| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
Fehlermeldungen des SEAM-Tools
Häufige Kerberos-Fehlermeldungen (A - M)
Häufige Kerberos-Fehlermeldungen (N - Z)
Probleme mit dem Format der Datei krb5.conf
Probleme bei der Weitergabe der Kerberos-Datenbank
Probleme beim Einhängen eines kerberisierten NFS-Dateisystems
Probleme beim Authentifizieren als root
Überwachen der Zuordnungen von GSS-Berechtigungsnachweisen zu UNIX-Berechtigungsnachweisen
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
Dieser Abschnitt enthält Informationen zur Fehlerbehebung für die Kerberos-Software.
Wenn die Datei krb5.conf nicht ordnungsgemäß formatiert wurde, wird auf dem Terminal oder in der Protokolldatei gegebenenfalls folgende Fehlermeldung angezeigt:
Improper format of Kerberos configuration file while initializing krb5 library
Wenn ein Problem mit dem Format der Datei krb5.conf besteht, sind die entsprechenden Services für Angriffe anfällig. Sie sollten dieses Problem beheben, bevor Sie die Verwendung von Kerberos-Funktionen zulassen.
Wenn die Weitergabe der Kerberos-Datenbank fehlschlägt, versuchen Sie /usr/bin/rlogin -x zwischen dem Slave-KDC und dem Master-KDC sowie vom Master- zum Slave-KDC-Server.
Wurden die KDCs so eingerichtet, dass sie den Zugriff einschränken, ist rlogin deaktiviert und kann nicht zur Behebung dieses Problems verwendet werden. Zum Aktivieren von rlogin auf einem KDC müssen Sie den Service eklogin aktivieren.
# svcadm enable svc:/network/login:eklogin
Nachdem Sie das Problem behoben haben, müssen Sie den Service eklogin deaktivieren.
Wenn rlogin nicht funktioniert, hängen die Probleme vermutlich mit den Schlüsseltabellendateien auf den KDCs zusammen. Wenn rlogin funktioniert, liegt das Problem nicht in der Schlüsseltabellendatei oder dem Name Service, da rlogin und die Software für die Weitergabe dasselbe host/ host-name-Hauptelement verwenden. Stellen Sie in diesem Fall sicher, dass die Datei kpropd.acl korrekt ist.
Schlägt das Einhängen eines kerberisierten NFS-Dateisystems fehl, vergewissern Sie sich, dass die Datei /var/rcache/root auf dem NFS-Server vorhanden ist. Wenn root nicht Eigentümer des Dateisystems ist, entfernen Sie es und versuchen Sie den Einhängevorgang erneut.
Tritt beim Zugriff auf ein kerberisiertes NFS-Dateisystem ein Problem auf, stellen Sie sicher, dass der Service gssd auf Ihrem System und auf dem NFS-Server aktiviert ist.
Wird beim Versuch, auf ein kerberisiertes NFS-Dateisystem zuzugreifen, entweder die Fehlermeldung invalid argument oder bad directory angezeigt, könnte das Problem darin bestehen, dass Sie zum Einhängen des NFS-Dateisystems keinen vollständig qualifizierten DNS-Namen verwenden. Der eingehängte Host entspricht nicht dem Hostnamenteil des Service-Hauptelements in der Schlüsseltabellendatei des Servers.
Dieses Problem kann auch dann auftreten, wenn Ihr Server über mehrere Ethernet-Schnittstellen verfügt und Sie DNS für die Verwendung eines Schemas eingerichtet haben, das einen Namen pro Schnittstelle vorsieht, anstelle eines Schemas, das auf dem Prinzip mehrerer Adressdatensätze pro Host basiert. Für den Kerberos-Service sollten Sie mehrere Adressdatensätze pro Host einrichten, wie nachfolgend dargestelltKen Hornstein, "Kerberos FAQ," [http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#kerbdns], accessed 10 March 2010.:
my.host.name. A 1.2.3.4
A 1.2.4.4
A 1.2.5.4
my-en0.host.name. A 1.2.3.4
my-en1.host.name. A 1.2.4.4
my-en2.host.name. A 1.2.5.4
4.3.2.1 PTR my.host.name.
4.4.2.1 PTR my.host.name.
4.5.2.1 PTR my.host.name.In diesem Beispiel ermöglicht das Setup eine Referenz auf die verschiedenen Schnittstellen und ein einziges Service-Hauptelement anstelle von drei Service-Hauptelementen in der Schlüsseltabellendatei des Servers.
Schlägt die Authentifizierung fehl, wenn Sie sich als Superuser bei Ihrem System anmelden und das root-Hauptelement bereits der Schlüsseltabellendatei Ihres Hosts hinzugefügt haben, kann dies mit zwei potenziellen Problemen zusammenhängen. Vergewissern Sie sich zunächst, dass das root-Hauptelement in der Schlüsseltabellendatei einen vollständig qualifizierten Hostnamen als zugehörige Instanz aufweist. Ist dies der Fall, überprüfen Sie die Datei /etc/resolv.conf, um sicherzustellen, dass das System korrekt als DNS-Client eingerichtet ist.
Um die Zuordnungen von Berechtigungsnachweisen überwachen zu können, entfernen Sie zunächst die Auskommentierung dieser Zeile in der Datei /etc/gss/gsscred.conf.
SYSLOG_UID_MAPPING=yes
Weisen Sie anschließend den Service gssd an, Informationen aus der Datei /etc/gss/gsscred.conf abzurufen.
# pkill -HUP gssd
Jetzt sollten Sie in der Lage sein, die Zuordnungen der Berechtigungsnachweise zu überwachen, wenn gssd sie anfordert. Die Zuordnungen werden von syslogd aufgezeichnet, wenn die Datei syslog.conf für die Systemfunktion auth mit dem Schweregrad debug konfiguriert ist.
|