JavaScript is required to for searching.
Navigationslinks �berspringen
Druckansicht beenden
Systemverwaltungshandbuch: Sicherheitsservices
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokument-Informationen

Vorwort

Teil I Übersicht über die Sicherheit

1.  Sicherheitsservices (Überblick)

Teil II System-, Datei- und Gerätesicherheit

2.  Verwalten von Rechnersicherheit (Übersicht)

3.  Steuern des Zugriffs auf Systeme (Aufgaben)

4.  Steuern des Zugriffs auf Geräte (Aufgaben)

5.  Verwenden von Basic Audit Reporting Tool (Aufgaben)

6.  Steuern des Zugriffs auf Dateien (Aufgaben)

7.  Verwenden von Automated Security Enhancement Tool (Aufgaben)

Teil III Rollen, Berechtigungsprofile und Berechtigungen

8.  Verwenden von Rollen und Berechtigungen (Übersicht)

9.  Rollenbasierte Zugriffssteuerung (Aufgaben)

10.  Rollenbasierte Zugriffssteuerung (Übersicht)

11.  Berechtigungen (Aufgaben)

12.  Berechtigungen (Referenz)

Teil IV Kryptografische Services

13.  Oracle Solaris Cryptographic Framework (Übersicht)

14.  Oracle Solaris Cryptographic Framework (Aufgaben)

15.  Oracle Solaris Key Management Framework

Teil V Authentifizierungsservices und sichere Kommunikation

16.  Verwenden von Authentifizierungsservices (Aufgaben)

17.  Verwenden von PAM

18.  Verwenden von SASL

19.  Verwenden von Oracle Solaris Secure Shell (Aufgaben)

20.  Oracle Solaris Secure Shell (Referenz)

Teil VI Kerberos-Service

21.  Einführung zum Kerberos-Service

22.  Planen des Kerberos-Service

23.  Konfigurieren des Kerberos-Service (Aufgaben)

Konfigurieren des Kerberos-Service (Übersicht der Schritte)

Konfigurieren zusätzlicher Kerberos-Services (Übersicht der Schritte)

Konfigurieren von KDC-Servern

So konfigurieren Sie ein Master-KDC manuell

So konfigurieren Sie ein KDC zur Verwendung eines LDAP-Datenservers

So konfigurieren Sie ein Slave-KDC manuell

So aktualisieren Sie die Ticket Granting Service-Schlüssel auf einem Master-Server

Konfigurieren von bereichsübergreifender Authentifizierung

So richten Sie eine hierarchische bereichsübergreifende Authentifizierung ein

So richten Sie eine direkte bereichsübergreifende Authentifizierung ein

Konfigurieren von Kerberos-Netzwerkanwendungsservern

So konfigurieren Sie einen Kerberos-Netzwerkanwendungsserver

Konfigurieren von Kerberos-NFS-Servern

So konfigurieren Sie Kerberos-NFS-Server

So erstellen Sie eine Berechtigungsnachweistabelle

So fügen Sie der Berechtigungstabelle einen einzelnen Eintrag hinzu

So ordnen Sie Berechtigungsnachweise zwischen Bereichen zu

So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi ein

Konfigurieren von Kerberos-Clients

Konfigurieren von Kerberos-Clients (Übersicht der Schritte)

So erstellen Sie ein Kerberos-Clientinstallationsprofil

So konfigurieren Sie einen Kerberos-Client automatisch

So konfigurieren Sie einen Kerberos-Client interaktiv

So konfigurieren Sie einen Kerberos-Client manuell

So deaktivieren Sie die Überprüfung des TGT (Ticket Granting Ticket)

So greifen Sie auf ein durch Kerberos geschütztes NFS-Dateisystem als root-Benutzer zu

So konfigurieren Sie eine automatische Migration von Benutzern in einem Kerberos-Bereich

Synchronisieren von Uhren zwischen KDCs und Kerberos-Clients

Austauschen von Master-KDC und Slave-KDC

So konfigurieren Sie ein austauschbares Slave-KDC

So tauschen Sie ein Master-KDC gegen ein Slave-KDC aus

Verwalten der Kerberos-Datenbank

Backup und Weitergabe der Kerberos-Datenbank

Datei kpropd.acl

Befehl kprop_script

So erstellen Sie ein Backup der Kerberos-Datenbank

So stellen Sie die Kerberos-Datenbank wieder her

So konvertieren Sie eine Kerberos-Datenbank nach einem Server-Upgrade

So konfigurieren Sie ein Master-KDC zur Verwendung der inkrementellen Weitergabe

So konfigurieren Sie ein Slave-KDC zur Verwendung der inkrementellen Weitergabe

So konfigurieren Sie ein Slave-KDC zur Verwendung der vollständigen Weitergabe

So überprüfen Sie die Synchronisierung der KDC-Server

So führen Sie eine manuelle Weitergabe der Kerberos-Datenbank an Slave-KDCs durch

