JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: Sicherheitsservices
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Übersicht über die Sicherheit

1.  Sicherheitsservices (Überblick)

Teil II System-, Datei- und Gerätesicherheit

2.  Verwalten von Rechnersicherheit (Übersicht)

3.  Steuern des Zugriffs auf Systeme (Aufgaben)

4.  Steuern des Zugriffs auf Geräte (Aufgaben)

5.  Verwenden von Basic Audit Reporting Tool (Aufgaben)

6.  Steuern des Zugriffs auf Dateien (Aufgaben)

7.  Verwenden von Automated Security Enhancement Tool (Aufgaben)

Teil III Rollen, Berechtigungsprofile und Berechtigungen

8.  Verwenden von Rollen und Berechtigungen (Übersicht)

9.  Rollenbasierte Zugriffssteuerung (Aufgaben)

10.  Rollenbasierte Zugriffssteuerung (Übersicht)

11.  Berechtigungen (Aufgaben)

12.  Berechtigungen (Referenz)

Teil IV Kryptografische Services

13.  Oracle Solaris Cryptographic Framework (Übersicht)

14.  Oracle Solaris Cryptographic Framework (Aufgaben)

15.  Oracle Solaris Key Management Framework

Teil V Authentifizierungsservices und sichere Kommunikation

16.  Verwenden von Authentifizierungsservices (Aufgaben)

17.  Verwenden von PAM

18.  Verwenden von SASL

19.  Verwenden von Oracle Solaris Secure Shell (Aufgaben)

20.  Oracle Solaris Secure Shell (Referenz)

Teil VI Kerberos-Service

21.  Einführung zum Kerberos-Service

22.  Planen des Kerberos-Service

23.  Konfigurieren des Kerberos-Service (Aufgaben)

24.  Kerberos-Fehlermeldungen und -Fehlerbehebung

25.  Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)

26.  Verwenden von Kerberos-Anwendungen (Aufgaben)

27.  Der Kerberos-Service (Referenz)

Kerberos-Dateien

Kerberos-Befehle

Kerberos-Dämonen

Kerberos-Terminologie

Kerberos-spezifische Terminologie

Authentifizierungsspezifische Terminologie

Typen von Tickets

Lebensdauer von Tickets

Kerberos-Hauptelementnamen

Funktionsweise des Kerberos-Authentifizierungssystems

Interaktion des Kerberos-Service mit DNS und der Datei nsswitch.conf

Erhalten von Zugriff auf einen Service mit Kerberos

Abrufen eines Berechtigungsnachweises für den Ticket-gewährenden Service

Abrufen eines Berechtigungsnachweises für einen Server

Abrufen von Zugriff auf einen bestimmten Service

Verwenden von Kerberos-Verschlüsselungstypen

Verwenden der Tabelle gsscred

Wesentliche Unterschiede zwischen Oracle Solaris Kerberos und MIT Kerberos

Teil VII Prüfung bei Oracle Solaris

28.  Prüfung bei Oracle Solaris (Übersicht)

29.  Planen der Oracle Solaris-Prüfung

30.  Verwalten der Oracle Solaris-Prüfung (Aufgaben)

31.  Prüfung bei Oracle Solaris (Referenz)

Glossar

Index

Erhalten von Zugriff auf einen Service mit Kerberos

Für den Zugriff auf einen bestimmten Service benötigt der Benutzer zwei Berechtigungsnachweise. Der erste Berechtigungsnachweis ist für das TGT (Ticket-gewährende Ticket). Sobald der Ticket-gewährende Service diesen Berechtigungsnachweis entschlüsselt hat, erstellt er einen zweiten Berechtigungsnachweis für den Server, auf den der Benutzer Zugriff anfordert. Mit diesem zweiten Berechtigungsnachweis kann anschließend Zugriff auf den Service auf dem Server angefordert werden. Nachdem der Server den zweiten Berechtigungsnachweis erfolgreich entschlüsselt hat, erhält der Benutzer den Zugriff. In den folgenden Abschnitten wird dieser Vorgang ausführlicher beschrieben.

Abrufen eines Berechtigungsnachweises für den Ticket-gewährenden Service

  1. Zum Starten des Authentifizierungsvorgangs sendet der Client eine Anforderung an den Authentifizierungsserver für ein bestimmtes Benutzer-Hauptelement. Diese Anforderung wird ohne Verschlüsselung gesendet. Da die Anforderung keine gesicherten Informationen enthält, ist eine Verschlüsselung nicht erforderlich.

  2. Wenn der Authentifizierungsservice die Anforderung empfängt, wird der Hauptelementname des Benutzers in der KDC-Datenbank abgerufen. Entspricht ein Hauptelement dem Eintrag in der Datenbank, ruft der Authentifizierungsservice den privaten Schlüssel für dieses Hauptelement ab. Anschließend generiert der Authentifizierungsservice einen Sitzungsschlüssel für die Verwendung durch den Client und den Ticket-gewährenden Service (Sitzungsschlüssel 1) sowie ein Ticket für den Ticket-gewährenden Service (Ticket 1). Dieses Ticket wird auch als Ticket-gewährendes Ticket (TGT) bezeichnet. Sowohl der Sitzungsschlüssel als auch das Ticket werden mit dem privaten Schlüssel des Benutzers verschlüsselt und die Informationen werden zurück an den Client gesendet.

