Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
Chiffrement DES avec NFS sécurisé
Authentification Diffie-Hellman et RPC sécurisé
Mise en uvre de l'authentification Diffie-Hellman
Administration du RPC sécurisé (liste des tâches)
Administration de l'authentification avec le RPC sécurisé (tâches)
Redémarrage du serveur de clé RPC sécurisé
Configuration d'une clé Diffie-Hellman pour un hôte NIS+
Configuration d'une clé Diffie-Hellman Key pour un utilisateur NIS+
Configuration d'une clé Diffie-Hellman pour un hôte NIS
Configuration d'une clé Diffie-Hellman Key pour un utilisateur NIS
Partage de fichiers NFS avec l'authentification Diffie-Hellman
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
En requérant l'authentification pour l'utilisation des systèmes de fichiers NFS montés, vous augmentez la sécurité de votre réseau.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
Cette procédure doit être effectuée sur chaque hôte du domaine NIS+. Une fois que root a exécuté la commande keylogin, le serveur dispose d'informations d'identification de l'accepteur GSS-API pour mech_dh et le client dispose d'informations d'identification de l'initiateur GSS-API.
Pour une description détaillée de la sécurité NIS+, reportez-vous au System Administration Guide: Naming and Directory Services (NIS+).
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Ajoutez la ligne suivante au fichier /etc/nsswitch.conf :
publickey: nisplus
# nisinit -cH hostname
où hostname est le nom d'un serveur NIS+ de confiance qui contient une entrée dans ses tables pour le système client.
Saisissez les commandes suivantes :
# nisaddcred local # nisaddcred des
Si vous êtes invité à saisir un mot de passe, la procédure s'est correctement exécutée.
# keylogin Password:
Exemple 16-1 Configuration d'une nouvelle clé pour root sur un client NIS+
L'exemple suivant utilise l'hôte pluto pour configurer earth en tant que client NIS+. Vous pouvez ignorer les avertissements. La commande keylogin est acceptée, la vérification que earth est correctement configuré en tant que client NIS+ sécurisé est en cours.
# nisinit -cH pluto NIS Server/Client setup utility. This system is in the example.com. directory. Setting up NIS+ client ... All done. # nisaddcred local # nisaddcred des DES principal name : unix.earth@example.com Adding new key for unix.earth@example.com (earth.example.com.) Network password:<Type password> Warning, password differs from login password. Retype password: <Retype password> # keylogin Password: <Type password> #
Cette procédure doit être effectuée sur chaque utilisateur du domaine NIS+.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Saisissez la commande suivante :
# nisaddcred -p unix.UID@domain-name -P username.domain-name. des
Notez que, dans ce cas, username.domain-name doit se terminer par un point (.).
Exemple 16-2 Configuration d'une nouvelle clé pour un utilisateur NIS+
Dans l'exemple suivant, une clé pour l'authentification Diffie-Hellman est attribuée à l'utilisateur jdoe.
# nisaddcred -p unix.1234@example.com -P jdoe.example.com. des DES principal name : unix.1234@example.com Adding new key for unix.1234@example.com (jdoe.example.com.) Password: <Type password> Retype password:<Retype password> # rlogin rootmaster -l jdoe % keylogin Password: <Type password> %
Cette procédure doit être effectuée sur chaque hôte du domaine NIS.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
Ajoutez la ligne suivante au fichier /etc/nsswitch.conf :
publickey: nis
# newkey -h hostname
où hostname est le nom du client.
Exemple 16-3 Configuration d'une nouvelle clé pour root sur un client NIS
Dans l'exemple ci-dessous, earth est configuré en tant que client NIS sécurisé.
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Cette procédure doit être effectuée sur chaque utilisateur du domaine NIS.
Avant de commencer
Seuls les administrateurs système, lorsqu'ils sont connectés au serveur maître NIS, peuvent générer une nouvelle clé pour un utilisateur.
Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Utilisation de la console de gestion Solaris (tâches) du Guide d’administration système : administration de base.
# newkey -u username
où username correspond au nom de l' utilisateur. Le système vous invite à saisir un mot de passe. Vous pouvez saisir un mot de passe générique. La clé privée est stockée sous forme chiffrée à l'aide du mot de passe générique.
Cette commande permet aux utilisateurs de re-chiffrer leurs clés privées avec un mot de passe uniquement connu de l'utilisateur.
Remarque - La commande chkey peut être utilisée pour créer une nouvelle paire de clés pour un utilisateur.
Exemple 16-4 Configuration et chiffrement d'une nouvelle clé utilisateur dans NIS
Dans cet exemple, le superutilisateur définit la clé.
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
L'utilisateur jdoe re-chiffre la clé à l'aide d'un mot de passe privé.
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
Cette procédure protège les systèmes de fichiers partagés sur un serveur NFS en requérant l'authentification pour l'accès.
Avant de commencer
L'authentification par clé publique Diffie-Hellman doit être activée sur le réseau. Pour activer l'authentification sur le réseau, effectuez l'une des opérations suivantes :
Le rôle d'administrateur système inclut le profil de gestion du système de fichiers. Pour créer le rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration de RBAC (liste des tâches).
# share -F nfs -o sec=dh /filesystem
où filesystem est le système de fichiers partagé.
L'option -o sec=dh signifie que l'authentification AUTH_DH est désormais requise pour accéder au système de fichiers.
# mount -F nfs -o sec=dh server:filesystem mount-point
Nom du système qui partage filesystem
Nom du système de fichiers partagé, tel que opt
Nom du point de montage, tel que /opt
L'option -o sec=dh permet de monter le système de fichiers avec l'authentification AUTH_DH.