svn commit: r48816 - head/de_DE.ISO8859-1/books/handbook/security
Bjoern Heidotting
bhd at FreeBSD.org
Sun May 15 14:42:06 UTC 2016
Author: bhd
Date: Sun May 15 14:42:05 2016
New Revision: 48816
URL: https://svnweb.freebsd.org/changeset/doc/48816
Log:
Update to r44444:
Finish editorial review of Kerberos chapter.
Modified:
head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 13:11:41 2016 (r48815)
+++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 14:42:05 2016 (r48816)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
- basiert auf: r44442
+ basiert auf: r44444
-->
<chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
<info><title>Sicherheit</title>
@@ -1539,7 +1539,7 @@ kadmin> <userinput>exit</userinput></
</sect2>
<sect2>
- <title>Heimdal <application>Kerberos</application>-Clients
+ <title><application>Kerberos</application> auf dem Client
einrichten</title>
<indexterm>
@@ -1551,7 +1551,9 @@ kadmin> <userinput>exit</userinput></
Konfiguration in <filename>/etc/krb5.conf</filename>.
Kopien Sie die Datei (sicher) vom <acronym>KDC</acronym>
auf den Client, oder schreiben Sie die Datei bei Bedarf
- einfach neu. Testen Sie den Client, indem Sie mit
+ einfach neu.</para>
+
+ <para>Testen Sie den Client, indem Sie mit
<command>kinit</command> Tickets anfordern, mit
<command>klist</command> Tickets anzeigen und mit
<command>kdestroy</command> Tickets löschen.
@@ -1613,18 +1615,56 @@ jdoe at example.org</programlisting>
</sect2>
<sect2>
+ <title>Unterschiede zur
+ <acronym>MIT</acronym>-Implementation</title>
+
+ <para>Der Hauptunterschied zwischen der <acronym>MIT</acronym>-
+ und der Heimdal-Implementation ist das Kommando
+ <command>kadmin</command>. Die Befehlssätze des Kommandos
+ (obwohl funktional gleichwertig) und das verwendete Protokoll
+ unterscheiden sich in beiden Varianten. Das
+ <acronym>KDC</acronym> lässt sich nur mit dem
+ <command>kadmin</command> Kommando der passenden
+ <application>Kerberos</application>-Variante verwalten.</para>
+
+ <para>Für dieselbe Funktion können auch die
+ Client-Anwendungen leicht geänderte Kommandozeilenoptionen
+ besitzen. Folgen Sie der Anleitung auf <uri
+ xlink:href="http://web.mit.edu/Kerberos/www/">
+ http://web.mit.edu/Kerberos/www/</uri>. Achten Sie
+ besonders auf den Suchpfad für Anwendungen. Der
+ <acronym>MIT</acronym>-Port wird unter &os; standardmäßig in
+ <filename>/usr/local/</filename> installiert. Wenn die
+ Umgebungsvariable <envar>PATH</envar> zuerst die
+ Systemverzeichnisse enthält, werden die Systemprogramme
+ anstelle der <acronym>MIT</acronym>-Programme
+ ausgeführt.</para>
+
+ <para>Wenn Sie
+ <acronym>MIT</acronym>-<application>Kerberos</application>
+ verwenden, sollten Sie außerdem folgende Änderungen an
+ <filename>/etc/rc.conf</filename> vornehmen:</para>
+
+ <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
+kadmind5_server="/usr/local/sbin/kadmind"
+kerberos5_server_flags=""
+kerberos5_server_enable="YES"
+kadmind5_server_enable="YES"</programlisting>
+ </sect2>
+
+ <sect2>
<title>Tipps und Fehlersuche</title>
- <indexterm>
- <primary>Kerberos5</primary>
- <secondary>Fehlersuche</secondary>
- </indexterm>
+
+ <para>Während der Konfiguration und bei der Fehlersuche sollten
+ die folgenden Punkte beachtet werden:</para>
<itemizedlist>
<listitem>
- <para>Wenn Sie den Heimdal-Port oder den
- <acronym>MIT</acronym>-Port benutzen, muss in der
- Umgebungsvariable <envar>PATH</envar> der Pfad zu
- den <application>Kerberos</application>-Programmen vor dem
+ <para>Wenn Sie Heimdal- oder
+ <acronym>MIT</acronym>-<application>Kerberos</application>
