| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: Sicherheitsservices |
Teil I Übersicht über die Sicherheit
1. Sicherheitsservices (Überblick)
Teil II System-, Datei- und Gerätesicherheit
2. Verwalten von Rechnersicherheit (Übersicht)
3. Steuern des Zugriffs auf Systeme (Aufgaben)
4. Steuern des Zugriffs auf Geräte (Aufgaben)
5. Verwenden von Basic Audit Reporting Tool (Aufgaben)
6. Steuern des Zugriffs auf Dateien (Aufgaben)
7. Verwenden von Automated Security Enhancement Tool (Aufgaben)
Teil III Rollen, Berechtigungsprofile und Berechtigungen
8. Verwenden von Rollen und Berechtigungen (Übersicht)
9. Rollenbasierte Zugriffssteuerung (Aufgaben)
10. Rollenbasierte Zugriffssteuerung (Übersicht)
Teil IV Kryptografische Services
13. Oracle Solaris Cryptographic Framework (Übersicht)
14. Oracle Solaris Cryptographic Framework (Aufgaben)
15. Oracle Solaris Key Management Framework
Teil V Authentifizierungsservices und sichere Kommunikation
16. Verwenden von Authentifizierungsservices (Aufgaben)
19. Verwenden von Oracle Solaris Secure Shell (Aufgaben)
20. Oracle Solaris Secure Shell (Referenz)
21. Einführung zum Kerberos-Service
22. Planen des Kerberos-Service
23. Konfigurieren des Kerberos-Service (Aufgaben)
24. Kerberos-Fehlermeldungen und -Fehlerbehebung
25. Verwalten von Kerberos-Hauptelementen und Richtlinien (Aufgaben)
26. Verwenden von Kerberos-Anwendungen (Aufgaben)
Hinweis zum Auswählen eines Passworts
Gewähren von Zugriff auf Ihr Konto
Übersicht über kerberisierte Befehle
Weiterleiten von Kerberos-Tickets
Verwenden kerberisierter Befehle (Beispiele)
27. Der Kerberos-Service (Referenz)
Teil VII Prüfung bei Oracle Solaris
28. Prüfung bei Oracle Solaris (Übersicht)
29. Planen der Oracle Solaris-Prüfung
30. Verwalten der Oracle Solaris-Prüfung (Aufgaben)
In diesem Abschnitt wird erläutert, wie Tickets abgerufen, angezeigt und gelöscht werden. Eine Einführung zu Tickets finden Sie unter Funktionsweise des Kerberos-Service.
Wenn Sie eine SEAM- oder Oracle Solaris-Version installiert haben, ist Kerberos in den Befehl login integriert, und Sie rufen Tickets bei der Anmeldung automatisch ab. Die kerberisierten Befehle rsh, rcp, rdist, telnet und rlogin sind üblicherweise so eingerichtet, dass sie Kopien Ihrer Tickets an die anderen Rechner weiterleiten, damit Sie Tickets für den Zugriff auf diese Rechner nicht explizit anfordern müssen. Ihre Konfiguration enthält diese automatische Weiterleitung möglicherweise nicht; es handelt sich jedoch um das Standardverhalten. Weitere Informationen zum Weiterleiten von Tickets finden Sie unter Übersicht über kerberisierte Befehle und Weiterleiten von Kerberos-Tickets.
Informationen zur Lebensdauer von Tickets erhalten Sie unter Lebensdauer von Tickets.
Wenn PAM ordnungsgemäß konfiguriert ist, wird ein Ticket normalerweise automatisch bei der Anmeldung erstellt und es sind keine besonderen Schritte zum Abrufen eines Tickets erforderlich. Sie müssen jedoch gegebenenfalls ein Ticket erstellen, wenn Ihr Ticket abläuft. Außerdem müssen Sie eventuell zusätzlich zu Ihrem Standardhauptelement ein anderes Hauptelement verwenden, wenn Sie sich beispielsweise mit rlogin - l als eine andere Person bei einem Rechner anmelden.
Verwenden Sie zum Erstellen eines Tickets den Befehl kinit.
% /usr/bin/kinit
Der Befehl kinit fordert Sie zur Angabe Ihres Passworts auf Die vollständige Syntax des Befehls kinit finden Sie auf der Manpage kinit(1).
