解决方法:

解决方法:

我正在尝试在 Solaris 区域上设置 Kerberos KDC,但在 Solaris 10 上的加密框架中遇到了一些问题

即使安装了强加密软件包(SUNWcry 和 SUNWcryr),强密钥似乎仅在全局区域中可用:

全球区域:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

非全局区域:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

“cryptoadm list” 给出了全局和非全局区域上的相同提供程序列表。

有人知道我该如何在非全局区域启用更强的密钥吗?或者这实际上是设计使然?

我在 Solaris 10 Updates 8、9 和 10 中看到了这个问题。只有在 Solaris 11 11/11 上它似乎才消失了,但是 Solaris 11 在本设置中还不是选项。

答案1

我得到了一个解决方案:(由 Oracle Support 提供)

这显然是 SUNWcry/SUNWcryr 打包中的一个错误,在 Solaris 10 发布周期内无法修复(如前所述,它在 Solaris 11 上已为我修复)。

错误报告示例:6534506、6759852

解决方法:

在 cryptoadm 中将 pkcs11_softtoken 替换为 pkcs11_softtoken_extra

(区域内)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

笔记:

如果第二条命令失败并出现错误“没有这样的文件或目录”,那么您可以执行备用程序:

(区域内)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

更改:

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

到:

/usr/lib/安全/$ISA/pkcs11_softtoken_extra.so

保存文件并运行:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

现在您就可以出发了。

相关内容