JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Services de sécurité
Oracle Technology Network
Bibliothque
PDF
Aperu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

4.  Contrôle de l'accès aux périphériques (tâches)

5.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

6.  Contrôle de l'accès aux fichiers (tâches)

7.  Utilisation d'Automated Security Enhancement Tool (Tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Contrôle d'accès basé sur les rôles (référence)

11.  Privilèges (tâches)

12.  Privilèges (référence)

Partie IV Services cryptographiques

13.  Structure cryptographique Oracle Solaris (présentation)

14.  Structure cryptographique Oracle Solaris (tâches)

15.  Structure de gestion des clés Oracle Solaris

Partie V Services d'authentification et communication sécurisée

16.  Utilisation des services d'authentification (tâches)

17.  Utilisation de PAM

18.  Utilisation de SASL

19.  Utilisation d'Oracle Solaris Secure Shell (tâches)

20.  Oracle Solaris Secure Shell (référence)

Partie VI Service Kerberos

21.  Introduction au service Kerberos

22.  Planification du service Kerberos

23.  Configuration du service Kerberos (tâches)

24.  Messages d'erreur et dépannage de Kerberos

25.  Administration des principaux et des stratégies Kerberos (tâches)

Méthodes d'administration des principaux et des stratégies Kerberos

Outil SEAM

Équivalents de ligne de commande de l'Outil SEAM

Seul fichier modifié par l'Outil SEAM

Fonctions d'impression et d'aide en ligne de l'Outil SEAM

Utilisation de grandes listes dans l'Outil SEAM

Procédure de démarrage de l'Outil SEAM

Gestion des principaux de Kerberos

Gestion des principaux de Kerberos (liste des tâches)

Automatisation de la création de principaux Kerberos

Affichage de la liste des principaux Kerberos

Affichage des attributs d'un principal Kerberos

Création d'un principal Kerberos

Duplication d'un principal Kerberos

Modification d'un principal Kerberos

Suppression d'un principal Kerberos

Paramétrage des valeurs par défaut pour la création de principaux Kerberos

Modification des privilèges d'administration Kerberos

Administration des stratégies Kerberos

Administration des stratégies Kerberos (liste des tâches)

Affichage de la liste des stratégies Kerberos

Affichage des attributs d'une stratégie Kerberos

Création d'une stratégie Kerberos

Duplication d'une stratégie Kerberos

Modification d'une stratégie Kerberos

Suppression d'une stratégie Kerberos

Référence de l'Outil SEAM

Descriptions des panneaux de l'Outil SEAM

Utilisation de l'Outil SEAM avec privilèges d'administration Kerberos limités

Administration des fichiers keytab

Administration des fichiers keytab (liste des tâches)

Ajout d'un principal de service Kerberos à un fichier keytab

Suppression d'un principal de service d'un fichier keytab

Affichage de la liste de clés (principaux) dans un fichier keytab

Désactivation temporaire de l'authentification d'un service sur un hôte

26.  Utilisation des applications Kerberos (tâches)

27.  Service Kerberos (référence)

Partie VII Audit Oracle Solaris

28.  Audit Oracle Solaris (présentation)

29.  Planification de l'audit Oracle Solaris

30.  Gestion de l'audit Oracle Solaris (tâches)

31.  Audit Oracle Solaris (référence)

Glossaire

Index

Gestion des principaux de Kerberos

Cette section fournit des instructions détaillées permettant d'administrer les principaux à l'aide de l'Outil SEAM . Elle fournit également des exemples d'équivalents de lignes de commande, le cas échéant.

Gestion des principaux de Kerberos (liste des tâches)

Tâche
Description
Voir
Affichage de la liste de principaux.
Affichez la liste des principaux en cliquant sur l'onglet Principals (Principaux).
Affichage de la liste des principaux Kerberos
Affichage des attributs d'un principal.
Affichez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Modify (Modifier).
Affichage des attributs d'un principal Kerberos
Création d'un principal.
Créez un principal en cliquant sur le bouton Create New (Créer) dans le panneau Principal List (Liste de principaux).
Création d'un principal Kerberos
Duplication d'un principal.
Dupliquez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Duplicate (Dupliquer).
Duplication d'un principal Kerberos
Modification d'un principal.
Modifiez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Modify.