+ benutzen, muss in der Umgebungsvariable
+ <envar>PATH</envar> der Pfad zu den
+ <application>Kerberos</application>-Programmen vor dem
Pfad zu den Programmen des Systems stehen.</para>
</listitem>
@@ -1637,12 +1677,6 @@ jdoe at example.org</programlisting>
</listitem>
<listitem>
- <para>Die <acronym>MIT</acronym>- und Heimdal-Systeme
- arbeiten bis auf <command>kadmin</command>, welches nicht
- standardisiert ist, gut zusammen.</para>
- </listitem>
-
- <listitem>
<para>Wenn Sie den Namen eines Rechners ändern,
müssen Sie auch den <systemitem
class="username">host/</systemitem>-Prinzipal ändern und
@@ -1682,11 +1716,10 @@ jdoe at example.org</programlisting>
Tickets mit einer längeren Gültigkeit als
der vorgegebenen zehn Stunden einrichten wollen,
müssen Sie zwei Sachen ändern. Benutzen
- Sie das <command>modify_principal</command> von
- <command>kadmin</command>, um die maximale
- Gültigkeitsdauer für den Prinzipal selbst
- und den Prinzipal <systemitem
- class="username">krbtgt</systemitem>
+ Sie <command>modify_principal</command> am Prompt von
+ &man.kadmin.8;, um die maximale
+ Gültigkeitsdauer für den Prinzipal selbst und den
+ Prinzipal <systemitem class="username">krbtgt</systemitem>
zu erhöhen. Das Prinzipal kann dann mit
<command>kinit -l</command> ein Ticket mit einer
längeren Gültigkeit beantragen.</para>
@@ -1722,12 +1755,11 @@ jdoe at example.org</programlisting>
<listitem>
<para>Wenn Sie <application>OpenSSH</application> verwenden
- und Tickets mir einer langen Gültigkeit
- (beispielsweise einer Woche) benutzen, setzen Sie
- <option>TicketCleanup</option> in
- <filename>sshd_config</filename> auf <literal>no</literal>.
- Ansonsten werden die Tickets gelöscht, wenn Sie
- sich abmelden.</para>
+ und Tickets mir einer langen Gültigkeit benutzen, setzen
+ Sie <option>TicketCleanup</option> in
+ <filename>/etc/ssh/sshd_config</filename> auf
+ <literal>no</literal>. Ansonsten werden die Tickets
+ gelöscht, wenn Sie sich abmelden.</para>
</listitem>
<listitem>
@@ -1755,123 +1787,51 @@ jdoe at example.org</programlisting>
</sect2>
<sect2>
- <title>Unterschiede zum <acronym>MIT</acronym>-Port</title>
-
- <para>Der Hauptunterschied zwischen
- <acronym>MIT</acronym>-<application>Kerberos</application>
- und Heimdal-<application>Kerberos</application>
- ist das Kommando <command>kadmin</command>.
- Die Befehlssätze des Kommandos (obwohl funktional
- gleichwertig) und das verwendete
- Protokoll unterscheiden sich in beiden Varianten.
- Das <acronym>KDC</acronym> lässt sich nur mit
- dem <command>kadmin</command> Kommando der passenden
- <application>Kerberos</application>-Variante verwalten.</para>
-
- <para>Für dieselbe Funktion können auch die
- Client-Anwendungen leicht geänderte Kommandozeilenoptionen
- besitzen. Folgen Sie bitte der Anleitung auf der
- <application>Kerberos</application>-Seite
- <uri xlink:href="http://web.mit.edu/Kerberos/www/">http://web.mit.edu/Kerberos/www/</uri>
- des <acronym>MIT</acronym>s. Achten Sie besonders auf den
- Suchpfad für Anwendungen. Der <acronym>MIT</acronym>-Port
- wird standardmäßig in
- <filename>/usr/local/</filename>
- installiert. Wenn die Umgebungsvariable <envar>PATH</envar>
- zuerst die Systemverzeichnisse enthält, werden die
- Systemprogramme anstelle der <acronym>MIT</acronym>-Programme
- ausgeführt.</para>
-
- <note>
- <para>Wenn Sie den <acronym>MIT</acronym>-Port
- <package>security/krb5</package> verwenden,
- erscheint bei der Anmeldung mit <command>telnetd</command>
- und <command>klogind</command> die Fehlermeldung
- <errorname>incorrect permissions on cache file</errorname>.
