Solaris

Solaris Zone 中的強加密

  • January 31, 2012

我正在嘗試在 Solaris 區域上設置 Kerberos KDC,但遇到了 Solaris 10 上的 Cryptographic Framework 的一些問題

即使安裝了強加密包(SUNWcry 和 SUNWcryr),更強的密鑰似乎只在全域區域中可用:

全球區:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

非全域區域:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

“cryptoadm list”在全域和非全域區域提供相同的提供程序列表。

有沒有人知道如何在非全域區域上啟用更強的鍵?或者,如果這實際上是設計使然?

我已經在 Solaris 10 Updates 8,9 和 10 上看到了這個問題。只有在 Solaris 11 11/11 上它似乎已經消失了,但是 Solaris 11 在這個設置中還不是一個選項。

我得到了一個解決方案:(由 Oracle Support 提供)

這顯然是 SUNWcry/SUNWcryr 打包中的一個錯誤,在 Solaris 10 發布週期內無法修復(如前所述,它已在 Solaris 11 上為我修復)。

錯誤報告範例:6534506、6759852

解決方法:

在 cryptoadm 中用 pkcs11_softtoken_extra 替換 pkcs11_softtoken

(區內)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

筆記:

如果第二個命令失敗並出現錯誤 no such file or directory,那麼您可以執行備用過程:

(區內)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

更改:

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

到:

/usr/lib/security/$ISA/pkcs11_softtoken_extra.so

保存文件並執行:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

你現在應該可以走了。

引用自:https://serverfault.com/questions/352677