Skip site navigation (1)Skip section navigation (2)
Date:      Sun, 15 May 2016 14:42:05 +0000 (UTC)
From:      Bjoern Heidotting <bhd@FreeBSD.org>
To:        doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org
Subject:   svn commit: r48816 - head/de_DE.ISO8859-1/books/handbook/security
Message-ID:  <201605151442.u4FEg502066052@repo.freebsd.org>

next in thread | raw e-mail | index | archive | help
Author: bhd
Date: Sun May 15 14:42:05 2016
New Revision: 48816
URL: https://svnweb.freebsd.org/changeset/doc/48816

Log:
  Update to r44444:
  
  Finish editorial review of Kerberos chapter.

Modified:
  head/de_DE.ISO8859-1/books/handbook/security/chapter.xml

Modified: head/de_DE.ISO8859-1/books/handbook/security/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/security/chapter.xml	Sun May 15 13:11:41 2016	(r48815)
+++ head/de_DE.ISO8859-1/books/handbook/security/chapter.xml	Sun May 15 14:42:05 2016	(r48816)
@@ -5,7 +5,7 @@
 
      $FreeBSD$
      $FreeBSDde: de-docproj/books/handbook/security/chapter.xml,v 1.178 2012/04/30 17:07:41 bcr Exp $
-     basiert auf: r44442
+     basiert auf: r44444
 -->
 <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="security">
   <info><title>Sicherheit</title>
@@ -1539,7 +1539,7 @@ kadmin&gt; <userinput>exit</userinput></
     </sect2>
 
     <sect2>
-      <title>Heimdal <application>Kerberos</application>-Clients
+      <title><application>Kerberos</application> auf dem Client
 	einrichten</title>
 
       <indexterm>
@@ -1551,7 +1551,9 @@ kadmin&gt; <userinput>exit</userinput></
 	Konfiguration in <filename>/etc/krb5.conf</filename>.
 	Kopien Sie die Datei (sicher) vom <acronym>KDC</acronym>
 	auf den Client, oder schreiben Sie die Datei bei Bedarf
-	einfach neu.  Testen Sie den Client, indem Sie mit
+	einfach neu.</para>
+
+      <para>Testen Sie den Client, indem Sie mit
 	<command>kinit</command> Tickets anfordern, mit
 	<command>klist</command> Tickets anzeigen und mit
 	<command>kdestroy</command> Tickets löschen.
@@ -1613,18 +1615,56 @@ jdoe@example.org</programlisting>
     </sect2>
 
     <sect2>
+      <title>Unterschiede zur
+	<acronym>MIT</acronym>-Implementation</title>
+
+      <para>Der Hauptunterschied zwischen der <acronym>MIT</acronym>-
+	und der Heimdal-Implementation ist das Kommando
+	<command>kadmin</command>.  Die Befehlssätze des Kommandos
+	(obwohl funktional gleichwertig) und das verwendete Protokoll
+	unterscheiden sich in beiden Varianten.  Das
+	<acronym>KDC</acronym> lässt sich nur mit dem
+	<command>kadmin</command> Kommando der passenden
+	<application>Kerberos</application>-Variante verwalten.</para>
+
+      <para>Für dieselbe Funktion können auch die
+	Client-Anwendungen leicht geänderte Kommandozeilenoptionen
+	besitzen.  Folgen Sie der Anleitung auf  <uri
+	  xlink:href="http://web.mit.edu/Kerberos/www/">;
+	  http://web.mit.edu/Kerberos/www/</uri>.  Achten Sie
+	besonders auf den Suchpfad für Anwendungen.  Der
+	<acronym>MIT</acronym>-Port wird unter &os; standardmäßig in
+	<filename>/usr/local/</filename> installiert.  Wenn die
+	Umgebungsvariable <envar>PATH</envar> zuerst die
+	Systemverzeichnisse enthält, werden die Systemprogramme
+	anstelle der <acronym>MIT</acronym>-Programme
+	ausgeführt.</para>
+
+      <para>Wenn Sie
+	<acronym>MIT</acronym>-<application>Kerberos</application>
+	verwenden, sollten Sie außerdem folgende Änderungen an
+	<filename>/etc/rc.conf</filename> vornehmen:</para>
+
+      <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
+kadmind5_server="/usr/local/sbin/kadmind"
+kerberos5_server_flags=""
+kerberos5_server_enable="YES"
+kadmind5_server_enable="YES"</programlisting>
+    </sect2>
+
+    <sect2>
       <title>Tipps und Fehlersuche</title>
-      <indexterm>
-	<primary>Kerberos5</primary>
-	<secondary>Fehlersuche</secondary>
-      </indexterm>
+
+      <para>Während der Konfiguration und bei der Fehlersuche sollten
+	die folgenden Punkte beachtet werden:</para>
 
       <itemizedlist>
 	<listitem>
-	  <para>Wenn Sie den Heimdal-Port oder den
-	    <acronym>MIT</acronym>-Port benutzen, muss in der
-	    Umgebungsvariable <envar>PATH</envar> der Pfad zu
-	    den <application>Kerberos</application>-Programmen vor dem
+	  <para>Wenn Sie Heimdal- oder
+	    <acronym>MIT</acronym>-<application>Kerberos</application>
+	    benutzen, muss in der Umgebungsvariable
+	    <envar>PATH</envar> der Pfad zu den
+	    <application>Kerberos</application>-Programmen vor dem
 	    Pfad zu den Programmen des Systems stehen.</para>
 	</listitem>
 
@@ -1637,12 +1677,6 @@ jdoe@example.org</programlisting>
 	</listitem>
 
 	<listitem>
-	  <para>Die <acronym>MIT</acronym>- und Heimdal-Systeme
-	    arbeiten bis auf <command>kadmin</command>, welches nicht
-	    standardisiert ist, gut zusammen.</para>
-	</listitem>
-
-	<listitem>
 	  <para>Wenn Sie den Namen eines Rechners ändern,
 	    müssen Sie auch den <systemitem
 	      class="username">host/</systemitem>-Prinzipal ändern und
@@ -1682,11 +1716,10 @@ jdoe@example.org</programlisting>
 	    Tickets mit einer längeren Gültigkeit als
 	    der vorgegebenen zehn Stunden einrichten wollen,
 	    müssen Sie zwei Sachen ändern.  Benutzen
-	    Sie das <command>modify_principal</command> von
-	    <command>kadmin</command>, um die maximale
-	    Gültigkeitsdauer für den Prinzipal selbst
-	    und den Prinzipal <systemitem
-	      class="username">krbtgt</systemitem>
+	    Sie <command>modify_principal</command> am Prompt von
+	    &man.kadmin.8;, um die maximale
+	    Gültigkeitsdauer für den Prinzipal selbst und den
+	    Prinzipal <systemitem class="username">krbtgt</systemitem>
 	    zu erhöhen.  Das Prinzipal kann dann mit
 	    <command>kinit -l</command> ein Ticket mit einer
 	    längeren Gültigkeit beantragen.</para>
@@ -1722,12 +1755,11 @@ jdoe@example.org</programlisting>
 
 	<listitem>
 	  <para>Wenn Sie <application>OpenSSH</application> verwenden
-	    und Tickets mir einer langen Gültigkeit
-	    (beispielsweise einer Woche) benutzen, setzen Sie
-	    <option>TicketCleanup</option> in
-	    <filename>sshd_config</filename> auf <literal>no</literal>.
-	    Ansonsten werden die Tickets gelöscht, wenn Sie
-	    sich abmelden.</para>
+	    und Tickets mir einer langen Gültigkeit benutzen, setzen
+	    Sie <option>TicketCleanup</option> in
+	    <filename>/etc/ssh/sshd_config</filename> auf
+	    <literal>no</literal>.  Ansonsten werden die Tickets
+	    gelöscht, wenn Sie sich abmelden.</para>
 	</listitem>
 
 	<listitem>
@@ -1755,123 +1787,51 @@ jdoe@example.org</programlisting>
     </sect2>
 