  3. Der Client entschlüsselt mithilfe dieser Informationen Sitzungsschlüssel 1 und Ticket 1 unter Verwendung des privaten Schlüssels für das Benutzer-Hauptelement. Da der private Schlüssel nur dem Benutzer und der KDC-Datenbank bekannt ist, sind die Informationen im Paket sicher. Der Client speichert die Informationen im Berechtigungsnachweis-Cache.

Während dieses Vorgangs wird der Benutzer normalerweise zur Angabe eines Passworts aufgefordert. Wenn das vom Benutzer angegebene Passwort dem zur Erstellung des in der KDC-Datenbank gespeicherten privaten Schlüssels verwendeten Passwort entspricht, kann der Client die vom Authentifizierungsservice gesendeten Informationen erfolgreich entschlüsseln. Jetzt verfügt der Client über einen Berechtigungsnachweis für die Verwendung mit dem Ticket-gewährenden Service. Der Client kann nun einen Berechtigungsnachweis für einen Server anfordern.

Abbildung 27-2 Abrufen eines Berechtigungsnachweises für den Ticket-gewährenden Service

image:Das Ablaufdiagramm zeigt einen Client, der einen Berechtigungsnachweis für den Serverzugriff vom KDC anfordert und den zurückgegebenen Berechtigungsnachweis mithilfe eines Passworts entschlüsselt.

Abrufen eines Berechtigungsnachweises für einen Server

  1. Zum Anfordern von Zugriff auf einen bestimmten Server muss ein Client zunächst den Berechtigungsnachweis für diesen Server vom Authentifizierungsservice anfordern. Weitere Informationen finden Sie unter Abrufen eines Berechtigungsnachweises für den Ticket-gewährenden Service. Der Client sendet dann eine Anforderung an den Ticket-gewährenden Service, die den Service-Hauptelementnamen, Ticket 1 und einen mit Sitzungsschlüssel 1 verschlüsselten Authentifizierer umfasst. Ticket 1 wurde ursprünglich vom Authentifizierungsservice unter Verwendung des Serviceschlüssels des Ticket-gewährenden Service verschlüsselt.

  2. Da dem Ticket-gewährenden Service der Serviceschlüssel des Ticket-gewährenden Service bekannt ist, kann Ticket 1 entschlüsselt werden. Die in Ticket 1 enthaltenen Informationen umfassen Sitzungsschlüssel 1, sodass der Ticket-gewährende Service den Authentifizierer entschlüsseln kann. An diesem Punkt wird das Benutzer-Hauptelement mit dem Ticket-gewährenden Service authentifiziert.

  3. Nach erfolgreichem Abschluss der Authentifizierung generiert der Ticket-gewährende Service einen Sitzungsschlüssel für das Benutzer-Hauptelement und den Server (Sitzungsschlüssel 2) sowie ein Ticket für den Server (Ticket 2). Sitzungsschlüssel 2 und Ticket 2 werden anschließend mithilfe von Sitzungsschlüssel 1 verschlüsselt. Da Sitzungsschlüssel 1 nur dem Client und dem Ticket-gewährenden Service bekannt ist, sind die entsprechenden Informationen gesichert und können risikofrei über das Netzwerk übertragen werden.

  4. Erhält der Client dieses Informationspaket, entschlüsselt er die Informationen mithilfe von Sitzungsschlüssel 1, den er im Berechtigungsnachweis-Cache gespeichert hatte. Der Client hat einen Berechtigungsnachweis zur Verwendung mit dem Server abgerufen. Nun kann der Client Zugriff auf einen bestimmten Service auf diesem Server anfordern.

Abbildung 27-3 Abrufen eines Berechtigungsnachweises für einen Server

image:Das Ablaufdiagramm zeigt einen Client, der eine mit Sitzungsschlüssel 1 verschlüsselte Anforderung an das KDC sendet und anschließend den zurückgegebenen Berechtigungsnachweis mit demselben Schlüssel entschlüsselt.

Abrufen von Zugriff auf einen bestimmten Service

  1. Zum Anfordern von Zugriff auf einen bestimmten Service muss der Client zunächst einen Berechtigungsnachweis für den Ticket-gewährenden Service vom Authentifizierungsserver und einen Server-Berechtigungsnachweis vom Ticket-gewährenden Service anfordern. Weitere Informationen finden Sie unter Abrufen eines Berechtigungsnachweises für den Ticket-gewährenden Service und Abrufen eines Berechtigungsnachweises für einen Server. Der Client kann dann eine Anforderung an den Server senden, die Ticket 2 und einen weiteren Authentifizierer umfasst. Der Authentifizierer wird mithilfe von Sitzungsschlüssel 2 verschlüsselt.

  2. Ticket 2 wurde durch den Ticket-gewährenden Service mit dem Serviceschlüssel für den Service verschlüsselt. Da der Serviceschlüssel dem Service-Hauptelement bekannt ist, kann der Service Ticket 2 entschlüsseln und Sitzungsschlüssel 2 erhalten. Sitzungsschlüssel 2 kann dann zum Entschlüsseln des Authentifizierers verwendet werden. Wurde der Authentifizierer erfolgreich entschlüsselt, erhält der Client Zugriff auf den Service.

Abbildung 27-4 Abrufen von Zugriff auf einen bestimmten Service

image:Das Ablaufdiagramm zeigt einen Client, der mithilfe von Ticket 2 und einem mit Sitzungsschlüssel 2 verschlüsselten Authentifizierer die Zugriffsberechtigung auf den Server abruft.
Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor