Aperçu des commandes compatibles Kerberos
Les services de réseau compatibles Kerberos sont des programmes qui se connectent à un autre ordinateur situé quelque part sur l'Internet. Ces programmes résident dans le répertoire /usr/krb5/bin ; réglez votre variable PATH de manière à ce que ces programmes précèdent les versions non-Kerberos. Ces programmes sont :
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
Ces programmes possèdent toutes les caractéristiques originales de leurs équivalents non-Kerberos. Ils possèdent aussi des caractéristiques supplémentaires qui utilisent de manière transparente vos tickets Kerberos pour négocier l'authentification (et le chiffrement facultatif) avec l'hôte distant. Dans la plupart des cas, vous remarquerez que vous n'avez pas besoin de taper votre mot de passe pour les utiliser, étant donné que Kerberos fournira la preuve de votre identité.
Les programmes réseau Kerberos V5 vous offrent les options suivantes :
-
Transfert de vos tickets à un autre hôte (si vous avez initialement obtenu des tickets transférables)
-
Chiffrement des données transmises entre vous et l'hôte distant
Remarque :
Cette section suppose que vous êtes familier avec les versions non-Kerberos de ces programmes, et décrit les fonctionnalités Kerberos ajoutées par le progiciel Kerberos V5. Pour une description détaillée des commandes décrites dans cette section, consultez les pages de manuel correspondantes.
Les options Kerberos suivantes ont été ajoutées à ftp, rcp, rlogin, rsh et telnet :
- -a
-
Tenter d'effectuer une connexion automatique à l'aide de vos tickets existants. Utilise le nom d'utilisateur renvoyé par la commande getlogin(), sauf s'il diffère de l'ID d'utilisateur courant. (Pour des détails, consultez la page de manuel telnet(1).)
- -f
-
Transférer un ticket non retransférable à un hôte distant. Cette option est incompatible avec l'option -F (voir ci-dessous) ; elles ne peuvent donc pas être employées dans une même commande.
Vous voudrez probablement transférer un ticket si vous croyez que vous devrez vous authentifier à d'autres services Kerberos sur un troisième hôte -- par exemple, si vous désirez vous connecter avec rlogin à un autre ordinateur, puis y exécuter une autre commande rlogin vers un troisième ordinateur.
Vous devez absolument employer un ticket transférable si votre répertoire de base sur l'hôte distant est monté avec NFS au moyen de Kerberos V5 ; sinon, vous ne pourrez pas accéder à votre répertoire de base. (Par exemple, supposons que vous vous connectez initialement au Système 1. À partir du Système 1, vous vous connectez avec rlogin à votre ordinateur de base, le Système 2, qui monte votre répertoire de base depuis le Système 3. Si vous n'avez pas employé l'option -f ou -F avec rlogin, vous ne pourrez pas accéder à votre répertoire de base, étant donné que votre ticket ne peut pas être transféré au Système 3.)
Par défaut, la commande kinit obtient les tickets d'octroi de tickets ; il est toutefois possible que votre configuration de SEAM diffère à cet égard.
Pour de plus amples renseignements sur le transfert des tickets, voir "Transfert de tickets avec les options -f et -F".
- -F
-
Transférer une copie retransférable de votre ticket d'octroi de tickets vers un système distant. Cette option est similaire à -f (voir ci-dessus), mais elle permet d'accéder à un ordinateur supplémentaire (par exemple un quatrième ou un cinquième). L'option -F peut donc être considérée comme englobant l'option -f . L'option -F est incompatible avec l'option -f ; elles ne peuvent donc pas être employées dans une même commande.
Pour de plus amples renseignements sur le transfert des tickets, voir "Transfert de tickets avec les options -f et -F".
- -k secteur
-
Demander des tickets pour l'hôte distant dans le secteur spécifié, plutôt que de déterminer le secteur lui-même au moyen du fichier krb5.conf.
- -K
-
Utiliser vos tickets pour authentifier l'hôte distant, mais sans vous connecter automatiquement.
- -m mécanisme
-
Spécifier le mécanisme de sécurité GSS-API à utiliser, tel qu'indiqué dans le fichier /etc/gss/mech. La valeur par défaut est kerberos_v5.
- -x
-
Chiffrer cette session.
- -X type_d'auth
-
Désactiver le type d'authentification type_d'auth.
Tableau 6-1 indique les commandes possédant des options particulières (la lettre "X" signifie que la commande possède cette option).
Tableau 6-1 Options Kerberos pour les commandes de réseau|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
-a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
-X |
|
|
|
|
X |
En outre, ftp permet de définir le niveau de protection pour une session à son invite :
- clear
-
Règle le niveau de protection à "clear" (aucune protection). Il s'agit de la valeur par défaut.
- private
-
Règle le niveau de protection à "private." La confidentialité et l'intégrité des transmissions de données sont protégées par chiffrement. Il est cependant possible que le service de confidentialité ne soit pas disponible pour tous les utilisateurs de SEAM.
- safe
-
Règle le niveau de protection à "safe." L'intégrité des transmissions de données est protégée par une somme de contrôle cryptographique.
Vous pouvez également régler le niveau de protection à l'invite ftp en tapant le mot protect suivi d'un des niveaux de protection ci-dessus (clear, private ou safe).
- © 2010, Oracle Corporation and/or its affiliates