- Lesen Sie dazu die im Port enthaltene Datei
- <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>.
- Wichtig ist, dass zur Authentifizierung die Binärdatei
- <command>login.krb5</command> verwendet wird, die
- für durchgereichte Berechtigungen die Eigentümer
- korrekt ändert.</para>
- </note>
-
- <para>Wird
- <acronym>MIT</acronym>-<application>Kerberos</application> auf
- &os; eingesetzt, sollten in <filename>rc.conf</filename>
- folgende Zeilen aufgenommen werden:</para>
-
- <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
-kadmind5_server="/usr/local/sbin/kadmind"
-kerberos5_server_flags=""
-kerberos5_server_enable="YES"
-kadmind5_server_enable="YES"</programlisting>
-
- <para>Diese Zeilen sind notwendig, weil die Anwendungen
- von <acronym>MIT</acronym>-<acronym>Kerberos</acronym> die
- Binärdateien unterhalb von <filename>/usr/local</filename>
- installieren.</para>
- </sect2>
-
- <sect2>
<title>Beschränkungen von
<application>Kerberos</application></title>
+
<indexterm>
<primary>Kerberos5</primary>
<secondary>Beschränkungen</secondary>
</indexterm>
- <sect3>
- <title><application>Kerberos</application> muss ganzheitlich
- verwendet werden</title>
-
- <para>Jeder über das Netzwerk angebotene Dienst
- muss mit <application>Kerberos</application>
- zusammenarbeiten oder auf anderen Wegen gegen Angriffe
- aus dem Netzwerk geschützt sein. Andernfalls
- können Berechtigungen gestohlen und wiederverwendet
- werden. Es ist beispielsweise nicht sinnvoll, für
- Remote-Shells<application>Kerberos</application>
- zu benutzen, dagegen aber <acronym>POP3</acronym>-Zugriff
- auf einen Mail-Server zu erlauben, da
- <acronym>POP3</acronym>-Passwörter im Klartext
- versendet.</para>
- </sect3>
-
- <sect3>
- <title><application>Kerberos</application> ist für
- Einbenutzer-Systeme gedacht</title>
-
- <para>In Mehrbenutzer-Umgebungen ist
- <application>Kerberos</application> unsicherer als in
- Einbenutzer-Umgebungen, da die Tickets im für alle
- lesbaren Verzeichnis <filename>/tmp</filename>
- gespeichert werden. Wenn ein Rechner von mehreren
- Benutzern verwendet wird, ist es möglich, dass
- Tickets von einem anderen Benutzer gestohlen oder
- kopiert werden.</para>
-
- <para>Dieses Problem können Sie lösen, indem Sie mit
- der Kommandozeilenoption <option>-c</option> oder besser
- mit der Umgebungsvariablen <envar>KRB5CCNAME</envar> einen
- Ort für die Tickets vorgeben. Es reicht, die Tickets
- im Heimatverzeichnis eines Benutzers zu speichern und
- mit Zugriffsrechten zu schützen.</para>
- </sect3>
-
- <sect3>
- <title>Das <acronym>KDC</acronym> ist verwundbar</title>
-
- <para>Das <acronym>KDC</acronym> muss genauso abgesichert
- werden wie die auf ihm befindliche Passwort-Datenbank.
