Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
Configuration du service Kerberos (liste des tâches)
Configuration de services Kerberos supplémentaires (liste des tâches)
Configuration des serveurs KDC
Procédure de configuration automatique d'un KDC maître
Procédure de configuration interactive d'un KDC maître
Procédure de configuration manuelle d'un KDC maître
Procédure de configuration d'un KDC pour l'utilisation d'un serveur de données LDAP
Procédure de configuration automatique d'un KDC esclave
Procédure de configuration interactive d'un KDC esclave
Procédure de configuration manuelle d'un KDC esclave
Procédure d'actualisation des clés TGS sur un serveur maître
Configuration de l'authentification inter-domaine
Procédure d'établissement de l'authentification inter-domaine hiérarchique
Procédure d'établissement de l'authentification inter-domaine directe
Configuration des serveurs d'application réseau Kerberos
Procédure de configuration d'un serveur d'application réseau Kerberos
Procédure d'utilisation du service de sécurité générique avec Kerberos lors de l'exécution FTP
Configuration de serveurs NFS Kerberos
Procédure de configuration des serveurs NFS Kerberos
Procédure de création d'une table d'informations d'identification
Procédure d'ajout d'une entrée unique à la table d'informations d'identification
Procédure de mappage d'informations d'identification entre domaines
Procédure de configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos
Configuration des clients Kerberos
Configuration des clients Kerberos (liste des tâches)
Procédure de création d'un profil d'installation de client Kerberos
Procédure de configuration automatique d'un client Kerberos
Procédure de configuration interactive d'un client Kerberos
Procédure de configuration d'un client Kerberos pour un serveur Active Directory
Procédure de configuration manuelle d'un client Kerberos
Procédure de désactivation de la vérification du ticket d'octroi de tickets
Procédure d'accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root
Procédure de configuration de la migration automatique des utilisateurs dans un domaine Kerberos
Procédure de configuration du verrouillage de compte
Synchronisation des horloges entre les KDC et les clients Kerberos
Echange d'un KDC maître et d'un KDC esclave
Procédure de configuration d'un KDC échangeable
Procédure d'échange d'un KDC maître et d'un KDC esclave
Administration de la base de données Kerberos
Sauvegarde et propagation de la base de données Kerberos
Procédure de sauvegarde de la base de données Kerberos
Procédure de restauration de la base de données Kerberos
Procédure de conversion d'une base de données Kerberos après une mise à niveau du serveur
Procédure de reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle
Procédure de reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle
Procédure de configuration d'un KDC esclave pour l'utilisation de la propagation complète
Procédure de vérification de la synchronisation des serveurs KDC
Procédure de propagation manuelle de la base de données Kerberos aux KDC esclaves
Configuration d'une propagation parallèle
Etapes de configuration d'une propagation parallèle
Administration du fichier stash
Procédure de suppression d'un fichier stash
Procédure d'utilisation d'une nouvelle clé principale
Gestion d'un KDC sur un serveur d'annuaire LDAP
Procédure de suppression d'un domaine d'un serveur d'annuaire LDAP
Renforcement de la sécurité des serveurs Kerberos
Procédure d'activation des applications utilisant Kerberos uniquement
Procédure de restriction de l'accès aux serveurs KDC
Procédure d'utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Suivez les étapes ci-dessous pour accroître la sécurité des serveurs d'application Kerberos et des serveurs KDC.
Tableau 21-4 Renforcement de la sécurité des serveurs Kerberos (liste des tâches)
|
Cette procédure restreint l'accès réseau au serveur qui exécute telnet, ftp, rcp, rsh et rlogin pour utiliser des transactions authentifiées par Kerberos uniquement.
Ajoutez l'option -a user à la propriété exec pour telnet pour limiter l'accès aux utilisateurs capables de fournir des informations d'authentification valides.
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
Ajoutez l'option -a à la propriété exec pour que ftp autorise uniquement les connexions authentifiées par Kerberos.
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
Les démons in.rshd et in.rlogind doivent être désactivés.
# svcadm disable network/shell # svcadm disable network/login:rlogin
Les serveurs KDC maîtres et esclaves disposent de copies de la base de données KDC stockées localement. La restriction de l'accès à ces serveurs pour sécuriser les bases de données est importante pour la sécurité globale de l'installation Kerberos.
Pour fournir un serveur KDC sécurisé, tous les services réseau non essentiels doivent être désactivés. Selon votre configuration, certains de ces services sont peut-être déjà désactivés. Vérifiez le statut du service avec la commande svcs. Dans la plupart des cas, les seuls services devant s'exécuter sont krb5kdc et krdb5_kprop si KDC est un esclave ou uniquement kadmin si le KDC est un maître. En outre, tous les services utilisant l'interface de transport loopback (ticlts, ticotsord et ticots) peuvent rester activés.
# svcadm disable network/comsat # svcadm disable network/dtspc/tcp # svcadm disable network/finger # svcadm disable network/login:rlogin # svcadm disable network/rexec # svcadm disable network/shell # svcadm disable network/talk # svcadm disable network/tname # svcadm disable network/uucp # svcadm disable network/rpc_100068_2-5/rpc_udp
Pour limiter l'accès physique, assurez-vous que le serveur KDC et son moniteur se trouvent dans un site sécurisé. Les utilisateurs ne doivent pas être en mesure d'accéder à ce serveur d'une façon ou d'une autre.
Réalisez des sauvegardes sur bande de votre KDC uniquement si les bandes sont stockées en toute sécurité. Suivez la même pratique pour les copies de fichiers keytab. Il serait préférable de stocker ces fichiers sur un système de fichiers local non partagé avec d'autres systèmes. Le système de stockage de fichiers peut être le serveur KDC maître ou n'importe lequel des KDC esclaves.
Un fichier dictionnaire peut être utilisé par le service Kerberos pour éviter qu'un mot dans le dictionnaire soit utilisé en tant que mot de passe lors de la création de nouvelles informations d'identification. Pour rendre plus difficile le fait de deviner un mot de passe, il est judicieux d'éviter l'utilisation de mots du dictionnaire en tant mots de passe. Par défaut, le fichier /var/krb5/kadm5.dict est utilisé, mais il est vide.
Vous devez ajouter une ligne afin d'informer le service d'utiliser un fichier dictionnaire. Dans cet exemple, le dictionnaire utilisé est celui inclus dans l'utilitaire spell. Reportez-vous à la page de manuel kdc.conf(4) pour obtenir une description complète du fichier de configuration.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 dict_file = /usr/share/lib/dict/words }
kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin