Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
Configuration du service Kerberos (liste des tâches)
Configuration de services Kerberos supplémentaires (liste des tâches)
Configuration des serveurs KDC
Procédure de configuration manuelle d'un KDC maître
Procédure de configuration d'un KDC pour l'utilisation d'un serveur de données LDAP
Procédure de configuration manuelle d'un KDC esclave
Procédure d'actualisation des clés TGS sur un serveur maître
Configuration de l'authentification inter-domaine
Procédure d'établissement de l'authentification inter-domaine hiérarchique
Procédure d'établissement de l'authentification inter-domaine directe
Configuration des serveurs d'application réseau Kerberos
Procédure de configuration d'un serveur d'application réseau Kerberos
Configuration de serveurs NFS Kerberos
Procédure de configuration des serveurs NFS Kerberos
Création d'une table d'informations d'identification
Ajout d'une entrée unique à la table d'informations d'identification
Procédure de mappage d'informations d'identification entre domaines
Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos
Configuration des clients Kerberos
Configuration des clients Kerberos (liste des tâches)
Procédure de création d'un profil d'installation de client Kerberos
Configuration automatique d'un client Kerberos
Configuration interactive d'un client Kerberos
Configuration manuelle d'un client Kerberos
Désactivation de la vérification du TGT
Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root
Configuration de la migration automatique des utilisateurs dans un domaine Kerberos
Synchronisation des horloges entre les KDC et les clients Kerberos
Échange d'un KDC maître et d'un KDC esclave
Configuration d'un KDC échangeable
Procédure d'échange d'un KDC maître et d'un KDC esclave
Administration de la base de données Kerberos
Sauvegarde et propagation de la base de données Kerberos
Sauvegarde de la base de données Kerberos
Procédure de restauration de la base de données Kerberos
Procédure de conversion d'une base de données Kerberos après une mise à niveau du serveur
Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle
Procédure de reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle
Procédure de configuration d'un KDC esclave pour l'utilisation de la propagation complète
Procédure de vérification de la synchronisation des serveurs KDC
Propagation manuelle de la base de données Kerberos aux KDC esclaves
Configuration d'une propagation parallèle
Étapes de configuration d'une propagation parallèle
Administration du fichier stash
Procédure de suppression d'un fichier stash
Gestion d'un KDC sur un serveur d'annuaire LDAP
Procédure de suppression d'un domaine d'un serveur d'annuaire LDAP
Renforcement de la sécurité des serveurs Kerberos
Procédure d'activation des applications utilisant Kerberos uniquement
Procédure de restriction de l'accès aux serveurs KDC
Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Les services NFS utilisent les ID d'utilisateur (UID) UNIX pour identifier un utilisateur et ne peuvent pas utiliser directement les informations d'identification GSS. Pour traduire les données d'identification en UID, il peut être nécessaire de créer une table mappant les informations d'identification d'utilisateur et les UID UNIX. Pour plus d'informations sur le mappage par défaut des informations d'identification, reportez-vous à la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX. Les procédures décrites dans cette section se concentrent sur les tâches nécessaires pour configurer un serveur Kerberos NFS, administrer la table d'informations d'identification Kerberos, et initier des modes de sécurité pour les systèmes de fichiers montés sur NFS. La liste ci-dessous décrit les tâches traitées dans cette section.
Tableau 23-2 Configuration de serveurs Kerberos NFS (liste des tâches)
|
Dans cette procédure, les paramètres de configuration suivants sont utilisés :
Nom de domaine = EXAMPLE.COM
Nom de domaine DNS = example.com
Serveur NFS = denver.example.com
admin principal = kws/admin
Le KDC maître doit être configuré. Pour tester complètement le processus, vous avez besoin de plusieurs clients.
L'installation et l'utilisation du protocole NTP (Network Time Protocol) ne sont pas requises. Cependant, chaque horloge doit être synchronisée avec l'heure sur le serveur KDC dans une différence maximum définie par la relation clockskew dans le fichier krb5.conf pour que l'opération d'authentification réussisse. Pour plus d'informations sur le protocole NTP, reportez-vous à la section Synchronisation des horloges entre les KDC et les clients Kerberos.
Suivez les instructions de la section Configuration des clients Kerberos.
Vous pouvez utiliser l'outil d'administration graphique Kerberos pour ajouter un principal, comme expliqué dans la section Création d'un principal Kerberos. Pour ce faire, vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créés lorsque vous avez configuré le KDC maître. Toutefois, l'exemple ci-après montre comment ajouter les principaux requis à l'aide de la ligne de commande.
denver # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
Notez que lorsque l'instance de principal est un nom d'hôte, le nom de domaine complet (FQDN) doit être spécifié en minuscules, quelle que soit la casse du nom de domaine dans le fichier /etc/resolv.conf.
Répétez cette étape pour chaque interface unique sur le système susceptible d'être utilisée pour accéder aux données NFS. Si un hôte possède plusieurs interfaces avec des noms uniques, chaque nom unique doit avoir son propre principal de service NFS.
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
Répétez cette étape pour chaque principal de service dans l'Étape a.
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
Normalement, le service Kerberos génère des mappages appropriés entre les informations d'identification GSS et les UID UNIX. Le mappage par défaut est décrit dans la section Mappage d'informations d'identification GSS sur des informations d'identification UNIX. Si le mappage par défaut n'est pas suffisant, reportez-vous à la section Création d'une table d'informations d'identification pour plus d'informations.
Pour plus d'informations, reportez-vous à la section Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos.
La table d'informations d'identification gsscred est utilisée par un serveur NFS pour mapper les informations d'identification Kerberos à un UID. Par défaut, la première partie du nom du principal est mappée avec un nom de connexion UNIX. Pour que les clients NFS puissent monter des systèmes de fichiers à partir d'un serveur NFS à l'aide de l'authentification Kerberos, ce tableau doit être créé si le mappage par défaut n'est pas suffisant.
