Chapitre 1 Aperçu des produits SEAM

Ce chapitre présente une description générale de Sun^TM Enterprise Authentication Mechanism (SEAM). Il aborde les sujets suivants :

• "Contenu de la version de SEAM"

• "Dépendances des produits SEAM"

• "État"

• "Bogues connus du logiciel"

Introduction

Le logiciel SEAM a été conçu pour améliorer la sécurité des systèmes en prenant en charge l'authentification, la confidentialité et l'intégrité de Kerberos V5. La sécurité peut aussi être améliorée en permettant une connexion unique au réseau lors de l'utilisation des mécanismes de connexion compatibles Kerberos et en fournissant des services NFS^TM compatibles Kerberos.

Contenu de la version de SEAM

Cette version inclut les éléments suivants :

• Centre de distribution de clés (KDC)

• Services KDC

  • kadmind et krb5kdc

• Utilitaires d'administration KDC

  • kadmin, kadmin.local et gkadmin

  • kpropd

• Utilitaires Kerberos

  • kdestroy, kinit, klist et kpasswd

• Utilitaires et démons compatibles Kerberos

  • ftp, rcp, rlogin, rsh et telnet

  • ftpd, rlogind, rshd et telnetd

• Documentation, y compris :

  • Guide du mécanisme d'authentification pour l'entreprise de Sun

  • Installation et notes de version de SEAM (le présent document)

  • Pages de manuel

Dépendances des produits SEAM

La version 2.6 ou 2.7 de Solaris doit être installée pour que ce produit fonctionne. XFN et JDK^TM 1.1 doivent aussi être installés.

État

SEAM est une norme en pleine évolution pouvant faire l'objet de modifications.

Interopérabilité de SEAM

L'interopérabilité de SEAM a été testée avec des installations de Kerberos V5 1.0 MIT et NT 5.0.

Interopérabilité de SEAM avec MIT

SEAM fonctionne avec une installation MIT, mais sous réserve de ce qui suit :

1. gkadmin et kadmin ne fonctionnent pas avec les KDC MIT. Cela est dû au fait que gkadmin et kadmin emploient le protocole RPCSEC_GSS pour sécuriser la connexion au KDC. L'installation Kerberos V5 1.0 de MIT a recours à un protocole AUTH_GSSAPI non standard pour assurer la sécurité. Comme ces deux protocoles sont différents, vous ne pouvez pas utiliser gkadmin et kadmin avec un KDC MIT.

2. SEAM n'inclut pas la commande ksu. Au lieu de cela, PAM est utilisé afin que su puisse effectuer la plupart des fonctions de ksu. Cependant, ksu consulte le fichier .k5login afin de vérifier si l'utilisateur qui emploie su est autorisé à le faire sans mot de passe, s'il détient des justificatifs d'identité Kerberos V5. Cette vérification n'est pas effectuée dans SEAM.

3. Les codes SEAM et Kerberos V5 MIT n'ont pas été conçus pour coexister sur un même hôte. Bien que cela soit théoriquement possible, ce n'est pas pris en charge.

4. SEAM exige que rpcbind soit exécuté. Cela n'est pas exigé par une installation de Kerberos V5 MIT.

Interopérabilité de SEAM avec NT

Pour obtenir des renseignements sur l'interopérabilité de SEAM avec NT, consultez le site Web : http://www.connectathon.org/seam1.0. Ce site contient des informations de dernière minute sur des résultats d'essais et des procédures relatives au fonctionnement de SEAM avec NT.

Bogues connus du logiciel

Voici une liste des bogues connus de SEAM 1.0. Chaque article inclut le numéro du bogue, son synopsis et une brève description.

4084755: dtlockscreen utilise la méthode traditionnelle de vérification du mot de passe plutôt que le module d'authentification enfichable

Description :

dtlockscreen utilise la méthode de vérification traditionnelle pour s'assurer que le mot de passe de l'utilisateur est valide, plutôt que le module d'authentification enfichable. Un appel au module d'authentification enfichable est effectué uniquement en cas d'échec. Il s'agit d'un problème de sécurité potentiel, étant donné qu'un utilisateur pourrait accéder à un système affichant un verrouillage d'écran en employant uniquement le mot de passe défini dans le service de nom pour l'authentification UNIX^TM.

4189642: informations inintelligibles dans le message d'usage rsh compatible Kerberos

Description :

rsh, rlogin et rcp impriment la chaîne d'option pour les options illégales. Le nom du programme devrait être imprimé.

4211978: gkadmin: Le champ «Le mot de passe expire :» contient des informations erronées

Description :

Lorsque la commande gkadmin est utilisée pour changer le mot de passe, l'heure d'expiration du mot de passe change, car elle provient d'une politique attribuée au principal. L'interface graphique n'indique pas que l'heure d'expiration provient d'une politique. Cela a un effet sur l'expiration du mot de passe, que celui-ci soit changé au moyen de kadmin, kadmin.local, gkadmin, kpasswd ou passwd.

Les utilisateurs doivent réaliser qu'ils ont deux choix lors d'un changement de mot de passe : soit vider le champ d'expiration du mot de passe de manière à ce que le serveur le remplisse en consultant la politique, soit entrer une date dans ce champ afin de définir explicitement la date d'expiration.

4143644: La commande rsh -f compatible Kerberos n'a pas fonctionné correctement

Description :

Si l'utilisateur demande explicitement des justificatifs d'identité transférables, rsh échouera s'il n'y a pas de justificatifs d'identité transférables.

4159036: "telnet> encrypt enable DES_OFB64" a bloqué la session

Description :

Le type de chiffrement DES_OFB64 ne peut pas être employé pour le chiffrement de données dans telnet. Le seul type de chiffrement utilisable est DES_CFB64, l'option par défaut.

4159419: gkadmin devrait essayer de consulter la politique si possible lors de la génération de mots de passe aléatoires

Description :

Lorsqu'un utilisateur emploie gkadmin pour générer un mot de passe aléatoire pour un principal, l'outil devrait essayer de consulter la politique appliquée afin de fixer le nombre de caractères et les classes de caractères à utiliser. Ainsi, le premier mot de passe généré sera accepté par l'API kadmin, dans la plupart des cas.

4170403: La commande compatible Kerberos rlogin intersecteur n'échoue pas lorsque le mot de passe est incorrect

Description :

Lorsque la commande compatible Kerberos rlogin est activée dans inetd.conf mais pas dans pam.conf (sur un hôte exécutant un serveur rlogin), un utilisateur est correctement authentifié par Kerberos V5 en employant rlogin entre les secteurs. Cependant, si l'utilisateur est invité à entrer un mot de passe, tous les mots de passe sont acceptés. Cela ne constitue pas une faille de sécurité, car l'utilisateur a été authentifié par Kerberos V5. Évitez de désactiver la commande compatible Kerberos rlogin dans pam.conf si elle est activée dans netd.conf.

4172240: Lorsque l'option -r est utilisée avec telnet, telnet désigne le caractère d'échappement en tant que ^]

Description :

Le caractère d'échappement est ~, comme le décrit la page de manuel.

4177603: La commande kprop signale un «tube de communication interrompu» lorsqu'une entrée pour le maître est manquante dans kpropd.acl.

Description :

Si le fichier /etc/krb5/kpropd.acl n'est pas correctement configuré sur un KDC esclave, la commande kprop échoue sur le client avec le message «Tube de communication interrompu».

4178210: gkadmin: Lorsque le ticket expire, il devrait revenir à la fenêtre de connexion pour une réauthentification.

Description :

Lorsque le justificatif d'identité de l'administrateur actuellement connecté dans gkadmin expire, il serait utile que gkadmin affiche le message «Ticket/justificatif d'identité expiré» ; ensuite, lorsque l'administrateur clique sur le bouton OK, gkadmin devrait fermer la fenêtre «Outils d'administration SEAM» et afficher la fenêtre «Connexion d'administration SEAM», l'invite se situant dans le champ «Mot de passe :» indique que l'administrateur doit entrer un mot de passe pour la réauthentification.

4179331: gkadmin: Impossible de changer le nom du principal ou de la politique

Description :

gkadmin ne permet pas de modifier un nom ou une politique de principal. Pour obtenir le même effet, le principal ou la politique doit être copié avec un nouveau nom à l'aide du bouton Dupliquer, puis l'ancien nom doit être supprimé.

4184145: gkadmin: Dans la fenêtre Propriétés, des bords sont manquants sur certains éléments de l'interface graphique

Description :

Le bouton «...» de «Durée de mise en cache des listes» n'a pas de bord droit. En outre, après la sélection de «Afficher les listes» ou «Mettre les listes en cache indéfiniment», le rectangle mis en évidence qui entoure ces boutons n'a pas de bord gauche.

4188923: gkadmin: Il y a quelques problèmes mineurs relatifs à l'assistant d'impression SEAM

Description :

L'assistant d'impression SEAM peut afficher les données entrées avant la sélection de "Annuler". Le bouton Annuler devrait éliminer les modifications effectuées et restaurer ce qui précédait. En outre, le champ de texte «Nom de fichier» de la fenêtre de l'assistant d'impression SEAM ne s'efface pas correctement.

4188935: gkadmin: Le bouton Fermer de certaines fenêtres d'aide ne fonctionne pas correctement.

Description :

Lors de l'exécution de xhost pour l'outil d'administration SEAM à interface graphique, le bouton Fermer ne fonctionne pas correctement dans certaines fenêtres d'aide.

