| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Der folgende Abschnitt enthält Informationen zur Implementierung von SASL.
SASL-Plugins bieten Unterstützung für Sicherheitsmechanismen, die Standardisierung von Benutzern und das Abrufen von Hilfseigenschaften. Standardmäßig werden die dynamisch geladenen 32-Bit-Plugins in /usr/lib/sasl und die 64-Bit-Plugins in /usr/lib/sasl/ $ISA installiert. Folgende Plugins für Sicherheitsmechanismen stehen zur Verfügung:
CRAM-MD5: unterstützt Authentifizierung, aber keine Autorisierung
DIGEST-MD5: unterstützt Authentifizierung, Integrität, Vertraulichkeit sowie Autorisierung
GSSAPI: unterstützt Authentifizierung, Integrität, Vertraulichkeit sowie Autorisierung. Die GSSAPI-Sicherheitsmechanismen erfordern eine funktionierende Kerberos-Infrastruktur.
PLAIN: unterstützt Authentifizierung und Autorisierung
Das Sicherheitsmechanismus-Plugin EXTERNAL und das Benutzerstandardisierungs-Plugin INTERNAL sind außerdem in libsasl.so.1 integriert. Der EXTERNAL-Mechanismus unterstützt Authentifizierung und Autorisierung. Die Mechanismen unterstützen Integrität und Vertraulichkeit, sofern von der externen Sicherheitsquelle bereitgestellt. Das INTERNAL-Plugin fügt den Bereichsnamen bei Bedarf dem Benutzernamen hinzu.
Die Oracle Solaris-Version stellt derzeit keine auxprop-Plugins bereit. Damit die CRAM-MD5- und DIGEST-MD5-Mechanismus-Plugins serverseitig voll funktionsfähig sind, muss der Benutzer ein auxprop-Plugin zum Abrufen von Klartextpasswörtern angeben. Das PLAIN-Plugin erfordert zusätzliche Unterstützung zum Überprüfen des Passworts. Die Passwortüberprüfung kann durch Folgendes unterstützt werden: ein Callback zur Serveranwendung, ein auxprop-Plugin, saslauthd oder pwcheck. Die Dämonensalauthd und pwcheck stehen in den Oracle Solaris-Versionen nicht zur Verfügung. Beschränken Sie der besseren Interoperabilität halber die Serveranwendungen mit der SASL-Option mech_list auf die voll funktionsfähigen Mechanismen.
Standardmäßig ist der Client-Authentifizierungsname auf getenv("LOGNAME") eingestellt. Diese Variable kann vom Client oder vom Plugin zurückgesetzt werden.
Das Verhalten von libsasl und den Plugins lässt sich mithilfe von Optionen, die in der Datei /etc/sasl/app.conf festgelegt werden können, serverseitig ändern. Die Variable app ist der vom Server definierte Name für die Anwendung. Der Anwendungsname sollte in der Dokumentation für die app des Servers angegeben sein.
Die folgenden Optionen werden unterstützt:
Automatischer Übergang des Benutzers zu anderen Mechanismen, wenn dieser eine erfolgreiche Nur-Text-Authentifizierung durchführt
Listet den Namen der zu verwendenden Plugins für Hilfseigenschaften auf
Wählt das Plugin canon_user für die Verwendung aus
Listet die Mechanismen auf, die von der Serveranwendung verwendet werden dürfen
Listet die Mechanismen auf, die zum Überprüfen von Passwörtern verwendet werden. Derzeit ist auxprop der einzige zugelassene Wert.
Legt die Dauer (in Minuten) fest, während der Authentifizierungsinformationen für eine schnelle Neuauthentifizierung im Cache gespeichert werden. Diese Option wird vom DIGEST-MD5-Plugin verwendet. Durch Einstellen dieser Option auf 0 wird die Neuauthentifizierung deaktiviert.
Die folgenden Optionen werden nicht unterstützt:
Listet verfügbare Mechanismen auf. Wird nicht verwendet, da die Option das Verhalten des dynamischen Ladens von Plugins ändert.
Definiert den Speicherort von saslauthd-Door (Verweis), der für die Kommunikation mit dem Dämon saslauthd verwendet wird. Der Dämon saslauthd ist nicht in der Oracle Solaris-Version enthalten. Demzufolge ist auch die Option nicht verfügbar.
Definiert den Speicherort der vom GSSAPI-Plugin verwendeten Datei keytab. Verwenden Sie stattdessen die Umgebungsvariable KRB5_KTNAME, um den standardmäßigen keytab-Speicherort festzulegen.
Die nachfolgenden Optionen sind nicht in Cyrus SASL enthalten. Sie wurden jedoch für die Oracle Solaris-Version hinzugefügt:
Ruft die Berechtigungsnachweise des Clients ab anstatt die Standardberechtigungsnachweise zum Erstellen des Sicherheitskontexts für den GSS-Client zu verwenden. Standardmäßig wird die Kerberos-Identität des Standardclients verwendet.
Legt die gewünschte Protokollierungsstufe für einen Server fest
|