Modifiez le mécanisme en files.
# gsscred -m kerberos_v5 -a
La commande gsscred rassemble les informations provenant de l'ensemble des sources répertoriées avec l'entrée passwd dans le fichier /etc/nsswitch.conf. Vous pouvez être amené à supprimer temporairement l'entrée files , si vous ne souhaitez pas que les entrées de mot de passe local soient incluses dans la table d'informations d'identification. Pour plus d'informations, reportez-vous à la page de manuel gsscred(1M).
Avant de commencer
Cette procédure nécessite que la table gsscred ait déjà été créée sur le serveur NFS. Pour obtenir des instructions, reportez-vous à la section Création d'une table d'informations d'identification.
# gsscred -m mech [ -n name [ -u uid ]] -a
Définit le mécanisme de sécurité à utiliser.
Définit le nom de principal de l'utilisateur, tel que défini dans le KDC.
Définit l'UID de l'utilisateur, tel que défini dans la base de données de mots de passe.
Ajoute l'UID au mappage du nom de principal.
Exemple 23-2 Ajout d'un principal à composants multiples à la table d'informations d'identification
Dans l'exemple suivant, l'entrée est ajoutée à un principal appelé sandy/admin associé à l'UID 3736 .
# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a
Exemple 23-3 Ajout d'un principal à un domaine différent de la table d'informations d'identification
Dans l'exemple suivant, l'entrée est ajoutée à un principal appelé sandy/admin@EXAMPLE.COM associé à l'UID 3736.
# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a
Cette procédure assure le mappages d'informations d'identification approprié entre des domaines utilisant le même fichier de mots de passe. Dans cet exemple, les domaines CORP.EXAMPLE.COM et SALES.EXAMPLE.COM utilisent le même fichier de mots de passe. Les informations d'identification pour bob@CORP.EXAMPLE.COM et bob@SALES.EXAMPLE.COM sont mappées avec le même UID.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
Exemple 23-4 Mappage des informations d'identification entre domaines utilisant le même fichier de mot de passe
Cet exemple illustre le mappage d'informations d'identification approprié entre des domaines qui utilisent le même fichier de mots de passe. Dans cet exemple, les domaines CORP.EXAMPLE.COM et SALES.EXAMPLE.COM utilisent le même fichier de mots de passe. Les informations d'identification pour bob@CORP.EXAMPLE.COM et bob@SALES.EXAMPLE.COM sont mappées avec le même UID. Sur le système client, ajoutez des entrées au fichier krb5.conf.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
Erreurs fréquentes
Pour plus d'information sur le processus de dépannage des problèmes de mappage d'informations d'identification, reportez-vous à la section Observation du mappage d'informations d'identification GSS sur des informations d'identification UNIX.
Cette procédure permet à un serveur NFS de fournir un accès NFS sécurisé à l'aide de différents modes ou variantes de sécurité. Lorsqu'un client négocie une variante de sécurité avec le serveur NFS, la première variante proposée par le serveur auquel le client a accès est utilisée. Cette variante est utilisée pour toutes les demandes de client suivantes du système de fichiers partagé par le serveur NFS.
La commande klist signale s'il existe un fichier keytab et affiche les principaux. Si les résultats indiquent qu'aucun fichier keytab ou principal de service NFS n'existe, vous devez vérifier que toutes les étapes décrites à la section Procédure de configuration des serveurs NFS Kerberos ont bien été effectuées dans leur totalité.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
Modifiez le fichier /etc/nfssec.conf et supprimez le "#" placé devant les modes de sécurité Kerberos.
# cat /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
Spécifie les modes de sécurité à utiliser lors du partage du système de fichiers. Lorsque plusieurs modes de sécurité sont utilisés, le premier mode figurant dans la liste est utilisé comme valeur par défaut.
Définit le chemin d'accès au système de fichiers à partager.
Tous les clients tentant d'accéder à des fichiers dans le système de fichiers nommé requièrent l'authentification Kerberos. Pour accéder aux fichiers, le principal d'utilisateur sur le client NFS doit être authentifié.
Si cette commande est la première commande share ou le premier jeu de commandes share que vous avez lancé, les démons NFS ne sont probablement pas en cours d'exécution. La commande suivante redémarre les démons :
# svcadm restart network/nfs/server
Vous n'avez pas besoin de suivre cette procédure si vous n'utilisez pas l'agent de montage automatique pour accéder au système de fichiers ou si la sélection par défaut du mode de sécurité est acceptable.
file-system auto_home -nosuid,sec=mode
Vous pouvez aussi utiliser la commande mount pour spécifier le mode de sécurité, mais cette alternative ne tire pas parti de l'agent de montage automatique.
# mount -F nfs -o sec=mode file-system
Exemple 23-5 Partage d'un système de fichiers avec un mode de sécurité Kerberos
Dans cet exemple, la ligne du fichier dfstab signifie que l'authentification Kerberos doit aboutir avant que les fichiers puissent être accessibles via le service NFS.
# grep krb /etc/dfs/dfstab share -F nfs -o sec=krb5 /export/home
Exemple 23-6 Partage d'un système de fichiers avec plusieurs modes de sécurité Kerberos
Dans cet exemple, les trois modes de sécurité Kerberos ont été sélectionnés. Le mode utilisé est négocié entre le client et le serveur NFS. Si le premier mode dans la commande échoue, le mode suivant est essayé. Pour plus d'informations, reportez-vous à la page de manuel nfssec(5).
# grep krb /etc/dfs/dfstab share -F nfs -o sec=krb5:krb5i:krb5p /export/home