跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
运行 FTP 时如何使用带有 Kerberos 的通用安全服务
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何手动将 Kerberos 数据库传播到从 KDC 服务器
所有参与 Kerberos 验证系统的主机都必须在指定的最长时间(称为时钟相位差)内同步其内部时钟。针对这一要求,需要进行另一种 Kerberos 安全检查。如果任意两个参与主机之间的时间偏差超过了时钟相位差,则客户机请求会被拒绝。
时钟相位差还决定应用服务器必须跟踪所有 Kerberos 协议消息的时间长度,以便识别和拒绝重放的请求。因此,时钟相位差的值越大,应用服务器必须收集的信息就越多。
时钟相位差的最大缺省值为 300 秒(5 分钟)。可以在 krb5.conf 文件的 libdefaults 部分中更改此缺省值。
注 - 出于安全原因,不要将时钟相位差增大到超过 300 秒。
保持 KDC 与 Kerberos 客户机之间的时钟同步非常重要,因此应使用网络时间协议 (Network Time Protocol, NTP) 软件同步这些时钟。Oracle Solaris 软件中包括了由美国特拉华大学开发的 NTP 公共域软件。
注 - 另一种同步时钟的方法是使用 rdate 命令和 cron 作业,这是一种比使用 NTP 更简单的过程。不过,本节将着重介绍如何使用 NTP。并且,如果使用网络来同步时钟,时钟同步协议本身必须是安全的。
通过 NTP,您可以在网络环境中管理精确时间或网络时钟同步,或者同时管理这两者。本质上,NTP 是一种服务器/客户机实现。可以选择一个系统(NTP 服务器)作为主时钟。然后,设置所有其他系统(NTP 客户机),使这些系统的时钟与主时钟同步。
为了同步时钟,NTP 使用 xntpd 守护进程,该守护进程设置并维护 UNIX 系统时间,使其与 Internet 标准时间服务器的时间保持一致。以下给出了该服务器/客户机 NTP 实现的示例。
图 21-1 使用 NTP 同步时钟
确保 KDC 与 Kerberos 客户机保持时钟同步需要实现以下步骤:
在网络上设置一个 NTP 服务器。此服务器可以是主 KDC 服务器以外的任何系统。要了解 NTP 服务器任务,请参见《Oracle Solaris 管理:网络服务》中的"管理网络时间协议(任务)"。
在网络上配置 KDC 和 Kerberos 客户机时,将它们设置为 NTP 服务器的 NTP 客户机。要了解 NTP 客户机任务,请参见《Oracle Solaris 管理:网络服务》中的"管理网络时间协议(任务)"。