Solaris
Solaris Zone 中的強加密
我正在嘗試在 Solaris 區域上設置 Kerberos KDC,但遇到了 Solaris 10 上的 Cryptographic Framework 的一些問題
即使安裝了強加密包(SUNWcry 和 SUNWcryr),更強的密鑰似乎只在全域區域中可用:
全球區:
# encrypt -l Algorithm Keysize: Min Max (bits) ------------------------------------------ aes 128 256 arcfour 8 2048 des 64 64 3des 128 192
非全域區域:
# encrypt -l Algorithm Keysize: Min Max (bits) ------------------------------------------ aes 128 128 arcfour 8 128 des 64 64 3des 128 192
“cryptoadm list”在全域和非全域區域提供相同的提供程序列表。
有沒有人知道如何在非全域區域上啟用更強的鍵?或者,如果這實際上是設計使然?
我已經在 Solaris 10 Updates 8,9 和 10 上看到了這個問題。只有在 Solaris 11 11/11 上它似乎已經消失了,但是 Solaris 11 在這個設置中還不是一個選項。
我得到了一個解決方案:(由 Oracle Support 提供)
這顯然是 SUNWcry/SUNWcryr 打包中的一個錯誤,在 Solaris 10 發布週期內無法修復(如前所述,它已在 Solaris 11 上為我修復)。
錯誤報告範例:6534506、6759852
解決方法:
在 cryptoadm 中用 pkcs11_softtoken_extra 替換 pkcs11_softtoken
(區內)
# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all # cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all
筆記:
如果第二個命令失敗並出現錯誤 no such file or directory,那麼您可以執行備用過程:
(區內)
# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all # vi /etc/crypto/pkcs11.conf
更改:
/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=
到:
/usr/lib/security/$ISA/pkcs11_softtoken_extra.so
保存文件並執行:
# encrypt -l Algorithm Keysize: Min Max (bits) ------------------------------------------ aes 128 256 arcfour 8 2048 des 64 64 3des 128 192
你現在應該可以走了。