Chapitre 6 Utilisation de SEAM

Ce chapitre est destiné à toute personne utilisant un système où SEAM est installé. Il explique l'utilisation des commandes "compatibles Kerberos" fournies par SEAM : ftp, rcp, rlogin, rsh et telnet. Vous devriez vous familiariser avec ces commandes (dans leur version non-Kerberos) avant de lire leur description dans ce chapitre. Vous remarquerez que les versions Kerberos et non-Kerberos sont similaires. En fait, dans de nombreux cas, vous pouvez utiliser ces commandes sans même vous préoccuper de leur compatibilité avec Kerberos. Les différences se situent au niveau des caractéristiques exploitant Kerberos (par exemple, le transfert d'un ticket en utilisant rlogin).

Comme ce chapitre est destiné au lecteur ordinaire, il comporte des renseignements sur les tickets : leur obtention, affichage et destruction. Il décrit également le choix et le changement du mot de passe Kerberos.

Pour une vue d'ensemble de SEAM, voir le Chapitre 1.

Voici la liste des sujets abordés dans ce chapitre :

• "Devez-vous vous préoccuper des tickets ?"

• "Comment créer un ticket"

• "Comment afficher les tickets"

• "Comment détruire des tickets"

• "Changement de votre mot de passe"

• "Conseils pour le choix d'un mot de passe"

• "Accorder l'accès à votre compte"

• "Aperçu des commandes compatibles Kerberos"

• "Exemples -- Utilisation de commandes compatibles Kerberos"

Gestion des tickets

Cette section explique comment obtenir, afficher et détruire les tickets. Pour une introduction sur les tickets, voir "Comment SEAM fonctionne-t-il ?".

Devez-vous vous préoccuper des tickets ?

Une fois SEAM installé, Kerberos est intégré à la commande login, et vous obtiendrez des tickets automatiquement lors de la connexion. Les commandes compatibles Kerberos rsh, rcp, telnet et rlogin sont habituellement configurées de manière à transférer des copies de vos tickets aux autres ordinateurs ; vous n'avez donc pas besoin de demander explicitement des tickets pour accéder à ces ordinateurs. (Il est possible que votre configuration SEAM n'inclue pas ce transfert automatique, mais il s'agit du comportement par défaut.) Voir "Aperçu des commandes compatibles Kerberos" et "Transfert de tickets avec les options -f et -F" pour de plus amples renseignements sur le transfert des tickets.

La plupart des commandes compatibles Kerberos détruisent automatiquement vos tickets lorsqu'elles se terminent. Vous pouvez cependant détruire explicitement vos tickets Kerberos au moyen de la commande kdestroy lorsque vous n'en avez plus besoin, à des fins de sécurité. Voir "Comment détruire des tickets" pour de plus amples renseignements sur kdestroy.

Pour des renseignements sur la durée de vie des tickets, voir "Durée de vie des tickets".

Comment créer un ticket

Normalement, un ticket est créé automatiquement lorsque vous vous connectez, et vous n'avez pas besoin d'effectuer une opération spéciale pour en obtenir un. Il peut toutefois s'avérer nécessaire de créer un ticket dans les cas suivants :

• Votre ticket expire.

• Vous devez utiliser un principal différent de votre principal par défaut. (Par exemple, si vous utilisez rlogin -l pour vous connecter à un ordinateur en adoptant une autre identité.)

Pour créer un ticket, utilisez la commande kinit.

% /usr/krb5/bin/kinit 
 

kinit vous demande de taper votre mot de passe. Pour connaître la syntaxe complète de la commande kinit, consultez la page de manuel kinit(1).

Exemple -- Création d'un ticket

Cet exemple illustre comment un utilisateur, julie, crée un ticket sur son propre système.

% kinit
Mot de passe de julie@ENG.ACME.COM:  <Tapez le mot de passe>
 

Ici, l'utilisateur david crée un ticket valable durant trois heures avec l'option -l :

% kinit -l 3h david@ACME.ORG
Mot de passe de david@ACME.ORG:  <Tapez le mot de passe>
 

Cet exemple montre comment david crée un ticket transférable (avec l'option -f) pour lui-même. Avec ce ticket transférable, il peut (par exemple) se connecter à un deuxième système, puis exécuter la commande telnet vers un troisième système.

