Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
Allgemeine Informationen zum Kerberos-Service
Funktionsweise des Kerberos-Service
Erstauthentifizierung: das Ticket-gewährende Ticket
Nachfolgende Kerberos-Authentifizierungen
Die Kerberos-Remote-Anwendungen
Die Komponenten verschiedener Kerberos-Versionen
Kerberos-Ergänzungen für die Version Solaris 10 5/08
Kerberos-Ergänzungen für die Version Solaris 10 8/07
Kerberos-Ergänzungen für die Version Solaris 10 6/06
Kerberos-Erweiterungen in der Version Solaris 10 3/05
Kerberos-Komponenten in der Version Solaris 9
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Komponenten des Kerberos-Service wurden in zahlreiche Versionen integriert. Ursprünglich wurden der Kerberos-Service sowie Änderungen, die zur Unterstützung des Kerberos-Service am Basisbetriebssystem vorgenommen wurden, unter dem Produktnamen "Sun Enterprise Authentication Mechanism" (kurz: SEAM) veröffentlicht. Da immer mehr Komponenten des SEAM-Produkts in die Oracle Solaris-Software integriert wurden, verringerte sich der Inhalt der SEAM-Version. Die Oracle Solaris-Versionen enthalten sämtliche Komponenten des SEAM-Produkts, sodass das SEAM-Produkt nicht mehr erforderlich ist. Der Name des SEAM-Produkts wird aus "historischen Gründen" in der Dokumentation verwendet.
In der folgenden Tabelle wird beschrieben, welche Komponenten in den einzelnen Versionen des Produkts enthalten sind. Die Versionen werden in chronologischer Reihenfolge aufgeführt. Sämtliche Komponenten werden in den nachfolgenden Abschnitten beschrieben.
Tabelle 21-1 Inhalt der Kerberos-Versionen
|
Ebenso wie die MIT-Distribution des Kerberos V5-Produkts umfasst der Oracle Solaris Kerberos-Service folgende Komponenten:
Key Distribution Center (KDC):
Dämon für die Verwaltung der Kerberos-Datenbank: kadmind
Dämon für die Verarbeitung von Kerberos-Tickets: krb5kdc
Programme für die Datenbankverwaltung: kadmin (nur Master), kadmin.local und kdb5_util
Software für die Datenbankweitergabe: kprop (nur Slave) und kpropd
Benutzerprogramme für die Verwaltung von Berechtigungsnachweisen: kinit , klist und kdestroy
Benutzerprogramm zum Ändern Ihres Kerberos-Passworts: kpasswd
Remote-Anwendungen: ftp, rcp, rdist, rlogin , rsh, ssh und telnet
Dämonen für Remote-Anwendungen: ftpd, rlogind, rshd, sshd und telnetd
Dienstprogramm für die Schlüsseltabellenverwaltung: ktutil
Die GSS-API (Generic Security Service Application Programming Interface): ermöglicht Anwendungen die Verwendung mehrerer Sicherheitsmechanismen, ohne dass Sie die Anwendung nach jedem Hinzufügen eines neuen Mechanismus neu kompilieren müssen. Die GSS-API verwendet Standardschnittstellen, dank derer Anwendungen sich auf viele Betriebssysteme portieren lassen. GSS-API stellt Anwendungen bereit, die die Sicherheitsservices der Integrität und der Vertraulichkeit sowie Authentifizierung umfassen. Sowohl ftp als auch ssh verwenden die GSS-API.
Die RPCSEC_GSS-API (Application Programming Interface): ermöglicht NFS-Services die Verwendung der Kerberos-Authentifizierung. RPCSEC_GSS ist eine Sicherheitsvariante, die Sicherheitsservices bereitstellt, die unabhängig von den verwendeten Mechanismen sind. RPCSEC_GSS befindet sich in der GSS-API-Schicht ganz oben. Alle plugfähigen GSS_API-basierten Sicherheitsmechanismen können von Anwendungen verwendet werden, die RPCSEC_GSS verwenden.
Darüber hinaus umfasst der Oracle Solaris Kerberos-Service Folgendes:
Graphical Kerberos Administration Tool (gkadmin): ermöglicht Ihnen die Verwaltung von Hauptelementen und Hauptelementrichtlinien. Diese auf Java-Technologie basierende GUI stellt eine Alternative zum Befehl kadmin dar.
