From owner-svn-doc-head@freebsd.org Sun May 15 13:11:42 2016 Return-Path: Delivered-To: svn-doc-head@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id B1A7EB3AAE5; Sun, 15 May 2016 13:11:42 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 75F1B1D53; Sun, 15 May 2016 13:11:42 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4FDBfGK038761; Sun, 15 May 2016 13:11:41 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4FDBfG2038760; Sun, 15 May 2016 13:11:41 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605151311.u4FDBfG2038760@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 15 May 2016 13:11:41 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48815 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-head@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: SVN commit messages for the doc tree for head List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 15 May 2016 13:11:42 -0000 Author: bhd Date: Sun May 15 13:11:41 2016 New Revision: 48815 URL: https://svnweb.freebsd.org/changeset/doc/48815 Log: Update to r44442: Editorial review of first 1/2 of Kerberos chapter. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 10:29:54 2016 (r48814) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 13:11:41 2016 (r48815) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44403 + basiert auf: r44442 --> Sicherheit @@ -1196,7 +1196,7 @@ sendmail : PARANOID : deny - <application>Kerberos5</application> + <application>Kerberos</application> TillmanHodgsonBeigetragen von @@ -1205,14 +1205,18 @@ sendmail : PARANOID : deny - - - Kerberos ist ein Netzwerk-Protokoll, - das Benutzer mithilfe eines sicheren Servers authentifiziert. - Die Daten einer Kommunikation können verschlüsselt werden, - nachdem die Kommunikationspartner mit - Kerberos ihre Identität geprüft - haben. + Kerberos ist ein + Netzwerk-Authentifizierungsprotokoll, das ursprünglich am + Massachusetts Institute of Technology (MIT) + entwickelt wurde. Es bietet die Möglichkeit zur sicheren + Authentifizierung über ein potentiell unsicheres Netzwerk. Das + Kerberos-Protokoll benutzt eine + starke Kryptographie, um die Identität von Clients und Servern + nachweisen zu können. Dabei werden keine unverschlüsselten + Daten über das Netzewrk gesendet. + Kerberos kann als eine Art Proxy zur + Identitätsprüfung, oder als vertrauenswürdiges + Authentifizierungssystem betrachtet werden. Kerberos hat nur eine Aufgabe: Die sichere Prüfung der Identität eines Benutzers @@ -1224,10 +1228,29 @@ sendmail : PARANOID : deny + Die aktuelle Version des Protokolls ist Version 5, die in + RFC 4120 beschrieben ist. Es existieren + mehrere freie Implementierungen dieses Protokolls für eine Reihe + von Betriebssystemen. Das MIT entwickelt + auch weiterhin seine + Kerberos-Version weiter. + Es wird in den vereinigten Staaten als Kryptographie-Produkt + eingesetzt und unterlag in der Vergangenheit + US-Exportbeschränkungen. In &os; ist + MIT-Kerberos als + Port oder Paket security/krb5 + verfügbar. Die + Kerberos-Implementation von Heimdal + wurde außerhalb der USA entwickelt und + unterliegt daher keinen Export-Beschränkungen. + Heimdal-Kerberos ist im Basissystem + von &os; enthalten. Mit security/heimdal aus + der Ports-Sammlung steht eine weitere Distribution, mit mehr + konfigurierbaren Optionen zur Verfügung. + Die folgenden Anweisungen beschreiben, wie Sie das mit - &os; gelieferte Kerberos einrichten. - Eine vollständige Beschreibung des Systems entnehmen Sie den - entsprechenden Hilfeseiten. + &os; gelieferte Heimdal-Kerberos + einrichten. Die Beschreibung der Kerberos-Installation benutzt @@ -1255,53 +1278,8 @@ sendmail : PARANOID : deny - Geschichte - - Kerberos5 - Geschichte - - - Das MIT hat - Kerberos entwickelt, um - Sicherheitsprobleme auf dem Netzwerk zu lösen. Das - Kerberos-Protokoll verwendet - starke Kryptographie, sodass ein Server die Identität - eines Clients (der umgekehrte Vorgang ist auch möglich) - über ein unsicheres Netzwerk feststellen kann. - - Der Begriff Kerberos wird sowohl für das Protokoll - als auch für Programme verwendet, die - Kerberos benutzen, wie - Kerberos-Telnet. Die aktuelle - Protokollversion ist 5 und wird in - RFC 1510 beschrieben. - - Mehrere Implementierungen des Protokolls stehen frei - zur Verfügung und decken viele Betriebssysteme ab. - Das Massachusetts Institute of Technology - (MIT), an dem Kerberos - ursprünglich entwickelt wurde, entwickelt seine - Kerberos-Version weiter. In den - USA wird diese Version häufig - eingesetzt, unterlag aber Export-Beschränkungen, - da sie in den USA entwickelt wurde. - Die MIT-Version von - Kerberos ist als Port oder Paket - security/krb5 verfügbar. - Heimdal ist eine weitere Implementierung der Protokollversion 5. - Sie wurde außerhalb der USA entwickelt - und unterliegt daher keinen Export-Beschränkungen. - Heimdal-Kerberos befindet sich - im Port oder Paket security/heimdal - und das Basissystem von &os; enthält eine minimale - Installation von Heimdal. - - Die folgenden Beispiele verwenden die in &os; enthaltene - Heimdal-Distribution. - - - Das Heimdal <acronym>KDC</acronym> einrichten + Kerberos5 Key Distribution Center @@ -1332,14 +1310,14 @@ kadmind5_server_enable="YES" [libdefaults] - default_realm = EXAMPLE.ORG + default_realm = EXAMPLE.ORG [realms] - EXAMPLE.ORG = { - kdc = kerberos.example.org - admin_server = kerberos.example.org + EXAMPLE.ORG = { + kdc = kerberos.example.org + admin_server = kerberos.example.org } [domain_realm] - .example.org = EXAMPLE.ORG + .example.org = EXAMPLE.ORG Diese Einstellungen setzen voraus, dass der voll qualifizierte Name des KDCs @@ -1347,36 +1325,34 @@ kadmind5_server_enable="YES"kerberos.example.org ist. Wenn das KDC einen anderen Namen hat, muss in der DNS-Zone ein Alias-Eintrag - (CNAME-Record) für das KDC hinzugefügt - werden. + (CNAME-Record) für das + KDC hinzugefügt werden. - In großen Netzwerken mit einem ordentlich konfigurierten DNS-Server kann die Datei aus dem obigen Beispiel verkürzt werden: [libdefaults] - default_realm = EXAMPLE.ORG + default_realm = EXAMPLE.ORG Die Zonendatei von example.org muss dann die folgenden Zeilen enthalten: - _kerberos._udp IN SRV 01 00 88 kerberos.example.org. -_kerberos._tcp IN SRV 01 00 88 kerberos.example.org. -_kpasswd._udp IN SRV 01 00 464 kerberos.example.org. -_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. -_kerberos IN TXT EXAMPLE.ORG - + _kerberos._udp IN SRV 01 00 88 kerberos.example.org. +_kerberos._tcp IN SRV 01 00 88 kerberos.example.org. +_kpasswd._udp IN SRV 01 00 464 kerberos.example.org. +_kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. +_kerberos IN TXT EXAMPLE.ORG Damit die Clients die Kerberos-Dienste benutzen - können, muss /etc/krb5.conf - entweder die vollständige Konfiguration enthalten - oder eine minimale Konfiguration enthalten - und zusätzlich ein - DNS-Server richtig eingerichtet - sein. + können, muss das KDC entweder eine + vollständig konfigurierte + /etc/krb5.conf enthalten, oder eine + minimale Konfiguration und zusätzlich + ein richtig konfigurierter + DNS-Server. Im nächsten Schritt wird die @@ -1386,46 +1362,44 @@ _kerberos IN TXT EXAMPLE. brauchen Sie sich nicht merken, da ein davon abgeleiteter Schlüssel in /var/heimdal/m-key gespeichert wird. Um den Schlüssel zu erstellen, rufen Sie - &man.kstash.8; auf und geben Sie ein Passwort