Notez que vous ne pouvez pas modifier le nom d'un principal. Pour renommer un principal, vous devez le dupliquer, lui donner un nouveau nom, l'enregistrer, puis supprimer l'ancien principal.

Modification d'un principal Kerberos
Suppression d'un principal.
Supprimez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Delete (Supprimer).
Suppression d'un principal Kerberos
Définition des valeurs par défaut pour la création de principaux.
Définissez des valeurs par défaut pour la création de principaux en sélectionnant Properties dans le menu Edit.
Paramétrage des valeurs par défaut pour la création de principaux Kerberos
Modification des privilèges d'administration Kerberos (fichier kadm5.acl).
Ligne de commande uniquement. Les privilèges d'administration Kerberos déterminent quelles opérations un principal peut effectuer sur la base de données Kerberos, comme l'ajout et la modification.

Vous devez modifier le fichier /etc/krb5/kadm5.acl pour modifier les privilèges d'administration Kerberos pour chaque principal.

Modification des privilèges d'administration Kerberos

Automatisation de la création de principaux Kerberos

Même si l'Outil SEAM offre une certaine facilité d'utilisation, il ne propose pas de moyen d'automatiser la création de principaux. L'automatisation est particulièrement utile si vous avez besoin d'ajouter 10 ou même 100 nouveaux principaux dans un court laps de temps. Toutefois, en utilisant la commande kadmin.local dans un script Bourne shell, vous pouvez le faire.

La ligne de script shell suivante illustre une manière d'automatiser la création de nouveaux principaux : 

awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | 
        time /usr/sbin/kadmin.local> /dev/null

Cet exemple est réparti sur deux lignes pour une meilleure lisibilité. Le script lit un fichier appelé princnames contenant les noms de principaux et leurs mots de passe, et les ajoute à la base de données Kerberos. Vous devez créer le fichier princnames contenant un nom de principal et son mot de passe sur chaque ligne, séparés par un ou plusieurs espaces. L'option +needchange configure le principal afin que l'utilisateur soit invité à saisir un nouveau mot de passe lors de la première connexion avec le principal. Cette pratique permet de s'assurer que les mots de passe dans le fichier princnames ne représentent pas un risque pour la sécurité.

Vous pouvez construire des scripts plus élaborés. Par exemple, le script peut utiliser les informations contenues dans le service de noms pour obtenir la liste des noms d'utilisateur pour les noms de principaux. Ce que vous faite et la manière dont vous le faites est déterminé par les besoins de votre site et votre expérience en script.

Affichage de la liste des principaux Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM . 

    $ /usr/sbin/gkadmin
  2. Cliquez sur l'onglet Principals (Principaux).

    La liste de principaux s'affiche.


    image:La boîte de dialogue de l'outil SEAM présente une liste de principaux et un filtre de liste. Elle comporte les boutons Modify (Modifier), Create New (Créer), Delete (Supprimer) et Duplicate (Dupliquer).
  3. Affichez un principal spécifique ou une sous-liste de principaux.

    Saisissez une chaîne dans le champs de filtre et appuyez sur la touche Entrée. Si le filtre fonctionne, la liste de principaux qui lui correspond s'affiche.

    La chaîne du filtre doit être composée d'un ou plusieurs caractères. Notez bien que le mécanisme de filtrage respecte la casse et qu'il vous faut utiliser les majuscules et minuscules appropriées. Par exemple, si vous entrez la chaîne ge, le mécanisme de filtrage affiche uniquement les principaux contenant la chaîne ge (par exemple, george ou edge).

    Si vous souhaitez afficher l'intégralité de la liste de principaux, cliquez sur Clear Filter (Supprimer le filtre).

Exemple 25-1 Affichage de la liste de principaux Kerberos (ligne de commande)

Dans l'exemple suivant, la commande list_principals de kadmin est utilisée pour obtenir la liste de tous les principaux correspondant à kadmin*. Les caractères génériques peuvent être utilisés avec la commande list_principals . 

kadmin: list_principals kadmin*
kadmin/changepw@EXAMPLE.COM
kadmin/kdc1.example.con@EXAMPLE.COM
kadmin/history@EXAMPLE.COM
kadmin: quit

Affichage des attributs d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM . 