Ein Kerberos V5-Servicemodul für PAM: bietet Authentifizierung sowie Konto-, Sitzungs- und Passwortverwaltung für den Kerberos-Service. Mithilfe des Moduls kann die Kerberos-Authentifizierung dem Benutzer transparent gemacht werden.
Kernel-Module: bieten Kernel-basierte Implementierungen des Kerberos-Service für die Verwendung durch den NFS-Service, was zu einer erheblichen Verbesserung der Leistung beiträgt.
Folgende Erweiterungen sind ab der Version Solaris 10 5/08 enthalten:
Die Kerberos-Software von Solaris wurde mit der Version MIT 1.4 synchronisiert. Insbesondere die Software für das KDC, der Befehl kinit und der Kerberos-Mechanismus wurden aktualisiert.
Zudem wurde Unterstützung für den Zugriff auf Datensätze von Kerberos-Hauptelementen und Richtlinien mit LDAP über einen Verzeichnisserver hinzugefügt. Je nach Bereitstellung der KDCs und der DSs erleichtert diese Änderung die Verwaltung und bietet höhere Verfügbarkeit. Eine Liste der auf LDAP bezogenen Verfahren finden Sie unter Verwalten eines KDC auf einem LDAP-Verzeichnisserver.
Dieser Version wurde Unterstützung für Solaris-Clients hinzugefügt, die keine zusätzliche Einrichtung erfordern. Am Kerberos-Service sowie an einigen Standardeinstellungen wurden Änderungen vorgenommen. Kerberos-Clients von Solaris funktionieren ohne clientseitige Konfiguration in Umgebungen, die ordnungsgemäß konfiguriert sind. Weitere Informationen finden Sie unter Optionen zur Clientkonfiguration.
Die MIT Kerberos V5-API (krb5-api) wird in der Version Solaris 10 8/07 unterstützt. Weitere Informationen finden Sie auf den Manpages libkrb5(3LIB) und krb5-config(1). Eine detailliertere Dokumentation finden Sie zudem auf den Webseiten des MIT Kerberos V5-Projekts unter mit.edu, sobald diese verfügbar ist.
Obwohl die krb5-api inzwischen verfügbar ist, empfiehlt Oracle nachdrücklich die Verwendung der GSS-API für die Netzwerkauthentifizierung, Integrität und Vertraulichkeit, da es sich bei der GSS-API um einen unabhängigen Sicherheitsmechanismus und um einen IETF-Standard handelt. Weitere Informationen finden Sie auf der Manpage libgss(3LIB).
In der Version Solaris 10 6/06 kann der Dämon ktkt_warnd automatisch Berechtigungsnachweise erneuern, anstatt bloß den Benutzer kurz vor Ablauf des Berechtigungsnachweises zu benachrichtigen. Der Benutzer muss angemeldet sein, damit der Berechtigungsnachweis automatisch erneuert werden kann.
Diese Kerberos-Erweiterungen sind in der Version Oracle Solaris enthalten. Einige der Erweiterungen wurden in früheren Software Express-Versionen eingeführt und in den Betaversionen von Solaris 10 aktualisiert.
Für Remote-Anwendungen wie ftp, rcp, rlogin, rsh, ssh und telnet steht Kerberos-Protokollunterstützung zur Verfügung. Weitere Informationen finden Sie auf den Manpages für die einzelnen Befehle bzw. Dämonen und auf der Manpage krb5_auth_rules(5).
Die Hauptelement-Datenbank für Kerberos muss nicht mehr jedes Mal vollständig übertragen werden, sondern kann inkrementell aktualisiert werden. Die inkrementelle Weitergabe bietet folgende Vorteile:
Bessere Konsistenz der Datenbanken auf den verschiedenen Servern
Niedrigerer Bedarf an Ressourcen (Netzwerk, CPU usw.)