     <sect2>
-      <title>Unterschiede zum <acronym>MIT</acronym>-Port</title>
-
-      <para>Der Hauptunterschied zwischen
-	<acronym>MIT</acronym>-<application>Kerberos</application>
-	und Heimdal-<application>Kerberos</application>
-	ist das Kommando <command>kadmin</command>.
-	Die Befehlssätze des Kommandos (obwohl funktional
-	gleichwertig) und das verwendete
-	Protokoll unterscheiden sich in beiden Varianten.
-	Das <acronym>KDC</acronym> lässt sich nur mit
-	dem <command>kadmin</command> Kommando der passenden
-	<application>Kerberos</application>-Variante verwalten.</para>
-
-      <para>Für dieselbe Funktion können auch die
-	Client-Anwendungen leicht geänderte Kommandozeilenoptionen
-	besitzen.  Folgen Sie bitte der Anleitung auf der
-	<application>Kerberos</application>-Seite
-	<uri xlink:href="http://web.mit.edu/Kerberos/www/">http://web.mit.edu/Kerberos/www/</uri>;
-	des <acronym>MIT</acronym>s.  Achten Sie besonders auf den
-	Suchpfad für Anwendungen.  Der <acronym>MIT</acronym>-Port
-	wird standardmäßig in
-	<filename>/usr/local/</filename>
-	installiert.  Wenn die Umgebungsvariable <envar>PATH</envar>
-	zuerst die Systemverzeichnisse enthält, werden die
-	Systemprogramme anstelle der <acronym>MIT</acronym>-Programme
-	ausgeführt.</para>
-
-      <note>
-	<para>Wenn Sie den <acronym>MIT</acronym>-Port
-	  <package>security/krb5</package> verwenden,
-	  erscheint bei der Anmeldung mit <command>telnetd</command>
-	  und <command>klogind</command> die Fehlermeldung
-	  <errorname>incorrect permissions on cache file</errorname>.
-	  Lesen Sie dazu die im Port enthaltene Datei
-	  <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>.
-	  Wichtig ist, dass zur Authentifizierung die Binärdatei
-	  <command>login.krb5</command> verwendet wird, die
-	  für durchgereichte Berechtigungen die Eigentümer
-	  korrekt ändert.</para>
-      </note>
-
-      <para>Wird
-	<acronym>MIT</acronym>-<application>Kerberos</application> auf
-	&os; eingesetzt, sollten in <filename>rc.conf</filename>
-	folgende Zeilen aufgenommen werden:</para>
-
-      <programlisting>kerberos5_server="/usr/local/sbin/krb5kdc"
-kadmind5_server="/usr/local/sbin/kadmind"
-kerberos5_server_flags=""
-kerberos5_server_enable="YES"
-kadmind5_server_enable="YES"</programlisting>
-
-      <para>Diese Zeilen sind notwendig, weil die Anwendungen
-	von <acronym>MIT</acronym>-<acronym>Kerberos</acronym> die
-	Binärdateien unterhalb von <filename>/usr/local</filename>
-	installieren.</para>
-    </sect2>
-
-    <sect2>
       <title>Beschränkungen von
 	<application>Kerberos</application></title>
+
       <indexterm>
 	<primary>Kerberos5</primary>
 	<secondary>Beschränkungen</secondary>
       </indexterm>
 
