem, das gemeinsam genutzt werden soll.
Die Option -o sec=dh bedeutet, dass die Authentifizierung AUTH_DH für den Zugriff auf das Dateisystem erforderlich ist.
# mount -F nfs -o sec=dh server:filesystem mount-point
Entspricht dem Namen des Systems, auf dem filesystem gemeinsam genutzt wird
Entspricht dem Namen des Dateisystems, das gemeinsam genutzt wird, beispielsweise opt
Entspricht dem Namen des Einhängepunkts, beispielsweise /opt
Durch die Option -o sec=dh wird das Dateisystem mit der Authentifizierung AUTH_DH eingehängt.
|