Bedeutend schnellere Weitergabe von Aktualisierungen
Automatisiertes Weitergabeverfahren
Ein neues Skript zur Erleichterung der automatischen Konfiguration eines Kerberos-Clients ist mittlerweile verfügbar. Mit dessen Hilfe können Administratoren schnell und problemlos Kerberos-Clients einrichten. Informationen zu Verfahren, die das neue Skript verwenden, finden Sie unter Konfigurieren von Kerberos-Clients. Weitere Informationen finden Sie außerdem auf der Manpage kclient(1M).
Der Kerberos-Service wurde um mehrere neue Verschlüsselungstypen erweitert. Diese sorgen für mehr Sicherheit und eine verbesserte Kompatibilität mit anderen Kerberos-Implementierungen, die diese Verschlüsselungstypen unterstützen. Weitere Informationen finden Sie unter Verwenden von Kerberos-Verschlüsselungstypen. Es stehen folgende Verschlüsselungstypen zur Verfügung:
Der Verschlüsselungstyp AES kann zur Verschlüsselung von Kerberos-Sitzungen mit hoher Geschwindigkeit und Sicherheit verwendet werden.
ARCFOUR-HMAC sorgt für eine bessere Kompatibilität mit anderen Kerberos-Implementierungen.
Triple DES (3DES) mit SHA1 erhöht die Sicherheit. Außerdem bewirkt dieser Verschlüsselungstyp eine bessere Interoperabilität mit anderen Kerberos-Implementierungen, die diesen Verschlüsselungstyp unterstützen.
Die Verschlüsselungstypen werden über das kryptografische Framework aktiviert. Das Framework kann für hardwarebeschleunigte Kryptografie für den Kerberos-Service sorgen.
Die KDC-Software, die Benutzerbefehle und Benutzeranwendungen unterstützen jetzt die Verwendung des TCP-Netzwerkprotokolls. Diese Erweiterung sorgt für einen stabileren Betrieb und verbesserte Interoperabilität mit anderen Kerberos-Implementierungen, einschließlich Active Directory von Microsoft. Das KDC überwacht nun sowohl die traditionellen UDP- als auch die TCP-Ports und kann folglich auf Anforderungen in beiden Protokollen reagieren. Beim Senden einer Anforderung an das KDC verwenden die Benutzerbefehle und -anwendungen zuerst den UDP-Port. Schlägt dies fehl, versuchen sie es über den TCP-Port.
Unter anderem mit den Befehlen kinit , klist und kprop wurde die KDC-Software um IPv6-Unterstützung erweitert. IPv6-Adressen werden standardmäßig unterstützt. Zum Aktivieren der IPv6-Unterstützung müssen keine Konfigurationsparameter geändert werden. Für die Befehlekadmin und kadmind steht keine IPv6-Unterstützung zur Verfügung.
Mehrere Unterbefehle des Befehls -kadmin wurden um die Option e erweitert. Mit dieser neuen Option kann bei der Erstellung von Hauptelementen der Verschlüsselungstyp ausgewählt werden. Weitere Informationen finden Sie auf der Manpage kadmin(1M).
Ergänzungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework. Weitere Informationen finden Sie auf der Manpage pam_krb5(5).
Es besteht Unterstützung für die automatische Erkennung von Kerberos-KDC, admin server, kpasswd-Server und auf DNS-Abfragen basierenden Zuordnungen von Host- oder Domänennamen zu Bereichen. Durch diese Erweiterung fallen einige der zur Installation eines Kerberos-Clients erforderlichen Schritte weg. Anstatt eine Konfigurationsdatei lesen zu müssen, kann der Client einen KDC-Server mithilfe von DNS ausfindig machen. Weitere Informationen finden Sie auf der Manpage krb5.conf(4).
Eine weitere Neuerung stellt das PAM-Modul pam_krb5_migrate dar. Das neue Modul unterstützt die automatische Migration von Benutzern, die noch nicht über ein Kerberos-Konto verfügen, in den lokalen Kerberos-Bereich. Weitere Informationen finden Sie auf der Manpage pam_krb5_migrate(5).
Die Datei ~/.k5login kann jetzt mit den GSS-Anwendungen ftp und ssh verwendet werden. Weitere Informationen finden Sie auf der Manpage gss_auth_rules(5).
Das Dienstprogramm kproplog wurde aktualisiert. Es gibt jetzt alle Attributnamen pro Protokolleintrag aus. Weitere Informationen finden Sie auf der Manpage kproplog(1M).
