web-dev-qa-db-ja.com

Solarisゾーンでの強力な暗号化

SolarisゾーンでKerberosKDCをセットアップしようとしていますが、Solaris10の暗号化フレームワークで少し問題が発生しました。

強力な暗号化のパッケージ(SUNWcryおよびSUNWcryr)がインストールされていても、より強力なキーはグローバルゾーンでのみ使用できるようです。

グローバルゾーン:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

非グローバルゾーン:

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

「cryptoadmlist」は、グローバルゾーンと非グローバルゾーンのプロバイダーの同じリストを提供します。

非グローバルゾーンでより強力なキーを有効にする方法について誰かアイデアがありますか?それとも、これが実際に設計によるものである場合はどうでしょうか。

Solaris 10アップデート8、9、および10で問題が発生しました。Solaris1111/11でのみ問題が発生したようですが、このセットアップではSolaris11はまだオプションではありません。

3
Marcel G

私は解決策を得ました:(Oracleサポートによって提供されます)

これは明らかにSUNWcry/SUNWcryrのパッケージのバグであり、Solaris 10のリリースサイクル中には修正できません(Solaris 11で修正される前に述べたように)。

バグレポートの例:6534506、6759852

回避策:

cryptoadmでpkcs11_softtokenをpkcs11_softtoken_extraに置き換えます

(区域内)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

注意:

2番目のコマンドがそのようなファイルまたはディレクトリがないというエラーで失敗した場合は、別の手順を実行できます。

(区域内)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

変更:

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

に:

/usr/lib/security/$ISA/pkcs11_softtoken_extra.so

ファイルを保存して実行します。

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

あなたは今行ってもいいはずです。

1
Marcel G