    $ /usr/sbin/gkadmin
  2. Cliquez sur l'onglet Principals (Principaux).
  3. Sélectionnez le principal dans la liste que vous souhaitez afficher, puis cliquez sur Modify (Modifier).

    Le panneau Principal Basics (Informations de base du principal) contenant certains attributs du principal s'affiche.

  4. Continuez à cliquer sur Next (Suivant) pour afficher tous les attributs du principal.

    Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'Outil SEAM .

  5. Lorsque vous avez fini de consulter ces informations, cliquez sur Cancel (Annuler).

Exemple 25-2 Affichage des attributs d'un principal Kerberos

L'exemple suivant montre la première fenêtre lorsque vous visualisez le principal jdb/admin.

image:La boîte de dialogue de l'outil SEAM présente les données de comptes du principal jdb/admin. Elle donne la date d'expiration du compte et des commentaires.

Exemple 25-3 Affichage des attributs d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande get_principal de kadmin est utilisée pour afficher les attributs du principal jdb/admin. 

kadmin: getprinc jdb/admin
Principal: jdb/admin@EXAMPLE.COM

Expiration date: [never]
Last password change: [never]

Password expiration date: Wed Apr 14 11:53:10 PDT 2011
Maximum ticket life: 1 day 16:00:00
Maximum renewable life: 1 day 16:00:00
Last modified: Mon Sep 28 13:32:23 PST 2009 (host/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 1
Key: vno 1, AES-256 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, AES-128 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, Triple DES with HMAC/sha1, no salt
Key: vno 1, ArcFour with HMAC/md5, no salt
Key: vno 1, DES cbc mode with RSA-MD5, no salt
Attributes: REQUIRES_HW_AUTH
Policy: [none]
kadmin: quit

Création d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM .

    Remarque - Si vous voulez créer un principal qui nécessite une nouvelle stratégie, vous devriez d'abord créer cette stratégie. Reportez-vous à la section Création d'une stratégie Kerberos. 

    $ /usr/sbin/gkadmin
  2. Cliquez sur l'onglet Principals (Principaux).
  3. Cliquez sur New (Nouveau).

    Le panneau Principal Basics contenant certains attributs du principal s'affiche.

  4. Indiquez un nom de principal et un mot de passe.

    Les deux sont obligatoires.

  5. Spécifiez les types de chiffrement pour le principal.

    Cliquez sur la boîte située à droite du champ de type de clé de chiffrement pour ouvrir une nouvelle fenêtre qui affiche l'ensemble des types de clés de chiffrement disponibles. Cliquez sur OK après avoir sélectionné les types de chiffrement requis.


    image:La boîte de dialogue SEAM Encryption Type List Helper (Assistant de liste de types de chiffrement SEAM) répertorie tous les types de chiffrement installés.
  6. Spécifiez la stratégie pour le principal.
  7. Spécifiez des valeurs pour les attributs du principal et continuez d'appuyer sur Next pour en spécifier d'autres.

    Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'Outil SEAM .

  8. Cliquez sur Save (Enregistrer) pour enregistrer le principal ou cliquez sur Done (Terminé) dans le dernier panneau.
  9. Si nécessaire, configurez les privilèges d'administration de Kerberos pour le nouveau principal dans le fichier /etc/krb5/kadm5.acl.

    Pour plus d'informations, reportez-vous à la section Modification des privilèges d'administration Kerberos.

Exemple 25-4 Création d'un principal Kerberos

L'exemple suivant montre le panneau Principal Basics lorsqu'un principal appelée pak est créé. La stratégie est définie sur testuser.

image:La boîte de dialogue de l'outil SEAM présente les données de comptes du principal pak. Elle donne le mot de passe, la date d'expiration du compte et la stratégie testuser.

