Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
Configuration du service Kerberos (liste des tâches)
Configuration de services Kerberos supplémentaires (liste des tâches)
Configuration des serveurs KDC
Procédure de configuration manuelle d'un KDC maître
Procédure de configuration d'un KDC pour l'utilisation d'un serveur de données LDAP
Procédure de configuration manuelle d'un KDC esclave
Procédure d'actualisation des clés TGS sur un serveur maître
Configuration de l'authentification inter-domaine
Procédure d'établissement de l'authentification inter-domaine hiérarchique
Procédure d'établissement de l'authentification inter-domaine directe
Configuration des serveurs d'application réseau Kerberos
Procédure de configuration d'un serveur d'application réseau Kerberos
Configuration de serveurs NFS Kerberos
Procédure de configuration des serveurs NFS Kerberos
Création d'une table d'informations d'identification
Ajout d'une entrée unique à la table d'informations d'identification
Procédure de mappage d'informations d'identification entre domaines
Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos
Configuration des clients Kerberos
Configuration des clients Kerberos (liste des tâches)
Procédure de création d'un profil d'installation de client Kerberos
Configuration automatique d'un client Kerberos
Configuration interactive d'un client Kerberos
Configuration manuelle d'un client Kerberos
Désactivation de la vérification du TGT
Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root
Configuration de la migration automatique des utilisateurs dans un domaine Kerberos
Synchronisation des horloges entre les KDC et les clients Kerberos
Échange d'un KDC maître et d'un KDC esclave
Configuration d'un KDC échangeable
Procédure d'échange d'un KDC maître et d'un KDC esclave
Administration de la base de données Kerberos
Sauvegarde et propagation de la base de données Kerberos
Sauvegarde de la base de données Kerberos
Procédure de restauration de la base de données Kerberos
Procédure de conversion d'une base de données Kerberos après une mise à niveau du serveur
Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle
Procédure de reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle
Procédure de configuration d'un KDC esclave pour l'utilisation de la propagation complète
Procédure de vérification de la synchronisation des serveurs KDC
Propagation manuelle de la base de données Kerberos aux KDC esclaves
Configuration d'une propagation parallèle
Étapes de configuration d'une propagation parallèle
Administration du fichier stash
Procédure de suppression d'un fichier stash
Gestion d'un KDC sur un serveur d'annuaire LDAP
Procédure de suppression d'un domaine d'un serveur d'annuaire LDAP
Renforcement de la sécurité des serveurs Kerberos
Procédure d'activation des applications utilisant Kerberos uniquement
Procédure de restriction de l'accès aux serveurs KDC
Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Il existe plusieurs manières de relier les domaines pour que les utilisateurs d'un domaine puissent être authentifiés dans un autre domaine. L'authentification inter-domaine est réalisée par la mise en place d'une clé secrète partagée par les deux domaines. La relation entre les domaines peut être hiérarchique ou directionnelle (voir Hiérarchie des domaines).
L'exemple de cette procédure utilise deux domaines, ENG.EAST.EXAMPLE.COM et EAST.EXAMPLE.COM. L'authentification inter-domaine est établie dans les deux directions. Cette procédure doit être effectuée sur le KDC maître dans les deux domaines.
Avant de commencer
Le KDC maître de chaque domaine doit être configuré. Pour tester complètement le processus d'authentification, plusieurs clients Kerberos doivent être configurés.
Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lorsque vous avez configuré le KDC maître.
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM: <Type password> kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type password> kadmin: quit
Remarque - Le mot de passe que vous avez spécifié pour chaque service de principal doit être identique dans les deux KDC. Par conséquent, le mot de passe pour le service principal krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM doit être le même dans les deux domaines.
# cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.example.com = ENG.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
Dans cet exemple, les noms de domaine pour ENG.EAST.EXAMPLE.COM et EAST.EXAMPLE.COM sont définis. Il est important d'inclure d'abord le sous-domaine, parce que la recherche dans le fichier s'effectue du haut vers le bas.
Pour que l'authentification inter-domaine fonctionne, la nouvelle version du fichier de configuration Kerberos (/etc/krb5/krb5.conf ) doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).
L'exemple de cette procédure utilise deux domaines, ENG.EAST.EXAMPLE.COM et SALES.WEST.EXAMPLE.COM. L'authentification inter-domaine est établie dans les deux directions. Cette procédure doit être effectuée sur le KDC maître dans les deux domaines.
Avant de commencer
Le KDC maître de chaque domaine doit être configuré. Pour tester complètement le processus d'authentification, plusieurs clients Kerberos doivent être configurés.
Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lorsque vous avez configuré le KDC maître.
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM: <Type the password> kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type the password> kadmin: quit
Remarque - Le mot de passe que vous avez spécifié pour chaque service de principal doit être identique dans les deux KDC. Par conséquent, le mot de passe pour le service principal krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM doit être identique dans les deux domaines.
Cet exemple représente les clients dans le domaine ENG.EAST.EXAMPLE.COM. Vous pourriez avoir besoin de changer le nom de domaine pour obtenir les définitions adéquates dans le domaine SALES.WEST.EXAMPLE.COM.
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { ENG.EAST.EXAMPLE.COM = . }
Pour que l'authentification inter-domaine fonctionne, la nouvelle version du fichier de configuration Kerberos (/etc/krb5/krb5.conf ) doit être installée sur tous les systèmes (y compris les KDC esclaves et les autres serveurs).