跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:安全服务 Oracle Solaris 11.1 Information Library (简体中文) |
10. Oracle Solaris 中的安全属性(参考信息)
如何使用多种 Kerberos 安全模式设置安全的 NFS 环境
如何为 Active Directory 服务器配置 Kerberos 客户机
如何以 root 用户身份访问受 Kerberos 保护的 NFS 文件系统
如何自动续订所有票证授予票证 (Ticket-Granting Ticket, TGT)
如何手动将 Kerberos 数据库传播到从 KDC 服务器
网络应用服务器是使用以下一个或多个网络应用程序提供访问的主机:ftp、rcp、rlogin、rsh、ssh 和 telnet。要在服务器上启用这些命令的 Kerberos 版本,只需执行几个步骤。
此过程使用以下配置参数:
应用服务器 =boston
admin 主体 = kws/admin
DNS 域名 = example.com
领域名称 = EXAMPLE.COM
开始之前
此过程要求已配置主 KDC 服务器。要完全测试该过程,必须配置多个 Kerberos 客户机。
您必须承担应用程序服务器上的 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
有关 NTP 的信息,请参见同步 KDC 与 Kerberos 客户机的时钟。
以下命令报告是否存在主机主体:
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
如果此命令未返回主体,请执行以下步骤创建新主体。
有关如何使用 GUI Kerberos 管理工具添加主体的说明,请参见如何创建新的 Kerberos 主体。以下步骤中的示例说明如何使用命令行添加所需的主体。必须使用在配置主 KDC 服务器时创建的一个 admin 主体名称登录。
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
按照下列方法使用 host 主体:
使用远程命令时(如 rsh 和 ssh)时验证通信。
供 pam_krb5 防止 KDC 欺骗攻击,以确认用户的 Kerberos 凭证是从可信 KDC 获取的。
允许 root 用户在不要求存在 root 主体的情况下,自动获取 Kerberos 凭证。在执行手动 NFS 挂载时,若共享需要使用 Kerberos 凭证,此功能很有用。
如果要使用 Kerberos 服务验证使用远程应用程序的通信,则需要该主体。如果服务器有多个与之关联的主机名,则应使用主机名的 FQDN 格式为每个主机名创建一个主体。
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
如果没有运行 kadmin 命令,请使用以下类似语法重新启动该命令:/usr/sbin/kadmin -p kws/admin
如果服务器有多个与之相关的主机名,请为每个主机名向密钥表添加一个主体。
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
可将通用安全服务 (generic security service, GSS) 应用于应用程序中,以轻松使用 Kerberos 实现验证、完整性和保密性。以下步骤显示如何为 ProFTPD 启用 GSS。
开始之前
您必须承担 FTP 服务器上的 root 角色。有关更多信息,请参见如何使用指定给您的管理权限。
如果您之前执行过更改,可能无需执行下列步骤。
ftpserver1 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
kadmin: ank -randkey ftp/ftpserver1.example.com
创建新的密钥表文件,使该信息可用于 ftp 服务,而不公开该服务器的密钥表文件中的所有信息。
kadmin: ktadd -k /etc/krb5/ftp.keytab ftp/ftpserver1.example.com
ftpserver1 # chown ftp:ftp /etc/krb5/ftp.keytab
对 /etc/proftpd.conf 文件执行下列更改。
# cat /etc/proftpd.conf LoadModule mod_gss.c GSSEngine on GSSKeytab /etc/krb5/ftp.keytab
# svcadm restart network/ftp