Gestion des mots de passe

Lorsque SEAM est installé, vous avez deux mots de passe : votre mot de passe Solaris ordinaire, et un mot de passe Kerberos. Ces deux mots de passe peuvent être identiques ou différents.

Les commandes non compatibles Kerberos telles que login sont généralement configurées au moyen du module d'authentification enfichable de manière à ce que l'authentification soit effectuée avec Kerberos et UNIX. Si vous avez des mots de passe différents, vous devez entrer les deux mots de passe pour vous connecter avec l'authentification appropriée. Mais si les deux mots de passe sont identiques, le premier mot de passe que vous entrez pour UNIX est aussi accepté par Kerberos.

Malheureusement, l'utilisation du même mot de passe dans les deux cas peut compromettre la sécurité, car si quelqu'un venait à découvrir votre mot de passe Kerberos, votre mot de passe UNIX ne serait plus secret. Toutefois, l'utilisation du même mot de passe pour UNIX et Kerberos est plus sécuritaire qu'un site sans Kerberos, car les mots de passe dans un environnement Kerberos ne sont pas transmis sur le réseau. Généralement, votre site possédera une politique qui vous aidera à déterminer vos options.

Votre mot de passe Kerberos constitue la seule façon pour Kerberos de vérifier votre identité. Si quelqu'un venait à découvrir votre mot de passe Kerberos, la sécurité Kerberos ne serait plus efficace, car cette personne pourrait adopter votre identité -- envoyer du courriel qui vient de «vous», lire, modifier ou supprimer vos fichiers, ou se connecter à d'autres hôtes à votre place -- et personne ne pourrait s'en rendre compte. C'est pourquoi il est essentiel que vous choisissiez un mot de passe sécuritaire, que vous garderez confidentiel. Si vous devez permettre à une autre personne d'accéder à votre compte, Kerberos vous permet de le faire sans divulguer votre mot de passe (voir "Accorder l'accès à votre compte"). Vous ne devez jamais révéler votre mot de passe à quiconque, même pas à l'administrateur de votre système. En outre, vous devriez changer fréquemment de mot de passe, et en particulier si vous pensez qu'on peut l'avoir découvert.

Conseils pour le choix d'un mot de passe

Votre mot de passe peut se composer de presque tous les caractères que vous pouvez taper au clavier (sauf les touches de contrôle et la touche Retour). Vous devriez choisir un mot de passe facile à retenir, mais que les autres personnes ne pourront pas deviner. Voici des exemples de mauvais mots de passe :

• Des mots figurant dans un dictionnaire

• Un nom couramment utilisé ou populaire

• Le nom d'une personne ou d'un personnage célèbre

• Votre nom ou votre nom d'utilisateur dans n'importe quelle forme (par exemple : à l'envers, répété deux fois, etc.)

• Le nom d'un membre de votre famille, ou de votre chien ou chat

• Votre date de naissance ou celle d'un membre de votre famille

• Votre numéro d'assurance sociale, le numéro de votre permis de conduire, de votre passeport, etc.

• Un mot de passe donné en exemple dans ce manuel ou un autre

Un bon mot de passe doit comporter au moins huit caractères. En outre, il devrait inclure un mélange de caractères, par exemple des majuscules et minuscules, des chiffres et des signes de ponctuation. Voici des exemples de mots de passe qui seraient excellents s'ils ne figuraient pas dans ce manuel :

• Des acronymes tels que «I2LMHinSF» (symbolisant l'expression «I too left my heart in San Francisco»)

• Des mots illogiques faciles à prononcer tels que «BingBang» ou «TagadaTsoinTsoin»

• Des expressions intentionnellement mal orthographiées telles que «8heurékar» ou «VivlaRévolucion».

N'utilisez pas ces exemples. Les mots de passe figurant dans les manuels sont les premiers que les intrus essaient.

Changement de votre mot de passe

Vous pouvez changer votre mot de passe Kerberos de deux manières :

• Avec la commande UNIX passwd ordinaire. Si SEAM est installé, la commande passwd Solaris vous invite automatiquement à entrer un nouveau mot de passe Kerberos.

  L'avantage de la commande passwd par rapport à la commande kpasswd est que vous pouvez définir simultanément les deux mots de passe (UNIX et Kerberos). Cependant, il n'est généralement pas nécessaire de changer les deux mots de passe à l'aide de la commande passwd ; vous pouvez souvent changer seulement votre mot de passe UNIX et conserver votre mot de passe Kerberos, ou vice-versa.

