Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
Configuration du service Kerberos (liste des tâches)
Configuration de services Kerberos supplémentaires (liste des tâches)
Configuration des serveurs KDC
Configuration automatique d'un KDC maître
Configuration interactive d'un KDC maître
Configuration manuelle d'un KDC maître
Configuration d'un KDC pour l'utilisation d'un serveur de données LDAP
Configuration automatique d'un KDC esclave
Configuration interactive d'un KDC esclave
Configuration manuelle d'un KDC esclave
Actualisation des clés TGS sur un serveur maître
Configuration de l'authentification inter-domaine
Etablissement de l'authentification inter-domaine hiérarchique
Etablissement de l'authentification inter-domaine directe
Configuration des serveurs d'application réseau Kerberos
Configuration d'un serveur d'application réseau Kerberos
Utilisation du service de sécurité générique avec Kerberos lors de l'exécution FTP
Configuration de serveurs NFS Kerberos
Configuration des serveurs NFS Kerberos
Création d'une table d'informations d'identification
Ajout d'une entrée unique à la table d'informations d'identification
Mappage d'informations d'identification entre domaines
Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos
Configuration des clients Kerberos
Configuration des clients Kerberos (liste des tâches)
Création d'un profil d'installation de client Kerberos
Configuration automatique d'un client Kerberos
Configuration interactive d'un client Kerberos
Configuration d'un client Kerberos pour un serveur Active Directory
Configuration manuelle d'un client Kerberos
Désactivation de la vérification du ticket d'octroi de tickets
Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root
Configuration de la migration automatique des utilisateurs dans un domaine Kerberos
Configuration du verrouillage de compte
Renouvellement automatique de tous les tickets d'octroi de tickets
Synchronisation des horloges entre les KDC et les clients Kerberos
Administration de la base de données Kerberos
Sauvegarde et propagation de la base de données Kerberos
Sauvegarde de la base de données Kerberos
Restauration de la base de données Kerberos
Conversion d'une base de données Kerberos après une mise à niveau du serveur
Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle
Reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle
Configuration d'un KDC esclave pour l'utilisation de la propagation complète
Vérification de la synchronisation des serveurs KDC
Propagation manuelle de la base de données Kerberos aux KDC esclaves
Configuration d'une propagation parallèle
Etapes de configuration d'une propagation parallèle
Administration du fichier stash
Suppression d'un fichier stash
Utilisation d'une nouvelle clé principale
Gestion d'un KDC sur un serveur d'annuaire LDAP
Association des attributs de principaux Kerberos dans un type de classe d'objet non Kerberos
Suppression d'un domaine d'un serveur d'annuaire LDAP
Renforcement de la sécurité des serveurs Kerberos
Restriction de l'accès aux serveurs KDC
Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Vous devez utiliser les procédures décrites dans cette section pour faciliter l'échange d'un KDC maître et d'un KDC esclave. Vous devez remplacer le KDC maître par un KDC esclave uniquement si le serveur du KDC maître est en panne pour une raison quelconque, ou si le KDC maître doit être réinstallé (par exemple, en cas d'installation de nouveau matériel).
Effectuez cette procédure sur le serveur KDC esclave que vous souhaitez libérez pour devenir le KDC maître. Cette procédure suppose que vous utilisez la propagation incrémentielle.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Lorsque vous définissez les noms d'hôte des KDC, assurez-vous que chaque système possède un alias inclus dans le DNS. Vous pouvez également utiliser les noms d'alias lorsque vous définissez les hôtes dans le fichier /etc/krb5/krb5.conf.
Avant tout échange, ce serveur doit fonctionner comme n'importe quel autre KDC esclave dans le domaine. Reportez-vous à la section Configuration manuelle d'un KDC esclave pour obtenir des instructions.
Pour empêcher les commandes du KDC maître d'être exécutées à partir de ce KDC esclave, déplacez les commandes kprop, kadmind et kadmin.local à un endroit réservé.
kdc4 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save kdc4 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save kdc4 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save
Dans cette procédure, le serveur de KDC maître échangé est appelé kdc1. Le KDC esclave qui devient le nouveau KDC maître est appelé kdc4. Cette procédure suppose que vous utilisez la propagation incrémentielle.
Avant de commencer
Cette procédure nécessite que le serveur de KDC esclave ait été défini en tant qu'esclave échangeable. Pour plus d'informations, reportez-vous à la section Configuration d'un KDC échangeable.
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
kdc4 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
L'exemple suivant montre la première commande addprinc sur deux lignes, mais elle doit être saisie sur une seule ligne.
kadmin: addprinc -randkey -allow_tgs_req +password_changing_service -clearpolicy \ changepw/kdc4.example.com Principal "changepw/kdc4.example.com@ENG.SUN.COM" created. kadmin: addprinc -randkey -allow_tgs_req -clearpolicy kadmin/kdc4.example.com Principal "kadmin/kdc4.example.com@EXAMPLE.COM" created. kadmin:
kadmin: quit
Les étapes suivantes forcent une mise à jour complète de KDC sur le serveur esclave.
kdc4 # svcadm disable network/security/krb5kdc kdc4 # rm /var/krb5/principal.ulog
kdc4 # /usr/sbin/kproplog -h
kdc4 # svcadm enable -r network/security/krb5kdc
Ces étapes réinitialisent le journal de mise à jour pour le nouveau serveur KDC maître.
kdc4 # svcadm disable network/security/krb5kdc kdc4 # rm /var/krb5/principal.ulog
Lorsque vous interrompez le processus kadmind, vous empêchez toute modification apportée à la base de données KDC.
kdc1 # svcadm disable network/security/kadmin kdc1 # svcadm disable network/security/krb5kdc
Mettez en commentaire l'entrée sunw_dbprop_master_ulogsize du fichier /etc/krb5/kdc.conf et ajoutez une entrée définissant sunw_dbprop_slave_poll. L'entrée définit la durée d'interrogation sur deux minutes.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true # sunw_dbprop_master_ulogsize = 1000 sunw_dbprop_slave_poll = 2m }
Pour empêcher l'exécution des commandes de KDC maître, déplacez les commandes kprop, kadmind et kadmin.local à une place réservée.
kdc1 # mv /usr/lib/krb5/kprop /usr/lib/krb5/kprop.save kdc1 # mv /usr/lib/krb5/kadmind /usr/lib/krb5/kadmind.save kdc1 # mv /usr/sbin/kadmin.local /usr/sbin/kadmin.local.save kdc1 # mv /etc/krb5/kadm5.acl /etc/krb5/kadm5.acl.save
Pour changer de serveurs, modifiez le fichier de zone example.com et modifiez l'entrée pour masterkdc.
masterkdc IN CNAME kdc4
Exécutez la commande suivante pour recharger les nouvelles informations d'alias :
# svcadm refresh network/dns/server
kdc4 # mv /usr/lib/krb5/kprop.save /usr/lib/krb5/kprop kdc4 # mv /usr/lib/krb5/kadmind.save /usr/lib/krb5/kadmind kdc4 # mv /usr/sbin/kadmin.local.save /usr/sbin/kadmin.local kdc4 # mv /etc/krb5/kpropd.acl /etc/krb5/kpropd.acl.save
Une fois renseigné, le fichier /etc/krb5/kadm5.acl doit contenir tous les noms de principaux autorisés à administrer le KDC. Ce fichier doit également répertorier tous les esclaves qui émettent des demandes de propagation incrémentielle. Pour plus d'informations, reportez-vous à la page de manuel kadm5.acl(4).
kdc4 # cat /etc/krb5/kadm5.acl kws/admin@EXAMPLE.COM * kiprop/kdc1.example.com@EXAMPLE.COM p
Mettez en commentaire l'entrée sunw_dbprop_slave_poll et ajoutez une entrée définissant sunw_dbprop_master_ulogsize. L'entrée définit la taille du journal à 1000 entrées.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM= { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true # sunw_dbprop_slave_poll = 2m sunw_dbprop_master_ulogsize = 1000 }
kdc4 # svcadm enable -r network/security/krb5kdc kdc4 # svcadm enable -r network/security/kadmin
L'ajout du principal kiprop au fichier krb5.keytab permet au démon kpropd de s'authentifier auprès du service de propagation incrémentielle.
kdc1 # /usr/sbin/kadmin -p kws/admin Authenticating as pricipal kws/admin@EXAMPLE.COM with password. Enter password: <Type kws/admin password> kadmin: ktadd kiprop/kdc1.example.com Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal kiprop/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.example.com@EXAMPLE.COM host/kdc2.example.com@EXAMPLE.COM host/kdc3.example.com@EXAMPLE.COM host/kdc4.example.com@EXAMPLE.COM
kdc1 # svcadm enable -r network/security/krb5_prop kdc1 # svcadm enable -r network/security/krb5kdc