JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:安全服务     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分安全性概述

1.  安全性服务(概述)

第 2 部分系统、文件和设备安全性

2.  管理计算机安全性(概述)

3.  控制对系统的访问(任务)

4.  病毒扫描服务(任务)

5.  控制对设备的访问(任务)

6.  使用 BART 验证文件完整性(任务)

7.  控制对文件的访问(任务)

第 3 部分角色、权限配置文件和特权

8.  使用角色和特权(概述)

9.  使用基于角色的访问控制(任务)

10.  Oracle Solaris 中的安全属性(参考信息)

第 4 部分加密服务

11.  加密框架(概述)

12.  加密框架(任务)

13.  密钥管理框架

第 5 部分验证服务和安全通信

14.  使用可插拔验证模块

15.  使用 安全 Shell

16.  安全 Shell(参考信息)

17.  使用简单验证和安全层

18.  网络服务验证(任务)

第 6 部分Kerberos 服务

19.  Kerberos 服务介绍

20.  规划 Kerberos 服务

21.  配置 Kerberos 服务(任务)

22.  Kerberos 错误消息和故障排除

Kerberos 错误消息

SEAM Tool 错误消息

常见的 Kerberos 错误消息 (A-M)

常见的 Kerberos 错误消息 (N-Z)

Kerberos 故障排除

如何识别密钥版本号相关的问题

krb5.conf 文件的格式存在问题

传播 Kerberos 数据库时出现问题

挂载基于 Kerberos 的 NFS 文件系统时出现问题

root 用户身份进行验证时出现问题

观察从 GSS 凭证到 UNIX 凭证的映射

对 Kerberos 服务使用 DTrace

23.  管理 Kerberos 主体和策略(任务)

24.  使用 Kerberos 应用程序(任务)

25.  Kerberos 服务(参考信息)

第 7 部分在 Oracle Solaris 中审计

26.  审计(概述)

27.  规划审计

28.  管理审计(任务)

29.  审计(参考信息)

词汇表

索引

Kerberos 故障排除

本节介绍了有关 Kerberos 软件的故障排除信息。

如何识别密钥版本号相关的问题

有时,KDC 使用的密钥版本号 (Key Version Number, KVNO) 与 /etc/krb5/krb5.keytab 中存储的系统托管服务的服务主体密钥不匹配。如果 KDC 中创建了一组新密钥,但没有在密钥表文件中更新这些新密钥,KVNO 可能会不同步。可以通过以下过程诊断此问题。

  1. 列出 keytab 条目。

    请注意,每个主体的 KVNO 都包含在列表中。

    # klist -k 
    Keytab name: FILE:/etc/krb5/krb5.keytab
    KVNO Principal
    ---- --------------------------------------------------------------------------
       2 host/denver.example.com@EXAMPLE.COM
       2 host/denver.example.com@EXAMPLE.COM
       2 host/denver.example.com@EXAMPLE.COM
       2 nfs/denver.example.com@EXAMPLE.COM
       2 nfs/denver.example.com@EXAMPLE.COM
       2 nfs/denver.example.com@EXAMPLE.COM
       2 nfs/denver.example.com@EXAMPLE.COM
  2. 使用 host 密钥获取初始凭证。
    # kinit -k
  3. 确定 KDC 所使用的 KVNO。
    # kvno nfs/denver.example.com
    nfs/denver.example.com@EXAMPLE.COM: kvno = 3

    请注意,此处列出的 KVNO 是 3 而不是 2。

krb5.conf 文件的格式存在问题

如果 krb5.conf 文件的格式不正确,则以下错误消息可能会显示在终端窗口中或记录在日志文件中:

Improper format of Kerberos configuration file while initializing krb5 library

如果 krb5.conf 文件格式有问题,关联的服务很容易受到攻击。您必须首先解决该问题,然后再允许使用 Kerberos 功能。

传播 Kerberos 数据库时出现问题

如果 Kerberos 数据库传播失败,请在从 KDC 与主 KDC 服务器之间尝试使用 /usr/bin/rlogin -x,反之亦然。

如果 KDC 已设置为限制访问,则会禁用 rlogin,因此无法使用它来解决该问题。要在 KDC 上启用 rlogin,必须启用 eklogin 服务。

# svcadm enable svc:/network/login:eklogin

解决此问题后,需要禁用 eklogin 服务。

如果 rlogin 无法正常运行,可能是因为 KDC 上的密钥表文件存在问题。如果 rlogin 可以正常运行,则问题不在于密钥表文件或名称服务,因为 rlogin 与传播软件使用同一个 host/host-name 主体。在这种情况下,请确保 kpropd.acl 文件正确。

挂载基于 Kerberos 的 NFS 文件系统时出现问题

在本示例中,此设置允许引用服务器的密钥表文件中的不同接口和一个服务主体(而非三个服务主体)一次。

root 用户身份进行验证时出现问题

如果在尝试成为系统超级用户时验证失败,并且已将 root 主体添加到主机的密钥表文件中,则需要检查两个可能的问题。首先,请确保密钥表文件中的 root 主体具有一个全限定主机名作为其实例。如果具有该名称,请检查 /etc/resolv.conf 文件,以确保系统已正确设置为 DNS 客户机。

观察从 GSS 凭证到 UNIX 凭证的映射

为了可以监视凭证映射,请首先在 /etc/gss/gsscred.conf 文件中取消对以下行的注释。

SYSLOG_UID_MAPPING=yes

接下来,指示 gssd 服务从 /etc/gss/gsscred.conf 文件获取信息。

# pkill -HUP gssd

现在,您应该可以在 gssd 请求凭证映射时对其进行监视。如果针对 auth 系统功能将 syslog.conf 文件设置为 debug 严重级别,则可通过 syslogd 记录这些映射。