| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
Gestion des mots de passe Kerberos
Conseils sur le choix d'un mot de passe
Modification de votre mot de passe
Octroi de l'accès à votre compte
Commandes utilisateur Kerberos
Présentation des commandes utilisant Kerberos
Transfert des tickets Kerberos
Utilisation de commandes utilisant Kerberos (exemples)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Cette section explique comment obtenir, afficher et détruire les tickets. Pour une présentation des tickets, reportez-vous à la section Fonctionnement du service Kerberos.
Dans toutes les versions installées d'Oracle Solaris, Kerberos est intégré à la commande login. Cependant, pour obtenir des tickets automatiquement, vous devez configurer le service PAM pour les services de connexion appropriés. Pour plus d'informations, reportez-vous à la page de manuel pam_krb5(5). Les commandes utilisant Kerberos rsh, rcp, telnet et rlogin sont généralement configurées pour transférer des copies de vos tickets aux autres machines, de sorte que vous n'avez pas à demander explicitement des billets pour obtenir l'accès à ces machines. Votre configuration peut ne pas inclure ce transfert automatique, car, par défaut, le système n'est pas configuré de façon à recevoir des informations d'identification. Reportez-vous aux sections Présentation des commandes utilisant Kerberos et Transfert des tickets Kerberos pour plus d'informations sur le transfert de tickets.
Pour plus d'informations sur les durées de vie des tickets, reportez-vous à la section Durée de vie des tickets.
Normalement, si le PAM est configuré correctement, un ticket est créé automatiquement lorsque vous vous connectez, et vous n'avez pas besoin d'effectuer une action spécifique pour obtenir un ticket. Cependant, vous devrez peut-être créer un ticket si votre ticket arrive à expiration. En outre, vous devrez peut-être utiliser un autre principal en plus de votre principal par défaut, par exemple, si vous utilisez rlogin - l pour vous connecter à un ordinateur sous l'identité d'un autre utilisateur.
Pour créer un ticket, utilisez la commande kinit.
% /usr/bin/kinit
La commande kinit vous invite à saisir votre mot de passe. Pour la syntaxe complète de la commande kinit, reportez-vous à la page de manuel kinit(1).
Exemple 24-1 Création d'un ticket Kerberos
Cet exemple illustre un utilisateur, jennifer, créant un ticket sur son propre système.
% kinit Password for jennifer@ENG.EXAMPLE.COM: <Type password>
Ici, l'utilisateur david crée un ticket qui est valide pendant trois heures avec l'option -l.
% kinit -l 3h david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
L'exemple affiche l'utilisateur david créant un ticket transmissible (avec l'option -f) pour lui-même. Avec ce ticket transmissible, il peut, par exemple, se connecter à un autre système, puis se connecter via Internet ou un réseau local (telnet) à un système tiers.
% kinit -f david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
Pour plus d'informations sur la façon dont le transfert de tickets fonctionne, reportez-vous aux sections Transfert des tickets Kerberos et Types de tickets.
Tous les tickets ne sont pas similaires. Un seul ticket peut, par exemple, être transmissible. Un autre ticket peut être postdaté. Un troisième ticket peut être à la fois transmissible et postdaté. Vous pouvez voir les billets que vous avez, ainsi que leurs attributs, en utilisant la commande klist avec l'option -f :
% /usr/bin/klist -f
Les symboles suivants indiquent les attributs qui sont associés à chaque ticket, tel qu'affiché par klist :
Préauthentifié (Preauthenticated)
Postdatable
Postdaté (Postdated)
Transmissible (Forwardable)
Transmis (Forwarded)
Initial
Non valide (Invalid)
Utilisable avec proxy (Proxiable)
Proxy
Renouvelable (Renewable)
La section Types de tickets décrit les différents attributs qu'un ticket peut avoir.
Exemple 24-2 Affichage des tickets Kerberos
Cet exemple montre que l'utilisateur jennifer a un ticket initial, qui est transmissible (F) et postdaté (d), mais il n'a pas encore été validé (i).
% /usr/bin/klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: jennifer@EXAMPLE.COM
Valid starting Expires Service principal
09 Mar 04 15:09:51 09 Mar 04 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 15:12:51, Flags: Fdi
L'exemple suivant montre que l'utilisateur david a deux tickets qui ont été transmis (f) à son hôte à partir d'un autre hôte. Les tickets sont également transmissibles (F).
% klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 17:09:51, Flags: fF
Valid starting Expires Service principal
08 Mar 04 08:09:51 09 Mar 04 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 15:22:51, Flags: fF
L'exemple suivant montre comment afficher les types de chiffrement de la clé de session et du ticket en utilisant l'option -e. L'option -a est utilisée pour mapper l'adresse de l'hôte à un nom d'hôte si le service de noms peut faire la conversion.
% klist -fea
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 17:09:51, Flags: FRIA
Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32
Addresses: client.example.com
Si vous souhaitez détruire tous les tickets Kerberos acquis au cours de votre session en cours, utilisez la commande kdestroy. La commande détruit votre cache des informations d'identification, ce qui détruit toutes vos informations d'identification et tous les tickets. Bien que ce ne soit pas généralement nécessaire, l'exécution de kdestroy réduit le risque de compromettre le cache des informations d'identification pendant que vous n'êtes pas connecté.
Pour détruire vos tickets, utilisez la commande kdestroy.
% /usr/bin/kdestroy
La commande kdestroy détruit vos tickets all. Vous ne pouvez pas utiliser cette commande pour détruire sélectivement un ticket donné.
Si vous allez vous éloigner de votre système et êtes inquiet qu'un intrus puisse utiliser vos autorisations, vous devez utiliser kdestroy ou un économiseur d'écran qui verrouille l'écran.
|