Décisions de configuration de SEAM

Avant de procéder à l'installation de SEAM, il est nécessaire de rechercher les solutions répondant le mieux aux problèmes de configuration. Il est toujours possible de modifier ultérieurement la configuration de SEAM, mais ce faisant, l'ajout de nouveaux clients dans le système peut s'avérer plus difficile. De plus, certaines modifications peuvent exiger de reprendre à zéro l'installation de SEAM, il est donc préférable de planifier à long terme.

Secteurs

Un secteur consiste en un réseau logique, comme un domaine, définissant un groupe de systèmes régis par le même KDC maître. À l'instar de la création d'un nom de domaine DNS, les aspects de l'installation de SEAM, tels le nom des secteurs, leur nombre, leur taille et la relation existant entre un secteur et les autres, doivent être examinés avant d'installer SEAM.

Noms de secteur

Le nom d'un secteur est une chaîne de caractères ASCII. Ordinairement, il s'agit du même nom que celui du domaine DNS, mais composé de majuscules. Cela permet de différencier facilement les problèmes liés à SEAM de ceux provenant de l'espace de noms DNS, tout en utilisant un nom bien connu de l'utilisateur. Si vous n'utilisez pas DNS ou utilisez une chaîne différente, n'importe quelle chaîne peut faire l'affaire, il est toutefois plus sage de respecter la nomenclature standard relative aux noms de secteur en usage sur l'Internet.

Nombre de secteurs

Le nombre de secteurs requis par l'installation dépend de plusieurs facteurs :

• Le nombre de clients devant être pris en charge. La présence d'un nombre excessif de clients dans un seul secteur complique son administration et peut mener à son fractionnement. Voici les principaux facteurs permettant de déterminer le nombre de clients pouvant être pris en charge : l'importance du trafic SEAM généré par chaque client, la bande passante utilisée par le réseau physique et la vitesse des hôtes. Chaque installation ayant ses propres limites, il n'existe pas de règles quant au nombre maximum de clients.

• La distance séparant les clients. Lorsque les clients se trouvent dans différentes régions géographiques, il est plus logique d'établir plusieurs petits secteurs.

• Le nombre d'hôtes disponibles pouvant jouer le rôle de KDC. Chaque secteur doit posséder au moins deux serveurs KDC (maître et esclave).

Hiérarchie des secteurs

Lorsque vous configurez de multiples secteurs, vous devez déterminer le type de liaison qui les unit. Vous pouvez établir une relation intersecteur hiérarchique fournissant des chemins d'accès automatiques aux domaines connexes, mais qui exige la configuration appropriée de chaque domaine dans la chaîne hiérarchique. Les chemins automatiques peuvent faciliter les tâches administratives. Cependant, s'il y a trop de niveaux de domaines, le chemin d'accès par défaut n'est pas conseillé, celui-ci nécessitant un nombre excessif de transactions.

Vous pouvez également décider d'établir directement la connexion. Une telle connexion s'avère très pratique lorsqu'il y a trop de niveaux hiérarchiques entre deux domaines, ou lorsqu'il n'y a pas de relation hiérarchique. La connexion doit être définie dans le fichier /etc/krb5/krb5.conf sur tous les hôtes utilisant cette connexion, ce qui entraîne une somme de travail additionnelle. Voir l'introduction à la section "Secteurs" et les procédures de configuration de multiples secteurs dans "Configuration de l'authentification intersecteur" .

Mappage de noms d'hôte dans des secteurs

Le mappage de noms d'hôte dans des secteurs est défini dans la section domain_realm du fichier krb5.conf. Un tel mappage peut s'appliquer à un domaine entier ou à des hôtes distincts, selon les besoins. Pour de plus amples renseignements, consultez la page de manuel krb5.conf(4).

Noms de principal de client et de service

Lorsque vous utilisez SEAM, il est préférable que les services DNS soient déjà configurés et en cours d'exécution sur tous les hôtes. Si DNS est employé, il doit être activé soit sur l'ensemble des systèmes, soit sur aucun. Si DNS est disponible, le principal doit contenir le nom de domaine entièrement qualifié de chaque hôte. Par exemple, si le nom de l'hôte est montreal, le domaine DNS est acme.com et le nom de secteur est ACME.COM, alors le nom de principal de l'hôte devrait être host/montreal.acme.com@ACME.COM. Le nom de domaine entièrement qualifié est utilisé dans chaque exemple présenté dans ce manuel.

Dans le cas des noms de principal comportant le nom de domaine entièrement qualifié de l'hôte, il importe de faire correspondre la chaîne de caractères décrivant le nom du domaine DNS dans le fichier /etc/resolv.conf. Cette chaîne tient compte des majuscules et des minuscules. SEAM exige que le nom du domaine DNS soit en minuscules ; il faut donc n'utiliser que des minuscules lorsqu'on entre le nom de domaine entièrement qualifié d'un principal.