% kinit -f david@ACME.ORG
Mot de passe de david@ACME.ORG:     <tapez le mot de passe>
 

Pour plus de détails sur le transfert de tickets, voir "Transfert de tickets avec les options -f et -F" et "Types de tickets".

Comment afficher les tickets

Les tickets ne sont pas tous semblables. Par exemple, certains tickets sont transférables, d'autres sont postdatés, ou les deux. Pour savoir quels tickets vous possédez et quels sont leurs attributs, utilisez la commande klist avec l'option -f :

% /usr/krb5/bin/klist -f

Les symboles suivants indiquent les attributs associés à chaque ticket, tels qu'affichés par la commande klist :

"Types de tickets" décrit les divers attributs qu'un ticket peut posséder.

Exemple -- Affichage de tickets

Cet exemple indique que l'utilisateur julie possède un ticket initial, lequel est transférable (F) et postdaté (d), mais pas encore validé (i) :

% /usr/krb5/bin/klist -f
Cache des tickets: /tmp/krb5cc_74287
Principal par défaut: juliem@ENG.ACME.COM

Valide à partir du            Expiration           Principal du service 
09 Mar 99 15:09:51  09 Mar 99 21:09:51  nfs/ACME.SUN.COM@ACME.SUN.COM 
        renouveler jusqu'au 10 Mar 99 15:12:51, Indicateurs: Fdi
 

L'exemple ci-dessous montre que l'utilisateur david possède deux tickets qui ont été transférés (f) à son hôte à partir d'un autre hôte. Les tickets sont également (re)transférables (F) :

% klist -f
Cache des tickets: /tmp/krb5cc_74287
Principal par défaut: david@ACME.SUN.COM
Valide à partir du             Expiration             Principal du service
07 Mar 99 06:09:51  09 Mar 99 23:33:51  host/ACME.COM@ACME.COM
        renouveler jusqu'au 10 Mar 99 17:09:51, Indicateurs : fF

Valide à partir du             Expiration             Principal du service
08 Mar 99 08:09:51  09 Mar 99 12:54:51  nfs/ACME.COM@ACME.COM
        renouveler jusqu'au 10 Mar 99 15:22:51, Indicateurs : fF

Comment détruire des tickets

Les tickets sont généralement détruits automatiquement lors de la terminaison des commandes qui les ont créés. Vous pourriez cependant souhaiter détruire explicitement vos tickets Kerberos lorsque vous n'en avez plus besoin, à des fins de sécurité. Les tickets peuvent être volés ; en pareil cas, la personne qui les détient peut les utiliser jusqu'à leur expiration (bien que les tickets volés doivent être déchiffrés).

Pour détruire vos tickets, utilisez la commande kdestroy.

% /usr/krb5/bin/kdestroy

kdestroy détruit tous vos tickets. Vous ne pouvez pas l'utiliser pour détruire sélectivement un ticket particulier.

Si vous n'allez pas utiliser votre système durant un certain temps et ne voulez pas qu'un intrus se serve de vos permissions, vous pouvez employer la commande kdestroy ou un écran de veille qui verrouille l'écran.

Une façon de vous assurer que les tickets sont toujours détruits consiste à ajouter la commande kdestroy dans le fichier .logout situé dans votre répertoire de base.

Si le module d'authentification enfichable a été configuré (le cas par défaut), les tickets sont automatiquement détruits lors de la sortie ; vous n'avez donc pas besoin d'ajouter un appel à kdestroy dans votre fichier .login. Toutefois, si le module d'authentification enfichable n'a pas été configuré, ou si vous ne savez pas s'il l'a été, vous pouvez ajouter kdestroy dans votre fichier .login pour vous assurer que les tickets seront détruits lorsque vous sortirez de votre système.

Gestion des mots de passe

Lorsque SEAM est installé, vous avez deux mots de passe : votre mot de passe Solaris ordinaire, et un mot de passe Kerberos. Ces deux mots de passe peuvent être identiques ou différents.

Les commandes non compatibles Kerberos telles que login sont généralement configurées au moyen du module d'authentification enfichable de manière à ce que l'authentification soit effectuée avec Kerberos et UNIX. Si vous avez des mots de passe différents, vous devez entrer les deux mots de passe pour vous connecter avec l'authentification appropriée. Mais si les deux mots de passe sont identiques, le premier mot de passe que vous entrez pour UNIX est aussi accepté par Kerberos.