Einrichten von paralleler Weitergabe

Konfigurationsschritte zum Einrichten einer parallelen Weitergabe

Verwalten der Stash-Datei

So entfernen Sie eine Stash-Datei

Verwalten eines KDC auf einem LDAP-Verzeichnisserver

So kombinieren Sie Kerberos-Hauptelementattribute mit einem nicht zu Kerberos gehörenden Objektklassentyp

So löschen Sie einen Bereich auf einem LDAP-Verzeichnisserver

Erhöhen der Sicherheit auf Kerberos-Servern

So aktivieren Sie nur kerberisierte Anwendungen

So beschränken Sie den Zugriff auf KDC-Server

So verwenden Sie eine Wörterbuchdatei zur Erhöhung der Passwortsicherheit

24.  Kerberos-Fehlermeldungen und -Fehlerbehebung

25.  Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)

26.  Verwenden von Kerberos-Anwendungen (Aufgaben)

27.  Der Kerberos-Service (Referenz)

Teil VII Prüfung bei Oracle Solaris

28.  Prüfung bei Oracle Solaris (Übersicht)

29.  Planen der Oracle Solaris-Prüfung

30.  Verwalten der Oracle Solaris-Prüfung (Aufgaben)

31.  Prüfung bei Oracle Solaris (Referenz)

Glossar

Index

Konfigurieren von Kerberos-Netzwerkanwendungsservern

Netzwerkanwendungsserver sind Hosts, die Zugriff auf eine oder mehrere der folgenden Netzwerkanwendungen bieten: ftp, rcp, rlogin, rsh, ssh und telnet. Die Kerberos-Version dieser Befehle kann mit wenigen Schritten auf einem Server aktiviert werden.

So konfigurieren Sie einen Kerberos-Netzwerkanwendungsserver

In diesem Verfahren werden die folgenden Konfigurationsparameter verwendet:

Bevor Sie beginnen

Für dieses Verfahren muss das Master-KDC konfiguriert sein. Für einen vollständigen Test des Prozesses müssen mehrere Kerberos-Clients konfiguriert sein.

  1. (Optional) Installieren Sie den NTP-Client oder einen anderen Synchronisierungsmechanismus für Uhren.

    Informationen zu NTP finden Sie unter Synchronisieren von Uhren zwischen KDCs und Kerberos-Clients.

  2. Fügen Sie Hauptelemente für den neuen Server hinzu und aktualisieren Sie die Schlüsseltabelle des Servers.

    Mit dem folgenden Befehl stellen Sie fest, ob das Host-Hauptelement vorhanden ist:

    boston # klist -k |grep host
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM

    Wenn der Befehl kein Hauptelement zurückgibt, erstellen Sie mit folgenden Schritten neue Hauptelemente.

    Die Verwendung des Graphical Kerberos Administration-Tools wird unter So erstellen Sie ein neues Kerberos-Hauptelement erläutert. In den folgenden Schritten wird anhand eines Beispiels erläutert, wie die erforderlichen Hauptelemente mithilfe der Befehlszeile hinzugefügt werden. Sie müssen sich mit einem der zuvor bei der Konfiguration des Master-KDC erstellten admin-Hauptelementnamen anmelden.

    boston # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:
    1. Erstellen Sie das host-Hauptelement des Servers.

      Das host-Hauptelement wird zu folgenden Zwecken verwendet:

      • Authentifizieren des Datenverkehrs bei Verwendung von Remote-Befehlen wie rsh und ssh

      • Ermöglicht pam_krb5 KDC-Spoofing-Angriffe zu verhindern, indem mithilfe des host-Hauptelements sicherstellt wird, dass der Kerberos-Berechtigungsnachweis von einem vertrauenswürdigen KDC stammt.

      • Ermöglicht dem root-Benutzer, automatisch einen Kerberos-Berechtigungsnachweis zu erhalten, ohne dass ein root-Hauptelement vorhanden sein muss. Dies kann beim manuellen Einhängen einer NFS-Komponente nützlich sein, wenn für die Komponente ein Kerberos-Berechtigungsnachweis erforderlich ist.

      Dieses Hauptelement ist erforderlich, wenn der Datenverkehr über die Remote-Anwendung mithilfe des Kerberos-Service authentifiziert werden soll. Wenn dem Server mehrere Hostnamen zugewiesen sind, erstellen Sie ein Hauptelement für jeden Hostnamen unter Verwendung der FQDN-Form des Hostnamens.

      kadmin: addprinc -randkey host/boston.example.com
Principal "host/boston.example.com" created.
kadmin:
    2. Fügen Sie das host-Hauptelement der Schlüsseltabelle des Servers hinzu.

      Wenn der Befehl kadmin noch nicht ausgeführt wird, starten Sie ihn mit einem Befehl ähnlich dem folgenden: /usr/sbin/kadmin -p kws/admin

      Wenn dem Server mehrere Hostnamen zugewiesen sind, fügen Sie der Schlüsseltabelle für jeden Hostnamen ein Hauptelement hinzu.

      kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
    3. Beenden Sie kadmin.
      kadmin: quit
Copyright © 2002, 2011, Oracle und/oder verbundene Unternehmen. Alle Rechte vorbehalten. Rechtlicher Hinweis
Zurück Vor