3 votes

Marcel G avatar

Cryptographie forte dans la zone Solaris

Demandé el 23 de Janvier, 2012
Quand la question a-t-elle été
1754 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de mettre en place un KDC Kerberos sur une zone Solaris mais j'ai rencontré un petit problème avec le Framework Cryptographique sur Solaris 10

même si les packages pour le cryptage fort (SUNWcry & SUNWcryr) sont installés, les clés plus fortes semblent uniquement être disponibles dans la zone globale :

Zone-Globale :

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

Zone-Non-Globale :

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   128
arcfour                     8   128
des                        64    64
3des                      128   192

"cryptoadm list" donne la même liste de fournisseurs dans la zone globale et non globale.

Est-ce que quelqu'un a une idée de comment je peux activer les clés plus fortes dans la zone non-globale ? Ou peut-être est-ce en fait par conception ?

J'ai rencontré ce problème sur Solaris 10 Mises à jour 8, 9 et 10. Seulement sur Solaris 11 11/11 il semble avoir disparu, mais Solaris 11 n'est pas encore une option dans cette configuration.

Demandé el 23 de Janvier, 2012 par Marcel G

Réponse

Trop de publicités?

1voto

Marcel G avatar
Marcel G Points 2109

J'ai trouvé une solution : (fournie par le support Oracle)

Apparemment, il s'agit d'un bug dans l'emballage de SUNWcry/SUNWcryr, qui ne peut pas être corrigé pendant le cycle de publication de Solaris 10 (comme mentionné précédemment, il a été corrigé pour moi sur Solaris 11).

Exemples de rapports de bug : 6534506, 6759852

Contournement :

remplacez pkcs11_softtoken par pkcs11_softtoken_extra dans cryptoadm

(dans la zone)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# cryptoadm enable provider=/usr/lib/security/\$ISA/pkcs11_softtoken_extra.so mechanism=all

REMARQUE :

Si la deuxième commande échoue avec une erreur de fichier ou de répertoire introuvable, vous pouvez suivre la procédure alternative :

(dans la zone)

# cryptoadm disable provider=/usr/lib/security/\$ISA/pkcs11_softtoken.so mechanism=all
# vi /etc/crypto/pkcs11.conf

Modifiez :

/usr/lib/security/$ISA/pkcs11_softtoken.so:enabledlist=

En :

/usr/lib/security/$ISA/pkcs11_softtoken_extra.so

Enregistrez le fichier et exécutez :

# encrypt -l
Algorithm       Keysize:  Min   Max (bits)
------------------------------------------
aes                       128   256
arcfour                     8  2048
des                        64    64
3des                      128   192

Vous devriez maintenant être prêt à continuer.

Répondu el 31 de Janvier, 2012 par Marcel G (2109 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X