跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
19. 使用 Oracle Solaris 安全 Shell(任务)
20. Oracle Solaris 安全 Shell(参考)
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何禁用票证授予票证 (Ticket Granting Ticket, TGT) 的验证
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何手动将 Kerberos 数据库传播到从 KDC 服务器
网络应用服务器是使用以下一个或多个网络应用程序提供访问的主机:ftp、rcp、rlogin、rsh、ssh 和 telnet。要在服务器上启用这些命令的 Kerberos 版本,只需执行几个步骤。
此过程使用以下配置参数:
应用服务器 =boston
admin 主体 = kws/admin
DNS 域名 = example.com
领域名称 = EXAMPLE.COM
开始之前
此过程要求已配置主 KDC 服务器。要完全测试该过程,必须配置多个 Kerberos 客户机。
有关 NTP 的信息,请参见同步 KDC 与 Kerberos 客户机的时钟。
以下命令报告是否存在主机主体:
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
如果此命令未返回主体,请执行以下步骤创建新主体。
有关如何使用图形化 Kerberos 管理工具添加主体的说明,请参见如何创建新的 Kerberos 主体。以下步骤中的示例说明如何使用命令行添加所需的主体。必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
host 主体用于:
使用远程命令时(如 rsh 和 ssh)时验证通信。
供 pam_krb5 防止 KDC 欺骗攻击,以确认用户的 Kerberos 凭证是从可信 KDC 获取的。
允许 root 用户在不要求存在 root 主体的情况下,自动获取 Kerberos 凭证。在执行手动 NFS 挂载时,若共享需要使用 Kerberos 凭证,此功能很有用。
如果要使用 Kerberos 服务验证使用远程应用程序的通信,则需要该主体。如果服务器有多个与之关联的主机名,则应使用主机名的 FQDN 格式为每个主机名创建一个主体。
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
如果没有运行 kadmin 命令,请使用以下类似语法重新启动该命令: /usr/sbin/kadmin -p kws/admin
如果服务器有多个与之相关的主机名,请为每个主机名向密钥表添加一个主体。
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit