Date: Sun, 15 May 2016 14:42:05 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48816 - head/de_DE.ISO8859-1/books/handbook/security Message-ID: <201605151442.u4FEg502066052@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Sun May 15 14:42:05 2016 New Revision: 48816 URL: https://svnweb.freebsd.org/changeset/doc/48816 Log: Update to r44444: Finish editorial review of Kerberos chapter. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 13:11:41 2016 (r48815) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 14:42:05 2016 (r48816) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44442 + basiert auf: r44444 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security"> <info><title>Sicherheit</title> @@ -1539,7 +1539,7 @@ kadmin> <userinput>exit</userinput></ </sect2> <sect2> - <title>Heimdal <application>Kerberos</application>-Clients + <title><application>Kerberos</application> auf dem Client einrichten</title> <indexterm> @@ -1551,7 +1551,9 @@ kadmin> <userinput>exit</userinput></ Konfiguration in <filename>/etc/krb5.conf</filename>. Kopien Sie die Datei (sicher) vom <acronym>KDC</acronym> auf den Client, oder schreiben Sie die Datei bei Bedarf - einfach neu. Testen Sie den Client, indem Sie mit + einfach neu.</para> + + <para>Testen Sie den Client, indem Sie mit <command>kinit</command> Tickets anfordern, mit <command>klist</command> Tickets anzeigen und mit <command>kdestroy</command> Tickets löschen. @@ -1613,18 +1615,56 @@ jdoe@example.org</programlisting> </sect2> <sect2> + <title>Unterschiede zur + <acronym>MIT</acronym>-Implementation</title> + + <para>Der Hauptunterschied zwischen der <acronym>MIT</acronym>- + und der Heimdal-Implementation ist das Kommando + <command>kadmin</command>. Die Befehlssätze des Kommandos + (obwohl funktional gleichwertig) und das verwendete Protokoll + unterscheiden sich in beiden Varianten. Das + <acronym>KDC</acronym> lässt sich nur mit dem + <command>kadmin</command> Kommando der passenden + <application>Kerberos</application>-Variante verwalten.</para> + + <para>Für dieselbe Funktion können auch die + Client-Anwendungen leicht geänderte Kommandozeilenoptionen + besitzen. Folgen Sie der Anleitung auf <uri + xlink:href="http://web.mit.edu/Kerberos/www/">; + http://web.mit.edu/Kerberos/www/</uri>. Achten Sie + besonders auf den Suchpfad für Anwendungen. Der + <acronym>MIT</acronym>-Port wird unter &os; standardmäßig in + <filename>/usr/local/</filename> installiert. Wenn die + Umgebungsvariable <envar>PATH</envar> zuerst die + Systemverzeichnisse enthält, werden die Systemprogramme + anstelle der <acronym>MIT</acronym>-Programme + ausgeführt.</para> + + <para>Wenn Sie + <acronym>MIT</acronym>-<application>Kerberos</application> + verwenden, sollten Sie außerdem folgende Änderungen an + <filename>/etc/rc.conf</filename> vornehmen:</para> + + <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc" +kadmind5_server="/usr/local/sbin/kadmind" +kerberos5_server_flags="" +kerberos5_server_enable="YES" +kadmind5_server_enable="YES"</programlisting> + </sect2> + + <sect2> <title>Tipps und Fehlersuche</title> - <indexterm> - <primary>Kerberos5</primary> - <secondary>Fehlersuche</secondary> - </indexterm> + + <para>Während der Konfiguration und bei der Fehlersuche sollten + die folgenden Punkte beachtet werden:</para> <itemizedlist> <listitem> - <para>Wenn Sie den Heimdal-Port oder den - <acronym>MIT</acronym>-Port benutzen, muss in der - Umgebungsvariable <envar>PATH</envar> der Pfad zu - den <application>Kerberos</application>-Programmen vor dem + <para>Wenn Sie Heimdal- oder + <acronym>MIT</acronym>-<application>Kerberos</application> + benutzen, muss in der Umgebungsvariable + <envar>PATH</envar> der Pfad zu den + <application>Kerberos</application>-Programmen vor dem Pfad zu den Programmen des Systems stehen.</para> </listitem> @@ -1637,12 +1677,6 @@ jdoe@example.org</programlisting> </listitem> <listitem> - <para>Die <acronym>MIT</acronym>- und Heimdal-Systeme - arbeiten bis auf <command>kadmin</command>, welches nicht - standardisiert ist, gut zusammen.</para> - </listitem> - - <listitem> <para>Wenn Sie den Namen eines Rechners ändern, müssen Sie auch den <systemitem class="username">host/</systemitem>-Prinzipal ändern und @@ -1682,11 +1716,10 @@ jdoe@example.org</programlisting> Tickets mit einer längeren Gültigkeit als der vorgegebenen zehn Stunden einrichten wollen, müssen Sie zwei Sachen ändern. Benutzen - Sie das <command>modify_principal</command> von - <command>kadmin</command>, um die maximale - Gültigkeitsdauer für den Prinzipal selbst - und den Prinzipal <systemitem - class="username">krbtgt</systemitem> + Sie <command>modify_principal</command> am Prompt von + &man.kadmin.8;, um die maximale + Gültigkeitsdauer für den Prinzipal selbst und den + Prinzipal <systemitem class="username">krbtgt</systemitem> zu erhöhen. Das Prinzipal kann dann mit <command>kinit -l</command> ein Ticket mit einer längeren Gültigkeit beantragen.