JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Services de sécurité
Oracle Technology Network
Bibliothque
PDF
Aperu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

4.  Contrôle de l'accès aux périphériques (tâches)

5.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

6.  Contrôle de l'accès aux fichiers (tâches)

7.  Utilisation d'Automated Security Enhancement Tool (Tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Contrôle d'accès basé sur les rôles (référence)

11.  Privilèges (tâches)

12.  Privilèges (référence)

Partie IV Services cryptographiques

13.  Structure cryptographique Oracle Solaris (présentation)

14.  Structure cryptographique Oracle Solaris (tâches)

15.  Structure de gestion des clés Oracle Solaris

Partie V Services d'authentification et communication sécurisée

16.  Utilisation des services d'authentification (tâches)

17.  Utilisation de PAM

18.  Utilisation de SASL

19.  Utilisation d'Oracle Solaris Secure Shell (tâches)

20.  Oracle Solaris Secure Shell (référence)

Partie VI Service Kerberos

21.  Introduction au service Kerberos

22.  Planification du service Kerberos

23.  Configuration du service Kerberos (tâches)

24.  Messages d'erreur et dépannage de Kerberos

25.  Administration des principaux et des stratégies Kerberos (tâches)

Méthodes d'administration des principaux et des stratégies Kerberos

Outil SEAM

Équivalents de ligne de commande de l'Outil SEAM

Seul fichier modifié par l'Outil SEAM

Fonctions d'impression et d'aide en ligne de l'Outil SEAM

Utilisation de grandes listes dans l'Outil SEAM

Procédure de démarrage de l'Outil SEAM

Gestion des principaux de Kerberos

Gestion des principaux de Kerberos (liste des tâches)

Automatisation de la création de principaux Kerberos

Affichage de la liste des principaux Kerberos

Affichage des attributs d'un principal Kerberos

Création d'un principal Kerberos

Duplication d'un principal Kerberos

Modification d'un principal Kerberos

Suppression d'un principal Kerberos

Paramétrage des valeurs par défaut pour la création de principaux Kerberos

Modification des privilèges d'administration Kerberos

Administration des stratégies Kerberos

Administration des stratégies Kerberos (liste des tâches)

Affichage de la liste des stratégies Kerberos

Affichage des attributs d'une stratégie Kerberos

Création d'une stratégie Kerberos

Duplication d'une stratégie Kerberos

Modification d'une stratégie Kerberos

Suppression d'une stratégie Kerberos

Référence de l'Outil SEAM

Descriptions des panneaux de l'Outil SEAM

Utilisation de l'Outil SEAM avec privilèges d'administration Kerberos limités

Administration des fichiers keytab

Administration des fichiers keytab (liste des tâches)

Ajout d'un principal de service Kerberos à un fichier keytab

Suppression d'un principal de service d'un fichier keytab

Affichage de la liste de clés (principaux) dans un fichier keytab

Désactivation temporaire de l'authentification d'un service sur un hôte

26.  Utilisation des applications Kerberos (tâches)

27.  Service Kerberos (référence)

Partie VII Audit Oracle Solaris

28.  Audit Oracle Solaris (présentation)

29.  Planification de l'audit Oracle Solaris

30.  Gestion de l'audit Oracle Solaris (tâches)

31.  Audit Oracle Solaris (référence)

Glossaire

Index

Référence de l'Outil SEAM

Cette section fournit les descriptions de chaque panneau de l'Outil SEAM . En outre, des d'informations sur l'utilisation de privilèges limités avec l'Outil SEAM sont fournies.

Descriptions des panneaux de l'Outil SEAM

Cette section fournit des descriptions pour chaque attribut de principal et de stratégie que vous pouvez spécifier ou afficher dans l'outil SEAM. Les attributs sont organisés par le panneau dans lequel ils sont affichés.

Tableau 25-2 Attributs pour le panneau Principal Basics de l'Outil SEAM

Attribut
Description
Nom du principal
Nom du principal (qui est la partie primary/ instance d'un nom complet de principal). Un principal est une identité unique à laquelle le KDC peut affecter les tickets.

Si vous modifiez un principal, vous ne pouvez pas modifier son nom.

Password (Mot de passe)
Mot de passe du principal. Vous pouvez utiliser le bouton Generate Random Password (Générer un mot de passe aléatoire) pour créer un mot de passe aléatoire pour le principal.
Policy (Stratégie)
Menu des stratégies disponibles pour le principal.
Account Expires (Expiration du compte)
Date et heure d'expiration du compte principal. Lorsque le compte expire, le principal ne peut plus obtenir un ticket d'octroi de tickets (TGT) et peut être incapable de se connecter.
Last Principal Change (Dernière modification de principal)
Date à laquelle les informations du principal ont été modifiées pour la dernière fois. (Lecture seule)
Last Changed By (Dernière modification par)
Nom du principal qui a modifié en dernier le compte de ce principal. (Lecture seule)
Comments (Commentaires)
Commentaires liés au principal (par exemple, « compte temporaire »).

Tableau 25-3 Attributs pour le panneau Principal Details de l'Outil SEAM

Attribut
Description
Last Success (Dernier succès)
Date et heure de la dernière connexion réussie du principal. (Lecture seule)
Last Failure (Dernier échec)
Date et heure du dernier échec de connexion du principal. (Lecture seule)
Failure Count (Nombre d'échecs)
Nombre de fois où une erreur de connexion s'est produite pour le principal. (Lecture seule)
Last Password Change (Dernière modification du mot de passe)
Date et heure auxquelles le mot de passe du principal a été modifié pour la dernière fois. (Lecture seule)
Password Expires (Date d'expiration du mot de passe)
Date et heure auxquelles le mot de passe actuel du principal expire.
Key Version (Version de la clé)
Numéro de version de la clé pour le principal. Cet attribut n'est généralement modifié que quand le mot de passe est compromis.
Maximum Lifetime (seconds) (Durée de vie maximale (en secondes))
Durée maximale pour laquelle un ticket peut être accordé au principal (sans renouvellement).
Maximum Renewal (seconds) (Renouvellement maximal (en secondes))
Durée maximale pendant laquelle un ticket peut être renouvelé pour le principal.

Tableau 25-4 Attributs du panneau Principal Flags (Indicateur de principal) de l'Outil SEAM

Attribut (boutons radio)
Description
Disable Account (Désactiver un compte)
Lorsqu'elle est sélectionnée, cette option empêche le principal de se connecter. Cet attribut fournit un moyen facile de geler temporairement un compte principal.
Require Password Change (Exiger la modification du mot de passe)
Lorsque cette option est sélectionnée, l'option fait expirer le mot de passe en cours du principal, ce qui oblige l'utilisateur à utiliser la commande kpasswd pour créer un nouveau mot de passe. Cet attribut est utile si une violation de la sécurité se produit et que vous devez vous assurer que les anciens mots de passe sont remplacés.
Allow Postdated Tickets (Autoriser les tickets postdatés)
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des tickets postdatés.

Par exemple, vous pouvez avoir besoin d'utiliser des tickets postdatés pour les tâches de cron qui doivent s'exécuter après les heures de bureau, mais vous ne pouvez pas obtenir de tickets en avance en raison de courtes durées de vie de tickets.

Allow Forwardable Tickets (Autoriser les tickets transmissibles)
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des tickets transmissibles.

Les tickets transmissibles sont des tickets qui sont transmis à l'hôte distant pour fournir une session à connexion unique. Par exemple, si vous utilisez des tickets transmissibles et que vous authentifiez via ftp ou rsh, d'autres services, tels que les services NFS, sont alors disponibles sans que vous soyez invité à saisir un autre mot de passe.

Allow Renewable Tickets (Autoriser les tickets renouvelables)
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des tickets renouvelables.

Un principal peut étendre automatiquement la date d'expiration ou le temps qu'un ticket peut être renouvelable (plutôt que d'avoir à obtenir un nouveau ticket une fois que le premier ticket arrive à expiration). Actuellement, le service NFS est le service de ticket qui peut renouveler les tickets.

Allow Proxiable Tickets (Autoriser les tickets utilisables avec proxy)
Lorsqu'elle est sélectionnée, cette option permet au principal d'obtenir des tickets utilisables avec proxy.

