Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
Intérêt de la planification des déploiements de Kerberos
Planification de domaines Kerberos
Mappage de noms d'hôtes sur des domaines
Ports pour les services d'administration et le KDC
Mappage d'informations d'identification GSS sur des informations d'identification UNIX
Migration automatique d'utilisateur vers un domaine Kerberos
Choix du système de propagation de base de données
Synchronisation de l'horloge dans un domaine
Options de configuration du client
Amélioration de la sécurité de connexion des clients
Options de configuration de KDC
Approbation de services pour la délégation
URL d'aide en ligne dans l'outil d'administration graphique de Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Lorsque vous utilisez le service Kerberos, le DNS doit être activé sur tous les hôtes. Avec le DNS, le principal doit contenir le nom de domaine complet (FQDN, fully qualified domain name) de chaque hôte. Par exemple, si le nom d'hôte est boston, le nom de domaine DNS example.com et le nom de domaine EXAMPLE.COM, alors le nom de principal de l'hôte doit être host/boston.example.com@EXAMPLE.COM. Les exemples de ce manuel nécessitent que le DNS soit configuré et utilisent le nom de domaine complet pour chaque hôte.
Le service Kerberos normalise les noms d'alias d'hôtes par l'intermédiaire du DNS, et utilise le formulaire normalisé (cname) lors de la construction du principal de service pour le service associé. C'est pourquoi, lors de la création d'un principal de service, le composant nom d'hôte des noms des principaux de service doit être la forme normalisée du nom d'hôte du système qui héberge le service.
Ce qui suit est un exemple de la façon dont le service Kerberos normalise les noms d'hôte. Si un utilisateur utilise la commande "ssh alpha.example.com", où alpha.example.com est un alias de nom d'hôte DNS pour le cname beta.example.com. Lorsque SSH appelle Kerberos et demande un ticket de service hôte pour alpha.example.com, le service Kerberos normalise d'alpha.example.com à beta.example.com et demande un ticket pour le principal de service "host/beta.example.com" au KDC.
Pour les noms de principal qui comprennent le nom de domaine complet (FQDN) de l'hôte, il est important de faire correspondre la chaîne qui décrit le nom de domaine DNS dans le fichier /etc/resolv.conf. Le service Kerberos requiert que le nom de domaine DNS soit en minuscules lorsque vous spécifiez le nom de domaine complet (FQDN) pour un principal. Le nom de domaine DNS peuvent inclure des majuscules et des minuscules, mais n'utilisez des lettres minuscules que lorsque vous créez un principal d'hôte. Par exemple, le nom de domaine DNS peut être example.com, Example.COM ou n'importe quelle autre variante. Le nom du principal d'hôte sera toujours host/boston.example.com@EXAMPLE.COM.
En outre, l'utilitaire de gestion des services a été configuré de manière à ce qu'un grand nombre de ces démons ou commandes ne démarre pas si le service de client DNS n'est pas en cours d'exécution. Les démons kdb5_util, kadmind et kpropd, ainsi que la commande kprop, sont configurés pour dépendre du service DNS. Pour exploiter au mieux les fonctionnalités disponibles à l'aide du service Kerberos et SMF, vous devez activer le service de client DNS sur tous les hôtes.