Malheureusement, l'utilisation du même mot de passe dans les deux cas peut compromettre la sécurité, car si quelqu'un venait à découvrir votre mot de passe Kerberos, votre mot de passe UNIX ne serait plus secret. Toutefois, l'utilisation du même mot de passe pour UNIX et Kerberos est plus sécuritaire qu'un site sans Kerberos, car les mots de passe dans un environnement Kerberos ne sont pas transmis sur le réseau. Généralement, votre site possédera une politique qui vous aidera à déterminer vos options.

Votre mot de passe Kerberos constitue la seule façon pour Kerberos de vérifier votre identité. Si quelqu'un venait à découvrir votre mot de passe Kerberos, la sécurité Kerberos ne serait plus efficace, car cette personne pourrait adopter votre identité -- envoyer du courriel qui vient de «vous», lire, modifier ou supprimer vos fichiers, ou se connecter à d'autres hôtes à votre place -- et personne ne pourrait s'en rendre compte. C'est pourquoi il est essentiel que vous choisissiez un mot de passe sécuritaire, que vous garderez confidentiel. Si vous devez permettre à une autre personne d'accéder à votre compte, Kerberos vous permet de le faire sans divulguer votre mot de passe (voir "Accorder l'accès à votre compte"). Vous ne devez jamais révéler votre mot de passe à quiconque, même pas à l'administrateur de votre système. En outre, vous devriez changer fréquemment de mot de passe, et en particulier si vous pensez qu'on peut l'avoir découvert.

Conseils pour le choix d'un mot de passe

Votre mot de passe peut se composer de presque tous les caractères que vous pouvez taper au clavier (sauf les touches de contrôle et la touche Retour). Vous devriez choisir un mot de passe facile à retenir, mais que les autres personnes ne pourront pas deviner. Voici des exemples de mauvais mots de passe :

• Des mots figurant dans un dictionnaire

• Un nom couramment utilisé ou populaire

• Le nom d'une personne ou d'un personnage célèbre

• Votre nom ou votre nom d'utilisateur dans n'importe quelle forme (par exemple : à l'envers, répété deux fois, etc.)

• Le nom d'un membre de votre famille, ou de votre chien ou chat

• Votre date de naissance ou celle d'un membre de votre famille

• Votre numéro d'assurance sociale, le numéro de votre permis de conduire, de votre passeport, etc.

• Un mot de passe donné en exemple dans ce manuel ou un autre

Un bon mot de passe doit comporter au moins huit caractères. En outre, il devrait inclure un mélange de caractères, par exemple des majuscules et minuscules, des chiffres et des signes de ponctuation. Voici des exemples de mots de passe qui seraient excellents s'ils ne figuraient pas dans ce manuel :

• Des acronymes tels que «I2LMHinSF» (symbolisant l'expression «I too left my heart in San Francisco»)

• Des mots illogiques faciles à prononcer tels que «BingBang» ou «TagadaTsoinTsoin»

• Des expressions intentionnellement mal orthographiées telles que «8heurékar» ou «VivlaRévolucion».

N'utilisez pas ces exemples. Les mots de passe figurant dans les manuels sont les premiers que les intrus essaient.

Changement de votre mot de passe

Vous pouvez changer votre mot de passe Kerberos de deux manières :

• Avec la commande UNIX passwd ordinaire. Si SEAM est installé, la commande passwd Solaris vous invite automatiquement à entrer un nouveau mot de passe Kerberos.

  L'avantage de la commande passwd par rapport à la commande kpasswd est que vous pouvez définir simultanément les deux mots de passe (UNIX et Kerberos). Cependant, il n'est généralement pas nécessaire de changer les deux mots de passe à l'aide de la commande passwd ; vous pouvez souvent changer seulement votre mot de passe UNIX et conserver votre mot de passe Kerberos, ou vice-versa.

  ---

  Remarque :

  Le comportement de la commande passwd dépend de la configuration du module d'authentification enfichable. Il peut s'avérer nécessaire de modifier les deux mots de passe dans certaines configurations. Sur certains sites, le mot de passe UNIX doit être changé, tandis que d'autres sites exigent le changement du mot de passe Kerberos.

