我正在尝试在 Solaris 区域上设置 Kerberos KDC,但在 Solaris 10 上的加密框架中遇到了一些问题
即使安装了强加密软件包(SUNWcry 和 SUNWcryr),强密钥似乎仅在全局区域中可用:
全球区域:
# encrypt -l
Algorithm Keysize: Min Max (bits)
------------------------------------------
aes 128 256
arcfour 8 2048
des 64 64
3des 128 192
非全局区域:
# encrypt -l
Algorithm Keysize: Min Max (bits)
------------------------------------------
aes 128 128
arcfour 8 128
des 64 64
3des 128 192
“cryptoadm list” 给出了全局和非全局区域上的相同提供程序列表。
有人知道我该如何在非全局区域启用更强的密钥吗?或者这实际上是设计使然?
我在 Solaris 10 Updates 8、9 和 10 中看到了这个问题。只有在 Solaris 11 11/11 上它似乎才消失了,但是 Solaris 11 在本设置中还不是选项。
答案1
我得到了一个解决方案:(由 Oracle Support 提供)
这显然是 SUNWcry/SUNWcryr 打包中的一个错误,在 Solaris 10 发布周期内无法修复(如前所述,它在 Solaris 11 上已为我修复)。
错误报告示例:6534506、6759852
解决方法:
在 cryptoadm 中将 pkcs11_softtoken 替换为 pkcs11_softtoken_extra
(区域内)
# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all
笔记:
如果第二条命令失败并出现错误“没有这样的文件或目录”,那么您可以执行备用程序:
(区域内)
# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf
更改:
/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=
到:
/usr/lib/安全/$ISA/pkcs11_softtoken_extra.so
保存文件并运行:
# encrypt -l
Algorithm Keysize: Min Max (bits)
------------------------------------------
aes 128 256
arcfour 8 2048
des 64 64
3des 128 192
现在您就可以出发了。