Назад | Перейти на главную страницу

Надежная криптография в зоне Solaris

Я пытаюсь настроить Kerberos KDC в зоне Solaris, но столкнулся с небольшой проблемой с Cryptographic Framework в Solaris 10

Несмотря на то, что пакеты для надежного шифрования (SUNWcry и SUNWcryr) установлены, более надежные ключи, похоже, доступны только в глобальной зоне:

Глобальная зона:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

Неглобальная зона:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

«список cryptoadm» дает одинаковый список провайдеров в глобальной и неглобальной зоне.

Есть ли у кого-нибудь идея, как я могу включить более сильные ключи в неглобальной зоне? Или, может быть, это действительно задумано?

Я видел проблему в Solaris 10 Updates 8,9 и 10. Только в Solaris 11 11/11 она, кажется, исчезла, но Solaris 11 еще не является вариантом в этой настройке.

У меня есть решение: (предоставлено службой поддержки Oracle)

По-видимому, это ошибка в пакете SUNWcry / SUNWcryr, которую нельзя исправить во время цикла выпуска Solaris 10 (как было сказано ранее, она исправлена ​​для меня в Solaris 11).

Примеры отчетов об ошибках: 6534506, 6759852

Обходной путь:

замените pkcs11_softtoken на pkcs11_softtoken_extra в cryptoadm

(в пределах зоны)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

НОТА:

Если вторая команда завершилась неудачно с ошибкой отсутствия такого файла или каталога, вы можете выполнить альтернативную процедуру:

(в пределах зоны)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

Изменить:

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

Кому:

/usr/lib/security/$ISA/pkcs11_softtoken_extra.so

Сохраните файл и запустите:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

Теперь вам должно быть хорошо.