test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Fichiers SEAM

Tableau 7-1 Fichiers SEAM

Nom du fichier 

Description 

~/.gkadmin

Valeurs par défaut pour la création de nouveaux principaux dans l'outil d'administration SEAM 

~/.k5login

Liste de principaux pour accorder l'accès à un compte Kerberos 

/etc/gss/gsscred.conf

Types de fichier par défaut pour la table gsscred

/etc/gss/mech

Mécanismes pour RPCSEC_GSS 

/etc/gss/qop

Paramètres de qualité de protection pour RPCSEC_GSS 

/etc/init.d/kdc

Script init pour démarrer ou arrêter krb5kdc

/etc/init.d/kdc.master

Script init pour démarrer ou arrêter kadmind

/etc/krb5/kadm5.acl

Fichier de liste de contrôle d'accès de Kerberos ; inclut les noms principaux des administrateurs de KDC ainsi que leurs privilèges d'administration Kerberos 

/etc/krb5/kadm5.keytab

Table de clés pour le service kadmin dans le KDC maître

/etc/krb5/kdc.conf

Fichier de configuration du KDC 

/etc/krb5/kpropd.acl

Fichier de configuration de propagation de base de données Kerberos 

/etc/krb5/krb5.conf

Fichier de configuration de secteur Kerberos 

/etc/krb5/krb5.keytab

Table de clés pour les serveurs d'applications réseau 

/etc/krb5/warn.conf

Fichier de configuration d'avertissements Kerberos 

/etc/pam.conf

Fichier de configuration du module d'authentification enfichable 

/tmp/krb5cc_uid

Cache de justificatifs d'identité défaut (uid désigne l'ID décimal de l'utilisateur)

/tmp/ovsec_adm.xxxxxx

Cache temporaire des justificatifs d'identité au cours de l'opération de changement de mot de passe (xxxxxx est une chaîne aléatoire)

/var/krb5/.k5.REALM

Fichier de réserve du KDC ; contient une copie chiffrée de la clé maîtresse du KDC. 

/var/krb5/kadmin.log

Fichier journal pour kadmind

/var/krb5/kdc.log

Fichier journal pour le KDC 

/var/krb5/principal.db

Base de données des principaux de Kerberos 

/var/krb5/principal.kadm5

Base de données administrative de Kerberos, contient les informations de politique 

/var/krb5/principal.kadm5.lock

Fichier de verrouillage de la base de données administrative Kerberos 

/var/krb5/principal.ok

Fichier d'initialisation de la base de données des principaux de Kerberos ; créé lors de l'initialisation réussie de la base de données Kerberos. 

/var/krb5/slave_datatrans

Fichier de sauvegarde du KDC, utilisé par kprop_script pour la propagation

Fichier de configuration du module d'authentification enfichable

Le fichier de configuration par défaut du module d'authentification enfichable fourni avec SEAM inclut des entrées de traitement des nouvelles applications Kerberos. Le nouveau fichier comporte des entrées pour le service d'authentification, la gestion des comptes, la gestion des sessions et les modules de gestion des mots de passe.

Pour le module d'authentification, les nouvelles entrées concernent rlogin, login, dtlogin, krlogin, ktelnet et krsh. Un exemple de ces entrées est présenté ci-dessous. Tous ces services ont recours à la nouvelle bibliothèque de modules d'authentification enfichables, /usr/lib/security/pam_krb5.so.1, pour l'authentification Kerberos.

Les trois premières entrées utilisent l'option try_first_pass, qui demande l'authentification au moyen du mot de passe initial de l'utilisateur. L'utilisation du mot de passe initial signifie que l'utilisateur n'est pas invité à entrer un autre mot de passe, même si de multiples mécanismes sont indiqués.

Les trois entrées suivantes utilisent l'option acceptor pour empêcher le module d'authentification enfichable d'effectuer l'étape d'obtention du ticket d'octroi de tickets initial. Pour les applications de serveur Kerberos, l'échange est déjà effectué par l'application ; il n'est donc pas nécessaire d'effectuer l'étape au moyen du module d'authentification enfichable. En outre, une entrée other est incluse comme entrée par défaut pour toutes les entrées exigeant une authentification qui ne sont pas spécifiées.


# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor
ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor
krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

Pour la gestion des comptes, dtlogin possède une nouvelle entrée utilisant la bibliothèque Kerberos, comme indiqué ci-dessous. Une entrée other est incluse pour fournir une valeur par défaut. Actuellement, aucune action n'est effectuée par l'entrée other .


dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

Les deux dernières entrées du fichier /etc/pam.conf sont présentées ci-dessous. L'entrée other de gestion de session détruit les justificatifs d'identité d'utilisateur. La nouvelle entrée other de gestion des mots de passe sélectionne la bibliothèque Kerberos. 


other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass