Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
Description du service Kerberos
Fonctionnement du service Kerberos
Authentification initiale : le TGT
Authentifications Kerberos suivantes
Applications distantes Kerberos
Composants des différentes versions Kerberos
Ajouts Kerberos dans la version 5/08 de Solaris 10
Ajouts Kerberos dans la version Solaris 10 8/07
Ajouts Kerberos dans la version 6/06 de Solaris10
Améliorations Kerberos dans la version 3/05 de Solaris10
Composants Kerberos dans la version Solaris 9
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Les composants du service Kerberos ont été inclus dans de nombreuses versions. À l'origine, le service Kerberos et les modifications apportées au système d'exploitation de base pour la prise en charge du service Kerberos ont été distribués sous le nom du produit SEAM (Sun Enterprise Authentication Mecanism). À mesure que d'autres parties du produit SEAM ont été incluses dans le logiciel Oracle Solaris, le contenu de la version Oracle Solaris a diminué. Pour les versions Oracle Solaris, tous les éléments du produit SEAM sont inclus, de sorte que le produit SEAM n'est pas nécessaire. Le nom de produit SEAM figure dans la documentation pour des raisons historiques.
Le tableau suivant décrit les composants inclus dans chaque version. Les versions de produit sont répertoriées dans l'ordre chronologique. Tous les composants sont décrits dans les sections suivantes.
Tableau 21-1 Contenu de version Kerberos
|
Similaire à la distribution par MIT du produit Kerberos V5, le service Kerberos Oracle Solaris comprend les éléments suivants :
KDC (Key Distribution Center) :
Démon d'administration de base de données Kerberos : kadmind.
Démon de traitement des tickets Kerberos : krb5kdc .
Programmes d'administration de base de données : kadmin (maître uniquement), kadmin.local et kdb5_util.
Logiciel de propagation de base de données : kprop (esclave uniquement) et kpropd.
Programmes utilisateur de gestion des identifiants : kinit , klist et kdestroy.
Programme utilisateur de modification du mot de passe Kerberos : kpasswd.
Applications distantes : ftp, rcp, rdist, rlogin , rsh, ssh et telnet.
Démons d'application distante : ftpd, rlogind, rshd, sshd et telnetd.
Utilitaire d'administration de keytab : ktutil.
GSS-API (API de service de sécurité générique) : permet aux applications d'utiliser plusieurs mécanismes de sécurité sans avoir à recompiler l'application à chaque fois qu'un nouveau mécanisme est ajouté. GSS-API utilise les interfaces standard permettant aux applications d'être portables pour de nombreux systèmes d'exploitation. GSS-API permet aux applications d'inclure les services de sécurité d'intégrité et de confidentialité, ainsi que l'authentification. Les commandes ftp et ssh utilisent GSS-API.
RPCSEC_GSS API : permet d'activer les services NFS afin d'utiliser l'authentification Kerberos. RPCSEC_GSS est une variante de sécurité fournissant des services de sécurité indépendants des mécanismes utilisés. RPCSEC_GSS est installé sur la couche GSS-API. N'importe quel mécanisme de sécurité enfichable basé sur GSS_API peut être utilisé par des applications utilisant RPCSEC_GSS.
En outre, le service Kerberos Oracle Solaris inclut les éléments suivants :
Outil d'administration graphique Kerberos (gkadmin) : permet d'administrer les principaux et les stratégies des principaux. Cette interface graphique basée sur Java est une alternative à la commande kadmin.
Module de service Kerberos V5 pour PAM : assure l'authentification, la gestion de compte, la gestion de session et la gestion des mots de passe pour le service Kerberos. Le module peut être utilisé pour que l'authentification Kerberos soit transparente pour l'utilisateur.
Modules de noyau : fournissent des implémentations basées sur le noyau du service Kerberos pour une utilisation par le service NFS, ce qui améliore considérablement les performances.
Ces améliorations sont disponibles à compter de la version 5/08 de Solaris 10 :
Le logiciel Solaris Kerberos a été synchronisé avec la version MIT 1.4. En particulier, le logiciel pour le KDC, la commande kinit et le mécanisme Kerberos ont été mis à jour.
La prise en charge de l'accès aux enregistrement de principaux et de stratégie Kerberos à l'aide de LDAP à partir d'un serveur d'annuaire a été ajoutée. Cette modification simplifie l'administration et peut fournir une plus grande disponibilité, selon le déploiement des KDC et des DS. Reportez-vous à la section Gestion d'un KDC sur un serveur d'annuaire LDAP pour obtenir une liste des procédures relatives à LDAP.
