| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
Konfigurieren des Kerberos-Service (Übersicht der Schritte)
Konfigurieren zusätzlicher Kerberos-Services (Übersicht der Schritte)
So konfigurieren Sie ein Master-KDC manuell
So konfigurieren Sie ein KDC zur Verwendung eines LDAP-Datenservers
So konfigurieren Sie ein Slave-KDC manuell
So aktualisieren Sie die Ticket Granting Service-Schlüssel auf einem Master-Server
Konfigurieren von bereichsübergreifender Authentifizierung
So richten Sie eine hierarchische bereichsübergreifende Authentifizierung ein
So richten Sie eine direkte bereichsübergreifende Authentifizierung ein
Konfigurieren von Kerberos-Netzwerkanwendungsservern
So konfigurieren Sie einen Kerberos-Netzwerkanwendungsserver
Konfigurieren von Kerberos-NFS-Servern
So konfigurieren Sie Kerberos-NFS-Server
So erstellen Sie eine Berechtigungsnachweistabelle
So fügen Sie der Berechtigungstabelle einen einzelnen Eintrag hinzu
So ordnen Sie Berechtigungsnachweise zwischen Bereichen zu
So richten Sie eine sichere NFS-Umgebung mit mehreren Kerberos-Sicherheitsmodi ein
Konfigurieren von Kerberos-Clients
Konfigurieren von Kerberos-Clients (Übersicht der Schritte)
So erstellen Sie ein Kerberos-Clientinstallationsprofil
So konfigurieren Sie einen Kerberos-Client automatisch
So konfigurieren Sie einen Kerberos-Client interaktiv
So konfigurieren Sie einen Kerberos-Client manuell
So deaktivieren Sie die Überprüfung des TGT (Ticket Granting Ticket)
So greifen Sie auf ein durch Kerberos geschütztes NFS-Dateisystem als root-Benutzer zu
So konfigurieren Sie eine automatische Migration von Benutzern in einem Kerberos-Bereich
Synchronisieren von Uhren zwischen KDCs und Kerberos-Clients
Austauschen von Master-KDC und Slave-KDC
So konfigurieren Sie ein austauschbares Slave-KDC
So tauschen Sie ein Master-KDC gegen ein Slave-KDC aus
Verwalten der Kerberos-Datenbank
Backup und Weitergabe der Kerberos-Datenbank
So erstellen Sie ein Backup der Kerberos-Datenbank
So stellen Sie die Kerberos-Datenbank wieder her
So konvertieren Sie eine Kerberos-Datenbank nach einem Server-Upgrade
So konfigurieren Sie ein Master-KDC zur Verwendung der inkrementellen Weitergabe
So konfigurieren Sie ein Slave-KDC zur Verwendung der inkrementellen Weitergabe
So konfigurieren Sie ein Slave-KDC zur Verwendung der vollständigen Weitergabe
So überprüfen Sie die Synchronisierung der KDC-Server
So führen Sie eine manuelle Weitergabe der Kerberos-Datenbank an Slave-KDCs durch
Einrichten von paralleler Weitergabe
Konfigurationsschritte zum Einrichten einer parallelen Weitergabe
So entfernen Sie eine Stash-Datei
Verwalten eines KDC auf einem LDAP-Verzeichnisserver
So löschen Sie einen Bereich auf einem LDAP-Verzeichnisserver
Erhöhen der Sicherheit auf Kerberos-Servern
So aktivieren Sie nur kerberisierte Anwendungen
So beschränken Sie den Zugriff auf KDC-Server
So verwenden Sie eine Wörterbuchdatei zur Erhöhung der Passwortsicherheit
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Führen Sie diese Schritte aus, um die Sicherheit von Kerberos-Anwendungsservern und KDC-Servern zu erhöhen.
Tabelle 23-4 Erhöhen der Sicherheit auf Kerberos-Servern (Übersicht der Schritte)
|
Mit diesem Verfahren wird der Netzwerkzugriff auf den Server, der telnet, ftp, rcp, rsh und rlogin ausführt, auf Transaktionen mit Kerberos-Authentifizierung beschränkt.
Fügen Sie die Option -a user der Eigenschaft exec für telnet hinzu, um den Zugriff auf Benutzer mit gültigen Authentifizierungsinformationen zu beschränken.
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
Fügen Sie die Option -a der Eigenschaft exec für ftp hinzu, um nur mit Kerberos authentifizierte Verbindungen zuzulassen.
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
Deaktivieren Sie die Dämonen in.rshd und in.rlogind.
# svcadm disable network/shell # svcadm disable network/login:rlogin
Sowohl Master-KDC-Server als auch Slave-KDC-Server verfügen über lokal gespeicherte Kopien der KDC-Datenbank. Für die Sicherheit der gesamten Kerberos-Installation ist es wichtig, dass der Zugriff auf diese Server beschränkt ist und die Datenbanken geschützt sind.
Um den KDC-Server zu schützen, sollten alle unwesentlichen Netzwerkdienste deaktiviert werden. Abhängig von Ihrer Konfiguration können einige dieser Services bereits deaktiviert sein. Überprüfen Sie den Servicestatus mithilfe des Befehls svcs. In den meisten Fällen müssen nur die Services krb5kdc und kadmin ausgeführt werden, wenn es sich um einen KDC-Master handelt. Außerdem können alle Services, die loopback tli (ticlts, ticotsord und ticots) verwenden, aktiviert bleiben.
# svcadm disable network/comsat # svcadm disable network/dtspc/tcp # svcadm disable network/finger # svcadm disable network/login:rlogin # svcadm disable network/rexec # svcadm disable network/shell # svcadm disable network/talk # svcadm disable network/tname # svcadm disable network/uucp # svcadm disable network/rpc_100068_2-5/rpc_udp
Um den physischen Zugriff einzuschränken, stellen Sie sicher, dass der KDC-Server und dessen Monitor in einem sicheren Gebäude untergebracht sind. Normale Benutzer sollten keinen Zugang zu diesem Server haben.
Führen Sie Backups auf Bändern für das KDC nur durch, wenn die Bänder sicher verwahrt werden können. Das gilt auch für Kopien von Schlüsseltabellendateien. Am besten sollten diese Dateien in einem lokalen Dateisystem gespeichert werden, das nicht zur gemeinsamen Nutzung mit anderen Systemen freigegeben ist. Das Dateisystem für die Speicherung kann sich entweder auf dem Master-KDC-Server oder auf einem der Slave-KDCs befinden.
Mit einer Wörterbuchdatei kann der Kerberos-Service verhindern, dass bestimmte, darin aufgeführte Wörter bei der Erstellung neuer Berechtigungsnachweise als Passwörter verwendet werden. Dadurch wird es schwieriger, Passwörter zu erraten. Standardmäßig wird die Datei /var/krb5/kadm5.dict verwendet, die jedoch leer ist.
Damit der Service eine Wörterbuchdatei verwendet, müssen Sie eine Zeile hinzufügen. In diesem Beispiel wird das Wörterbuch des Dienstprogramms spell verwendet. Eine vollständige Beschreibung der Konfigurationsdatei finden Sie auf der Manpage kdc.conf(4).
kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
kdc_ports = 88,750
[realms]
EXAMPLE.COM = {
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
admin_keytab = /etc/krb5/kadm5.keytab
acl_file = /etc/krb5/kadm5.acl
kadmind_port = 749
max_life = 8h 0m 0s
max_renewable_life = 7d 0h 0m 0s
sunw_dbprop_enable = true
sunw_dbprop_master_ulogsize = 1000
dict_file = /usr/share/lib/dict/words
}kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin
|