Exemple 25-5 Création d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande add_principal de kadmin est utilisée pour créer un principal appelé pak. La stratégie du principal est définie sur testuser. 

kadmin: add_principal -policy testuser pak
Enter password for principal "pak@EXAMPLE.COM": <Type the password>
Re-enter password for principal "pak@EXAMPLE.COM": <Type the password again>
Principal "pak@EXAMPLE.COM" created.
kadmin: quit

Duplication d'un principal Kerberos

Cette procédure explique comment utiliser tout ou partie des attributs d'un principal existant pour en créer un nouveau. Il n'existe pas d'équivalent de ligne de commande pour cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM . 

    $ /usr/sbin/gkadmin
  2. Cliquez sur l'onglet Principals (Principaux).
  3. Sélectionnez le principal dans la liste que vous souhaitez dupliquer, puis cliquez sur Duplicate.

    Le panneau Principal Basics s'affiche. Tous les attributs du principal sélectionné sont dupliqués, sauf les champs de nom et de mot de passe, qui sont vides.

  4. Indiquez un nom de principal et un mot de passe.

    Les deux sont obligatoires. Pour effectuer une copie exacte du principal que vous avez sélectionné, cliquez sur Save et passez à l'Étape 7.

  5. Spécifiez des valeurs différentes pour les attributs du principal et continuez d'appuyer sur Next pour en spécifier d'autres.

    Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'Outil SEAM .

  6. Cliquez sur Save (Enregistrer) pour enregistrer le principal ou cliquez sur Done (Terminé) dans le dernier panneau.
  7. Si nécessaire, configurez les privilèges d'administration de Kerberos pour le principal dans le fichier /etc/krb5/kadm5.acl.

    Pour plus d'informations, reportez-vous à la section Modification des privilèges d'administration Kerberos.

Modification d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM . 

    $ /usr/sbin/gkadmin
  2. Cliquez sur l'onglet Principals (Principaux).
  3. Sélectionnez le principal dans la liste que vous souhaitez modifier, puis cliquez sur Modify.

    Le panneau Principal Basics contenant certains attributs du principal s'affiche.

  4. Modifiez les attributs du principal et continuez d'appuyer sur Next pour en modifier d'autres.

    Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'Outil SEAM .

    Remarque - Vous ne pouvez pas modifier le nom d'un principal. Pour renommer un principal, vous devez le dupliquer, lui donner un nouveau nom, l'enregistrer, puis supprimer l'ancien principal.

  5. Cliquez sur Save (Enregistrer) pour enregistrer le principal ou cliquez sur Done (Terminé) dans le dernier panneau.
  6. Modifiez les privilèges d'administration Kerberos pour le principal dans le fichier /etc/krb5/kadm5.acl.

    Pour plus d'informations, reportez-vous à la section Modification des privilèges d'administration Kerberos.

Exemple 25-6 Modification du mot de passe d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande change_password de kadmin est utilisée pour modifier le mot de passe du principal jdb. La commande change_password ne vous permet pas de réutiliser un mot de passe qui se trouve dans l'historique des mots de passe du principal. 

kadmin: change_password jdb
Enter password for principal "jdb": <Type the new password>
Re-enter password for principal "jdb": <Type the password again>
Password for "jdb@EXAMPLE.COM" changed.
kadmin: quit

Pour modifier d'autres attributs d'un principal, vous devez utiliser la commande modify_principal de kadmin.

Suppression d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM . 

    $ /usr/sbin/gkadmin
  2. Cliquez sur l'onglet Principals (Principaux).
  3. Sélectionnez le principal dans la liste que vous souhaitez supprimer, puis cliquez sur Delete.

    Après avoir confirmé la suppression, le principal est supprimé.

  4. Supprimez le principal du fichier de liste de contrôle d'accès (ACL) de Kerberos, /etc/krb5/kadm5.acl.

    Pour plus d'informations, reportez-vous à la section Modification des privilèges d'administration Kerberos.

Exemple 25-7 Suppression d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande delete_principal de kadmin est utilisée pour supprimer le principal jdb. 

kadmin: delete_principal pak
Are you sure you want to delete the principal "pak@EXAMPLE.COM"? (yes/no): yes
Principal "pak@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.
kadmin: quit

Paramétrage des valeurs par défaut pour la création de principaux Kerberos

Il n'existe pas d'équivalent de ligne de commande pour cette procédure.

