Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
Planification de la mise en uvre PAM
Comment empêcher l'accès rhost à partir de systèmes distants avec PAM
Journalisation de rapports d'erreur PAM
Syntaxe du fichier de configuration PAM
Fonctionnement de la superposition PAM
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
La structure PAM (Pluggable Authentication Module, module d'authentification enfichable) permet ''d'enficher'' de nouveaux services d'authentification sans modifier les services de saisie système tels que login, ftp et telnet. Vous pouvez également utiliser PAM pour intégrer la connexion UNIX à d'autres mécanismes de sécurité tels que Kerberos. Des mécanismes de compte, d'informations d'identification, de session et de gestion des mots de passe peuvent également être "enfichés" grâce à cette structure.
La structure PAM permet de configurer l'utilisation des services de saisie système (tels que ftp, login, telnet ou rsh) pour authentifier l'utilisateur. La liste ci-dessous répertorie les avantages principaux de PAM :
Flexibilité de la stratégie de configuration
Stratégie d'authentification par application
Possibilité de choisir un mécanisme d'authentification par défaut
Possibilité de demander plusieurs autorisations sur les systèmes haute sécurité
Facilité d'utilisation pour l'utilisateur final
Pas de nouvelle saisie des mots de passe s'ils ne varient pas d'un service d'authentification à l'autre
Possibilité d'inviter l'utilisateur à saisir des mots de passe pour plusieurs services d'authentification sans qu'il ait à taper plusieurs commandes
Possibilité de transmettre des options facultatives aux services d'authentification des utilisateurs
Possibilité de mettre en place une stratégie de sécurité spécifique au site sans avoir à modifier les services de saisie système
La structure PAM s'organise autour de quatre composants :
Consommateurs PAM
Bibliothèque PAM
Fichier de configuration pam.conf(4)
Modules de service PAM, également appelés fournisseurs
La structure permet d'uniformiser les activités liées à l'authentification. Cette approche permet aux développeurs d'applications d'utiliser les services PAM sans connaissance préalable de la sémantique de la stratégie. Les algorithmes sont fournis de manière centralisée. Ils peuvent être modifiés indépendamment de chaque application. Grâce à PAM, les administrateurs peuvent adapter le processus d'authentification aux besoins d'un système particulier sans avoir à modifier aucune application. Les ajustements sont effectués par le biais du fichier de configuration PAM pam.conf.
La figure ci-dessous illustre l'architecture PAM. Les applications communiquent avec la bibliothèque PAM par l'intermédiaire de l'API (Application Programming Interface, interface de programmation d'application) PAM. Les modules PAM communiquent avec la bibliothèque PAM par l'intermédiaire de la SPI (Service Provider Interface, interface de fournisseur de services) PAM. Ainsi, la bibliothèque PAM permet aux applications et modules de communiquer entre eux.
Figure 17-1 Architecture PAM
La version Solaris10 inclut les modifications apportées à la structure PAM (Pluggable Authentication Module, module d'authentification enfichable) :
Le module pam_authtok_check permet maintenant une vérification stricte des mots de passe à l'aide de nouveaux paramètres réglables dans le fichier /etc/default/passwd. Les nouveaux paramètres définissent les éléments suivants :
une liste de fichiers dictionnaire dont les valeurs sont séparées par des virgules, utilisée pour vérifier les noms communs dans un mot de passe ;
les différences minimales requises entre un nouveau mot de passe et un ancien ;
le nombre minimal de caractères alphabétiques ou non alphabétiques devant être employés dans un nouveau mot de passe ;
le nombre minimal de lettres majuscules et minuscules devant être utilisées dans un nouveau mot de passe ;
le nombre de caractères répétés de manière consécutive autorisés ;
Le module pam_unix_auth met en œuvre le verrouillage des comptes pour les utilisateurs locaux. Le verrouillage des comptes est activé par le paramètre LOCK_AFTER_RETRIES dans le fichier /etc/security/policy.conf et par la clé lock_after-retries dans le fichier /etc/user_attr. Pour plus d'informations, reportez-vous aux pages de manuel policy.conf(4) et user_attr(4).
Un nouvel indicateur de contrôle binding a été défini. Cet indicateur de contrôle est décrit dans la page de manuel pam.conf(4) et à la section Fonctionnement de la superposition PAM.
Le module pam_unix a été supprimé et remplacé par un ensemble de modules de service de fonctionnalité équivalente ou supérieure. Un grand nombre de ces modules ont été introduits dans la version Solaris 9. En voici la liste :
pam_authtok_check
pam_authtok_get
pam_authtok_store
pam_dhkeys
pam_passwd_auth
pam_unix_account
pam_unix_auth
pam_unix_cred
pam_unix_session
La fonctionnalité du module pam_unix_auth a été répartie en deux modules. Le module pam_unix_auth vérifie maintenant l'exactitude du mot de passe de l'utilisateur. Le nouveau module pam_unix_cred fournit les fonctions qui permettent de définir les informations d'identification de l'utilisateur.
Des ajouts ont été apportés au module pam_krb5 pour gérer le cache des informations d'identification de Kerberos à l'aide de la structure PAM.
Le nouveau module pam_deny a été ajouté. Il permet de refuser l'accès à des services. Par défaut, le module pam_deny n'est pas utilisé. Pour plus d'informations, reportez-vous à la page de manuel pam_deny(5).