  ---

• Avec la commande kpasswd. kpasswd ressemble beaucoup à passwd. Toutefois, kpasswd ne change que les mots de passe Kerberos -- vous devez utiliser passwd pour changer votre mot de passe UNIX.

  De plus, la commande kpasswd peut changer un mot de passe pour un principal Kerberos qui n'est pas un utilisateur UNIX valide. Par exemple, david/admin est un principal Kerberos, mais pas un utilisateur UNIX réel ; vous devez donc employer kpasswd au lieu de passwd.

Après un changement de mot de passe, il faut un certain temps pour que le changement se propage dans le système (surtout si le réseau est vaste). Selon la configuration de votre système, cela peut exiger quelques minutes ou plus d'une heure. Si vous devez obtenir de nouveaux tickets Kerberos peu après avoir changé votre mot de passe, essayez d'abord le nouveau mot de passe. Si cela ne fonctionne pas, entrez l'ancien mot de passe.

Kerberos V5 permet aux administrateurs de système de définir des critères relatifs aux mots de passe admissibles pour chaque utilisateur. De tels critères sont définis par la politique configurée pour chaque utilisateur (ou par une politique par défaut)-- voir "Administration des politiques" pour plus de détails sur les politiques. Supposons que la politique de julie (appelons-la poljul) spécifie que les mots de passe doivent comporter au moins 8 caractères et inclure un mélange d'au moins deux types de caractères. kpasswd interdirait alors le mot de passe «fleur» :

% kpasswd
kpasswd: Remplacement du mot de passe pour julie@ENG.ACME.COM.
Ancien mot de passe:   <Julie tape son mot de passe actuel>
kpasswd: Le mot de passe de julie@ENG.ACME.COM est contrôlé par
la politique poljul
qui exige au moins 8 caractères d'au moins 2 classes
(cinq classes possibles : minuscules, majuscules, chiffres, ponctuation,
et tous les autres caractères).
Nouveau mot de passe : <Julie tape 'fleur'>
Nouveau mot de passe (encore) :  <Julie tape à nouveau 'fleur'>
kpasswd: Le nouveau mot de passe est trop court.
Veuillez choisir un mot de passe qui compte au moins 4 caractères. 

Maintenant, julie tape "fleur1234" comme mot de passe, ce qui satisfait les critères, car il comporte plus de 8 caractères et se compose de deux types de caractères (chiffres et minuscules) :

% kpasswd
kpasswd: Remplacement du mot de passe pour julie@ENG.ACME.COM.
Ancien mot de passe:  <Julie tape son mot de passe actuel>
kpasswd: Le mot de passe de julie@ENG.ACME.COM est contrôlé par
la politique poljul qui exige au moins 8 caractères d'au moins 2 classes
(cinq classes possibles : minuscules, majuscules, chiffres, ponctuation,
et tous les autres caractères). +
Nouveau mot de passe :  <Julie tape 'fleur1234'>
Nouveau mot de passe (encore) :  <Julie tape à nouveau 'fleur1234'>
Mot de passe Kerberos changé.

Exemples -- Changement de votre mot de passe

L'exemple suivant illustre comment david change ses mots de passe UNIX et Kerberos au moyen de la commande passwd.

% passwd
	passwd:  Remplacement du mot de passe pour david 
Entrer le mot de passe de connexion (NIS+) :    <tapez le mot de passe UNIX actuel>
	Nouveau mot de passe :                         <tapez le nouveau mot de passe UNIX>
	Entrez encore le mot de passe :                <confirmez le nouveau mot de passe UNIX>
	Ancien mot de passe KRB5 :                     <tapez le mot de passe Kerberos actuel>
	Nouveau mot de passe KRB5 :                    <tapez le nouveau mot de passe Kerberos>
	Entrez encore le nouveau mot de passe KRB5 :   <confirmez le nouveau mot de passe Kerberos>

Dans l'exemple précédent, la commande passwd demande les mots de passe UNIX et Kerberos. Cependant, si try_first_pass est activé dans le module d'authentification enfichable, le mot de passe Kerberos est automatiquement réglé à la même valeur que le mot de passe UNIX. (Il s'agit de la configuration par défaut.) Dans ce cas, david doit employer kpasswd pour changer son mot de passe Kerberos, comme l'illustre l'exemple suivant.

Cet exemple montre comment changer seulement le mot de passe Kerberos avec la commande kpasswd :

% kpasswd
kpasswd: Remplacement du mot de passe pour david@ENG.ACME.COM.
Ancien mot de passe:           <tapez le mot de passe Kerberos actuel>
Nouveau mot de passe:          <tapez le nouveau mot de passe Kerberos>
Nouveau mot de passe (encore): <confirmez le nouveau mot de passe Kerberos>
Mot de passe Kerberos changé.
 

Dans cet exemple, david change le mot de passe pour le principal david/admin (qui n'est pas un utilisateur UNIX valide). Pour ce faire, il doit employer la commande kpasswd.

% kpasswd david/admin
kpasswd:  Remplacement du mot de passe pour david/admin.
Ancien mot de passe:		   	     <tapez le mot de passe Kerberos actuel>
Nouveau mot de passe:			     <tapez le nouveau mot de passe Kerberos>
Nouveau mot de passe (encore) :	  <confirmez le nouveau mot de passe Kerberos>
Mot de passe Kerberos changé. 
 

Accorder l'accès à votre compte

Si vous devez permettre à une autre personne d'accéder à votre compte (en tant que vous-même), Kerberos vous permet de le faire sans divulguer votre mot de passe, en insérant un fichier .k5login dans votre répertoire de base. Un fichier .k5login contient une liste d'un ou plusieurs principaux Kerberos correspondant à chaque personne à qui vous désirez accorder l'accès (chaque principal doit figurer sur une ligne distincte).

Supposons que l'utilisateur david conserve un fichier .k5login ayant le contenu suivant dans son répertoire de base :

julie@ENG.ACME.COM jean@ACME.ORG  

Ce fichier permet aux utilisateurs julie et jean d'adopter l'identité de david, à condition qu'ils possèdent déjà des tickets Kerberos dans leur secteur respectif. Par exemple, julie peut utiliser la commande rlogin pour se connecter à l'ordinateur de david (lyon) en adoptant son identité, sans devoir taper son mot de passe :

Figure 6-1 Utilisation du fichier .k5login

(Au cas où le répertoire de base de david a un montage NFS utilisant des protocoles Kerberos V5, à partir d'un autre ordinateur, julie doit posséder un ticket transférable pour accéder au répertoire de base de david. Voir "Comment créer un ticket" pour un exemple d'utilisation de ticket transférable.)

Si vous souhaitez vous connecter à d'autres ordinateurs sur un réseau, vous devez inclure votre propre principal Kerberos dans les fichiers .k5login résidant sur ces ordinateurs.

L'utilisation d'un fichier .k5login est beaucoup plus sécuritaire que la divulgation de votre mot de passe.

• Vous pouvez retirer l'accès en tout temps en supprimant le(s) principal(ux) de votre fichier .k5login.

• Bien que les utilisateurs nommés dans le fichier .k5login résidant dans le répertoire de base aient un accès complet à votre compte sur cet ordinateur (ou groupe d'ordinateurs, si le fichier .k5login est partagé, par exemple sur NFS), ils ne peuvent pas hériter de vos privilèges de réseau -- autrement dit, les services compatibles Kerberos autorisent l'accès en fonction de l'identité de cet utilisateur, et non de la vôtre. Ainsi, julie peut se connecter à l'ordinateur de jean et y effectuer des tâches, mais si elle utilise un programme compatible Kerberos tel que ftp ou rlogin, elle utilise sa propre identité.

• Kerberos conserve un journal des personnes qui obtiennent des tickets. L'administrateur du système peut donc, au besoin, savoir qui est en mesure d'employer votre identité à un moment particulier.

Une façon commune d'utiliser le fichier .k5login consiste à le placer dans le répertoire de base de root, donnant ainsi à root accès, sur cet ordinateur, aux principaux Kerberos spécifiés. Cela permet aux administrateurs de système d'adopter localement l'identité root, ou de se connecter à distance en tant que root, sans devoir entrer le mot de passe de superutilisateur, et sans qu'il soit nécessaire que quiconque tape le mot de passe de superutilisateur sur le réseau.

Exemple -- Utilisation du fichier .k5login

Supposons que julie décide de se connecter à l'ordinateur lyon.acme.com en tant que root. Comme elle possède une entrée pour son nom de principal dans le fichier .k5login situé dans le répertoire de base de rootsur lyon.acme.com, elle n'a pas besoin de taper à nouveau son mot de passe :

% rlogin lyon.acme.com -l root -x
Cette session rlogin utilise le chiffrement DES avec toutes les transmissions 
de données.
Dernière connexion : Jeu Jui 20 16:20:50 de daffodil
SunOS Release 5.7 (GENERIC) #2: Mar Nov 14 18:09:31 EST 1998
lyon[root]% 

Commandes de SEAM

Kerberos V5 est un système à connexion unique. Cela signifie que vous n'avez à taper votre mot de passe qu'une seule fois, et les programmes Kerberos V5 effectueront l'authentification (et le chiffrement facultatif) pour vous, étant donné que Kerberos est incorporé à une série de programmes réseau existants familiers. Les applications Kerberos V5 sont des versions de programmes réseau UNIX existants, avec des caractéristiques Kerberos ajoutées.

Par exemple, lorsque vous utilisez un programme compatible Kerberos pour vous connecter à un hôte distant, le programme, le KDC et l'hôte distant effectuent une série de négociations rapides. Lorsque ces négociations sont terminées, votre programme a prouvé votre identité à l'hôte distant, et celui-ci vous a accordé l'accès.

Il faut noter que les commandes compatibles Kerberos tentent d'abord d'effectuer l'authentification avec Kerberos. Si l'authentification Kerberos échoue, une erreur se produit ou une authentification UNIX est tentée, selon les options utilisées avec la commande. Pour de plus amples renseignements, consultez la section Sécurité Kerberos dans les pages de manuel Kerberos.

Aperçu des commandes compatibles Kerberos

Les services de réseau compatibles Kerberos sont des programmes qui se connectent à un autre ordinateur situé quelque part sur l'Internet. Ces programmes résident dans le répertoire /usr/krb5/bin ; réglez votre variable PATH de manière à ce que ces programmes précèdent les versions non-Kerberos. Ces programmes sont :

• ftp

• rcp

• rlogin

• rsh

• telnet

Ces programmes possèdent toutes les caractéristiques originales de leurs équivalents non-Kerberos. Ils possèdent aussi des caractéristiques supplémentaires qui utilisent de manière transparente vos tickets Kerberos pour négocier l'authentification (et le chiffrement facultatif) avec l'hôte distant. Dans la plupart des cas, vous remarquerez que vous n'avez pas besoin de taper votre mot de passe pour les utiliser, étant donné que Kerberos fournira la preuve de votre identité.

Les programmes réseau Kerberos V5 vous offrent les options suivantes :

• Transfert de vos tickets à un autre hôte (si vous avez initialement obtenu des tickets transférables)

• Chiffrement des données transmises entre vous et l'hôte distant

Cette section suppose que vous êtes familier avec les versions non-Kerberos de ces programmes, et décrit les fonctionnalités Kerberos ajoutées par le progiciel Kerberos V5. Pour une description détaillée des commandes décrites dans cette section, consultez les pages de manuel correspondantes.

Les options Kerberos suivantes ont été ajoutées à ftp, rcp, rlogin, rsh et telnet :

-a

Tenter d'effectuer une connexion automatique à l'aide de vos tickets existants. Utilise le nom d'utilisateur renvoyé par la commande getlogin(), sauf s'il diffère de l'ID d'utilisateur courant. (Pour des détails, consultez la page de manuel telnet(1).)

-f

Transférer un ticket non retransférable à un hôte distant. Cette option est incompatible avec l'option -F (voir ci-dessous) ; elles ne peuvent donc pas être employées dans une même commande.

Vous voudrez probablement transférer un ticket si vous croyez que vous devrez vous authentifier à d'autres services Kerberos sur un troisième hôte -- par exemple, si vous désirez vous connecter avec rlogin à un autre ordinateur, puis y exécuter une autre commande rlogin vers un troisième ordinateur.

Vous devez absolument employer un ticket transférable si votre répertoire de base sur l'hôte distant est monté avec NFS au moyen de Kerberos V5 ; sinon, vous ne pourrez pas accéder à votre répertoire de base. (Par exemple, supposons que vous vous connectez initialement au Système 1. À partir du Système 1, vous vous connectez avec rlogin à votre ordinateur de base, le Système 2, qui monte votre répertoire de base depuis le Système 3. Si vous n'avez pas employé l'option -f ou -F avec rlogin, vous ne pourrez pas accéder à votre répertoire de base, étant donné que votre ticket ne peut pas être transféré au Système 3.)

Par défaut, la commande kinit obtient les tickets d'octroi de tickets ; il est toutefois possible que votre configuration de SEAM diffère à cet égard.

Pour de plus amples renseignements sur le transfert des tickets, voir "Transfert de tickets avec les options -f et -F".

-F

Transférer une copie retransférable de votre ticket d'octroi de tickets vers un système distant. Cette option est similaire à -f (voir ci-dessus), mais elle permet d'accéder à un ordinateur supplémentaire (par exemple un quatrième ou un cinquième). L'option -F peut donc être considérée comme englobant l'option -f . L'option -F est incompatible avec l'option -f ; elles ne peuvent donc pas être employées dans une même commande.

Pour de plus amples renseignements sur le transfert des tickets, voir "Transfert de tickets avec les options -f et -F".

-k secteur

Demander des tickets pour l'hôte distant dans le secteur spécifié, plutôt que de déterminer le secteur lui-même au moyen du fichier krb5.conf.

-K

Utiliser vos tickets pour authentifier l'hôte distant, mais sans vous connecter automatiquement.

-m mécanisme

Spécifier le mécanisme de sécurité GSS-API à utiliser, tel qu'indiqué dans le fichier /etc/gss/mech. La valeur par défaut est kerberos_v5.

-x

Chiffrer cette session.

-X type_d'auth

Désactiver le type d'authentification type_d'auth.

Tableau 6-1 indique les commandes possédant des options particulières (la lettre "X" signifie que la commande possède cette option).

En outre, ftp permet de définir le niveau de protection pour une session à son invite :

clear

Règle le niveau de protection à "clear" (aucune protection). Il s'agit de la valeur par défaut.

private

Règle le niveau de protection à "private." La confidentialité et l'intégrité des transmissions de données sont protégées par chiffrement. Il est cependant possible que le service de confidentialité ne soit pas disponible pour tous les utilisateurs de SEAM.

safe

Règle le niveau de protection à "safe." L'intégrité des transmissions de données est protégée par une somme de contrôle cryptographique.

Vous pouvez également régler le niveau de protection à l'invite ftp en tapant le mot protect suivi d'un des niveaux de protection ci-dessus (clear, private ou safe).

Transfert de tickets avec les options -f et -F

Comme indiqué à la section "Aperçu des commandes compatibles Kerberos", certaines commandes vous permettent de transférer des tickets au moyen de l'option -f ou -F . Le transfert de tickets vous permet "d'enchaîner" vos transactions de réseau ; vous pouvez, par exemple, vous connecter avec la commande rlogin à un ordinateur, puis y exécuter la commande rlogin vers un autre. L'option -f vous permet de transférer un ticket, tandis que l'option -F vous permet de retransférer un ticket transféré.

À la Figure 6-2, l'utilisateur david obtient un ticket d'octroi de tickets non-transférable avec kinit. (Il est non-transférable parce que David n'a pas spécifié l'option -f .) Dans le scénario 1, il peut se reconnecter avec la commande rlogin à l'ordinateur B, mais il ne peut pas aller plus loin. Dans le scénario 2, la commande rlogin -f échoue parce que David tente de transférer un ticket non-transférable.

Figure 6-2 Utilisation de tickets non-transférables

(En réalité, les fichiers de configuration de SEAM sont définis de manière à ce que kinit obtienne les tickets transférables par défaut. Cependant, votre configuration peut différer. À des fins d'explication, nous avons supposé que la commande kinit n'obtient pas de tickets d'octroi de tickets transférables sauf si elle est appelée avec kinit -f. Il est à noter que kinit ne possède pas d'option -F ; les tickets d'octroi de tickets sont soit transférables, soit non-transférables.)

