From owner-svn-doc-all@freebsd.org Sun May 15 14:42:06 2016 Return-Path: Delivered-To: svn-doc-all@mailman.ysv.freebsd.org Received: from mx1.freebsd.org (mx1.freebsd.org [IPv6:2001:1900:2254:206a::19:1]) by mailman.ysv.freebsd.org (Postfix) with ESMTP id A2E55B39676; Sun, 15 May 2016 14:42:06 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org (repo.freebsd.org [IPv6:2610:1c1:1:6068::e6a:0]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (Client did not present a certificate) by mx1.freebsd.org (Postfix) with ESMTPS id 745DF1985; Sun, 15 May 2016 14:42:06 +0000 (UTC) (envelope-from bhd@FreeBSD.org) Received: from repo.freebsd.org ([127.0.1.37]) by repo.freebsd.org (8.15.2/8.15.2) with ESMTP id u4FEg5RS066053; Sun, 15 May 2016 14:42:05 GMT (envelope-from bhd@FreeBSD.org) Received: (from bhd@localhost) by repo.freebsd.org (8.15.2/8.15.2/Submit) id u4FEg502066052; Sun, 15 May 2016 14:42:05 GMT (envelope-from bhd@FreeBSD.org) Message-Id: <201605151442.u4FEg502066052@repo.freebsd.org> X-Authentication-Warning: repo.freebsd.org: bhd set sender to bhd@FreeBSD.org using -f From: Bjoern Heidotting Date: Sun, 15 May 2016 14:42:05 +0000 (UTC) To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48816 - head/de_DE.ISO8859-1/books/handbook/security X-SVN-Group: doc-head MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit X-BeenThere: svn-doc-all@freebsd.org X-Mailman-Version: 2.1.22 Precedence: list List-Id: "SVN commit messages for the entire doc trees \(except for " user" , " projects" , and " translations" \)" List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 15 May 2016 14:42:06 -0000 Author: bhd Date: Sun May 15 14:42:05 2016 New Revision: 48816 URL: https://svnweb.freebsd.org/changeset/doc/48816 Log: Update to r44444: Finish editorial review of Kerberos chapter. Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 13:11:41 2016 (r48815) +++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml Sun May 15 14:42:05 2016 (r48816) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $ - basiert auf: r44442 + basiert auf: r44444 --> Sicherheit @@ -1539,7 +1539,7 @@ kadmin> exit - Heimdal <application>Kerberos</application>-Clients + <title><application>Kerberos</application> auf dem Client einrichten @@ -1551,7 +1551,9 @@ kadmin> exit/etc/krb5.conf. Kopien Sie die Datei (sicher) vom KDC auf den Client, oder schreiben Sie die Datei bei Bedarf - einfach neu. Testen Sie den Client, indem Sie mit + einfach neu. + + Testen Sie den Client, indem Sie mit kinit Tickets anfordern, mit klist Tickets anzeigen und mit kdestroy Tickets löschen. @@ -1613,18 +1615,56 @@ jdoe@example.org + Unterschiede zur + <acronym>MIT</acronym>-Implementation + + Der Hauptunterschied zwischen der MIT- + und der Heimdal-Implementation ist das Kommando + kadmin. Die Befehlssätze des Kommandos + (obwohl funktional gleichwertig) und das verwendete Protokoll + unterscheiden sich in beiden Varianten. Das + KDC lässt sich nur mit dem + kadmin Kommando der passenden + Kerberos-Variante verwalten. + + Für dieselbe Funktion können auch die + Client-Anwendungen leicht geänderte Kommandozeilenoptionen + besitzen. Folgen Sie der Anleitung auf + http://web.mit.edu/Kerberos/www/. Achten Sie + besonders auf den Suchpfad für Anwendungen. Der + MIT-Port wird unter &os; standardmäßig in + /usr/local/ installiert. Wenn die + Umgebungsvariable PATH zuerst die + Systemverzeichnisse enthält, werden die Systemprogramme + anstelle der MIT-Programme + ausgeführt. + + Wenn Sie + MIT-Kerberos + verwenden, sollten Sie außerdem folgende Änderungen an + /etc/rc.conf vornehmen: + + kerberos5_server="/usr/local/sbin/krb5kdc" +kadmind5_server="/usr/local/sbin/kadmind" +kerberos5_server_flags="" +kerberos5_server_enable="YES" +kadmind5_server_enable="YES" + + + Tipps und Fehlersuche - - Kerberos5 - Fehlersuche - + + Während der Konfiguration und bei der Fehlersuche sollten + die folgenden Punkte beachtet werden: - Wenn Sie den Heimdal-Port oder den - MIT-Port benutzen, muss in der - Umgebungsvariable PATH der Pfad zu - den Kerberos-Programmen vor dem + Wenn Sie Heimdal- oder + MIT-Kerberos + benutzen, muss in der Umgebungsvariable + PATH der Pfad zu den + Kerberos-Programmen vor dem Pfad zu den Programmen des Systems stehen. @@ -1637,12 +1677,6 @@ jdoe@example.org - Die MIT- und Heimdal-Systeme - arbeiten bis auf kadmin, welches nicht - standardisiert ist, gut zusammen. - - - Wenn Sie den Namen eines Rechners ändern, müssen Sie auch den host/-Prinzipal ändern und @@ -1682,11 +1716,10 @@ jdoe@example.org Tickets mit einer längeren Gültigkeit als der vorgegebenen zehn Stunden einrichten wollen, müssen Sie zwei Sachen ändern. Benutzen - Sie das modify_principal von - kadmin, um die maximale - Gültigkeitsdauer für den Prinzipal selbst - und den Prinzipal krbtgt + Sie modify_principal am Prompt von + &man.kadmin.8;, um die maximale + Gültigkeitsdauer für den Prinzipal selbst und den + Prinzipal krbtgt zu erhöhen. Das Prinzipal kann dann mit kinit -l ein Ticket mit einer längeren Gültigkeit beantragen. @@ -1722,12 +1755,11 @@ jdoe@example.org Wenn Sie OpenSSH verwenden - und Tickets mir einer langen Gültigkeit - (beispielsweise einer Woche) benutzen, setzen Sie - in - sshd_config auf no. - Ansonsten werden die Tickets gelöscht, wenn Sie - sich abmelden. + und Tickets mir einer langen Gültigkeit benutzen, setzen + Sie in + /etc/ssh/sshd_config auf + no. Ansonsten werden die Tickets + gelöscht, wenn Sie sich abmelden. @@ -1755,123 +1787,51 @@ jdoe@example.org - Unterschiede zum <acronym>MIT</acronym>-Port - - Der Hauptunterschied zwischen - MIT-Kerberos - und Heimdal-Kerberos - ist das Kommando kadmin. - Die Befehlssätze des Kommandos (obwohl funktional - gleichwertig) und das verwendete - Protokoll unterscheiden sich in beiden Varianten. - Das KDC lässt sich nur mit - dem kadmin Kommando der passenden - Kerberos-Variante verwalten. - - Für dieselbe Funktion können auch die - Client-Anwendungen leicht geänderte Kommandozeilenoptionen - besitzen. Folgen Sie bitte der Anleitung auf der - Kerberos-Seite - http://web.mit.edu/Kerberos/www/ - des MITs. Achten Sie besonders auf den - Suchpfad für Anwendungen. Der MIT-Port - wird standardmäßig in - /usr/local/ - installiert. Wenn die Umgebungsvariable PATH - zuerst die Systemverzeichnisse enthält, werden die - Systemprogramme anstelle der MIT-Programme - ausgeführt. - - - Wenn Sie den MIT-Port - security/krb5 verwenden, - erscheint bei der Anmeldung mit telnetd - und klogind die Fehlermeldung - incorrect permissions on cache file. - Lesen Sie dazu die im Port enthaltene Datei - /usr/local/share/doc/krb5/README.FreeBSD. - Wichtig ist, dass zur Authentifizierung die Binärdatei - login.krb5 verwendet wird, die - für durchgereichte Berechtigungen die Eigentümer - korrekt ändert. - - - Wird - MIT-Kerberos auf - &os; eingesetzt, sollten in rc.conf - folgende Zeilen aufgenommen werden: - - kerberos5_server="/usr/local/sbin/krb5kdc" -kadmind5_server="/usr/local/sbin/kadmind" -kerberos5_server_flags="" -kerberos5_server_enable="YES" -kadmind5_server_enable="YES" - - Diese Zeilen sind notwendig, weil die Anwendungen - von MIT-Kerberos die - Binärdateien unterhalb von /usr/local - installieren. - - - Beschränkungen von <application>Kerberos</application> + Kerberos5 Beschränkungen - - <application>Kerberos</application> muss ganzheitlich - verwendet werden - - Jeder über das Netzwerk angebotene Dienst - muss mit Kerberos - zusammenarbeiten oder auf anderen Wegen gegen Angriffe - aus dem Netzwerk geschützt sein. Andernfalls - können Berechtigungen gestohlen und wiederverwendet - werden. Es ist beispielsweise nicht sinnvoll, für - Remote-ShellsKerberos - zu benutzen, dagegen aber POP3-Zugriff - auf einen Mail-Server zu erlauben, da - POP3-Passwörter im Klartext - versendet. - - - - <application>Kerberos</application> ist für - Einbenutzer-Systeme gedacht - - In Mehrbenutzer-Umgebungen ist - Kerberos unsicherer als in - Einbenutzer-Umgebungen, da die Tickets im für alle - lesbaren Verzeichnis /tmp - gespeichert werden. Wenn ein Rechner von mehreren - Benutzern verwendet wird, ist es möglich, dass - Tickets von einem anderen Benutzer gestohlen oder - kopiert werden. - - Dieses Problem können Sie lösen, indem Sie mit - der Kommandozeilenoption oder besser - mit der Umgebungsvariablen KRB5CCNAME einen - Ort für die Tickets vorgeben. Es reicht, die Tickets - im Heimatverzeichnis eines Benutzers zu speichern und - mit Zugriffsrechten zu schützen. - - - - Das <acronym>KDC</acronym> ist verwundbar - - Das KDC muss genauso abgesichert - werden wie die auf ihm befindliche Passwort-Datenbank. - Auf dem KDC sollten absolut keine anderen - Dienste laufen und der Rechner sollte physikalisch - gesichert sein. Die Gefahr ist groß, da - Kerberos alle Passwörter - mit einem Schlüssel, dem Haupt-Schlüssel, - verschlüsselt. Der Haupt-Schlüssel wiederum - wird in einer Datei auf dem KDC - gespeichert. + Kerberos muss ganzheitlich + verwendet werden. Jeder über das Netzwerk angebotene Dienst + muss mit Kerberos zusammenarbeiten + oder auf anderen Wegen gegen Angriffe aus dem Netzwerk + geschützt sein. Andernfalls können Berechtigungen gestohlen + und wiederverwendet werden. Es ist beispielsweise nicht + sinnvoll, für Remote-Shells + Kerberos zu benutzen, dagegen aber + POP3-Zugriff auf einem Mail-Server zu + erlauben, da POP3 Passwörter im Klartext + versendet. + + Kerberos ist für + Einbenutzer-Systeme gedacht. In Mehrbenutzer-Umgebungen ist + Kerberos unsicherer als in + Einbenutzer-Umgebungen, da die Tickets im für alle + lesbaren Verzeichnis /tmp gespeichert + werden. Wenn ein Rechner von mehreren Benutzern verwendet + wird, ist es möglich, dass Tickets von einem anderen Benutzer + gestohlen oder kopiert werden. + + Dieses Problem können Sie lösen, indem Sie mit + kinit -c oder besser mit der + Umgebungsvariablen KRB5CCNAME einen Ort für die + Tickets vorgeben. Es reicht, die Tickets im Heimatverzeichnis + eines Benutzers zu speichern und mit Zugriffsrechten zu + schützen. + + Das KDC ist verwundbar und muss daher + genauso abgesichert werden, wie die auf ihm befindliche + Passwort-Datenbank. Auf dem KDC sollten + absolut keine anderen Dienste laufen und der Rechner sollte + physikalisch gesichert sein. Die Gefahr ist groß, da + Kerberos alle Passwörter mit einem + Schlüssel, dem Haupt-Schlüssel, verschlüsselt. Der + Haupt-Schlüssel wiederum wird in einer Datei auf dem + KDC gespeichert. Ein kompromittierter Haupt-Schlüssel ist nicht ganz so schlimm wie allgemein angenommen. Der @@ -1893,29 +1853,22 @@ kadmind5_server_enable="YES"KDC mittels PAM-Authentifizierung muss sorgfältig eingerichtet werden. - - - - Mängel von - <application>Kerberos</application> Mit Kerberos können sich Benutzer, Rechner und Dienste gegenseitig authentifizieren. Allerdings existiert kein Mechanismus, der das KDC gegenüber Benutzern, Rechnern oder Diensten authentifiziert. Ein verändertes - &man.kinit.1; könnte beispielsweise alle - Benutzernamen und Passwörter abfangen. Die von - veränderten Programmen ausgehende Gefahr können - Sie lindern, indem Sie die Integrität von Dateien - mit Werkzeugen wie - security/tripwire - prüfen. - + kinit könnte beispielsweise alle + Benutzernamen und Passwörter abfangen. Die von veränderten + Programmen ausgehende Gefahr können Sie lindern, indem Sie + die Integrität von Dateien mit Werkzeugen wie + security/tripwire prüfen. Weiterführende Dokumentation + Kerberos5 weiterführende Dokumentation