Beispiel 26-1 Erstellen eines Kerberos-Tickets
Im folgenden Beispiel erstellt die Benutzerin jennifer ein Ticket auf dem eigenen System.
% kinit Password for jennifer@ENG.EXAMPLE.COM: <Type password>
In diesem Beispiel erstellt der Benutzer david ein Ticket, das für drei Stunden mit der Option -l gültig ist.
% kinit -l 3h david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
Im nächsten Beispiel erstellt der Benutzer david mit der Option -f ein weiterleitbares Ticket für sich selbst. Mit diesem weiterleitbaren Ticket kann er sich z. B. bei einem zweiten System anmelden und telnet auf ein drittes System anwenden.
% kinit -f david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
Weitere Informationen zum Weiterleiten von Tickets finden Sie unter Weiterleiten von Kerberos-Tickets und Typen von Tickets.
Nicht alle Tickets sind gleich. So kann beispielsweise ein Ticket weiterleitbar sein, während ein anderes Ticket nachdatiert ist. Ein drittes Ticket kann z. B. sowohl weiterleitbar als auch nachdatiert sein. Durch Verwenden des Befehls klist mit der Option -f können Sie anzeigen, über welche Tickets Sie verfügen und welches deren Attribute sind.
% /usr/bin/klist -f
Die folgenden Symbole geben die mit jedem Ticket verknüpften Attribute an, wie durch klist angezeigt:
Vorauthentifiziert (Preauthenticated)
Nachdatierbar (Postdatable)
Nachdatiert (Postdated)
Weiterleitbar (Forwardable)
Weitergeleitet (Forwarded)
Anfänglich (Initial)
Ungültig (Invalid)
Proxyfähig (Proxiable)
Proxy
Erneuerbar (Renewable)
Unter Typen von Tickets werden die verschiedenen möglichen Attribute eines Tickets beschrieben.
Beispiel 26-2 Anzeigen von Kerberos-Tickets
In diesem Beispiel verfügt die Benutzerin jennifer über ein anfängliches Ticket, das weiterleitbar (F) und nachdatiert (d) ist, aber noch nicht validiert wurde (i).
% /usr/bin/klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: jennifer@EXAMPLE.COM
Valid starting Expires Service principal
09 Mar 04 15:09:51 09 Mar 04 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 15:12:51, Flags: Fdi
Im folgenden Beispiel verfügt der Benutzer david über zwei Tickets, die von seinem Host an einen anderen Host weitergeleitet (f) wurden. Die Tickets sind auch weiterleitbar (F).
% klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 17:09:51, Flags: fF
Valid starting Expires Service principal
08 Mar 04 08:09:51 09 Mar 04 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 15:22:51, Flags: fF
Das anschließende Beispiel zeigt, wie die Verschlüsselungstypen des Sitzungsschlüssels und des Tickets mit der Option -e angezeigt werden. Mit der Option -a wird die Hostadresse einem Hostnamen zugeordnet, falls der Name Service die Konvertierung durchführen kann.
% klist -fea
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 17:09:51, Flags: FRIA
Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32
Addresses: client.example.com
Wenn Sie alle während Ihrer aktuellen Sitzung erhaltenen Kerberos-Tickets löschen möchten, verwenden Sie den Befehl kdestroy. Der Befehl leert den Berechtigungsnachweis-Cache, wodurch alle Ihre Berechtigungsnachweise und Tickets gelöscht werden. Wenn kdestroy ausgeführt wird, verringert sich die Gefahr, dass der Berechtigungsnachweis-Cache beeinträchtigt wird, während Sie nicht angemeldet sind. Dies ist jedoch üblicherweise nicht erforderlich.
Verwenden Sie zum Löschen Ihrer Tickets den Befehl kdestroy.
% /usr/bin/kdestroy
Der Befehl kdestroy löscht alle Ihre Tickets. Sie können diesen Befehl nicht verwenden, um ein bestimmtes ausgewähltes Ticket zu löschen.
Wenn Sie eine Zeit lang nicht mit dem System arbeiten und besorgt sind, dass ein Eindringling Ihre Berechtigungen verwenden könnte, sollten Sie entweder kdestroy oder einen Bildschirmschoner verwenden, der den Bildschirm sperrt.
|