- Auf dem <acronym>KDC</acronym> sollten absolut keine anderen
- Dienste laufen und der Rechner sollte physikalisch
- gesichert sein. Die Gefahr ist groß, da
- <application>Kerberos</application> alle Passwörter
- mit einem Schlüssel, dem Haupt-Schlüssel,
- verschlüsselt. Der Haupt-Schlüssel wiederum
- wird in einer Datei auf dem <acronym>KDC</acronym>
- gespeichert.</para>
+ <para><application>Kerberos</application> muss ganzheitlich
+ verwendet werden. Jeder über das Netzwerk angebotene Dienst
+ muss mit <application>Kerberos</application> zusammenarbeiten
+ oder auf anderen Wegen gegen Angriffe aus dem Netzwerk
+ geschützt sein. Andernfalls können Berechtigungen gestohlen
+ und wiederverwendet werden. Es ist beispielsweise nicht
+ sinnvoll, für Remote-Shells
+ <application>Kerberos</application> zu benutzen, dagegen aber
+ <acronym>POP3</acronym>-Zugriff auf einem Mail-Server zu
+ erlauben, da <acronym>POP3</acronym> Passwörter im Klartext
+ versendet.</para>
+
+ <para><application>Kerberos</application> ist für
+ Einbenutzer-Systeme gedacht. In Mehrbenutzer-Umgebungen ist
+ <application>Kerberos</application> unsicherer als in
+ Einbenutzer-Umgebungen, da die Tickets im für alle
+ lesbaren Verzeichnis <filename>/tmp</filename> gespeichert
+ werden. Wenn ein Rechner von mehreren Benutzern verwendet
+ wird, ist es möglich, dass Tickets von einem anderen Benutzer
+ gestohlen oder kopiert werden.</para>
+
+ <para>Dieses Problem können Sie lösen, indem Sie mit
+ <command>kinit -c</command> oder besser mit der
+ Umgebungsvariablen <envar>KRB5CCNAME</envar> einen Ort für die
+ Tickets vorgeben. Es reicht, die Tickets im Heimatverzeichnis
+ eines Benutzers zu speichern und mit Zugriffsrechten zu
+ schützen.</para>
+
+ <para>Das <acronym>KDC</acronym> ist verwundbar und muss daher
+ genauso abgesichert werden, wie die auf ihm befindliche
+ Passwort-Datenbank. Auf dem <acronym>KDC</acronym> sollten
+ absolut keine anderen Dienste laufen und der Rechner sollte
+ physikalisch gesichert sein. Die Gefahr ist groß, da
+ <application>Kerberos</application> alle Passwörter mit einem
+ Schlüssel, dem Haupt-Schlüssel, verschlüsselt. Der
+ Haupt-Schlüssel wiederum wird in einer Datei auf dem
+ <acronym>KDC</acronym> gespeichert.</para>
<para>Ein kompromittierter Haupt-Schlüssel ist nicht
ganz so schlimm wie allgemein angenommen. Der
@@ -1893,29 +1853,22 @@ kadmind5_server_enable="YES"</programlis
<acronym>KDC</acronym> mittels
<acronym>PAM</acronym>-Authentifizierung muss sorgfältig
eingerichtet werden.</para>
- </sect3>
-
- <sect3>
- <title>Mängel von
- <application>Kerberos</application></title>
<para>Mit <application>Kerberos</application> können
sich Benutzer, Rechner und Dienste gegenseitig
authentifizieren. Allerdings existiert kein Mechanismus,
der das <acronym>KDC</acronym> gegenüber Benutzern,
Rechnern oder Diensten authentifiziert. Ein verändertes
- &man.kinit.1; könnte beispielsweise alle
- Benutzernamen und Passwörter abfangen. Die von
- veränderten Programmen ausgehende Gefahr können
- Sie lindern, indem Sie die Integrität von Dateien
- mit Werkzeugen wie
- <package>security/tripwire</package>
- prüfen.</para>
- </sect3>
+ <command>kinit</command> könnte beispielsweise alle
+ Benutzernamen und Passwörter abfangen. Die von veränderten
+ Programmen ausgehende Gefahr können Sie lindern, indem Sie
+ die Integrität von Dateien mit Werkzeugen wie
+ <package>security/tripwire</package> prüfen.</para>
</sect2>
<sect2>
<title>Weiterführende Dokumentation</title>
+
<indexterm>
<primary>Kerberos5</primary>
<secondary>weiterführende Dokumentation</secondary>
More information about the svn-doc-head
mailing list