La prise en charge des clients Solaris sans configuration supplémentaire a été ajoutée à cette version. Des modifications ont été apportées au service Kerberos et à certains paramètres par défaut. Les clients Solaris Kerberos fonctionnent sans configuration côté client dans des environnements correctement configurés. Pour plus d'informations, reportez-vous à la section Options de configuration du client.
L'API MIT Kerberos V5 (krb5-api) est prise en charge dans la version Solaris 10 8/07. Pour plus d'informations, reportez-vous aux pages de manuel libkrb5(3LIB) et krb5-config(1). Reportez-vous également aux pages web du projet MIT Kerberos V5 sur mit.edu pour obtenir une documentation plus détaillée dès qu'elle sera disponible.
Bien que krb5-api soit désormais disponible, Sun encourage vivement l'utilisation de GSS-API pour l'authentification réseau, ainsi que l'intégrité et la confidentialité, car GSS-API est un mécanisme de sécurité indépendant et une norme IETF. Pour plus d'informations, reportez-vous à la page de manuel libgss(3LIB).
Dans la version 6//06 de Solaris10, le démon ktkt_warnd peut renouveler automatiquement les informations d'identification, et pas uniquement avertir l'utilisateur de leur prochaine expiration. L'utilisateur doit être connecté pour que les informations d'identification soient renouvelées automatiquement.
Les améliorations suivantes de Kerberos sont incluses dans la version Oracle Solaris. Plusieurs améliorations ont été introduites dans les précédentes versions de Software Express et mises à jour dans les versions bêta de Solaris10.
Les applications distantes, telles que ftp, rcp, rlogin, rsh, ssh et telnet, prennent en charge le protocole Kerberos. Pour plus d'informations, reportez-vous aux pages de manuel correspondant à chaque commande ou démon et à la page de manuel krb5_auth_rules(5).
Grâce à la mise à jour incrémentielle rendue désormais possible, il n'est plus nécessaire de systématiquement transférer l'intégralité de la base de données de principaux Kerberos. La propagation incrémentielle présente les avantages suivants :
une meilleure cohérence des bases de données entre les serveurs ;
un besoin moindre en ressources, telles que les ressources réseau et CPU ;
une propagation des mises à jour bien plus adéquate ;
une automatisation de la méthode de propagation.
Un nouveau script aide les administrateurs à définir rapidement et facilement un client Kerberos, en permettant une configuration automatique de ce dernier. Pour obtenir des instructions sur l'utilisation du nouveau script, reportez-vous à la section Configuration des clients Kerberos. Pour plus d'informations, reportez-vous également à la page de manuel kclient(1M).
Plusieurs nouveaux types de chiffrement ont été ajoutés au service Kerberos. Ils viennent renforcer la sécurité et améliorer la compatibilité avec d'autres mises en œuvre Kerberos prenant en charge ces types de chiffrement. Pour plus d'informations, reportez-vous à la section Utilisation des types de chiffrement Kerberos. Les types de chiffrement sont les suivants :
Le type de chiffrement AES peut être utilisé pour le chiffrement à haute vitesse et haute sécurité des sessions Kerberos.
ARCFOUR-HMAC offre une meilleure compatibilité avec les autres implémentations de Kerberos.
Le chiffrement triple DES (3DES) avec SHA1 accroît la sécurité. Ce type de chiffrement améliore par ailleurs l'interopérabilité avec d'autres mises en œuvre Kerberos le prenant en charge.
Les types de chiffrement sont activés par le biais de la structure cryptographique. Cette structure peut fournir une cryptographie avec accélération matérielle pour le service Kerberos.
Le logiciel KDC, les commandes utilisateur et les applications utilisateur prennent désormais en charge l'utilisation du protocole réseau TCP. Cette amélioration augmente la fiabilité des opérations et accroît l'interopérabilité avec les autres mises en œuvre Kerberos, y compris Active Directory de Microsoft. KDC écoute maintenant à la fois les ports UDP traditionnels et les ports TCP, de sorte qu'il peut répondre aux requêtes dans l'un des deux protocoles. Les commandes utilisateur et les applications essaient d'abord d'utiliser UDP lors de l'envoi d'une requête au KDC et, en cas d'échec, essaient TCP.
