Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
Description du service Kerberos
Fonctionnement du service Kerberos
Authentification initiale : le TGT
Authentifications Kerberos suivantes
Applications distantes Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Les composants du service Kerberos ont été inclus dans de nombreuses versions. A l'origine, le service Kerberos et les modifications apportées au système d'exploitation de base pour la prise en charge du service Kerberos ont été distribués sous le nom du produit SEAM (Sun Enterprise Authentication Mechanism). A mesure que d'autres composants du produit SEAM ont été inclus dans le logiciel Oracle Solaris, le contenu de la version Oracle Solaris a diminué. A partir de la version Oracle Solaris 10, tous les composants du produit SEAM sont inclus, de sorte que le produit SEAM n'est pas nécessaire. Le nom de produit SEAM figure dans la documentation pour des raisons historiques.
Le tableau suivant décrit les composants inclus dans chaque version. Les versions de produit sont répertoriées dans l'ordre chronologique. Tous les composants sont décrits dans les sections suivantes.
Tableau 19-1 Contenu des versions Kerberos
|
Pour plus d'informations les améliorations incluses dans la version Oracle Solaris 10, reportez-vous à la section Composants Kerberos.
Similaire à la distribution par MIT du produit Kerberos V5, le service Kerberos dans la version Oracle Solaris comprend les éléments suivants :
KDC (Key Distribution Center, centre de distribution de clés) :
Démon d'administration de base de données Kerberos : kadmind.
Démon de traitement des tickets Kerberos : krb5kdc.
Programmes d'administration de base de données : kadmin (maître uniquement), kadmin.local et kdb5_util.
Logiciel de propagation de base de données : kprop (esclave uniquement) et kpropd.
Programmes utilisateur de gestion des informations d'identification : kinit, klist et kdestroy.
Programme utilisateur de modification du mot de passe Kerberos : kpasswd.
Applications distantes : ftp, rcp, rlogin, rsh, ssh et telnet.
Démons d'application distante : ftpd, rlogind, rshd, sshd et telnetd.
Utilitaire d'administration de keytab : ktutil.
GSS-API (API de service de sécurité générique) : permet aux applications d'utiliser plusieurs mécanismes de sécurité sans avoir à recompiler l'application à chaque fois qu'un nouveau mécanisme est ajouté. GSS-API utilise les interfaces standard permettant aux applications d'être portables pour de nombreux systèmes d'exploitation. GSS-API permet aux applications d'inclure les services de sécurité d'intégrité et de confidentialité, ainsi que l'authentification. Les commandes ftp et ssh utilisent GSS-API.
RPCSEC_GSS API : permet d'activer les services NFS afin d'utiliser l'authentification Kerberos. RPCSEC_GSS est une variante de sécurité fournissant des services de sécurité indépendants des mécanismes utilisés. RPCSEC_GSS est installé sur la couche GSS-API. N'importe quel mécanisme de sécurité enfichable basé sur GSS_API peut être utilisé par des applications utilisant RPCSEC_GSS.
En outre, le service Kerberos dans la version Oracle Solaris inclut les éléments suivants :
Outil d'administration graphique Kerberos (gkadmin) : permet d'administrer les principaux et les stratégies des principaux. Cette interface graphique basée sur Java est une alternative à la commande kadmin.
Module de service Kerberos V5 pour PAM : assure l'authentification, la gestion de compte, la gestion de session et la gestion des mots de passe pour le service Kerberos. Le module peut être utilisé pour que l'authentification Kerberos soit transparente pour l'utilisateur.
Modules de noyau : fournissent des implémentations basées sur le noyau du service Kerberos pour une utilisation par le service NFS, ce qui améliore considérablement les performances.
Cette section répertorie les modifications qui sont disponibles dans la version Oracle Solaris 11.
Le logiciel Kerberos a été synchronisé avec la version MIT 1.8. Les fonctions suivantes ont été incluses :
Les types de chiffrement faible arcfour-hmac-md5-exp, des-cbc-md5 et des-cbc-crc sont interdits par défaut. La déclaration allow_weak_crypto = true dans le fichier /etc/krb5/krb5.conf peut être ajoutée pour permettre l'utilisation d'algorithmes de chiffrement plus faible.
Dans le fichier /etc/krb5/krb5.conf, la relation permitted_enctypes peut prendre un mot-clé DEFAULT facultatif avec + ou – enctyp_family pour ajouter ou supprimer un type de chiffrement de l'ensemble par défaut.
