Accorder l'accès à votre compte

Si vous devez permettre à une autre personne d'accéder à votre compte (en tant que vous-même), Kerberos vous permet de le faire sans divulguer votre mot de passe, en insérant un fichier .k5login dans votre répertoire de base. Un fichier .k5login contient une liste d'un ou plusieurs principaux Kerberos correspondant à chaque personne à qui vous désirez accorder l'accès (chaque principal doit figurer sur une ligne distincte).

Supposons que l'utilisateur david conserve un fichier .k5login ayant le contenu suivant dans son répertoire de base :

julie@ENG.ACME.COM jean@ACME.ORG  

Ce fichier permet aux utilisateurs julie et jean d'adopter l'identité de david, à condition qu'ils possèdent déjà des tickets Kerberos dans leur secteur respectif. Par exemple, julie peut utiliser la commande rlogin pour se connecter à l'ordinateur de david (lyon) en adoptant son identité, sans devoir taper son mot de passe :

Figure 6-1 Utilisation du fichier .k5login

(Au cas où le répertoire de base de david a un montage NFS utilisant des protocoles Kerberos V5, à partir d'un autre ordinateur, julie doit posséder un ticket transférable pour accéder au répertoire de base de david. Voir "Comment créer un ticket" pour un exemple d'utilisation de ticket transférable.)

Si vous souhaitez vous connecter à d'autres ordinateurs sur un réseau, vous devez inclure votre propre principal Kerberos dans les fichiers .k5login résidant sur ces ordinateurs.

L'utilisation d'un fichier .k5login est beaucoup plus sécuritaire que la divulgation de votre mot de passe.

• Vous pouvez retirer l'accès en tout temps en supprimant le(s) principal(ux) de votre fichier .k5login.

• Bien que les utilisateurs nommés dans le fichier .k5login résidant dans le répertoire de base aient un accès complet à votre compte sur cet ordinateur (ou groupe d'ordinateurs, si le fichier .k5login est partagé, par exemple sur NFS), ils ne peuvent pas hériter de vos privilèges de réseau -- autrement dit, les services compatibles Kerberos autorisent l'accès en fonction de l'identité de cet utilisateur, et non de la vôtre. Ainsi, julie peut se connecter à l'ordinateur de jean et y effectuer des tâches, mais si elle utilise un programme compatible Kerberos tel que ftp ou rlogin, elle utilise sa propre identité.

• Kerberos conserve un journal des personnes qui obtiennent des tickets. L'administrateur du système peut donc, au besoin, savoir qui est en mesure d'employer votre identité à un moment particulier.

Une façon commune d'utiliser le fichier .k5login consiste à le placer dans le répertoire de base de root, donnant ainsi à root accès, sur cet ordinateur, aux principaux Kerberos spécifiés. Cela permet aux administrateurs de système d'adopter localement l'identité root, ou de se connecter à distance en tant que root, sans devoir entrer le mot de passe de superutilisateur, et sans qu'il soit nécessaire que quiconque tape le mot de passe de superutilisateur sur le réseau.

Exemple -- Utilisation du fichier .k5login

Supposons que julie décide de se connecter à l'ordinateur lyon.acme.com en tant que root. Comme elle possède une entrée pour son nom de principal dans le fichier .k5login situé dans le répertoire de base de rootsur lyon.acme.com, elle n'a pas besoin de taper à nouveau son mot de passe :

% rlogin lyon.acme.com -l root -x
Cette session rlogin utilise le chiffrement DES avec toutes les transmissions 
de données.
Dernière connexion : Jeu Jui 20 16:20:50 de daffodil
SunOS Release 5.7 (GENERIC) #2: Mar Nov 14 18:09:31 EST 1998
lyon[root]%