Protocoles d'attribution de droits

La présente version du logiciel OpenWindows supporte deux protocoles d'attribution de droits, MIT-MAGIC-COOKIE-1 et SUN-DES-1, qui diffèrent par leurs types de données, mais utilisent, en revanche, le même mécanisme de contrôle d'accès. Le serveur ne peut mettre en oeuvre qu'un protocole à la fois. MIT-MAGIC-COOKIE-1, qui fait appel au mécanisme basé sur l'utilisateur, est le protocole par défaut du logiciel OpenWindows.

MIT-MAGIC-COOKIE-1

Le protocole d'attribution de droits (ou d'autorisation) MIT-MAGIC-COOKIE-1 a été développé par le Massachusetts Institute of Technology. Au démarrage du serveur, un "magic cookie" est attribué à ce dernier et à l'utilisateur qui a initialisé le système. A chaque tentative de connexion, le client de cet utilisateur envoie au serveur le "magic cookie" avec le paquet de connexion, pour comparaison avec celui du serveur. Si les deux "magic cookies" sont identiques, la connexion est établie ; sinon, elle est refusée.

SUN-DES-1

Développé par Sun Microsystems, le protocole d'attribution de droits SUN-DES-1 est basé sur l'appel de procédure distante sécurisé (Secure RPC) et requiert l'algorithme de chiffrement de données DES (Data Encryption Software). Les droits d'accès sont basés sur l'identité réseau de l'utilisateur, indépendamment de la machine utilisée. Cette information est chiffrée et envoyée au serveur avec le paquet de connexion. Le serveur décrypte l'information et, s'il reconnaît l'identité réseau, autorise la connexion.

Ce protocole offre un niveau de sécurité plus élevé que le protocole MIT-MAGIC-COOKIE-1. En aucun cas, un autre utilisateur ne peut accéder au serveur sous votre identité réseau, alors qu'il peut le faire avec le "magic cookie".

Ce protocole est disponible uniquement dans les bibliothèques OpenWindows Version 3 et environnements ultérieurs. Toute application construite avec des bibliothèques statiques, notamment Xlib, dans des environnements antérieurs à OpenWindows Version 3 ne peuvent faire appel à ce protocole d'attribution de droits d'accès.

La section"Attribution des droits d'accès à l'aide du protocole SUN-DES-1 "" du présent chapitre explique comment permettre à d'autres utilisateurs d'accéder à votre serveur en ajoutant leur nom sur la liste d'accès du serveur.

Modification du protocole d'attribution de droits par défaut

Vous pouvez remplacer le protocole d'attribution de droits par défaut, MIT-MAGIC-COOKIE-1, par SUN_DES-1, l'autre protocole supporté, ou encore ne spécifier aucun mécanisme de contrôle d'accès basé sur l'utilisateur. Il suffit pour cela d'indiquer des options avec la commande openwin. Par exemple, pour remplacer le protocole par défaut MIT-MAGIC-COOKIE-1 par SUN-DES-1, lancez le logiciel OpenWindows de la façon suivante :

exemple% openwin -auth sun-des

Pour exécuter OpenWindows sans le mécanisme de contrôle d'accès basé sur l'utilisateur, servez-vous de l'option de ligne de commande -noauth :

exemple% openwin -noauth

l'option -noauth réduit le niveau de sécurité. Elle revient à exécuter OpenWindows avec le mécanisme de contrôle d'accès basé sur la machine seulement puisque le mécanisme basé sur l'utilisateur est désactivé par le serveur. Par conséquent, quiconque peut exécuter des applications sur votre machine a accès également à votre serveur.