Die strenge TGT-Überprüfung kann jetzt mithilfe einer Konfigurationsoption in der Datei krb5.conf deaktiviert werden. Weitere Informationen finden Sie auf der Manpage krb5.conf(4).
Mit den Erweiterungen der Dienstprogramme zum Ändern von Passwörtern kann der Oracle Solaris Kerberos V5-Administrationsserver Anforderungen für Passwortänderungen von Clients akzeptieren, auf denen die Oracle Solaris-Software nicht ausgeführt wird. Weitere Informationen finden Sie auf der Manpage kadmind(1M).
Der Wiedergabe-Cache wird jetzt standardmäßig nicht mehr in arbeitsspeicherabhängigen Dateisystemen gespeichert, sondern dauerhaft unter /var/krb5/rcache/. Dieser neue Speicherort bietet Schutz vor Wiedergaben bei Systemneustarts. Die Leistung des rcache-Codes wurde verbessert. Da sich der Wiedergabe-Cache jetzt aber im Dauerspeicher befindet, kann es sein, dass er trotzdem insgesamt langsamer arbeitet.
Der Wiedergabe-Cache kann jetzt für die Speicherung in Dateien oder ausschließlich im Arbeitsspeicher konfiguriert werden. Weitere Informationen zu Umgebungsvariablen, die hinsichtlich der Typen und Speicherpositionen für Schlüsseltabelle und Berechtigungsnachweis-Cache konfiguriert werden können, finden Sie auf der Manpage krb5envvar(5).
Der Kerberos-GSS-Mechanismus kommt nunmehr ohne GSS-Berechtigungstabelle aus. Weitere Informationen finden Sie unter Zuordnen von GGS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen oder auf den Manpages gsscred(1M), gssd(1M) und gsscred.conf(4).
Die Kerberos-Dienstprogramme kinit und ktutil beruhen neuerdings auf MIT Kerberos Version 1.2.1. Durch diese Änderung wurde der Befehl kinit um neue Optionen und der Befehl ktutil um neue Unterbefehle bereichert. Weitere Informationen finden Sie auf den Manpages kinit(1) und ktutil(1).
Solaris Kerberos Key Distribution Center (KDC) und kadmind bauen jetzt auf MIT Kerberos Version 1.2.1 auf. Das KDC verwendet nun standardmäßig eine btree-basierte Datenbank, die zuverlässiger ist als die aktuelle Hash-basierte Datenbank. Weitere Informationen finden Sie auf der Manpage kdb5_util(1M)
Die Dämonen kpropd, kadmind, krb5kdc und ktkt_warnd werden von Service Management Facility verwaltet. Administrative Maßnahmen an diesem Service, z. B. Aktivieren, Deaktivieren oder Neustarten, können mithilfe des Befehls svcadm vorgenommen werden. Der Status des Service kann für alle Dämonen mit dem Befehl svcs abgefragt werden. Eine Übersicht zur Service Management Facility finden Sie in Kapitel 18, Managing Services (Overview) in System Administration Guide: Basic Administration.
Die Version Solaris 9 umfasst alle in Kerberos-Komponenten enthaltenen Komponenten, mit Ausnahme derjenigen für die Remote-Anwendungen.
Die Version SEAM 1.0.2 umfasst die Remote-Anwendungen. Diese Anwendungen stellen den einzigen Teil von SEAM 1.0 dar, der nicht in die Version Solaris 9 integriert wurde. Folgendes sind die Komponenten für die Remote-Anwendungen:
Clientanwendungen: ftp, rcp, rlogin, rsh und telnet
Serverdämonen: ftpd, rlogind, rshd und telnetd
Die Version Solaris 8 umfasst nur die clientseitigen Teile des Kerberos-Service, sodass zahlreiche Komponenten nicht enthalten sind. Mithilfe dieses Produkts können Systeme, auf denen die Version Solaris 8 ausgeführt wird, zu Kerberos-Clients werden, ohne dass SEAM 1.0.1 separat installiert werden muss. Zur Verwendung dieser Funktionen müssen Sie ein KDC installieren, der entweder Solaris Easy Access Server 3.0, das Solaris 8-Administrationspaket, die MIT-Distribution oder Windows 2000 verwendet. Die clientseitigen Komponenten erfüllen nicht ihren Zweck, wenn kein KDC zum Verteilen von Tickets installiert ist. Die folgenden Komponenten sind in dieser Version enthalten:
Benutzerprogramme zum Abrufen, Anzeigen und Löschen von Tickets: kinit, klist und kdestroy
Benutzerprogramm zum Ändern Ihres Kerberos-Passworts: kpasswd
Dienstprogramm für die Verwaltung der Schlüsseltabelle: ktutil
Ergänzungen zu PAM (Pluggable Authentication Module): ermöglicht Anwendungen die Verwendung verschiedener Authentifizierungsmechanismen. Mithilfe von PAM können An- und Abmeldungen dem Benutzer transparent gemacht werden.