</para> @@ -1722,12 +1755,11 @@ jdoe@example.org</programlisting> <listitem> <para>Wenn Sie <application>OpenSSH</application> verwenden - und Tickets mir einer langen Gültigkeit - (beispielsweise einer Woche) benutzen, setzen Sie - <option>TicketCleanup</option> in - <filename>sshd_config</filename> auf <literal>no</literal>. - Ansonsten werden die Tickets gelöscht, wenn Sie - sich abmelden.</para> + und Tickets mir einer langen Gültigkeit benutzen, setzen + Sie <option>TicketCleanup</option> in + <filename>/etc/ssh/sshd_config</filename> auf + <literal>no</literal>. Ansonsten werden die Tickets + gelöscht, wenn Sie sich abmelden.</para> </listitem> <listitem> @@ -1755,123 +1787,51 @@ jdoe@example.org</programlisting> </sect2> <sect2> - <title>Unterschiede zum <acronym>MIT</acronym>-Port</title> - - <para>Der Hauptunterschied zwischen - <acronym>MIT</acronym>-<application>Kerberos</application> - und Heimdal-<application>Kerberos</application> - ist das Kommando <command>kadmin</command>. - Die Befehlssätze des Kommandos (obwohl funktional - gleichwertig) und das verwendete - Protokoll unterscheiden sich in beiden Varianten. - Das <acronym>KDC</acronym> lässt sich nur mit - dem <command>kadmin</command> Kommando der passenden - <application>Kerberos</application>-Variante verwalten.</para> - - <para>Für dieselbe Funktion können auch die - Client-Anwendungen leicht geänderte Kommandozeilenoptionen - besitzen. Folgen Sie bitte der Anleitung auf der - <application>Kerberos</application>-Seite - <uri xlink:href="http://web.mit.edu/Kerberos/www/">http://web.mit.edu/Kerberos/www/</uri>; - des <acronym>MIT</acronym>s. Achten Sie besonders auf den - Suchpfad für Anwendungen. Der <acronym>MIT</acronym>-Port - wird standardmäßig in - <filename>/usr/local/</filename> - installiert. Wenn die Umgebungsvariable <envar>PATH</envar> - zuerst die Systemverzeichnisse enthält, werden die - Systemprogramme anstelle der <acronym>MIT</acronym>-Programme - ausgeführt.</para> - - <note> - <para>Wenn Sie den <acronym>MIT</acronym>-Port - <package>security/krb5</package> verwenden, - erscheint bei der Anmeldung mit <command>telnetd</command> - und <command>klogind</command> die Fehlermeldung - <errorname>incorrect permissions on cache file</errorname>. - Lesen Sie dazu die im Port enthaltene Datei - <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>. - Wichtig ist, dass zur Authentifizierung die Binärdatei - <command>login.krb5</command> verwendet wird, die - für durchgereichte Berechtigungen die Eigentümer - korrekt ändert.</para> - </note> - - <para>Wird - <acronym>MIT</acronym>-<application>Kerberos</application> auf - &os; eingesetzt, sollten in <filename>rc.conf</filename> - folgende Zeilen aufgenommen werden:</para> - - <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc" -kadmind5_server="/usr/local/sbin/kadmind" -kerberos5_server_flags="" -kerberos5_server_enable="YES" -kadmind5_server_enable="YES"</programlisting> - - <para>Diese Zeilen sind notwendig, weil die Anwendungen - von <acronym>MIT</acronym>-<acronym>Kerberos</acronym> die - Binärdateien unterhalb von <filename>/usr/local</filename> - installieren.</para> - </sect2> - - <sect2> <title>Beschränkungen von <application>Kerberos</application></title> + <indexterm> <primary>Kerberos5</primary> <secondary>Beschränkungen</secondary> </indexterm> - <sect3> - <title><application>Kerberos</application> muss ganzheitlich - verwendet werden</title> - - <para>Jeder über das Netzwerk angebotene Dienst - muss mit <application>Kerberos</application> - zusammenarbeiten oder auf anderen Wegen gegen Angriffe - aus dem Netzwerk geschützt sein. Andernfalls - können Berechtigungen gestohlen und wiederverwendet - werden. Es ist beispielsweise nicht sinnvoll, für - Remote-Shells<application>Kerberos</application> - zu benutzen, dagegen aber <acronym>POP3</acronym>-Zugriff - auf einen Mail-Server zu erlauben, da - <acronym>POP3</acronym>-Passwörter im Klartext - versendet.