Dans la plupart des cas, vous pouvez éliminer le besoin de la table de mappage domain_realm côté client en mettant en oeuvre une prise en charge de référence minimale dans le KDC et en fournissant les informations de mappage aux clients par l'intermédiaire de ce protocole. Les clients peuvent fonctionner sans table de mappage domain_realm en envoyant des demandes pour le principal de service name service/canonical-fqdn@LOCAL.REALM au KDC local et en demandant des références. Cette fonctionnalité peut être limitée aux noms de principaux de service avec des types de nom spécifiques ou des formes précises. Le KDC ne peut utiliser que sa table de mappage domain_realm. Aucune requête bloquante à DNS ne peut être introduite.
Vous pouvez créer des alias pour des entrées de principal si vous utilisez un backend LDAP pour la base de données Kerberos. La prise en charge des alias de principal est utile si un service est accessible par différents noms d'hôte ou si le DNS n'est pas disponible pour normaliser le nom de l'hôte, ce qui signifie que la forme abrégée est utilisée. Vous pouvez utiliser un alias pour les différents noms de principaux qualifiant un service et le système n'a besoin que d'un ensemble de clés pour le service principal réel dans son fichier keytab.
Vous pouvez utiliser l'utilitaire kvno pour diagnostiquer les problèmes avec les clés du service principal qui sont stockées dans /etc/krb5/krb5.keytab.
La commande kadmin ktadd prend en charge l'option -norandkey qui empêche la commande kadmind de créer une nouvelle clé aléatoire. L'option -norandkey peut être utile lorsque vous souhaitez créer un keytab pour un principal dont la clé est dérivée d'un mot de passe. Vous pouvez créer un keytab servant à exécuter la commande kinit sans devoir spécifier un mot de passe.
Les principaux peuvent être bloqués après un certain nombre d'échecs de pré-authentification dans un délai imparti. Pour plus d'informations, reportez-vous à la section Procédure de configuration du verrouillage de compte.
L'indicateur OK_AS_DELEGATE permet au KDC de communiquer la stratégie du domaine local à un client indiquant si un serveur intermédiaire est autorisé à accepter des références déléguées. Pour plus d'informations, reportez-vous à la section Approbation de services pour la délégation.
Un ensemble de points de suivi défini statiquement au niveau de l'utilisateur pour Kerberos a été ajouté. Ces sondes fournissent une vue logique des messages du protocole Kerberos. Reportez-vous à la section Utilisation de DTrace avec le service Kerberos pour un exemple.
Le script kclient a été amélioré. Ce script comprend la possibilité de joindre des serveurs Microsoft Active Directory. Pour plus d'informations, reportez-vous aux sections Procédure de configuration interactive d'un client Kerberos et Procédure de configuration d'un client Kerberos pour un serveur Active Directory. En outre, le script contient une option -T qui peut être utilisé pour identifier le type de serveur KDC pour le client. Toutes les options de ce script sont abordées dans la page de manuel kclient(1M).
Le fichier /etc/krb5/kadm5.keytab n'est plus nécessaire. Les clés qui étaient stockées dans ce fichier sont désormais lues directement dans la base de données Kerberos.
La prise en charge de l'accès aux enregistrement de principaux et de stratégie Kerberos à l'aide de LDAP à partir d'un serveur d'annuaire a été ajoutée. Cette modification simplifie l'administration et peut fournir une plus grande disponibilité, selon le déploiement des KDC et des serveurs d'annuaire. Reportez-vous à la section Gestion d'un KDC sur un serveur d'annuaire LDAP pour obtenir une liste des procédures relatives à LDAP.
La nouvelle commande kdcmgr peut être utilisée pour configurer automatiquement ou de façon interactive un KDC. Cette commande crée à la fois les serveur KDC maître et esclave. En outre, lorsqu'elle est utilisée avec l'option status, la commande kdcmgr affiche des informations sur un KDC qui est installé sur l'hôte local. Recherchez les pointeurs vers les procédures automatiques et interactives dans le Tableau 21-1.
La prise en charge des clients Oracle Solaris sans configuration supplémentaire a été ajoutée à cette version. Des modifications ont été apportées au service Kerberos et à certaines valeurs par défaut. Les clients Kerberos fonctionnent sans configuration côté client dans des environnements correctement configurés. Pour plus d'informations, reportez-vous à la section Options de configuration du client.