  1. Si nécessaire, démarrez l'Outil SEAM .

    Pour plus d'informations, reportez-vous à la section Procédure de démarrage de l'Outil SEAM . 

    $ /usr/sbin/gkadmin
  2. Choisissez Properties (Propriétés) dans le menu Edit (Editer).

    La fenêtre Properties s'affiche.


    image:La boîte de dialogue des propriétés affiche les valeurs par défaut pour les principaux et les commandes de liste. Les valeurs par défaut des principaux couvrent la sécurité et d'autres options.
  3. Sélectionnez les valeurs par défaut que vous souhaitez utiliser lorsque vous créez des principaux.

    Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre.

  4. Cliquez sur Save (Enregistrer).

Modification des privilèges d'administration Kerberos

Même si votre site dispose probablement de nombreux principaux d'utilisateurs, en général, vous souhaitez que seul un petit nombre d'utilisateurs soit capable d'administrer la base de données Kerberos. Les privilèges d'administration de la base de données Kerberos sont déterminés par le fichier ACL de Kerberos, kadm5.acl. Le fichier kadm5.acl vous permet d'autoriser ou d'interdire l'ajout de privilèges aux principaux individuels. Ou bien, vous pouvez utiliser le caractère générique « * » dans le nom du principal pour spécifier les privilèges pour les groupes de principaux.

  1. Connectez-vous en tant que superutilisateur au KDC maître.
  2. Modifiez le fichier /etc/krb5/kadm5.acl .

    Une entrée dans le fichier kadm5.acl doit avoir le format suivant :

    principal privileges [principal-target]

    principal
    Spécifie le principal auquel les privilèges sont accordés. N'importe quelle partie du nom du principal peut inclure le caractère générique « * », ce qui est utile pour fournir les mêmes privilèges pour un groupe de principaux. Par exemple, si vous voulez spécifier tous les principaux avec l'instance admin , vous devez utiliser */admin@ realm.

    Notez qu'une utilisation commune d'une instance admin consiste à accorder des privilèges séparés (tels que l'accès à l'administration de la base de données Kerberos) à un principal Kerberos. Par exemple, l'utilisateur jdb peut avoir un principal pour son utilisation administrative, appelé jdb/admin. De cette façon, l'utilisateur jdb obtient les tickets de jdb/admin uniquement lorsqu'il a réellement besoin d'utiliser ces privilèges.

    privileges
    Spécifie les opérations qui peuvent être effectuées ou non par le principal. Ce champ est constitué d'une chaîne de caractères de la liste suivante de caractères ou de leur équivalent majuscule. Si le caractère est majuscule (ou non spécifié), alors l'opération n'est pas autorisée. Si le caractère est minuscule, l'opération est autorisée.
    a
    Autorise ou interdit l'ajout de principaux ou de stratégies.
    d
    Autorise ou interdit la suppression de principaux ou de stratégies.
    m
    Autorise ou interdit la modification de principaux ou de stratégies.
    c
    Autorise ou interdit la modification des mots de passe des principaux.
    i
    Autorise ou interdit la consultation de la base de données Kerberos.
    l
    Autorise ou interdit les liste de principaux ou de stratégies dans la base de données Kerberos.
    x ou *
    Autorise tous les privilèges (admcil).
    principal-target
    Lorsqu'un principal est indiqué dans ce champ, les privilèges s'appliquent au principal uniquement lorsque le principal fonctionne sur la principal-target. N'importe quelle partie du nom du principal peut inclure le caractère générique « * », ce qui est utile pour un groupe de principaux.

Exemple 25-8 Modification des privilèges d'administration de Kerberos

L'entrée suivante dans le fichier kadm5.acl accorde à tout principal dans le domaine EXAMPLE.COM avec l'instance admin tous les privilèges de la base de données Kerberos : 

*/admin@EXAMPLE.COM *

L'entrée suivante dans le fichier kadm5.acl donne au principal jdb@example.com les privilèges d'ajouter, de répertorier et de consulter tous les principaux qui ont l'instance root. 

jdb@EXAMPLE.COM ali */root@EXAMPLE.COM
Copyright © 2002, 2011, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant