Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
Configuration du service Kerberos (liste des tâches)
Configuration de services Kerberos supplémentaires (liste des tâches)
Configuration des serveurs KDC
Configuration automatique d'un KDC maître
Configuration interactive d'un KDC maître
Configuration manuelle d'un KDC maître
Configuration d'un KDC pour l'utilisation d'un serveur de données LDAP
Configuration automatique d'un KDC esclave
Configuration interactive d'un KDC esclave
Configuration manuelle d'un KDC esclave
Actualisation des clés TGS sur un serveur maître
Configuration de l'authentification inter-domaine
Etablissement de l'authentification inter-domaine hiérarchique
Etablissement de l'authentification inter-domaine directe
Configuration des serveurs d'application réseau Kerberos
Configuration d'un serveur d'application réseau Kerberos
Utilisation du service de sécurité générique avec Kerberos lors de l'exécution FTP
Configuration de serveurs NFS Kerberos
Configuration des serveurs NFS Kerberos
Création d'une table d'informations d'identification
Ajout d'une entrée unique à la table d'informations d'identification
Mappage d'informations d'identification entre domaines
Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos
Configuration des clients Kerberos
Configuration des clients Kerberos (liste des tâches)
Création d'un profil d'installation de client Kerberos
Configuration automatique d'un client Kerberos
Configuration interactive d'un client Kerberos
Configuration d'un client Kerberos pour un serveur Active Directory
Configuration manuelle d'un client Kerberos
Désactivation de la vérification du ticket d'octroi de tickets
Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root
Configuration de la migration automatique des utilisateurs dans un domaine Kerberos
Configuration du verrouillage de compte
Renouvellement automatique de tous les tickets d'octroi de tickets
Synchronisation des horloges entre les KDC et les clients Kerberos
Echange d'un KDC maître et d'un KDC esclave
Configuration d'un KDC échangeable
Echange d'un KDC maître et d'un KDC esclave
Administration de la base de données Kerberos
Sauvegarde et propagation de la base de données Kerberos
Sauvegarde de la base de données Kerberos
Restauration de la base de données Kerberos
Conversion d'une base de données Kerberos après une mise à niveau du serveur
Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle
Reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle
Configuration d'un KDC esclave pour l'utilisation de la propagation complète
Vérification de la synchronisation des serveurs KDC
Propagation manuelle de la base de données Kerberos aux KDC esclaves
Configuration d'une propagation parallèle
Etapes de configuration d'une propagation parallèle
Administration du fichier stash
Suppression d'un fichier stash
Utilisation d'une nouvelle clé principale
Gestion d'un KDC sur un serveur d'annuaire LDAP
Association des attributs de principaux Kerberos dans un type de classe d'objet non Kerberos
Suppression d'un domaine d'un serveur d'annuaire LDAP
Renforcement de la sécurité des serveurs Kerberos
Restriction de l'accès aux serveurs KDC
Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Les services NFS utilisent les ID d'utilisateur (UID) UNIX pour identifier un utilisateur et ne peuvent pas utiliser directement les informations d'identification GSS. Pour traduire les données d'identification en UID, il peut être nécessaire de créer une table mappant les informations d'identification d'utilisateur et les UID UNIX. Pour plus d'informations sur le mappage par défaut des informations d'identification, reportez-vous à la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX. Les procédures décrites dans cette section se concentrent sur les tâches nécessaires pour configurer un serveur Kerberos NFS, administrer la table d'informations d'identification Kerberos, et initier des modes de sécurité pour les systèmes de fichiers montés sur NFS. La liste ci-dessous décrit les tâches traitées dans cette section.
Tableau 21-2 Configuration de serveurs Kerberos NFS (liste des tâches)
|
Dans cette procédure, les paramètres de configuration suivants sont utilisés :
Nom de domaine = EXAMPLE.COM
Nom de domaine DNS = example.com
Serveur NFS = denver.example.com
admin principal = kws/admin
Avant de commencer
Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Le KDC maître doit être configuré. Pour tester complètement le processus, vous avez besoin de plusieurs clients.
L'installation et l'utilisation du protocole NTP (Network Time Protocol) ne sont pas requises. Cependant, chaque horloge doit être synchronisée avec l'heure sur le serveur KDC dans une différence maximum définie par la relation clockskew dans le fichier krb5.conf pour que l'opération d'authentification réussisse. Pour plus d'informations sur le protocole NTP, reportez-vous à la section Synchronisation des horloges entre les KDC et les clients Kerberos.
Suivez les instructions de la section Configuration des clients Kerberos.
Vous pouvez utiliser l'outil d'administration graphique Kerberos pour ajouter un principal, comme expliqué dans la section Création d'un principal Kerberos. Pour ce faire, vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créés lorsque vous avez configuré le KDC maître. Toutefois, l'exemple ci-après montre comment ajouter les principaux requis à l'aide de la ligne de commande.
denver # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
Notez que lorsque l'instance de principal est un nom d'hôte, le nom de domaine complet (FQDN) doit être spécifié en minuscules, quelle que soit la casse du nom de domaine dans le service de noms.
Répétez cette étape pour chaque interface unique sur le système susceptible d'être utilisée pour accéder aux données NFS. Si un hôte possède plusieurs interfaces avec des noms uniques, chaque nom unique doit avoir son propre principal de service NFS.
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
Répétez cette étape pour chaque principal de service dans l'Étape a.
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
Normalement, le service Kerberos génère des mappages appropriés entre les informations d'identification GSS et les UID UNIX. Le mappage par défaut est décrit dans la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX. Si le mappage par défaut n'est pas suffisant, reportez-vous à la section Création d'une table d'informations d'identification pour plus d'informations.
Pour plus d'informations, reportez-vous à la section Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos.
