我正在嘗試在 Solaris 區域上設置 Kerberos KDC，但遇到了 Solaris 10 上的 Cryptographic Framework 的一些問題

即使安裝了強加密包（SUNWcry 和 SUNWcryr），更強的密鑰似乎只在全域區域中可用：

全球區：

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

非全域區域：

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

“cryptoadm list”在全域和非全域區域提供相同的提供程序列表。

有沒有人知道如何在非全域區域上啟用更強的鍵？或者，如果這實際上是設計使然？

我已經在 Solaris 10 Updates 8,9 和 10 上看到了這個問題。只有在 Solaris 11 11/11 上它似乎已經消失了，但是 Solaris 11 在這個設置中還不是一個選項。

我得到了一個解決方案：（由 Oracle Support 提供）

這顯然是 SUNWcry/SUNWcryr 打包中的一個錯誤，在 Solaris 10 發布週期內無法修復（如前所述，它已在 Solaris 11 上為我修復）。

錯誤報告範例：6534506、6759852

解決方法：

在 cryptoadm 中用 pkcs11_softtoken_extra 替換 pkcs11_softtoken

（區內）

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

筆記：

如果第二個命令失敗並出現錯誤 no such file or directory，那麼您可以執行備用過程：

（區內）

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

更改：

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

到：

/usr/lib/security/$ISA/pkcs11_softtoken_extra.so

保存文件並執行：

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

你現在應該可以走了。

引用自：https://serverfault.com/questions/352677