Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Sécurisation des connexions et des mots de passe (tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Modification du mot de passe root
Affichage de l'état de connexion d'un utilisateur
Affichage des utilisateurs sans mots de passe
Désactivation temporaire des connexions utilisateur
A propos des connexions ayant échoué
Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)
Spécification d'un algorithme de chiffrement de mot de passe
Spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Contrôle et restriction de l'accès root (tâches)
Contrôle des utilisateurs de la commande su
Restriction et contrôle des connexions root
Contrôle de l'accès au matériel du système (tâches)
Spécification d'un mot de passe obligatoire pour l'accès au matériel SPARC
Désactivation de la séquence d'abandon d'un système
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Par défaut, les mots de passe utilisateur sont chiffrés avec l'algorithme crypt_sha256. Vous pouvez remplacer l'algorithme par défaut pour interagir dans un environnement en réseau hétérogène, de sorte à vous connecter à des systèmes plus anciens fréquemment utilisés sur le réseau.
Dans cette procédure, la version BSD-Linux de l'algorithme MD5 est l'algorithme de chiffrement par défaut qui est utilisé lorsque les utilisateurs modifient leurs mots de passe. Cet algorithme est adapté à un réseau mixte de systèmes qui exécutent les versions Oracle Solaris, BSD et Linux d'UNIX. Pour obtenir une liste des algorithmes de chiffrement mot de passe et des identificateurs d'algorithme, reportez-vous au Tableau 2-1.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Saisissez l'identificateur en tant que valeur pour la variable CRYPT_DEFAULT du fichier /etc/security/policy.conf.
Vous pouvez ajouter un commentaire au fichier afin d'expliquer votre choix.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 (5) that works with Linux and BSD systems. # Passwords previously encrypted with SHA256 (1) will be encrypted # with MD5 when users change their passwords. # # #CRYPT_DEFAULT=5 CRYPT_DEFAULT=1
Dans cet exemple, la configuration des algorithmes assure que l'algorithme sha256 n'est pas utilisé pour chiffrer un mot de passe. Les utilisateurs dont les mots de passe ont été chiffrés avec le module sha256 obtiennent un mot de passe chiffré par crypt_bsdmd5 lorsqu'ils changent leurs mots de passe.
Pour plus d'informations sur la configuration des sélections d'algorithme, reportez-vous à la page de manuel policy.conf(4)
Exemple 3-4 Contrainte des algorithmes de chiffrement de mot de passe dans un environnement hétérogène
Dans cet exemple, l'administrateur sur un réseau qui inclut les systèmes BSD et Linux configure les mots de passe de sorte qu'ils soient utilisables sur tous les systèmes. Etant donné que certaines applications de réseau ne peuvent pas gérer le chiffrement SHA512, l'administrateur n'inclut pas son identificateur dans la liste des algorithmes autorisés. L'administrateur conserve l'algorithme SHA256, 5, en tant que valeur de la variable CRYPT_DEFAULT. La variable CRYPT_ALGORITHMS_ALLOW contient l'identificateur MD5 qui est compatible avec les systèmes BSD et Linux et l'identificateur Blowfish qui est compatible avec les systèmes BSD. Etant donné que 5 est l'algorithme CRYPT_DEFAULT, il n'a pas besoin d'être répertorié dans la liste CRYPT_ALGORITHMS_ALLOW. Cependant, pour des raisons de maintenance, l'administrateur place 5 dans la liste CRYPT_ALGORITHMS_ALLOW et les identificateurs inutilisés dans la liste CRYPT_ALGORITHMS_DEPRECATE.
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5
Lorsque les utilisateurs dans un domaine NIS modifient leurs mots de passe, le client NIS consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. Le système client NIS chiffre le mot de passe.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Lorsque le client LDAP est configuré correctement, le client LDAP peut utiliser les nouveaux algorithmes de mot de passe. Le client LDAP se comporte exactement comme un client NIS.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Assurez-vous qu'un signe de commentaire (#) précède les entrées incluant pam_ldap.so.1. En outre, n'utilisez pas l'option server_policy avec le module pam_authtok_store.so.1.
Les entrées PAM du fichier pam.conf du client permettent de chiffrer le mot de passe en fonction de la configuration des algorithmes. Les entrées PAM permettent également l'authentification du mot de passe.
Lorsque les utilisateurs du domaine LDAP modifient leurs mots de passe, le client LDAP consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. Le système client LDAP chiffre le mot de passe. Ensuite, le client envoie le mot de passe chiffré, avec une balise {crypt}, pour le serveur. La balise indique au serveur que le mot de passe est déjà chiffré. Le mot de passe est ensuite stocké, tel quel, sur le serveur. Pour l'authentification, le client récupère le mot de passe stocké dans le serveur. Le client compare ensuite le mot de passe stocké avec la version chiffrée que le client vient de générer à partir du mot de passe saisi par l'utilisateur.
Remarque - Pour tirer parti des commandes de stratégie de mot de passe sur le serveur LDAP, utilisez l'option server_policy avec les entrées pam_authtok_store dans le fichier pam.conf. Les mots de passe sont ensuite chiffrés sur le serveur LDAP. Pour plus d'informations sur cette procédure, reportez-vous au Chapitre 11, Configuration de Oracle Directory Server Enterprise Edition avec les clients LDAP (tâches) du manuel Utilisation des services de noms et d’annuaire dans Oracle Solaris 11.1.