La table d'informations d'identification gsscred est utilisée par un serveur NFS pour mapper les informations d'identification Kerberos à un UID. Par défaut, la première partie du nom du principal est mappée avec un nom de connexion UNIX. Pour que les clients NFS puissent monter des systèmes de fichiers à partir d'un serveur NFS à l'aide de l'authentification Kerberos, ce tableau doit être créé si le mappage par défaut n'est pas suffisant.
Avant de commencer
Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Modifiez le mécanisme en files.
# gsscred -m kerberos_v5 -a
La commande gsscred rassemble les informations provenant de l'ensemble des sources répertoriées avec l'entrée passwd dans le fichier svc:/system/name-service/switch:default. Vous pouvez être amené à supprimer temporairement l'entrée files , si vous ne souhaitez pas que les entrées de mot de passe local soient incluses dans la table d'informations d'identification. Pour plus d'informations, reportez-vous à la page de manuel gsscred(1M).
Avant de commencer
Cette procédure nécessite que la table gsscred ait déjà été créée sur le serveur NFS. Pour obtenir des instructions, reportez-vous à la section Création d'une table d'informations d'identification.
Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# gsscred -m mech [ -n name [ -u uid ]] -a
Définit le mécanisme de sécurité à utiliser.
Définit le nom de principal de l'utilisateur, tel que défini dans le KDC.
Définit l'UID de l'utilisateur, tel que défini dans la base de données de mots de passe.
Ajoute l'UID au mappage du nom de principal.
Exemple 21-3 Ajout d'un principal à composants multiples à la table d'informations d'identification
Dans l'exemple suivant, l'entrée est ajoutée à un principal appelé sandy/admin associé à l'UID 3736.
# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a
Exemple 21-4 Ajout d'un principal à un domaine différent de la table d'informations d'identification
Dans l'exemple suivant, l'entrée est ajoutée à un principal appelé sandy/admin@EXAMPLE.COM associé à l'UID 3736.
# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a
Cette procédure assure le mappages d'informations d'identification approprié entre des domaines utilisant le même fichier de mots de passe. Dans cet exemple, les domaines CORP.EXAMPLE.COM et SALES.EXAMPLE.COM utilisent le même fichier de mots de passe. Les informations d'identification pour bob@CORP.EXAMPLE.COM et bob@SALES.EXAMPLE.COM sont mappées avec le même UID.
Avant de commencer
Vous devez prendre le rôle root sur le système client. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
Exemple 21-5 Mappage des informations d'identification entre domaines utilisant le même fichier de mot de passe
Cet exemple illustre le mappage d'informations d'identification approprié entre des domaines qui utilisent le même fichier de mots de passe. Dans cet exemple, les domaines CORP.EXAMPLE.COM et SALES.EXAMPLE.COM utilisent le même fichier de mots de passe. Les informations d'identification pour bob@CORP.EXAMPLE.COM et bob@SALES.EXAMPLE.COM sont mappées avec le même UID. Sur le système client, ajoutez des entrées au fichier krb5.conf.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
Erreurs fréquentes
Pour plus d'information sur le processus de dépannage des problèmes de mappage d'informations d'identification, reportez-vous à la section Observation du mappage d'informations d'identification GSS sur des informations d'identification UNIX.
Cette procédure permet à un serveur NFS de fournir un accès NFS sécurisé à l'aide de différents modes ou variantes de sécurité. Lorsqu'un client négocie une variante de sécurité avec le serveur NFS, la première variante proposée par le serveur auquel le client a accès est utilisée. Cette variante est utilisée pour toutes les demandes de client suivantes du système de fichiers partagé par le serveur NFS.
Avant de commencer
Vous devez prendre le rôle root sur le serveur NFS. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
La commande klist signale s'il existe un fichier keytab et affiche les principaux. Si les résultats indiquent qu'aucun fichier keytab ou principal de service NFS n'existe, vous devez vérifier que toutes les étapes décrites à la section Configuration des serveurs NFS Kerberos ont bien été effectuées dans leur totalité.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
Modifiez le fichier /etc/nfssec.conf et supprimez le "#" placé devant les modes de sécurité Kerberos.
# cat /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
Spécifie les modes de sécurité à utiliser lors du partage du système de fichiers. Lorsque plusieurs modes de sécurité sont utilisés, le premier mode figurant dans la liste est utilisé comme valeur par défaut.
Définit le chemin d'accès au système de fichiers à partager.
Tous les clients tentant d'accéder à des fichiers dans le système de fichiers nommé requièrent l'authentification Kerberos. Pour accéder aux fichiers, le principal d'utilisateur sur le client NFS doit être authentifié.
Vous n'avez pas besoin de suivre cette procédure si vous n'utilisez pas l'agent de montage automatique pour accéder au système de fichiers ou si la sélection par défaut du mode de sécurité est acceptable.
file-system auto_home -nosuid,sec=mode
Vous pouvez aussi utiliser la commande mount pour spécifier le mode de sécurité, mais cette alternative ne tire pas parti de l'agent de montage automatique.
# mount -F nfs -o sec=mode file-system
Exemple 21-6 Partage d'un système de fichiers avec un mode de sécurité Kerberos
Dans cet exemple, l'authentification Kerberos doit aboutir avant que les fichiers puissent être accessibles via le service NFS.
# share -F nfs -o sec=krb5 /export/home
Exemple 21-7 Partage d'un système de fichiers avec plusieurs modes de sécurité Kerberos
Dans cet exemple, les trois modes de sécurité Kerberos ont été sélectionnés. Le mode utilisé est négocié entre le client et le serveur NFS. Si le premier mode dans la commande échoue, le mode suivant est essayé. Pour plus d'informations, reportez-vous à la page de manuel nfssec(5).
# share -F nfs -o sec=krb5:krb5i:krb5p /export/home