-      <sect3>
-	<title><application>Kerberos</application> muss ganzheitlich
-	  verwendet werden</title>
-
-	<para>Jeder über das Netzwerk angebotene Dienst
-	  muss mit <application>Kerberos</application>
-	  zusammenarbeiten oder auf anderen Wegen gegen Angriffe
-	  aus dem Netzwerk geschützt sein.  Andernfalls
-	  können Berechtigungen gestohlen und wiederverwendet
-	  werden.  Es ist beispielsweise nicht sinnvoll, für
-	  Remote-Shells<application>Kerberos</application>
-	  zu benutzen, dagegen aber <acronym>POP3</acronym>-Zugriff
-	  auf einen Mail-Server zu erlauben, da
-	  <acronym>POP3</acronym>-Passwörter im Klartext
-	  versendet.</para>
-      </sect3>
-
-      <sect3>
-	<title><application>Kerberos</application> ist für
-	  Einbenutzer-Systeme gedacht</title>
-
-	<para>In Mehrbenutzer-Umgebungen ist
-	  <application>Kerberos</application> unsicherer als in
-	  Einbenutzer-Umgebungen, da die Tickets im für alle
-	  lesbaren Verzeichnis <filename>/tmp</filename>
-	  gespeichert werden.  Wenn ein Rechner von mehreren
-	  Benutzern verwendet wird, ist es möglich, dass
-	  Tickets von einem anderen Benutzer gestohlen oder
-	  kopiert werden.</para>
-
-	<para>Dieses Problem können Sie lösen, indem Sie mit
-	  der Kommandozeilenoption <option>-c</option> oder besser
-	  mit der Umgebungsvariablen <envar>KRB5CCNAME</envar> einen
-	  Ort für die Tickets vorgeben.  Es reicht, die Tickets
-	  im Heimatverzeichnis eines Benutzers zu speichern und
-	  mit Zugriffsrechten zu schützen.</para>
-      </sect3>
-
-      <sect3>
-	<title>Das <acronym>KDC</acronym> ist verwundbar</title>
-
-	<para>Das <acronym>KDC</acronym> muss genauso abgesichert
-	  werden wie die auf ihm befindliche Passwort-Datenbank.
-	  Auf dem <acronym>KDC</acronym> sollten absolut keine anderen
-	  Dienste laufen und der Rechner sollte physikalisch
-	  gesichert sein.  Die Gefahr ist groß, da
-	  <application>Kerberos</application> alle Passwörter
-	  mit einem Schlüssel, dem Haupt-Schlüssel,
-	  verschlüsselt.  Der Haupt-Schlüssel wiederum
-	  wird in einer Datei auf dem <acronym>KDC</acronym>
-	  gespeichert.</para>
+      <para><application>Kerberos</application> muss ganzheitlich
+	verwendet werden.  Jeder über das Netzwerk angebotene Dienst
+	muss mit <application>Kerberos</application> zusammenarbeiten
+	oder auf anderen Wegen gegen Angriffe aus dem Netzwerk
+	geschützt sein.  Andernfalls können Berechtigungen gestohlen
+	und wiederverwendet werden.  Es ist beispielsweise nicht
+	sinnvoll, für Remote-Shells
+	<application>Kerberos</application> zu benutzen, dagegen aber
+	<acronym>POP3</acronym>-Zugriff auf einem Mail-Server zu
+	erlauben, da <acronym>POP3</acronym> Passwörter im Klartext
+	versendet.</para>
+
+      <para><application>Kerberos</application> ist für
+	Einbenutzer-Systeme gedacht.  In Mehrbenutzer-Umgebungen ist
+	<application>Kerberos</application> unsicherer als in
+	Einbenutzer-Umgebungen, da die Tickets im für alle
+	lesbaren Verzeichnis <filename>/tmp</filename> gespeichert
+	werden.  Wenn ein Rechner von mehreren Benutzern verwendet
+	wird, ist es möglich, dass Tickets von einem anderen Benutzer
+	gestohlen oder kopiert werden.</para>
+
+      <para>Dieses Problem können Sie lösen, indem Sie mit
+	<command>kinit -c</command> oder besser mit der
+	Umgebungsvariablen <envar>KRB5CCNAME</envar> einen Ort für die
+	Tickets vorgeben.  Es reicht, die Tickets im Heimatverzeichnis
+	eines Benutzers zu speichern und mit Zugriffsrechten zu
+	schützen.</para>
+
+      <para>Das <acronym>KDC</acronym> ist verwundbar und muss daher
+	genauso abgesichert werden, wie die auf ihm befindliche
+	Passwort-Datenbank.  Auf dem <acronym>KDC</acronym> sollten
+	absolut keine anderen Dienste laufen und der Rechner sollte
+	physikalisch gesichert sein.  Die Gefahr ist groß, da
+	<application>Kerberos</application> alle Passwörter mit einem
+	Schlüssel, dem Haupt-Schlüssel, verschlüsselt.  Der
+	Haupt-Schlüssel wiederum wird in einer Datei auf dem
+	<acronym>KDC</acronym> gespeichert.</para>
 
 	<para>Ein kompromittierter Haupt-Schlüssel ist nicht
 	  ganz so schlimm wie allgemein angenommen.  Der
@@ -1893,29 +1853,22 @@ kadmind5_server_enable="YES"</programlis
 	  <acronym>KDC</acronym> mittels
 	  <acronym>PAM</acronym>-Authentifizierung muss sorgfältig
 	  eingerichtet werden.</para>
-      </sect3>
-
-      <sect3>
-	<title>Mängel von
-	  <application>Kerberos</application></title>
 
 	<para>Mit <application>Kerberos</application> können
 	  sich Benutzer, Rechner und Dienste gegenseitig
 	  authentifizieren.  Allerdings existiert kein Mechanismus,
 	  der das <acronym>KDC</acronym> gegenüber Benutzern,
 	  Rechnern oder Diensten authentifiziert.  Ein verändertes
-	  &man.kinit.1; könnte beispielsweise alle
-	  Benutzernamen und Passwörter abfangen.  Die von
-	  veränderten Programmen ausgehende Gefahr können
-	  Sie lindern, indem Sie die Integrität von Dateien
-	  mit Werkzeugen wie
-	  <package>security/tripwire</package>
-	  prüfen.</para>
-      </sect3>
+	  <command>kinit</command> könnte beispielsweise alle
+	  Benutzernamen und Passwörter abfangen.  Die von veränderten
+	  Programmen ausgehende Gefahr können Sie lindern, indem Sie
+	  die Integrität von Dateien mit Werkzeugen wie
+	  <package>security/tripwire</package> prüfen.</para>
     </sect2>
 
     <sect2>
       <title>Weiterführende Dokumentation</title>
+
       <indexterm>
 	<primary>Kerberos5</primary>
 	<secondary>weiterführende Dokumentation</secondary>



Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201605151442.u4FEg502066052>