</para> - </sect3> - - <sect3> - <title><application>Kerberos</application> ist für - Einbenutzer-Systeme gedacht</title> - - <para>In Mehrbenutzer-Umgebungen ist - <application>Kerberos</application> unsicherer als in - Einbenutzer-Umgebungen, da die Tickets im für alle - lesbaren Verzeichnis <filename>/tmp</filename> - gespeichert werden. Wenn ein Rechner von mehreren - Benutzern verwendet wird, ist es möglich, dass - Tickets von einem anderen Benutzer gestohlen oder - kopiert werden.</para> - - <para>Dieses Problem können Sie lösen, indem Sie mit - der Kommandozeilenoption <option>-c</option> oder besser - mit der Umgebungsvariablen <envar>KRB5CCNAME</envar> einen - Ort für die Tickets vorgeben. Es reicht, die Tickets - im Heimatverzeichnis eines Benutzers zu speichern und - mit Zugriffsrechten zu schützen.</para> - </sect3> - - <sect3> - <title>Das <acronym>KDC</acronym> ist verwundbar</title> - - <para>Das <acronym>KDC</acronym> muss genauso abgesichert - werden wie die auf ihm befindliche Passwort-Datenbank. - Auf dem <acronym>KDC</acronym> sollten absolut keine anderen - Dienste laufen und der Rechner sollte physikalisch - gesichert sein. Die Gefahr ist groß, da - <application>Kerberos</application> alle Passwörter - mit einem Schlüssel, dem Haupt-Schlüssel, - verschlüsselt. Der Haupt-Schlüssel wiederum - wird in einer Datei auf dem <acronym>KDC</acronym> - gespeichert.</para> + <para><application>Kerberos</application> muss ganzheitlich + verwendet werden. Jeder über das Netzwerk angebotene Dienst + muss mit <application>Kerberos</application> zusammenarbeiten + oder auf anderen Wegen gegen Angriffe aus dem Netzwerk + geschützt sein. Andernfalls können Berechtigungen gestohlen + und wiederverwendet werden. Es ist beispielsweise nicht + sinnvoll, für Remote-Shells + <application>Kerberos</application> zu benutzen, dagegen aber + <acronym>POP3</acronym>-Zugriff auf einem Mail-Server zu + erlauben, da <acronym>POP3</acronym> Passwörter im Klartext + versendet.</para> + + <para><application>Kerberos</application> ist für + Einbenutzer-Systeme gedacht. In Mehrbenutzer-Umgebungen ist + <application>Kerberos</application> unsicherer als in + Einbenutzer-Umgebungen, da die Tickets im für alle + lesbaren Verzeichnis <filename>/tmp</filename> gespeichert + werden. Wenn ein Rechner von mehreren Benutzern verwendet + wird, ist es möglich, dass Tickets von einem anderen Benutzer + gestohlen oder kopiert werden.</para> + + <para>Dieses Problem können Sie lösen, indem Sie mit + <command>kinit -c</command> oder besser mit der + Umgebungsvariablen <envar>KRB5CCNAME</envar> einen Ort für die + Tickets vorgeben. Es reicht, die Tickets im Heimatverzeichnis + eines Benutzers zu speichern und mit Zugriffsrechten zu + schützen.</para> + + <para>Das <acronym>KDC</acronym> ist verwundbar und muss daher + genauso abgesichert werden, wie die auf ihm befindliche + Passwort-Datenbank. Auf dem <acronym>KDC</acronym> sollten + absolut keine anderen Dienste laufen und der Rechner sollte + physikalisch gesichert sein. Die Gefahr ist groß, da + <application>Kerberos</application> alle Passwörter mit einem + Schlüssel, dem Haupt-Schlüssel, verschlüsselt. Der + Haupt-Schlüssel wiederum wird in einer Datei auf dem + <acronym>KDC</acronym> gespeichert.</para> <para>Ein kompromittierter Haupt-Schlüssel ist nicht ganz so schlimm wie allgemein angenommen. Der @@ -1893,29 +1853,22 @@ kadmind5_server_enable="YES"</programlis <acronym>KDC</acronym> mittels <acronym>PAM</acronym>-Authentifizierung muss sorgfältig eingerichtet werden.</para> - </sect3> - - <sect3> - <title>Mängel von - <application>Kerberos</application></title> <para>Mit <application>Kerberos</application> können sich Benutzer, Rechner und Dienste gegenseitig authentifizieren. Allerdings existiert kein Mechanismus, der das <acronym>KDC</acronym> gegenüber Benutzern, Rechnern oder Diensten authentifiziert. Ein verändertes - &man.kinit.1; könnte beispielsweise alle - Benutzernamen und Passwörter abfangen. Die von - veränderten Programmen ausgehende Gefahr können - Sie lindern, indem Sie die Integrität von Dateien - mit Werkzeugen wie - <package>security/tripwire</package> - prüfen.</para> - </sect3> + <command>kinit</command> könnte beispielsweise alle + Benutzernamen und Passwörter abfangen. Die von veränderten + Programmen ausgehende Gefahr können Sie lindern, indem Sie + die Integrität von Dateien mit Werkzeugen wie + <package>security/tripwire</package> prüfen.</para> </sect2> <sect2> <title>Weiterführende Dokumentation</title> + <indexterm> <primary>Kerberos5</primary> <secondary>weiterführende Dokumentation</secondary>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605151442.u4FEg502066052>