La prise en charge d'IPv6 a été ajoutée au logiciel KDC avec les commandes kinit, klist et kprop. Par défaut, les adresses IPv6 sont prises en charge. Aucun paramètre de configuration n'a besoin d'être modifié pour activer la prise en charge d'IPv6. Aucun support pour IPv6 n'est disponible pour les commandes kadmin et kadmind.
Une nouvelle option -e a été ajoutée à plusieurs sous-commandes de la commande kadmin. Elle permet de sélectionner le type de chiffrement lors de la création des principaux. Pour plus d'informations, reportez-vous à la page de manuel kadmin(1M).
Des ajouts au module pam_krb5 permettent de gérer le cache des informations d'identification Kerberos à l'aide de la structure des modules PAM. Pour plus d'informations, reportez-vous à la page de manuel pam_krb5(5).
La détection automatique de KDC, du serveur d'administration, du serveur kpasswd et des mappages de nom de domaine ou d'hôte-domaine de Kerberos utilisant les recherches DNS est prise en charge. Cette amélioration élimine certaines étapes requises pour l'installation d'un client Kerberos. Ce dernier est capable de localiser un serveur KDC à l'aide du DNS plutôt qu'en procédant à la lecture d'un fichier de configuration. Pour plus d'informations, reportez-vous à la page de manuel krb5.conf(4).
Un nouveau module PAM appelé pam_krb5_migrate a été intégré. Il facilite la migration automatique des utilisateurs vers le domaine Kerberos local si les utilisateurs ne disposent pas encore d'un compte Kerberos. Pour plus d'informations, reportez-vous à la page de manuel pam_krb5_migrate(5).
Le fichier ~/.k5login peut désormais être utilisé avec les applications GSS, ftp et ssh. Pour plus d'informations, reportez-vous à la page de manuel gss_auth_rules(5).
L'utilitaire kproplog a été mis à jour pour afficher tous les noms d'attributs par entrée de journal. Pour plus d'informations, reportez-vous à la page de manuel kproplog(1M).
Une vérification stricte du TGT peut maintenant être désactivée à l'aide d'une option de configuration dans le fichier krb5.conf. Pour plus d'informations, reportez-vous à la page de manuel krb5.conf(4).
Les extensions des utilitaires de modification de mot de passe permettent au serveur d'administration Kerberos V5 d'Oracle Solaris d'accepter les demandes de modification de mot de passe émises par des clients qui n'exécutent pas le logiciel Oracle Solaris. Pour plus d'informations, reportez-vous à la page de manuel kadmind(1M).
L'emplacement par défaut du cache de rediffusion a été modifié : auparavant sur les systèmes de fichiers RAM, il se trouve désormais sous /var/krb5/rcache/, dans un emplacement de stockage persistant. Le nouvel emplacement empêche les rediffusions en cas de réinitialisation d'un système. Le code rcache a été amélioré sur le plan des performances. Toutefois, les performances générales du cache de rediffusion risquent d'être ralenties en raison de l'utilisation d'un stockage persistant.
Le cache de rediffusion peut maintenant être configuré en vue de l'utilisation du stockage de fichiers ou de mémoire uniquement. Reportez-vous à la page de manuel krb5envvar(5) pour plus d'informations sur les variables d'environnement pouvant être configurées pour les emplacements ou types de cache d'informations d'identification et de table de clés.
La table d'informations d'identification des services GSS n'est plus nécessaire pour le mécanisme GSS de Kerberos. Pour plus d'informations, reportez-vous à la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX ou aux pages de manuel gsscred(1M), gssd(1M) et gsscred.conf(4).
Les utilitaires Kerberos, kinit et ktutil sont désormais basés sur la version 1.2.1 de MIT Kerberos. Ce changement a apporté de nouvelles options à la commande kinit et de nouvelles sous-commandes à la commande ktutil. Pour plus d'informations, reportez-vous aux pages de manuel kinit(1) and ktutil(1).
Le KDC Oracle Solaris (Solaris Kerberos Key Distribution Center) et kadmind sont désormais basés sur MIT Kerberos version 1.2.1. Le KDC utilise désormais par défaut la base de données btree, plus fiable que l'actuelle base de données basée sur le hachage. Pour plus d'informations, reportez-vous à la page de manuel kdb5_util(1M)
Les démons kpropd, kadmind, krb5kdc et ktkt_warnd sont gérés par l'utilitaire de gestion des services. Les actions d'administration appliquées à ce service (activation, désactivation ou redémarrage, par exemple), peuvent être réalisées à l'aide de la commande svcadm. La commande svcs permet de connaître l'état de service de tous les démons. Pour une présentation de SMF, reportez-vous au Chapitre 18, Gestion des services (présentation) du Guide d’administration système : administration de base.