  ---

  Remarque :

  Le comportement de la commande passwd dépend de la configuration du module d'authentification enfichable. Il peut s'avérer nécessaire de modifier les deux mots de passe dans certaines configurations. Sur certains sites, le mot de passe UNIX doit être changé, tandis que d'autres sites exigent le changement du mot de passe Kerberos.

  ---

• Avec la commande kpasswd. kpasswd ressemble beaucoup à passwd. Toutefois, kpasswd ne change que les mots de passe Kerberos -- vous devez utiliser passwd pour changer votre mot de passe UNIX.

  De plus, la commande kpasswd peut changer un mot de passe pour un principal Kerberos qui n'est pas un utilisateur UNIX valide. Par exemple, david/admin est un principal Kerberos, mais pas un utilisateur UNIX réel ; vous devez donc employer kpasswd au lieu de passwd.

Après un changement de mot de passe, il faut un certain temps pour que le changement se propage dans le système (surtout si le réseau est vaste). Selon la configuration de votre système, cela peut exiger quelques minutes ou plus d'une heure. Si vous devez obtenir de nouveaux tickets Kerberos peu après avoir changé votre mot de passe, essayez d'abord le nouveau mot de passe. Si cela ne fonctionne pas, entrez l'ancien mot de passe.

Kerberos V5 permet aux administrateurs de système de définir des critères relatifs aux mots de passe admissibles pour chaque utilisateur. De tels critères sont définis par la politique configurée pour chaque utilisateur (ou par une politique par défaut)-- voir "Administration des politiques" pour plus de détails sur les politiques. Supposons que la politique de julie (appelons-la poljul) spécifie que les mots de passe doivent comporter au moins 8 caractères et inclure un mélange d'au moins deux types de caractères. kpasswd interdirait alors le mot de passe «fleur» :

% kpasswd
kpasswd: Remplacement du mot de passe pour julie@ENG.ACME.COM.
Ancien mot de passe:   <Julie tape son mot de passe actuel>
kpasswd: Le mot de passe de julie@ENG.ACME.COM est contrôlé par
la politique poljul
qui exige au moins 8 caractères d'au moins 2 classes
(cinq classes possibles : minuscules, majuscules, chiffres, ponctuation,
et tous les autres caractères).
Nouveau mot de passe : <Julie tape 'fleur'>
Nouveau mot de passe (encore) :  <Julie tape à nouveau 'fleur'>
kpasswd: Le nouveau mot de passe est trop court.
Veuillez choisir un mot de passe qui compte au moins 4 caractères. 

Maintenant, julie tape "fleur1234" comme mot de passe, ce qui satisfait les critères, car il comporte plus de 8 caractères et se compose de deux types de caractères (chiffres et minuscules) :

% kpasswd
kpasswd: Remplacement du mot de passe pour julie@ENG.ACME.COM.
Ancien mot de passe:  <Julie tape son mot de passe actuel>
kpasswd: Le mot de passe de julie@ENG.ACME.COM est contrôlé par
la politique poljul qui exige au moins 8 caractères d'au moins 2 classes
(cinq classes possibles : minuscules, majuscules, chiffres, ponctuation,
et tous les autres caractères). +
Nouveau mot de passe :  <Julie tape 'fleur1234'>
Nouveau mot de passe (encore) :  <Julie tape à nouveau 'fleur1234'>
Mot de passe Kerberos changé.

Exemples -- Changement de votre mot de passe

L'exemple suivant illustre comment david change ses mots de passe UNIX et Kerberos au moyen de la commande passwd.

% passwd
	passwd:  Remplacement du mot de passe pour david 
Entrer le mot de passe de connexion (NIS+) :    <tapez le mot de passe UNIX actuel>
	Nouveau mot de passe :                         <tapez le nouveau mot de passe UNIX>
	Entrez encore le mot de passe :                <confirmez le nouveau mot de passe UNIX>
	Ancien mot de passe KRB5 :                     <tapez le mot de passe Kerberos actuel>
	Nouveau mot de passe KRB5 :                    <tapez le nouveau mot de passe Kerberos>
	Entrez encore le nouveau mot de passe KRB5 :   <confirmez le nouveau mot de passe Kerberos>

Dans l'exemple précédent, la commande passwd demande les mots de passe UNIX et Kerberos. Cependant, si try_first_pass est activé dans le module d'authentification enfichable, le mot de passe Kerberos est automatiquement réglé à la même valeur que le mot de passe UNIX. (Il s'agit de la configuration par défaut.) Dans ce cas, david doit employer kpasswd pour changer son mot de passe Kerberos, comme l'illustre l'exemple suivant.

