Solarisゾーンでの強力な暗号化
SolarisゾーンでKerberosKDCをセットアップしようとしていますが、Solaris10の暗号化フレームワークで少し問題が発生しました。
強力な暗号化のパッケージ(SUNWcryおよびSUNWcryr)がインストールされていても、より強力なキーはグローバルゾーンでのみ使用できるようです。
グローバルゾーン:
# encrypt -l
Algorithm Keysize: Min Max (bits)
------------------------------------------
aes 128 256
arcfour 8 2048
des 64 64
3des 128 192
非グローバルゾーン:
# encrypt -l
Algorithm Keysize: Min Max (bits)
------------------------------------------
aes 128 128
arcfour 8 128
des 64 64
3des 128 192
「cryptoadmlist」は、グローバルゾーンと非グローバルゾーンのプロバイダーの同じリストを提供します。
非グローバルゾーンでより強力なキーを有効にする方法について誰かアイデアがありますか?それとも、これが実際に設計によるものである場合はどうでしょうか。
Solaris 10アップデート8、9、および10で問題が発生しました。Solaris1111/11でのみ問題が発生したようですが、このセットアップではSolaris11はまだオプションではありません。
私は解決策を得ました:(Oracleサポートによって提供されます)
これは明らかにSUNWcry/SUNWcryrのパッケージのバグであり、Solaris 10のリリースサイクル中には修正できません(Solaris 11で修正される前に述べたように)。
バグレポートの例:6534506、6759852
回避策:
cryptoadmでpkcs11_softtokenをpkcs11_softtoken_extraに置き換えます
(区域内)
# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all
注意:
2番目のコマンドがそのようなファイルまたはディレクトリがないというエラーで失敗した場合は、別の手順を実行できます。
(区域内)
# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf
変更:
/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=
に:
/usr/lib/security/$ISA/pkcs11_softtoken_extra.so
ファイルを保存して実行します。
# encrypt -l
Algorithm Keysize: Min Max (bits)
------------------------------------------
aes 128 256
arcfour 8 2048
des 64 64
3des 128 192
あなたは今行ってもいいはずです。