4189590: Les commandes kadmin et gkadmin devraient imprimer des chaînes différentes lorsque la durée de vie est 2^31-1

Description :

Lorsqu'un utilisateur crée un nouveau principal et que la durée de vie des tickets doit être définie du côté KDC, la valeur 2147483647 = 2^31-1 est enregistrée dans la base de données des principaux. Lors de l'affichage d'un principal, l'ILC et l'IUG ne devraient pas afficher la valeur 2147483647 (IUG) ou 24855 jours 03:14:07 (ILC), mais plutôt une chaîne plus conviviale. Ce type de vérification est déjà effectué lorsque la date 0 est imprimée sous la forme «Jamais».

4191906: L'heure indiquée dans le message d'avertissement lors de l'expiration du justificatif d'identité est incorrecte

Description :

Si l'expiration initiale du ticket est antérieure au seuil d'avertissement spécifié dans /etc/krb5/warn.conf, le message d'avertissement envoyé indique que le ticket va expirer à l'heure spécifiée dans le fichier warn.conf , et non à l'heure d'expiration du ticket.

4191933: Les tickets de service ne sont pas enregistrés dans le cache des tickets lorsque la commande kinit est utilisée avec une durée de vie inférieure à 30 minutes

Description :

Lorsqu'un utilisateur acquiert un justificatif d'identité (un ticket d'octroi de tickets) au moyen de kinit -l avec une durée de vie inférieure à 30 minutes, tout ticket de service dérivé du justificatif d'identité n'est pas présent dans le cache des tickets. Cause : lorsqu'un justificatif d'identité renouvelable a une durée de vie inférieure à 30 minutes, SEAM tente de renouveler automatiquement le justificatif d'identité afin de maximiser la facilité d'emploi. Le renouvellement d'un justificatif d'identité entraîne la suppression des justificatifs d'identité et des tickets de service antérieurs qui en sont dérivés. Il n'y a pas d'autre impact, car toute session créée au moyen de l'ancien ticket de service dure aussi longtemps que le ticket. N'exécutez pas kinit avec l'option -l en spécifiant une durée de vie de ticket inférieure à 30 minutes.

4193608: problèmes concernant kinit -s

Description :

Un utilisateur ne peut pas employer kinit pour acquérir un ticket postdaté qui débute plus de 19 jours après la date actuelle.

4193925: gkadmin: Comportement incohérent de la touche Entrée lors de la création d'une nouvelle politique

Description :

Actuellement, après l'entrée du nom d'une politique dans le panneau «Détails de la politique» au moyen des paramètres par défaut, la politique n'est pas créée automatiquement lorsque vous appuyez sur la touche Entrée (Retour). Appuyer sur la touche Entrée/Retour devrait avoir le même effet que de cliquer sur le bouton Terminé.

4194001: gkadmin: Le champ «Modifié par :» n'indique pas le nom complet

Description :

Le champ «Modifié par :» n'indique pas le nom de l'instance, de sorte que les principaux admin ne sont pas correctement identifiés.

4206443: Documentation de la durée de vie et la négociation de durée de vie renouvelable dans la page de manuel kinit

Description :

Lorsqu'un utilisateur spécifie une durée de vie sur la ligne de commande, la durée de vie réelle du ticket obtenue est la plus petite des valeurs suivantes :

• Valeur spécifiée sur la ligne de commande

• Valeur spécifiée dans le fichier de configuration du KDC

• Valeur spécifiée dans la base de données Kerberos pour le principal du serveur, dans le cas de kinit, il s'agit de krbtgt/<nom_du_secteur>.

• Valeur spécifiée dans la base de données Kerberos pour le principal d'utilisateur

4210970: gkadmin: L'Assistant d'entrée de la date et de l'heure ne remplace pas le 29 février par le 28 si l'année est changée

Description :

Le changement de l'année dans l'Assistant d'entrée de la date et de l'heure ne recalcule pas la date maximale admissible pour le mois en question.

4218214: gkadmin: La touche Retour ne fonctionne pas avec les boutons de l'interface graphique mis en évidence

Description :

On peut cliquer sur les boutons de l'interface graphique, mais pas activer le bouton mis en évidence en appuyant sur la touche Entrée ou Retour.

4220042: «kadmin: add_principal -expire "1/1/2000 7:00am" xhu» ne fonctionne pas

Description :

L'option -expire de la commande add_principal de kadmin ne fonctionne pas si une heure a.m. est spécifiée. Par exemple :

kadmin: add_principal -expire "9/1/1999 7:00am" xhu Date invalide "9/1/1999 7:00am".

Cependant, les heures p.m. n'occasionnent pas de problème. Pour spécifier une heure a.m., n'incluez pas «am» dans l'heure entrée pour une heure avant midi. Voici comment ajouter ce principal :

kadmin: add_principal -expire "9/1/1999 7:00"

4245090: Documentation de l'ajout de principaux sans utiliser DNS

Description :

Les procédures présentées dans la documentation SEAM ont été rédigées en fonction de l'emploi de DNS, donc tous les principaux d'hôte et de service utilisent des noms de domaine complets. Si vous n'utilisez pas DNS, n'incluez pas le nom du domaine lors de la création de principaux. Par exemple, kdc1.acme.com serait écrit kdc1.