La version Solaris 9 comporte tous les composants inclus dans Composants Kerberos, à l'exception des applications distantes.
La version SEAM 1.0.2 inclut les applications distantes. Ces applications sont la seule partie de SEAM 1.0 qui n'ont pas été intégrées à la version Solaris 9. Les composants pour les applications distantes sont les suivants :
Applications client : ftp, rcp, rlogin, rsh et telnet.
Démons de serveur : ftpd, rlogind, rshd et telnetd.
La version Solaris 8 inclut uniquement les parties côté client du service Kerberos, de sorte que de nombreux composants ne sont pas inclus. Ce produit permet aux systèmes qui exécutent la version Solaris 8 de devenir des clients Kerberos sans devoir installer SEAM 1.0.1 séparément. Pour utiliser ces fonctionnalités, vous devez installer un KDC qui utilise Solaris Easy Access Server 3.0, l'Admin Pack Solaris 8, la distribution MIT ou Windows 2000. Les composants côté client ne sont pas utiles sans un KDC configuré pour distribuer les tickets. Les composants suivants sont inclus dans cette version :
Programmes utilisateur pour l'obtention, l'affichage et la suppression des tickets : kinit, klist et kdestroy.
Programme utilisateur de modification du mot de passe Kerberos : kpasswd.
Utilitaire d'administration de keytab : ktutil.
Ajouts au PAM (Pluggable Authentication Module, module d'authentification enfichable) : permet aux applications d'utiliser divers mécanismes d'authentification. Le module PAM peut être utilisé rendre les connexions et déconnexions transparentes pour l'utilisateur.
Plug-ins GSS_API : fournit le protocole Kerberos et assure la prise en charge de la cryptographie.
Client NFS et prise en charge du serveur.
La version 1.0.1 de SEAM inclut tous les composants de la version 1.0 de SEAM qui ne sont pas déjà inclus dans la version Solaris 8. Les composants sont les suivants :
KDC (Key Distribution Center) (maître) :
Démon d'administration de base de données Kerberos : kadmind.
Démon de traitement des tickets Kerberos : krb5kdc
KDC esclaves.
Programmes d'administration de base de données : kadmin et kadmin.local.
Logiciel de propagation de base de données : kprop.
Applications distantes : ftp, rcp, rlogin, rsh et telnet.
Démons d'application à distance : ftpd, rlogind, rshd et telnetd.
Utilitaire d'administration : kdb5_util.
Outil d'administration graphique Kerberos (gkadmin) : permet d'administrer les principaux et les stratégies des principaux. Cette interface graphique basée sur Java est une alternative à la commande kadmin.
Procédure de préconfiguration : permet de définir les paramètres d'installation et de configuration de SEAM 1.0.1, ce qui automatise l'installation de SEAM. Cette procédure s'avère particulièrement utile pour les installations multiples.
Plusieurs bibliothèques.
La version 1.0 de SEAM comprend tous les éléments inclus dans Composants Kerberos, ainsi que les éléments suivants :
Un utilitaire (gsscred) et un démon (gssd) : ces programmes aident à mapper les ID d'utilisateur UNIX (UID) aux noms de principaux. Ces programmes sont nécessaires car les serveurs NFS utilisent les UID UNIX pour identifier les utilisateurs et pas les noms de principaux, qui sont stockés sous un format différent.
GSS-API (API de service de sécurité générique) : permet aux applications d'utiliser plusieurs mécanismes de sécurité sans avoir à recompiler l'application à chaque fois qu'un nouveau mécanisme est ajouté. Puisque GSS-API ne dépend pas d'une machine, elle convient aux applications sur Internet. GSS-API permet aux applications d'inclure les services de sécurité d'intégrité et de confidentialité, ainsi que l'authentification.
RPCSEC_GSS API : permet d'activer les services NFS afin d'utiliser l'authentification Kerberos. RPCSEC_GSS est une variante de sécurité fournissant des services de sécurité indépendants des mécanismes utilisés. RPCSEC_GSS est installé sur la couche GSS-API. N'importe quel mécanisme de sécurité enfichable basé sur GSS_API peut être utilisé par des applications utilisant RPCSEC_GSS.
Procédure de préconfiguration : permet de définir les paramètres d'installation et de configuration de SEAM 1.0, ce qui automatise l'installation. Cette procédure s'avère particulièrement utile pour les installations multiples.