JavaScript is required to for searching.
跳过导航链接
退出打印视图
系统管理指南:安全性服务     Oracle Solaris 10 8/11 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  控制对设备的访问(任务)

5.  使用基本审计报告工具(任务)

6.  控制对文件的访问(任务)

7.  使用自动安全性增强工具(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  基于角色的访问控制(参考)

11.  特权(任务)

12.  特权(参考)

第 4 部分加密服务

13.  Oracle Solaris 加密框架(概述)

14.  Oracle Solaris 加密框架(任务)

15.  Oracle Solaris 密钥管理框架

第 5 部分验证服务和安全通信

16.  使用验证服务(任务)

17.  使用 PAM

18.  使用 SASL

19.  使用 Oracle Solaris 安全 Shell(任务)

20.  Oracle Solaris 安全 Shell(参考)

第 6 部分Kerberos 服务

21.  Kerberos 服务介绍

22.  规划 Kerberos 服务

23.  配置 Kerberos 服务(任务)

24.  Kerberos 错误消息和故障排除

25.  管理 Kerberos 主体和策略(任务)

26.  使用 Kerberos 应用程序(任务)

27.  Kerberos 服务(参考)

Kerberos 文件

Kerberos 命令

Kerberos 守护进程

Kerberos 术语

特定于 Kerberos 的术语

特定于验证的术语

票证类型

票证生命周期

Kerberos 主体名称

Kerberos 验证系统的工作原理

Kerberos 服务与 DNS 的交互方式和 nsswitch.conf 文件

使用 Kerberos 获取服务访问权限

获取用于票证授予服务的凭证

获取服务器凭证

获取对特定服务的访问权限

使用 Kerberos 加密类型

使用 gsscred

Oracle Solaris Kerberos 和 MIT Kerberos 之间的显著差异

第 7 部分Oracle Solaris 审计

28.  Oracle Solaris 审计(概述)

29.  规划 Oracle Solaris 审计

30.  管理 Oracle Solaris 审计(任务)

31.  Oracle Solaris 审计(参考)

词汇表

索引

使用 Kerberos 获取服务访问权限

要访问特定服务器上的特定服务,用户必须获取两个凭证。第一个凭证是票证授予票证(即所知的 TGT)。票证授予服务解密此凭证后,该服务即可为用户请求访问的服务器创建第二个凭证。然后,可使用第二个凭证来请求访问该服务器中的相应服务。该服务器成功解密第二个凭证后,便会授予用户访问权限。以下各节详细介绍了此过程。

获取用于票证授予服务的凭证

  1. 要启动验证过程,客户机需要向验证服务器发送针对特定用户主体的验证请求。该请求在发送时未加密。由于请求中未包含安全信息,因此无需加密。

  2. 验证服务收到请求后,将在 KDC 数据库中查找该用户的主体名称。如果主体与数据库中的项匹配,验证服务会获取该主体的私钥。然后,验证服务将生成一个供客户机和票证授予服务使用的会话密钥(称为会话密钥 1),以及一个用于票证授予服务的票证(票证 1)。此票证也称作票证授予票证 (ticket-granting ticket, TGT)。会话密钥和票证均使用该用户的私钥进行加密,并且会将信息发回客户机。

  3. 客户机通过该用户主体的私钥,使用此信息对会话密钥 1 和票证 1 进行解密。由于该私钥仅对此用户和 KDC 数据库公开,因此包中的信息应是安全的。客户机将该信息存储在凭证高速缓存中。

在此过程中,通常会提示用户输入口令。如果用户指定的口令与用于生成存储在 KDC 数据库中的私钥的口令相同,则客户机可以成功解密验证服务发送的信息。现在,客户机便拥有了用于票证授予服务的凭证。客户机现在可以请求用于服务器的凭证。

图 27-2 获取用于票证授予服务的凭证

image:流程图显示了客户机向 KDC 请求服务器访问权限凭证,以及使用口令解密返回的凭证的过程。

获取服务器凭证

  1. 要请求对特定服务器的访问权限,客户机首先必须向验证服务获取该服务器凭证。请参见获取用于票证授予服务的凭证。客户机随后会向票证授予服务发送请求,其中包括服务主体名称、票证 1 和以会话密钥 1 加密的验证者。票证 1 最初是使用票证授予服务的服务密钥,由验证服务进行加密的。

  2. 因为票证授予服务的服务密钥为票证授予服务所知,票证 1 可以解密。票证 1 中的信息包括会话密钥 1,这样,票证授予服务可以解密验证者。在此情况下,由票证授予服务对用户主体进行验证。

  3. 一旦验证成功,票证授予服务会为用户主体和服务器(会话密钥 2)生成会话密钥,为服务器生成票证(票证 2)。然后,会使用会话密钥 1 对会话密钥 2 和票证 2 进行加密。因为会话密钥 1 仅为客户机和票证授予服务所知,因此该信息是安全的,且可以通过网络安全发送。

  4. 客户机收到该信息包后,会使用会话密钥 1 解密信息,该密钥储存在凭证高速缓存中。客户机即获取用于服务器的凭证。现在,客户机可以请求访问该服务器中的特定服务。

图 27-3 获取服务器凭证

image:流程图显示了客户机向 KDC 发送以会话密钥 1 加密的请求,然后使用同样密钥解密返回凭证的过程。

获取对特定服务的访问权限

  1. 要请求对特定服务的访问权限,客户机必须首先从验证服务器获取用于票证授予服务的凭证,然后从票证授予服务获取服务器凭证。请参见获取用于票证授予服务的凭证获取服务器凭证。然后,客户机可将包含票证 2 和另一个验证者的请求发送到该服务器。验证者使用会话密钥 2 加密。

  2. 票证 2 是由票证授予服务使用该服务的服务密钥进行加密的。由于服务密钥对服务主体公开,因此该服务可以解密票证 2 并获取会话密钥 2。然后,可使用会话密钥 2 解密验证者。如果成功解密验证者,则可授予客户机对该服务的访问权限。

图 27-4 获取对特定服务的访问权限

image:流程图显示了使用票证 2 和以会话密钥 2 加密的验证者的客户机获取对服务器访问权限的过程。