| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Guide d'administration système : Services de sécurité |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
Méthodes d'administration des principaux et des stratégies Kerberos
Équivalents de ligne de commande de l'Outil SEAM
Seul fichier modifié par l'Outil SEAM
Fonctions d'impression et d'aide en ligne de l'Outil SEAM
Utilisation de grandes listes dans l'Outil SEAM
Procédure de démarrage de l'Outil SEAM
Gestion des principaux de Kerberos
Gestion des principaux de Kerberos (liste des tâches)
Automatisation de la création de principaux Kerberos
Affichage de la liste des principaux Kerberos
Affichage des attributs d'un principal Kerberos
Création d'un principal Kerberos
Duplication d'un principal Kerberos
Modification d'un principal Kerberos
Suppression d'un principal Kerberos
Paramétrage des valeurs par défaut pour la création de principaux Kerberos
Modification des privilèges d'administration Kerberos
Administration des stratégies Kerberos
Administration des stratégies Kerberos (liste des tâches)
Affichage de la liste des stratégies Kerberos
Affichage des attributs d'une stratégie Kerberos
Création d'une stratégie Kerberos
Duplication d'une stratégie Kerberos
Modification d'une stratégie Kerberos
Suppression d'une stratégie Kerberos
Descriptions des panneaux de l'Outil SEAM
Utilisation de l'Outil SEAM avec privilèges d'administration Kerberos limités
Administration des fichiers keytab
Administration des fichiers keytab (liste des tâches)
Ajout d'un principal de service Kerberos à un fichier keytab
Suppression d'un principal de service d'un fichier keytab
Affichage de la liste de clés (principaux) dans un fichier keytab
Désactivation temporaire de l'authentification d'un service sur un hôte
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Tous les hôtes qui fournissent un service doivent disposer d'un fichier local, appelé un keytab (abréviation de « key table » (table des clés). Le fichier keytab contient le principal pour le service approprié, appelé clé de service. Une clé de service est utilisée par un service pour s'authentifier auprès du KDC et est uniquement connue de Kerberos et du service lui-même. Par exemple, si vous avez un serveur NFS utilisant Kerberos, le serveur doit avoir un fichier keytab qui contient son principal de service nfs.
Pour ajouter une clé de service à un fichier keytab, vous ajoutez le principal de service approprié à un fichier keytab de l'hôte à l'aide de la commande ktadd de kadmin. Comme vous êtes en train d'ajouter un principal de service à un fichier keytab, le principal doit exister dans la base de données Kerberos afin que kadmin puisse vérifier son existence. Sur le KDC maître, le fichier keytab est situé sous /etc/krb5/kadm5.keytab, par défaut. Sur les serveurs d'applications qui fournissent des services utilisant Kerberos, le fichier keytab est situé à /etc/krb5/krb5.keytab, par défaut.
Un fichier keytab est comparable à un mot de passe d'utilisateur. Tout comme il est important pour les utilisateurs de protéger leurs mots de passe, il est tout aussi important pour les serveurs d'applications de protéger leurs fichiers keytab. Vous devez toujours stocker les fichiers keytab sur un disque local et les rendre lisibles uniquement par l'utilisateur root. En outre, vous ne devez jamais envoyer un fichier keytab par le biais d'un réseau non sécurisé.
Il existe également une instance spéciale dans laquelle ajouter un principal root au fichier keytab d'un hôte. Si vous souhaitez qu'un utilisateur sur le client Kerberos monte des systèmes de fichiers NFS utilisant Kerberos, qui nécessitent un accès équivalent au root, vous devez ajouter le principal root du client à son fichier keytab. Dans le cas contraire, les utilisateurs doivent utiliser la commande kinit en tant que root pour obtenir des informations d'identification pour le principal root du client lorsqu'ils souhaitent monter un système de fichiers NFS utilisant Kerberos avec accès root, même lorsqu'ils utilisent l'agent de montage automatique.
Remarque - Lorsque vous configurez un KDC maître, vous devez ajouter les principaux kadmind et changepw au fichier kadm5.keytab .
Une autre commande que vous pouvez utiliser pour administrer les fichiers keytab est la commande ktutil. Cette commande interactive vous permet de gérer le fichier keytab d'un hôte local sans disposer de privilèges d'administration Kerberos, car ktutil n'interagit pas avec la base de données Kerberos comme le fait kadmin. Par conséquent, après l'ajout d'un principal à un fichier keytab, vous pouvez utilisez ktutil pour visualiser la liste de clés dans le fichier keytab ou pour désactiver temporairement l'authentification d'un service.
Remarque - Lorsque vous modifiez un principal dans un fichier keytab à l'aide de la commande ktadd dans kadmin, une nouvelle clé est générée et ajoutée au fichier keytab.
|
Pour plus d'informations, reportez-vous à la section Affichage de la liste des principaux Kerberos.
# /usr/sbin/kadmin
kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
Ignore la liste des types de chiffrement définie dans le fichier krb5.conf.