GSS_API-Plugins: bieten Kerberos-Protokoll- und kryptografische Unterstützung.
Unterstützung für NFS-Clients und -Server
Die Version SEAM 1.0.1 umfasst alle Komponenten der Version SEAM 1.0, die noch nicht in der Version Solaris 8 enthalten sind. Folgende Komponenten stehen zur Verfügung:
Key Distribution Center (KDC) (Master):
Dämon für die Verwaltung der Kerberos-Datenbank: kadmind
Dämon für die Verarbeitung von Kerberos-Tickets: krb5kdc
Slave-KDCs
Programme für die Datenbankverwaltung: kadmin und kadmin.local
Software für die Datenbankweitergabe: kprop
Remote-Anwendungen: ftp, rcp, rlogin, rsh und telnet
Dämonen für Remote-Anwendungen: ftpd, rlogind, rshd und telnetd
Dienstprogramm für die Verwaltung: kdb5_util
Graphical Kerberos Administration Tool (gkadmin): ermöglicht Ihnen die Verwaltung von Hauptelementen und Hauptelementrichtlinien. Diese auf Java-Technologie basierende GUI stellt eine Alternative zum Befehl kadmin dar.
Ein Verfahren zur Vorkonfiguration: ermöglicht Ihnen das Festlegen der Parameter für die Installation und Konfiguration von SEAM 1.0.1. Auf diese Weise können Sie die SEAM-Installation automatisieren. Dieses Verfahren eignet sich insbesondere für mehrere Installationen.
Mehrere Bibliotheken
Die Version SEAM 1.0 umfasst neben sämtlichen in Kerberos-Komponenten enthaltenen Elementen folgende weitere Elemente:
Ein Dienstprogramm (gsscred) und einen Dämon (gssd): Diese Programme erleichtern die Zuordnung von UNIX-Benutzer-IDs (UIDs) zu Hauptelementnamen. Diese Programme sind erforderlich, da NFS-Server UNIX-UIDs zum Identifizieren von Benutzern verwenden, und nicht von Hauptelementnamen, die in einem anderen Format gespeichert sind.
Die GSS-API (Generic Security Service Application Programming Interface): ermöglicht Anwendungen die Verwendung mehrerer Sicherheitsmechanismen, ohne dass Sie die Anwendung nach jedem Hinzufügen eines neuen Mechanismus neu kompilieren müssen. Da die GSS-API rechnerunabhängig ist, eignet sie sich für Anwendungen im Internet. GSS-API stellt Anwendungen bereit, die die Sicherheitsservices der Integrität und der Vertraulichkeit sowie Authentifizierung umfassen.
Die RPCSEC_GSS-API (Application Programming Interface): ermöglicht NFS-Services die Verwendung der Kerberos-Authentifizierung. RPCSEC_GSS ist eine Sicherheitsvariante, die Sicherheitsservices bereitstellt, die unabhängig von den verwendeten Mechanismen sind. RPCSEC_GSS befindet sich in der GSS-API-Schicht ganz oben. Alle plugfähigen GSS_API-basierten Sicherheitsmechanismen können von Anwendungen verwendet werden, die RPCSEC_GSS verwenden.
Ein Verfahren zur Vorkonfiguration: ermöglicht Ihnen das Festlegen der Parameter für die Installation und Konfiguration von SEAM 1.0. Auf diese Weise können Sie die Installation automatisieren. Dieses Verfahren eignet sich insbesondere für mehrere Installationen.