ein. + kstash auf und geben Sie ein Passwort + ein: + + &prompt.root; kstash +Master key: xxxxxxxx +Verifying password - Master key: xxxxxxxx - Nachdem der Schlüssel erstellt wurde, sollte die - Datenbank initialisiert werden. Das - Kerberos-Werkzeug &man.kadmin.8; - kann mit kadmin -l im lokalen Modus benutzt - werden, ohne den Netzwerkdienst, welcher zu diesem Zeitpunkt - noch nicht läuft, zu verwenden. An der Eingabeaufforderung - von &man.kadmin.8; kann mit init - die Datenbank des Realms initialisiert werden. + Nachdem der Schlüssel erstellt wurde, intitialisieren Sie + die Datenbank mit kadmin -l. Die Option + weist kadmin an, die lokale Datenbank + direkt zu bearbeiten, anstatt den zu diesem Zeitpunkt noch + nicht laufenden Netzwerkdienst &man.kadmind.8; zu benutzen. + An der Eingabeaufforderung von kadmin kann + mit init die Datenbank des Realms + initialisiert werden: + + &prompt.root; kadmin -l +kadmin> init EXAMPLE.ORG +Realm max ticket life [unlimited]: Zuletzt wird mit add das erste Prinzipal erstellt. Benutzen Sie die voreingestellten - Optionen. Die Einstellungen können später + Optionen. Die Einstellungen können später mit modify verändert werden. An der Eingabeaufforderung von &man.kadmin.8; zeigt - ? Hilfetexte an. + ? die verfügbaren Optionen an. - Zusammengefasst wird die Datenbank wie folgt - eingerichtet: - - &prompt.root; kstash -Master key: xxxxxxxx -Verifying password - Master key: xxxxxxxx - -&prompt.root; kadmin -l -kadmin> init EXAMPLE.ORG -Realm max ticket life [unlimited]: -kadmin> add tillman + kadmin> add tillman Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: -Password: xxxxxxxx -Verifying password - Password: xxxxxxxx +Password: xxxxxxxx +Verifying password - Password: xxxxxxxx - Jetzt kann das KDC gestartet werden. - Führen Sie zum Start der Dienste + Jetzt können die KDC-Dienste mit service kerberos start und - service kadmind start aus. Obwohl - zu diesem Zeitpunkt noch keine kerberisierten Dienste + service kadmind start gestartet werden. + Obwohl zu diesem Zeitpunkt noch keine kerberisierten Dienste laufen, kann die Funktion des KDCs schon überprüft werden. Für den eben angelegten Benutzer können Sie sich vom KDC @@ -1435,7 +1409,7 @@ Verifying password - Password: klist -Credentials cache: FILE: /tmp/krb5cc_500 +Credentials cache: FILE: /tmp/krb5cc_500 Principal: tillman@EXAMPLE.ORG Issued Expires Principal @@ -1448,8 +1422,9 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt - Heimdal <application>Kerberos</application>-Dienste - einrichten + <application>Kerberos</application>-Dienste auf dem + Server einrichten + Kerberos5 Dienste einrichten @@ -1519,14 +1494,14 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt in eine eigene keytab: &prompt.root; kadmin -kadmin> add --random-key host/myserver.example.org +kadmin> add --random-key host/myserver.example.org Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: -kadmin> ext host/myserver.example.org +kadmin> ext_keytab host/myserver.example.org kadmin> exit - Beachten Sie, dass ext den + Beachten Sie, dass ext_keytab den extrahierten Schlüssel standardmäßig in /etc/krb5.keytab speichert. Das ist gut, wenn das Kommando auf dem kerberisierten Server @@ -1537,11 +1512,11 @@ kadmin> exit &prompt.root; kadmin -kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org +kadmin> ext_keytab --keytab=/tmp/example.keytab host/myserver.example.org kadmin> exit Anschließend kann die erzeugte keytab sicher mit - scp auf Server oder auf einen + &man.scp.1; auf Server oder auf einen Wechseldatenträger kopiert werden. Geben Sie auf jeden Fall einen anderen Namen für die keytab an, weil sonst die keytab des KDCs überschrieben würde.