SEAM peut fonctionner sans service DNS, mais dans ce cas, certaines fonctions importantes sont désactivées, par exemple la communication avec d'autres secteurs. Si DNS n'est pas configuré, un simple nom d'hôte peut servir d'instance. Dans ce cas, le nom du principal serait host/montreal@ACME.COM. Si DNS est activé par la suite, il faut supprimer et remplacer tous les principaux des hôtes dans la base de données KDC.

Ports du KDC et des services Admin

Par défaut, les ports 88 et 750 servent au KDC, alors que le démon d'administration KDC utilise le port 749. D'autres numéros de port peuvent être employés, mais dans ce cas, les fichiers /etc/services et /etc/krb5/krb5.conf doivent être également modifiés sur chaque client. Il faut également mettre à jour le fichier /etc/krb5/kdc.conf de chaque KDC.

KDC esclaves

Comme le KDC maître, les KDC esclaves génèrent des justificatifs d'identité pour les clients. Les KDC esclaves assurent la sauvegarde du KDC maître au cas où celui-ci ne serait plus disponible. Chaque secteur doit comporter au moins un KDC esclave. Certains facteurs influencent le nombre de KDC esclaves nécessaires :

• Le nombre de segments physiques dans le secteur. Normalement, le réseau doit être défini de telle sorte que chaque segment puisse fonctionner au minimum sans le reste du secteur. Pour ce faire, chaque segment doit pouvoir accéder au KDC. Il peut s'agir dans ce cas d'un KDC maître ou esclave.

• Le nombre de clients dans le secteur. L'ajout de serveurs KDC esclaves permet d'alléger la tâche des serveurs existants.

Il est possible d'ajouter un trop grand nombre de KDC esclaves. Rappelez-vous que la base de données KDC doit être propagée à chaque serveur - plus il y a de serveurs KDC installés, plus il faut de temps pour mettre à jour les données dans le secteur. De plus, étant donné qu'une copie de la base de données KDC est conservée sur chaque esclave, l'augmentation du nombre d'esclaves augmente les risques d'atteinte à la sécurité.

Qui plus est, il est possible de configurer un ou plusieurs KDC esclaves de façon à permettre l'échange de leur contenu avec celui du KDC maître. Un tel échange avec au moins un des KDC esclaves présente un avantage : dans l'éventualité où le KDC maître tombe en panne pour une raison ou une autre, vous détenez toujours un système déjà configuré qui se substitue facilement au KDC maître. Voir "Permutation de KDC maître et esclave" au sujet de la configuration des KDC esclaves échangeables.

Propagation de la base de données

La base de données stockée sur le KDC maître doit être propagée régulièrement vers les KDC esclaves. Il faut d'abord déterminer la fréquence des mises à jour des KDC esclaves. Il faut évaluer le besoin d'offrir de l'information récente aux clients par rapport à la durée des mises à jour. Voir "Administration de la base de données Kerberos" pour de plus amples renseignements sur la propagation de la base de données.

Dans le cas d'installations de grande envergure où chaque secteur comporte un grand nombre de KDC, un ou plusieurs esclaves peuvent propager les données de sorte que le processus soit effectué en parallèle. Cela réduit la durée de la mise à jour, mais en contrepartie, la complexité de l'administration du secteur s'en trouve accrue.

Synchronisation des horloges

La synchronisation de l'horloge interne de tous les hôtes participant au système d'authentification Kerberos doit respecter un écart maximum déterminé (appelé l'écart d'horloge), assurant ainsi un contrôle de sécurité Kerberos supplémentaire. Le dépassement de l'écart d'horloge entre des hôtes participants entraîne le rejet des demandes.

Le logiciel NTP (Network Time Protocol) permet de synchroniser toutes les horloges (voir "Synchronisation des horloges des KDC et des clients SEAM" pour de plus amples renseignements). NTP n'est pas indispensable, d'autres méthodes de synchronisation des horloges étant disponibles. Il est toutefois nécessaire d'assurer la synchronisation d'une manière ou d'une autre afin d'éliminer tout risque de défaillance au niveau des accès en raison d'un écart d'horloge.

Procédure de préconfiguration de SEAM

Le produit SEAM inclut une procédure de préconfiguration permettant de stocker des données sur un serveur NFS. Ces données peuvent alors être utilisées par le script d'installation du logiciel. Vous n'êtes pas forcé de recourir à cette procédure, mais nous vous suggérons fortement de le faire afin de réduire le temps d'installation et d'éliminer les erreurs au moment de l'entrée manuelle des données.