Un ticket utilisable avec proxy est un ticket qui peut être utilisé par un service pour le compte d'un client afin d'effectuer une opération pour ce dernier. Avec un ticket utilisable avec proxy, un service peut prendre l'identité d'un client et obtenir un ticket pour un autre service. Toutefois, le service ne peut pas obtenir de ticket d'octroi de tickets (TGT).

Allow Service Tickets (Autoriser les tickets de service)
Lorsqu'elle est sélectionnée, cette option permet aux tickets de service d'être émis pour le principal.

Vous ne devez pas autoriser les tickets de service à être émis pour les principaux kadmin/hostname et changepw/ hostname. Cette pratique permet de s'assurer que seuls ces principaux peuvent mettre à jour la base de données KDC.

Allow TGT-Based Authentication (Autoriser l'authentification par TGT)
Lorsque cette option est sélectionnée, le principal de service est autorisé à fournir des services à un autre principal. Plus précisément, cet attribut autorise le KDC à émettre un ticket de service pour le service principal.

Cet attribut est uniquement valable pour les principaux de service. Lorsque ce bouton n'est pas coché, les tickets de service ne peuvent pas être émis pour le principal de service.

Allow Duplicate Authentication (Autoriser la duplication d'authentification)
Lorsqu'elle est sélectionnée, cette option autorise le principal d'utilisateur à obtenir des tickets de service pour d'autres principaux d'utilisateur.

Cet attribut est uniquement valide pour les principaux d'utilisateur. Si cette option n'est pas sélectionnée, le principal d'utilisateur peut toujours obtenir des tickets de service pour les principaux de service, mais pas pour d'autres principaux d'utilisateur.

Required Preauthentication (Pré-authentification requise)
Lorsque cette option est sélectionnée, le KDC n'envoie pas le ticket d'octroi de tickets (TGT) demandé au principal jusqu'à ce que le KDC puisse authentifier (par le biais d'un logiciel) que le principal est bien celui qui demande le ticket. Cette pré-authentification est généralement effectuée par le biais d'un mot de passe supplémentaire, par exemple, à partir d'une carte DES.

Si elle n'est pas sélectionnée, le KDC n'a pas besoin de pré-authentifier le principal avant que le KDC lui envoie un TGT demandé.

Required Hardware Authentication (Authentification matérielle requise)
Lorsque cette option est sélectionnée, le KDC n'envoie pas le ticket d'octroi de tickets (TGT) demandé au principal jusqu'à ce que le KDC puisse authentifier (par le biais d'un matériel) que le principal est bien celui qui demande le ticket. La pré-authentification matérielle peut se produire, par exemple, sur un lecteur d'anneau Java.

Si elle n'est pas sélectionnée, le KDC n'a pas besoin de pré-authentifier le principal avant que le KDC lui envoie un TGT demandé.

Tableau 25-5 Attributs pour le panneau Policy Basics de l'Outil SEAM

Attribut
Description
Nom de la stratégie
Nom de la stratégie. Une stratégie est un ensemble de règles qui régissent le mot de passe et les tickets d'un principal.

Si vous modifiez une stratégie, vous ne pouvez pas modifier son nom.

Minimum Password Length (Longueur minimale de mot de passe)
Longueur minimale du mot de passe du principal.
Minimum Password Classes (Nombre minimal de classes de mot de passe)
Nombre minimal de types de caractères différents qui sont requis dans le mot de passe du principal.

Par exemple, une valeur de classes minimales de 2 signifie que le mot de passe doit comporter au moins deux types de caractères différents, tels que des lettres et des chiffres (hi2mom). Une valeur de 3 signifie que le mot de passe doit comporter au moins trois types de caractères différents, comme des lettres, des chiffres et des signes de ponctuation (hi2mom!). Et ainsi de suite...

Une valeur de 1 définit signifie l'absence de restriction sur le nombre de types de caractères de mot de passe.

