| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
Notwendigkeit des Planens von Kerberos-Bereitstellungen
Zuordnen von Hostnamen zu Bereichen
Ports für die KDC- und Admin-Services
Zuordnen von GGS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen
Automatische Benutzermigration in einen Kerberos-Bereich
Entscheidung über das zu verwendende System für die Datenbankweitergabe
Synchronisierung von Uhren innerhalb eines Bereichs
Optionen zur Clientkonfiguration
Verbessern der Sicherheit bei der Clientanmeldung
Optionen zur KDC-Konfiguration
Kerberos-Verschlüsselungstypen
Onlinehilfe-URL im Graphical Kerberos Administration Tool
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Wenn Sie den Kerberos-Service verwenden, muss DNS auf allen Hosts aktiviert sein. Bei aktiviertem DNS sollten die Hauptelemente den vollständig qualifizierten Domainnamen (FQDN, Fully Qualified Domain Name) jedes Hosts enthalten. Beispiel: Wenn der Hostname boston , der DNS-Domainname example.com und der Bereichsname EXAMPLE.COM sind, sollte der Hauptelementname für den Host host/boston.example.com@EXAMPLE.COM lauten. Die in diesem Buch aufgeführten Beispiele setzen die Konfiguration von DNS und die Verwendung des FQDN für jeden Host voraus.
Der Kerberos-Service standardisiert Alias-Namen von Hosts über DNS und verwendet die standardisierte Form (cname) beim Erstellen des Service-Hauptelements für den zugewiesenen Service. Daher sollte bei der Erstellung eines Service-Hauptelements die Hostnamen-Komponente von Service-Hauptelementen die kanonische Form des Hostnamens des Systems sein, das den Service hostet.
Im Folgenden sehen Sie ein Beispiel für die Standardisierung des Hostnamens durch den Kerberos-Service. Ein Benutzer führt den Befehl "ssh alpha.example.com" aus, wobei alpha.example.com ein DNS-Host-Alias für den standardisierten Namen (cname) beta.example.com ist. Wenn ssh Kerberos aufruft und ein Hostservice-Ticket für alpha.example.com anfordert, standardisiert der Kerberos-Service alpha.example.com auf beta.example.com und fordert vom KDC ein Ticket für das Service-Hauptelement "host/beta.example.com" an.
Bei den Hauptelementnamen, die den FQDN eines Hosts enthalten, muss eine Übereinstimmung mit der Zeichenfolge bestehen, die den DNS-Domainnamen in der Datei /etc/resolv.conf beschreibt. Beim Kerberos-Service muss der DNS-Domainname in Kleinbuchstaben geschrieben sein, wenn Sie den FQDN für ein Hauptelement angeben. Der DNS-Domainname kann Groß- und Kleinbuchstaben enthalten; bei der Erstellung eines Host-Hauptelements dürfen Sie jedoch nur Kleinbuchstaben verwenden. So ist es beispielsweise egal, ob der DNS-Domainname example.com, Example.COM usw. lautet. Der Hauptelementname für den Host ist weiterhin host/boston.example.com@EXAMPLE.COM.
Darüber hinaus wurde Service Management Facility so konfiguriert, dass eine Vielzahl der Dämonen und Befehle erst gestartet wird, wenn der DNS-Clientservice ausgeführt wird. Die Dämonen kdb5_util, kadmind und kpropd sowie der Befehl kprop sind so konfiguriert, dass sie vom DNS-Service abhängen. Um die mit dem Kerberos-Service und SMF verfügbaren Funktionen voll nutzen zu können, müssen Sie den DNS-Clientservice auf allen Hosts aktivieren.
|