À la Figure 6-3, david obtient les tickets d'octroi de tickets transférables avec kinit -f. Dans le scénario 3, il peut accéder à l'ordinateur C parce qu'il utilise un ticket transférable avec la commande rlogin. Dans le scénario 4, la deuxième commande rlogin échoue parce que le ticket n'est pas retransférable. En utilisant plutôt l'option -F , comme dans le scénario 5, la deuxième commande rlogin réussit, et le ticket peut être retransféré vers l'ordinateur D.

Figure 6-3 Utilisation de tickets transférables

Exemples -- Utilisation de commandes compatibles Kerberos

Les exemples suivants illustrent le fonctionnement des options des commandes compatibles Kerberos.

Exemple -- Utilisation des options -a, -f et -x avec telnet

Dans cet exemple, l'utilisateur david s'est déjà connecté, et veut se connecter avec telnet à l'ordinateur denver.acme.com. Il utilise l'option -f pour transférer ses tickets existants, l'option -x pour chiffrer la session, et l'option -a pour effectuer automatiquement la connexion. Comme il n'a pas l'intention de recourir aux services d'un troisième hôte, il peut employer -f au lieu de -F.

% telnet -a -f -x denver.acme.com 
Essai de 128.0.0.5...
Connecté à denver.acme.com. Caractère d'échappement '^]'.
[ Kerberos V5 vous accepte comme "david@eng.acme.com" ]
[ Kerberos V5 a accepté les références transférées ]
SunOS 5.7: Mar Mai 21 00:31:42 EDT 1998  Bienvenue dans SunOS
%

On peut remarquer que l'ordinateur de david utilise Kerberos pour l'authentifier auprès de denver.acme.com, et l'a automatiquement connecté. Il avait une session chiffrée, une copie de son ticket déjà prête, et n'a pas eu besoin de taper son mot de passe. S'il avait utilisé une version non-Kerberos de telnet, il aurait été invité à taper son mot de passe, lequel aurait été envoyé sur le réseau sous forme non chiffrée -- si un intrus surveillait alors le trafic sur le réseau, il pourrait découvrir le mot de passe de david.

Si vous transférez vos tickets Kerberos, telnet (ainsi que les autres commandes décrites dans cette section) les détruit lors de la fermeture.

Exemple -- Utilisation de rlogin avec l'option -F

Dans cet exemple, julie veut se connecter à son propre ordinateur, lyon.acme.com. Elle transfère ses tickets existants avec -F, et chiffre la session avec -x. Elle choisit -F plutôt que -f parce qu'après s'être connectée à lyon , elle pourrait souhaiter effectuer d'autres transactions sur le réseau exigeant le retransfert de tickets. En outre, comme elle transfère ses tickets existants, elle n'a pas besoin de taper son mot de passe.

% rlogin lyon.acme.com -F -x
Cette session rlogin utilise le chiffrement DES avec toutes les transmissions.
Dernière connexion Lun Mai 19 15:19:49 de daffodil
SunOS Release 5.7 (GENERIC) #2 Mar Nov 14 18:09:3 EST 1998
%

Exemple -- Définition du niveau de protection dans ftp

Supposons maintenant que jean veut utiliser ftp pour obtenir son courriel du répertoire ~jean/MAIL sur l'ordinateur denver.acme.com, en chiffrant la session. L'échange pourrait s'effectuer comme ceci :

% ftp -f denver.acme.com
Connecté à denver.acme.com
220 denver.acme.org serveur FTP (Version 6.0) prêt.
334 Utilisation du type d'authentification GSSAPI ; ADAT doit suivre
GSSAPI accepté à titre de type d'authentification
Authentification GSSAPI réussie Nom (daffodil.acme.org:jean)
232 GSSAPI utilisateur jean@MELPOMENE.ACME.COM est autorisé en tant que jean
230 Utilisateur jean connecté.
Le type de système distant est UNIX.
Utilisation du mode BINAIRE pour le transfert de fichiers. 
ftp> protect private
200 Niveau de protection réglé à Private
ftp> cd ~jean/MAIL
250 CWD commande réussie.
ftp> get RMAIL
227 Entrée dans le mode passif (128,0,0,5,16,49)
150 Ouverture de la connexion de données en mode BINAIRE pour RMAIL (158336 octets). 
226 Transfert terminé. 158336 octets reçus en 1.9 secondes (1.4e+02 ko/s)
ftp> quit
% 

Afin de chiffrer la session, jean règle le niveau de protection à private.