Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
Intérêt de la planification des déploiements de Kerberos
Planification de domaines Kerberos
Mappage de noms d'hôtes sur des domaines
Noms des clients et des principaux de service
Ports pour les services d'administration et le KDC
Mappage d'informations d'identification GSS sur des informations d'identification UNIX
Migration automatique d'utilisateur vers un domaine Kerberos
Choix du système de propagation de base de données
Synchronisation de l'horloge dans un domaine
Amélioration de la sécurité de connexion des clients
Options de configuration de KDC
Approbation de services pour la délégation
URL d'aide en ligne dans l'outil d'administration graphique de Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
L'utilitaire de configuration kclient peut être exécuté en mode interactif ou non interactif. En mode interactif, l'utilisateur est invité à entrer des valeurs de paramètre spécifiques à Kerberos, ce qui permet à l'utilisateur d'effectuer des modifications sur une installation existante lors de la configuration du client. En mode non interactif, un fichier avec des valeurs de paramètre prédéfinies est utilisé. Les options de ligne de commande peuvent également être utilisées en mode non interactif. Les modes interactif et non interactif nécessitent moins d'étapes que le processus manuel, ce qui devrait rendre le processus plus rapide et moins sujet aux erreurs.
Des modifications ont été apportées pour autoriser un client Kerberos sans configuration. Si ces règles sont respectées dans votre environnement, aucune procédure de configuration explicite n'est nécessaire pour un client Solaris Kerberos :
Le service DNS est configuré de façon à renvoyer des enregistrements SRV aux KDC.
Le nom de domaine correspond au nom de domaine DNS ou le KDC prend en charge les références.
Le client Kerberos ne requiert pas de fichier keytab.
Dans certains cas, il peut être préférable de configurer explicitement le client Kerberos :
Si les références ne sont pas utilisées, la logique d'absence de configuration se base sur le nom de domaine DNS de l'hôte pour déterminer le domaine. Cela introduit un petit risque pour la sécurité, mais celui-ci est beaucoup plus faible que l'activation de dns_lookup_realm.
Le module pam_krb5 s'appuie sur une entrée de clé d'hôte dans le keytab. Cette condition peut être désactivée dans le fichier krb5.conf, cependant ce n'est pas recommandé pour des raisons de sécurité. Reportez-vous à la page de manuel krb5.conf(4).
Le processus sans configuration est moins efficace que la configuration directe et se repose plus sur le DNS. Le processus effectue plus de recherches DNS que les clients configurés directement.
Pour une description de tous les processus de configuration des clients, reportez-vous à la section Configuration des clients Kerberos