test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Synchronisation des horloges des KDC et des clients SEAM

Les horloges internes de tous les hôtes participant au système d'authentification Kerberos doivent être synchronisées en deçà d'une période de temps maximale (appelée écart d'horloge), offrant une vérification de sécurité Kerberos supplémentaire. Si l'écart d'horloge est dépassé entre n'importe lesquels des hôtes participants, les requêtes de client seront refusées.

L'écart d'horloge détermine également combien de temps les serveurs d'applications doivent conserver les messages de protocole Kerberos afin de reconnaître et de refuser les requêtes réexécutées. Ainsi, plus l'écart d'horloge est grand, plus les serveurs d'applications doivent recueillir d'informations.

La valeur par défaut de l'écart d'horloge maximal est 300 secondes (cinq minutes) ; vous pouvez modifier cette valeur dans la section libdefaults du fichier krb5.conf.

Remarque :

À des fins de sécurité, n'augmentez pas l'écart d'horloge à plus de 300 secondes.

Étant donné qu'il est important de maintenir les horloges synchronisées entre les KDC et les clients SEAM, nous vous recommandons d'employer le logiciel NTP (Network Time Protocol) pour effectuer cette synchronisation. Le logiciel de domaine public NTP, développé par l'université du Delaware, est fourni avec Solaris depuis la version 2.6.

Remarque :

Une autre manière de synchroniser les horloges consiste à utiliser la commande rdate et les tâches cron, ce qui peut s'avérer plus simple que de recourir à NTP. Cependant, cette section met l'accent sur l'usage de NTP. De plus, si vous utilisez le réseau pour synchroniser les horloges, le protocole de synchronisation doit être lui-même sécuritaire.

NTP vous permet de gérer la synchronisation précise de l'heure et/ou des horloges dans un environnement réseau. NTP est essentiellement une mise en oeuvre serveur/client. Vous désignez un système en tant qu'horloge maître (serveur NTP), puis configurez tous vos autres systèmes de manière à ce qu'ils synchronisent leur horloge en fonction de l'horloge maître (clients NTP). Tout cela est effectué au moyen du démon xntpd, qui règle et met à jour l'heure système UNIX conformément aux serveurs d'heure standard Internet. La Figure 3-1 illustre un exemple de mise en oeuvre serveur/client NTP.

Figure 3-1 Synchronisation des horloges avec NTP

Graphic

Pour vous assurer que les horloges des KDC et des clients SEAM demeurent synchronisées, suivez les étapes suivantes :

  1. Configurez un serveur NTP sur votre réseau (il peut s'agir de tout système sauf du KDC maître). Voir "Comment configurer un serveur NTP".

  2. À mesure que vous configurez les KDC et les clients SEAM sur le réseau, configurez-les comme clients NTP sur le serveur NTP. Voir "Comment configurer un client NTP".

Comment configurer un serveur NTP

  1. Adoptez l'identité de superutilisateur sur le système devant agir comme serveur NTP.

  2. Passez au répertoire /etc/inet.

  3. Copiez le fichier ntp.server vers le fichier ntp.conf .


    # cp ntp.server ntp.conf

  4. Passez au répertoire /etc/init.d.

  5. Démarrez le démon xntpd.


    # ./xntpd start

Comment configurer un client NTP

  1. Adoptez l'identité de superutilisateur sur le système devant devenir un client NTP.

  2. Passez au répertoire /etc/inet.

  3. Copiez le fichier ntp.client vers le fichier ntp.conf .


    # cp ntp.client ntp.conf

  4. Passez au répertoire /etc/init.d.

  5. Démarrez le démon xntpd.


    # ./xntpd start