Spécifie le fichier keytab. Par défaut, /etc/krb5/krb5.keytab est utilisé.
Affiche des informations moins détaillées.
Spécifie le principal à ajouter au fichier keytab. Vous pouvez ajouter les principaux de service suivants : host, root, nfs et ftp.
Spécifie les expressions de principal. Tous les principaux qui correspondent à principal-exp sont ajoutés au fichier keytab. Les règles qui régissent l'expression de principal sont les mêmes que pour la commande list_principals de kadmin.
kadmin: quit
Exemple 25-16 Ajout d'un principal de service dans un fichier keytab
Dans l'exemple suivant, les principaux kadmin/kdc1.example.com et changepw/kdc1.example.com sont ajoutés à un fichier keytab de KDC maître. Dans cet exemple, le fichier keytab doit être le fichier spécifié dans le fichier kdc.conf.
kdc1 # /usr/sbin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.example.com changepw/kdc1.example.com
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-256 CTS
mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-128 CTS
mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit
Dans l'exemple suivant, le principal d'host de denver est ajouté au fichier keytab de denver de sorte que le KDC peut authentifier les services de réseau de denver.
denver # /usr/sbin/kadmin
kadmin: ktadd host/denver.example.com
Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS
mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode
with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit
# /usr/sbin/kadmin
Pour obtenir des instructions détaillées, reportez-vous à la section Affichage de la liste de clés (principaux) dans un fichier keytab.
kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
Spécifie le fichier keytab. Par défaut, /etc/krb5/krb5.keytab est utilisé.
Affiche des informations moins détaillées.
Spécifie le principal à supprimer du fichier keytab.
Supprime toutes les entrées pour le principal spécifié dont le numéro de version de clé correspond à kvno.
Supprime toutes les entrées pour le principal spécifié.
Supprime toutes les entrées pour le principal spécifié, à l'exception des principaux avec les numéros de version de clé les plus élevés.
kadmin: quit
Exemple 25-17 Suppression d'un principal de service d'un fichier keytab.
Dans l'exemple suivant, le principal d'host de denver est supprimé du fichier keytab de denver.
denver # /usr/sbin/kadmin kadmin: ktremove host/denver.example.com@EXAMPLE.COM kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3 removed from keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
Remarque - Bien qu'il soit possible de créer des fichiers keytab qui sont détenus par d'autres utilisateurs, l'utilisation de l'emplacement par défaut pour le fichier keytab requiert la propriété root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Le tampon de la liste de clés actuel s'affiche.
ktutil: quit
Exemple 25-18 Affichage de la liste de clés (principaux) dans un fichier keytab
L'exemple suivant affiche la liste de clés dans le fichier /etc/krb5/krb5.keytab sur l'hôte denver hôte.
denver # /usr/bin/ktutil
ktutil: read_kt /etc/krb5/krb5.keytab
ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------
1 5 host/denver@EXAMPLE.COM
ktutil: quit
Parfois, il peut s'avérer nécessaire de désactiver temporairement le mécanisme d'authentification d'un service, tel que rlogin ou ftp , sur un serveur d'applications réseau. Par exemple, si vous le souhaitez, vous pouvez empêcher les utilisateurs de se connecter à un système pendant que vous êtes en train d'effectuer des procédures de maintenance. La commande ktutil permet d'accomplir cette tâche en supprimant le principal de service à partir du fichier keytab du serveur, sans nécessiter de privilèges kadmin. Pour réactiver l'authentification, il vous suffit de copier le fichier keytab d'origine que vous avez enregistré jusqu'à son emplacement d'origine.
Remarque - Par défaut, la plupart des services sont configurés de façon à exiger l'authentification. Si un service n'est pas configuré pour demander l'authentification, le service fonctionne toujours, même si vous désactivez l'authentification pour le service.
Remarque - Bien qu'il soit possible de créer des fichiers keytab qui sont détenus par d'autres utilisateurs, l'utilisation de l'emplacement par défaut pour le fichier keytab requiert la propriété root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Le tampon de la liste de clés actuel s'affiche. Notez le numéro d'emplacement du service que vous voulez désactiver.
ktutil: delete_entry slot-number
Où slot-number indique le numéro d'emplacement du principal de service à supprimer, ce qui est affiché par la commande list.
ktutil: write_kt new-keytab
ktutil: quit
# mv new-keytab keytab
Exemple 25-19 Désactivation temporaire d'un service sur un hôte
Dans l'exemple suivant, le service host sur l'hôte denver est temporairement désactivé. Pour réactiver le service d'hôte sur denver, vous devez copier le fichier krb5.keytab.temp vers le fichier /etc/krb5/krb5.keytab .
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/bin/ktutil
ktutil:read_kt /etc/krb5/krb5.keytab
ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
1 8 root/denver@EXAMPLE.COM
2 5 host/denver@EXAMPLE.COM
ktutil:delete_entry 2
ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
1 8 root/denver@EXAMPLE.COM
ktutil:write_kt /etc/krb5/new.krb5.keytab
ktutil: quit
denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab
|