| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
Planen Ihrer PAM-Implementierung
So fügen Sie ein PAM-Modul hinzu
So verhindern Sie mit PAM den Zugriff von Remote-Systemen im Rhost-Stil
So protokollieren Sie PAM-Fehlerberichte
Funktionsweise von PAM-Stacking
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Mit dem PAM-Framework (Pluggable Authentication Module) können Sie neue Authentifizierungsservices integrieren, ohne Systemzugangsservices wie login, ftp und telnet zu ändern. Sie können PAM auch verwenden, um die UNIX-Anmeldung mit anderen Sicherheitsmechanismen, z. B. Kerberos, zu integrieren. Mechanismen für Konto-, Berechtigungsnachweis-, Sitzungs- und Passwortverwaltung können ebenfalls mithilfe dieses Frameworks integriert werden.
Das PAM-Framework ermöglicht Ihnen das Konfigurieren der Verwendung von Systemzugangsservices (z. B. ftp, login, telnet oder rsh) zur Benutzerauthentifizierung. Im Folgenden finden Sie einige der Vorteile von PAM:
Flexible Konfigurationsrichtlinie
Authentifizierungsrichtlinie pro Anwendung
Die Möglichkeit zur Auswahl eines Standardauthentifizierungsmechanismus
Die Möglichkeit zum Anfordern mehrerer Autorisierungen für Hochsicherheitssysteme
Einfache Verwendung für den Endbenutzer
Keine erneute Passworteingabe, wenn die Passwörter für verschiedene Authentifizierungsservices gleich sind
Die Möglichkeit, Passwörter für mehrere Authentifizierungsservices vom Benutzer anzufordern, ohne dass der Benutzer mehrere Befehle eingeben muss
Die Möglichkeit, auswählbare Optionen an die Benutzerauthentifizierungsservices weiterzuleiten
Die Möglichkeit, eine standortspezifische Sicherheitsrichtlinie zu implementieren, ohne die Systemzugangsservices ändern zu müssen
Das PAM-Framework besteht aus vier Teilen:
PAM-Verbraucher
PAM-Bibliothek
Konfigurationsdatei pam.conf(4)
PAM-Servicemodule, auch als Provider bezeichnet
Das Framework stellt eine einheitliche Methode für die Ausführung authentifizierungsbezogener Aktivitäten zur Verfügung. Dieser Ansatz ermöglicht Anwendungsentwicklern die Verwendung von PAM-Services, ohne die Semantik der Richtlinie kennen zu müssen. Algorithmen werden zentral zur Verfügung gestellt. Die Algorithmen können unabhängig von den individuellen Applikationen geändert werden. Mit PAM können Administratoren den Authentifizierungsprozess auf die Anforderungen eines bestimmten Systems abstimmen, ohne Anwendungen ändern zu müssen. Anpassungen werden über die PAM-Konfigurationsdatei pam.conf vorgenommen.
Die folgende Abbildung zeigt die PAM-Architektur. Anwendungen kommunizieren mit der PAM-Bibliothek über die Anwendungsprogrammierschnittstelle (Application Programming Interface, API) des PAM. PAM-Module kommunizieren mit der PAM-Bibliothek über die SPI (Service Provider Interface) des PAM. Auf diese Weise ermöglicht die PAM-Bibliothek die Kommunikation zwischen Anwendungen und Modulen.
Abbildung 17-1 PAM-Architektur
Die Version Solaris 10 umfasst die folgenden Änderungen am PAM-Framework:
Das Modul pam_authtok_check ermöglicht nun strikte Passwortüberprüfungen mithilfe neuer, abstimmbarer Parameter in der Datei /etc/default/passwd. Die neuen Parameter legen Folgendes fest:
Eine Liste durch Kommata getrennter Wörterbuchdateien, die zur Überprüfung von Passwörtern anhand normaler Wörterbucheinträge verwendet werden
Die mindestens erforderlichen Unterschiede zwischen einem alten und einem neuen Passwort
Die für ein neues Passwort erforderliche Mindestanzahl alphabetischer oder nicht alphabetischer Zeichen
Die für ein neues Passwort erforderliche Mindestanzahl an Groß- oder Kleinbuchstaben
Die zulässige Anzahl aufeinander folgender gleicher Zeichen
Das Modul pam_unix_auth implementiert die Kontosperre für lokale Benutzer. Die Kontosperre wird durch den Parameter LOCK_AFTER_RETRIES in /etc/security/policy.conf und den Schlüssel lock_after-retries in /etc/user_attr aktiviert. Weitere Informationen erhalten Sie auf den Manpages policy.conf(4) und user_attr(4).
Das neue Steuer-Flag binding wurde definiert. Dieses Steuer-Flag ist auf der Manpage pam.conf(4) und in Funktionsweise von PAM-Stacking dokumentiert.
Das Modul pam_unix wurde entfernt und durch verschiedene Servicemodule mit einem gleichwertigen oder größeren Funktionsumfang ersetzt. Viele dieser Module wurden in der Version Solaris 9 eingeführt. Im Folgenden wird eine Liste der Ersatzmodule aufgeführt:
pam_authtok_check
pam_authtok_get
pam_authtok_store
pam_dhkeys
pam_passwd_auth
pam_unix_account
pam_unix_auth
pam_unix_cred
pam_unix_session
Der Funktionsumfang des Moduls pam_unix_auth wurde auf zwei Module aufgeteilt. Das Modul pam_unix_auth überprüft jetzt die Richtigkeit des eingegebenen Passworts für den jeweiligen Benutzer. Das neue Modul pam_unix_cred bietet Funktionen zum Einrichten von Berechtigungsinformationen für Benutzer.
Neue Erweiterungen des Moduls pam_krb5 verwalten den Cache für Kerberos-Berechtigungsnachweise. Dabei stützen sie sich auf das PAM-Framework.
Es wurde ein neues pam_deny-Modul hinzugefügt. Das Modul kann zur Verweigerung des Zugriffs auf Services verwendet werden. Das Modul pam_deny wird standardmäßig nicht eingesetzt. Weitere Informationen finden Sie auf der Manpage pam_deny(5).
|