Cet exemple montre comment changer seulement le mot de passe Kerberos avec la commande kpasswd :

% kpasswd
kpasswd: Remplacement du mot de passe pour david@ENG.ACME.COM.
Ancien mot de passe:           <tapez le mot de passe Kerberos actuel>
Nouveau mot de passe:          <tapez le nouveau mot de passe Kerberos>
Nouveau mot de passe (encore): <confirmez le nouveau mot de passe Kerberos>
Mot de passe Kerberos changé.
 

Dans cet exemple, david change le mot de passe pour le principal david/admin (qui n'est pas un utilisateur UNIX valide). Pour ce faire, il doit employer la commande kpasswd.

% kpasswd david/admin
kpasswd:  Remplacement du mot de passe pour david/admin.
Ancien mot de passe:		   	     <tapez le mot de passe Kerberos actuel>
Nouveau mot de passe:			     <tapez le nouveau mot de passe Kerberos>
Nouveau mot de passe (encore) :	  <confirmez le nouveau mot de passe Kerberos>
Mot de passe Kerberos changé. 
 

Accorder l'accès à votre compte

Si vous devez permettre à une autre personne d'accéder à votre compte (en tant que vous-même), Kerberos vous permet de le faire sans divulguer votre mot de passe, en insérant un fichier .k5login dans votre répertoire de base. Un fichier .k5login contient une liste d'un ou plusieurs principaux Kerberos correspondant à chaque personne à qui vous désirez accorder l'accès (chaque principal doit figurer sur une ligne distincte).

Supposons que l'utilisateur david conserve un fichier .k5login ayant le contenu suivant dans son répertoire de base :

julie@ENG.ACME.COM jean@ACME.ORG  

Ce fichier permet aux utilisateurs julie et jean d'adopter l'identité de david, à condition qu'ils possèdent déjà des tickets Kerberos dans leur secteur respectif. Par exemple, julie peut utiliser la commande rlogin pour se connecter à l'ordinateur de david (lyon) en adoptant son identité, sans devoir taper son mot de passe :

Figure 6-1 Utilisation du fichier .k5login

(Au cas où le répertoire de base de david a un montage NFS utilisant des protocoles Kerberos V5, à partir d'un autre ordinateur, julie doit posséder un ticket transférable pour accéder au répertoire de base de david. Voir "Comment créer un ticket" pour un exemple d'utilisation de ticket transférable.)

Si vous souhaitez vous connecter à d'autres ordinateurs sur un réseau, vous devez inclure votre propre principal Kerberos dans les fichiers .k5login résidant sur ces ordinateurs.

L'utilisation d'un fichier .k5login est beaucoup plus sécuritaire que la divulgation de votre mot de passe.

• Vous pouvez retirer l'accès en tout temps en supprimant le(s) principal(ux) de votre fichier .k5login.

• Bien que les utilisateurs nommés dans le fichier .k5login résidant dans le répertoire de base aient un accès complet à votre compte sur cet ordinateur (ou groupe d'ordinateurs, si le fichier .k5login est partagé, par exemple sur NFS), ils ne peuvent pas hériter de vos privilèges de réseau -- autrement dit, les services compatibles Kerberos autorisent l'accès en fonction de l'identité de cet utilisateur, et non de la vôtre. Ainsi, julie peut se connecter à l'ordinateur de jean et y effectuer des tâches, mais si elle utilise un programme compatible Kerberos tel que ftp ou rlogin, elle utilise sa propre identité.

• Kerberos conserve un journal des personnes qui obtiennent des tickets. L'administrateur du système peut donc, au besoin, savoir qui est en mesure d'employer votre identité à un moment particulier.

Une façon commune d'utiliser le fichier .k5login consiste à le placer dans le répertoire de base de root, donnant ainsi à root accès, sur cet ordinateur, aux principaux Kerberos spécifiés. Cela permet aux administrateurs de système d'adopter localement l'identité root, ou de se connecter à distance en tant que root, sans devoir entrer le mot de passe de superutilisateur, et sans qu'il soit nécessaire que quiconque tape le mot de passe de superutilisateur sur le réseau.

Exemple -- Utilisation du fichier .k5login

Supposons que julie décide de se connecter à l'ordinateur lyon.acme.com en tant que root. Comme elle possède une entrée pour son nom de principal dans le fichier .k5login situé dans le répertoire de base de rootsur lyon.acme.com, elle n'a pas besoin de taper à nouveau son mot de passe :

% rlogin lyon.acme.com -l root -x
Cette session rlogin utilise le chiffrement DES avec toutes les transmissions 
de données.
Dernière connexion : Jeu Jui 20 16:20:50 de daffodil
SunOS Release 5.7 (GENERIC) #2: Mar Nov 14 18:09:31 EST 1998
lyon[root]%