|
1 '\" te |
|
2 .\" Copyright (c) 2008, Sun Microsystems, Inc. All Rights Reserved |
|
3 .TH kerberos 5 "2008 年 10 月 1 日" "SunOS 5.12" "标准、环境和宏" |
|
4 .SH 名称 |
|
5 kerberos \- Solaris Kerberos 实现概述 |
|
6 .SH 描述 |
|
7 .sp |
|
8 .LP |
|
9 Solaris Kerberos 实现(后文有时简称为 "Kerberos")会验证网络环境中的客户机,从而实现安全事务。(客户机可以是用户或网络服务。)Kerberos 会验证客户机的身份以及所传输数据的真实性。Kerberos 是\fIsingle-sign-on\fR系统,意味着用户仅需要在会话开始时提供口令。Solaris Kerberos 实现是基于 \fBMIT\fR 开发的 Kerberos(TM) 系统,并与异构网络上的 Kerberos V5 系统兼容。 |
|
10 .sp |
|
11 .LP |
|
12 Kerberos 通过授予客户机\fI票证\fR发挥作用,票证可唯一地标识客户机并具有有限生命周期。将针对票证所属网络服务自动验证拥有票证的客户机;例如,具有有效 Kerberos 票证的用户可登录运行 Kerberos 的其他计算机,而无需标识自身。由于每个客户机均具有唯一的票证,因此可保证其身份。 |
|
13 .sp |
|
14 .LP |
|
15 要获得票证,客户机必须首先使用 \fBkinit\fR(1) 命令或 \fBPAM\fR 模块初始化 Kerberos 会话。(请参见 \fBpam_krb5\fR(5))。\fBkinit\fR 提示输入口令,然后与密钥分发中心 (\fIKey Distribution Center\fR, \fBKDC\fR) 通信。\fBKDC\fR 返回票证授予票证 (\fITicket-Granting Ticket\fR, \fBTGT\fR) 并提示输入确认口令。如果客户机确认口令,则它可以使用票证授予票证来获得特定网络服务的票证。因为以透明方式授予票证,所以用户无需担心票证管理。可使用 \fBklist\fR(1) 命令查看当前票证。 |
|
16 .sp |
|
17 .LP |
|
18 票证的有效性取决于安装时设置的系统\fI策略\fR。例如,票证具有缺省的有效生命周期。策略可以进一步指示特权票证(如属于 root 的票证)具有很短的生命周期。策略还可以允许覆盖某些缺省值;例如,客户机可以请求生命周期大于或小于缺省值的票证。 |
|
19 .sp |
|
20 .LP |
|
21 可使用 \fBkinit\fR 更新票证。票证也是\fI可转发的\fR,允许您将一台计算机上授予的票证用在其他主机上。可使用 \fBkdestroy\fR(1) 销毁票证。在 \fB\&.logout\fR 文件中包含 \fBkdestroy\fR 调用是个不错的选择。 |
|
22 .sp |
|
23 .LP |
|
24 在 Kerberos 中,客户机称为\fI主体\fR。主体的格式如下: |
|
25 .sp |
|
26 .in +2 |
|
27 .nf |
|
28 primary/instance@REALM |
|
29 .fi |
|
30 .in -2 |
|
31 .sp |
|
32 |
|
33 .sp |
|
34 .ne 2 |
|
35 .mk |
|
36 .na |
|
37 \fBprimary\fR |
|
38 .ad |
|
39 .RS 12n |
|
40 .rt |
|
41 用户、主机或服务。 |
|
42 .RE |
|
43 |
|
44 .sp |
|
45 .ne 2 |
|
46 .mk |
|
47 .na |
|
48 \fBinstance\fR |
|
49 .ad |
|
50 .RS 12n |
|
51 .rt |
|
52 主体的限定。如果主体为主机(由关键字 \fBhost\fR 表示),则实例是该主机的完全限定域名。如果主体是用户或服务,则实例是可选项。某些实例具有特权,如 \fBadmin\fR 或 \fBroot\fR。 |
|
53 .RE |
|
54 |
|
55 .sp |
|
56 .ne 2 |
|
57 .mk |
|
58 .na |
|
59 \fBrealm\fR |
|
60 .ad |
|
61 .RS 12n |
|
62 .rt |
|
63 域的 Kerberos 等效项;事实上,在大部分情况下领域直接映射到 \fBDNS\fR 域名。提供的 Kerberos 领域仅可为大写。有关主体名称的示例,请参见“示例”。 |
|
64 .RE |
|
65 |
|
66 .sp |
|
67 .LP |
|
68 通过利用一般安全服务 \fBAPI\fR (General Security Services API, \fBGSS-API\fR),Kerberos 还提供用户验证以外的其他两种类型的安全服务:\fI完整性\fR(验证所传输数据的有效性)以及\fI保密性\fR(加密所传输的数据)。开发人员可通过使用 RPCSEC_GSS \fBAPI\fR 接口来利用 \fBGSS-API\fR(请参见 \fBrpcsec_gss\fR(3NSL))。 |
|
69 .SH 示例 |
|
70 .LP |
|
71 \fB示例 1 \fR有效主体名称的示例 |
|
72 .sp |
|
73 .LP |
|
74 以下是有效的主体名称示例: |
|
75 |
|
76 .sp |
|
77 .in +2 |
|
78 .nf |
|
79 joe |
|
80 joe/admin |
|
81 [email protected] |
|
82 joe/[email protected] |
|
83 rlogin/[email protected] |
|
84 host/[email protected] |
|
85 .fi |
|
86 .in -2 |
|
87 .sp |
|
88 |
|
89 .sp |
|
90 .LP |
|
91 前四个例子是\fI用户主体\fR。在前两个例子中,假设用户 \fBjoe\fR 与客户机处于相同领域,所以未指定领域。请注意,即使同一用户在使用 \fBjoe\fR 和 \fBjoe/admin\fR,它们仍是不同的主体;\fBjoe/admin\fR 拥有与 \fBjoe\fR 不同的特权。第五个例子是\fI服务主体\fR,而最后一个例子是\fI主机主体\fR。对于主机主体,需要 \fBhost\fR 这一单词。有了主机主体,实例即是完全限定主机名。请注意,单词 \fBadmin\fR 和 \fBhost\fR 是保留关键字。 |
|
92 |
|
93 .SH 另请参见 |
|
94 .sp |
|
95 .LP |
|
96 \fBkdestroy\fR(1)、\fBkinit\fR(1)、\fBklist\fR(1)、\fBkpasswd\fR(1)、\fBkrb5.conf\fR(4)、\fBkrb5envvar\fR(5) |
|
97 .sp |
|
98 .LP |
|
99 《\fI《系统管理指南:安全服务》\fR》 |
|
100 .SH 附注 |
|
101 .sp |
|
102 .LP |
|
103 在以前版本的 Solaris 操作系统中,Solaris Kerberos 实现称为“Sun Enterprise 验证机制”(Sun Enterprise Authentication Mechanism, SEAM)。 |
|
104 .sp |
|
105 .LP |
|
106 如果输入您的用户名,\fBkinit\fR 会以下面的消息响应: |
|
107 .sp |
|
108 .in +2 |
|
109 .nf |
|
110 Principal unknown (kerberos) |
|
111 .fi |
|
112 .in -2 |
|
113 .sp |
|
114 |
|
115 .sp |
|
116 .LP |
|
117 您尚未注册为 Kerberos 用户。请与您的系统管理员联系或请参见《\fI《系统管理指南:安全性服务》\fR》。 |