Saved Password History (Historique de mots de passe enregistrés)
Nombre de mots de passe précédents qui ont été utilisés par le principal et liste des mots de passe précédents ne pouvant plus être utilisés.
Minimum Password Lifetime (seconds) (Durée de vie minimale du mot de passe (en secondes))
Période minimale pendant laquelle le mot de passe doit être utilisé avant de pouvoir être changé.
Maximum Password Lifetime (seconds) (Durée de vie maximale du mot de passe (en secondes))
Période maximale pendant laquelle le mot de passe peut être utilisé avant de devoir être changé.
Principals Using This Policy (Principaux utilisant cette stratégie)
Nombre de principaux auquel cette stratégie s'applique actuellement. (Lecture seule)

Utilisation de l'Outil SEAM avec privilèges d'administration Kerberos limités

Toutes les fonctions de l'outil SEAM sont disponibles si votre principal admin dispose de tous les privilèges d'administration de la base de données Kerberos. Cependant, il se peut que vous ayez des privilèges limités, tels qu'être seulement autorisé à consulter la liste des principaux ou à modifier le mot de passe d'un principal. Avec des privilèges d'administration Kerberos limités, vous pouvez toujours utiliser l'outil SEAM. Cependant, diverses parties de l'outil SEAM changent en fonction des privilèges d'administration Kerberos dont vous ne disposez pas. Tableau 25-6 montre comment l'outil SEAM change en fonction de vos privilèges d'administration Kerberos.

Le changement le plus visible de l'outil SEAM se produit lorsque vous ne disposez pas du privilège de liste. Sans le privilège de liste, les panneaux de listes n'affichent pas la liste des principaux et les stratégies à manipuler. Au lieu de cela, vous devez utiliser le champ de nom dans les panneaux de listes pour spécifier un principal ou une stratégie que vous voulez manipuler.

Si vous vous connectez à l'outil SEAM et que vous ne disposez pas de privilèges suffisants pour effectuer des tâches avec lui, le message suivant s'affiche et vous êtes renvoyé à la fenêtre de connexion d'administration SEAM : 

Insufficient privileges to use gkadmin: ADMCIL. Please try using another principal.

Pour modifier les privilèges d'un principal afin qu'il puisse administrer la base de données Kerberos, reportez-vous à la section Modification des privilèges d'administration Kerberos.

Tableau 25-6 Utilisation de l'outil SEAM avec des privilèges d'administration Kerberos limités

Privilège non autorisé
Changements de l'outil SEAM
a (ajouter)
Les boutons Create New et Duplicate ne sont pas disponibles dans les panneaux Principal List et Policy List. Sans le privilège d'ajout, vous ne pouvez pas créer de principaux ou de stratégies, ni les dupliquer.
d (supprimer)
Le bouton Delete n'est pas disponible dans les panneaux Principal List et Policy List. Sans le privilège de suppression, vous ne pouvez pas supprimer de principaux ou de stratégies.
m (modifier)
Le bouton Modify n'est pas disponible dans les panneaux Principal List et Policy List. Sans le privilège de modification, vous ne pouvez pas modifier de principaux ou de stratégies.

En outre, avec le bouton Modify non disponible, vous ne pouvez pas modifier le mot de passe d'un principal, même si vous avez le privilège de modification de mot de passe.

c (modifier un mot de passe)
Le champ Password du panneau Principal Basics est en lecture seule et ne peut pas être modifié. Sans le privilège de changement de mot de passe, vous ne pouvez pas modifier le mot de passe d'un principal.

Notez que même si vous avez le privilège changement de mot de passe, vous devez également avoir le privilège de modification pour modifier le mot de passe d'un principal.

i (consultation de base de données)
Les boutons Modify et Duplicate ne sont pas disponibles dans les panneaux Principal List et Policy List. Sans le privilège de consultation, vous ne pouvez pas modifier ou dupliquer de principaux ou de stratégies.

En outre, avec le bouton Modify non disponible, vous ne pouvez pas modifier le mot de passe d'un principal, même si vous avez le privilège de modification de mot de passe.

l (liste)
La liste des principaux et des stratégies dans les panneaux de liste est indisponible. Au lieu de cela, vous devez utiliser le champ de nom dans les panneaux de listes pour spécifier un principal ou une stratégie que vous voulez manipuler.
Copyright © 2002, 2011, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant