JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Services de sécurité
Oracle Technology Network
Bibliothque
PDF
Aperu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

4.  Contrôle de l'accès aux périphériques (tâches)

5.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

6.  Contrôle de l'accès aux fichiers (tâches)

7.  Utilisation d'Automated Security Enhancement Tool (Tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Contrôle d'accès basé sur les rôles (référence)

11.  Privilèges (tâches)

12.  Privilèges (référence)

Partie IV Services cryptographiques

13.  Structure cryptographique Oracle Solaris (présentation)

14.  Structure cryptographique Oracle Solaris (tâches)

15.  Structure de gestion des clés Oracle Solaris

Partie V Services d'authentification et communication sécurisée

16.  Utilisation des services d'authentification (tâches)

17.  Utilisation de PAM

18.  Utilisation de SASL

19.  Utilisation d'Oracle Solaris Secure Shell (tâches)

20.  Oracle Solaris Secure Shell (référence)

Partie VI Service Kerberos

21.  Introduction au service Kerberos

22.  Planification du service Kerberos

23.  Configuration du service Kerberos (tâches)

Configuration du service Kerberos (liste des tâches)

Configuration de services Kerberos supplémentaires (liste des tâches)

Configuration des serveurs KDC

Procédure de configuration manuelle d'un KDC maître

Procédure de configuration d'un KDC pour l'utilisation d'un serveur de données LDAP

Procédure de configuration manuelle d'un KDC esclave

Procédure d'actualisation des clés TGS sur un serveur maître

Configuration de l'authentification inter-domaine

Procédure d'établissement de l'authentification inter-domaine hiérarchique

Procédure d'établissement de l'authentification inter-domaine directe

Configuration des serveurs d'application réseau Kerberos

Procédure de configuration d'un serveur d'application réseau Kerberos

Configuration de serveurs NFS Kerberos

Procédure de configuration des serveurs NFS Kerberos

Création d'une table d'informations d'identification

Ajout d'une entrée unique à la table d'informations d'identification

Procédure de mappage d'informations d'identification entre domaines

Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos

Configuration des clients Kerberos

Configuration des clients Kerberos (liste des tâches)

Procédure de création d'un profil d'installation de client Kerberos

Configuration automatique d'un client Kerberos

Configuration interactive d'un client Kerberos

Configuration manuelle d'un client Kerberos

Désactivation de la vérification du TGT

Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root

Configuration de la migration automatique des utilisateurs dans un domaine Kerberos

Synchronisation des horloges entre les KDC et les clients Kerberos

Échange d'un KDC maître et d'un KDC esclave

Configuration d'un KDC échangeable

Procédure d'échange d'un KDC maître et d'un KDC esclave

Administration de la base de données Kerberos

Sauvegarde et propagation de la base de données Kerberos

Fichier kpropd.acl

Commande kprop_script

Sauvegarde de la base de données Kerberos

Procédure de restauration de la base de données Kerberos

Procédure de conversion d'une base de données Kerberos après une mise à niveau du serveur

Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle

Procédure de reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle

Procédure de configuration d'un KDC esclave pour l'utilisation de la propagation complète

Procédure de vérification de la synchronisation des serveurs KDC

Propagation manuelle de la base de données Kerberos aux KDC esclaves

Configuration d'une propagation parallèle

Étapes de configuration d'une propagation parallèle

Administration du fichier stash

Procédure de suppression d'un fichier stash

Gestion d'un KDC sur un serveur d'annuaire LDAP

Procédure d'association des attributs de principaux Kerberos dans un type de classe d'objet non Kerberos

Procédure de suppression d'un domaine d'un serveur d'annuaire LDAP

Renforcement de la sécurité des serveurs Kerberos

Procédure d'activation des applications utilisant Kerberos uniquement

Procédure de restriction de l'accès aux serveurs KDC

Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe

24.  Messages d'erreur et dépannage de Kerberos

25.  Administration des principaux et des stratégies Kerberos (tâches)

26.  Utilisation des applications Kerberos (tâches)

27.  Service Kerberos (référence)

Partie VII Audit Oracle Solaris

28.  Audit Oracle Solaris (présentation)

29.  Planification de l'audit Oracle Solaris

30.  Gestion de l'audit Oracle Solaris (tâches)

31.  Audit Oracle Solaris (référence)

Glossaire

Index

Configuration des serveurs d'application réseau Kerberos

Les serveurs d'application réseau sont des hôtes fournissant un accès à l'aide d'une ou plusieurs applications réseau parmi les suivantes : ftp, rcp, rlogin, rsh, ssh et telnet. Seules quelques étapes sont nécessaires pour activer la version Kerberos de ces commandes sur un serveur.

Procédure de configuration d'un serveur d'application réseau Kerberos

Cette procédure utilise les paramètres de configuration ci-dessous :

Avant de commencer

Cette procédure nécessite que le KDC maître ait été configuré. Pour tester complètement le processus, plusieurs clients Kerberos doivent être configurés.

  1. (Facultatif) Installez le client NTP ou un autre mécanisme de synchronisation d'horloge.

    Pour plus d'informations sur le protocole NTP, reportez-vous à la section Synchronisation des horloges entre les KDC et les clients Kerberos.

  2. Ajoutez des principaux pour le nouveau serveur et mettez à jour le fichier keytab du serveur.

    La commande suivante indique l'existence de l'hôte principal :

    boston # klist -k |grep host
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM

    Si la commande ne renvoie pas de principal, créez de nouveaux comptes utilisateur en suivant les étapes ci-dessous.

    L'utilisation de l'outil d'administration graphique Kerberos pour ajouter un principal est expliquée à la section Création d'un principal Kerberos. L'exemple dans les étapes suivantes montre comment ajouter les principaux requis à l'aide de la ligne de commande. Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lors de la configuration du KDC maître.

    boston # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:
    1. Créez l'host principal du serveur.

      L'host principal est utilisé :

      • pour authentifier le trafic lors de l'utilisation des commandes à distance, comme rsh et ssh ;

      • par pam_krb5 afin d'empêcher les attaques par mystification de KDC en utilisant l'host principal pour vérifier que les informations d'identification Kerberos d'un utilisateur ont été obtenues auprès d'un KDC de confiance ;

      • pour autoriser l'utilisateur root à acquérir automatiquement des informations d'identification Kerberos en l'absence d'un principal root. Cela peut être utile lors d'un montage NFS manuel où le partage requiert des informations d'identification Kerberos.

      Ce principal est obligatoire si le trafic qui utilise l'application distante doit être authentifié à l'aide du service Kerberos. Si le serveur a plusieurs noms d'hôte associés, créez un principal pour chaque nom d'hôte sous la forme de nom de domaine complet(FQDN) du nom d'hôte.

      kadmin: addprinc -randkey host/boston.example.com
Principal "host/boston.example.com" created.
kadmin:
    2. Ajoutez l'host principal du serveur au fichier keytab du serveur.

      Si la commande kadmin n'est pas en cours d'exécution, redémarrez-la avec une commande similaire à la suivante : /usr/sbin/kadmin -p kws/admin .

      Si le serveur a plusieurs noms d'hôte associés, ajoutez un principal au fichier keytab de chaque nom d'hôte.

      kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
    3. Quittez kadmin.
      kadmin: quit
Copyright © 2002, 2011, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant