| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Guide d'administration système : Services de sécurité |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Guide d'administration système : Services de sécurité |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Contrôle de l'accès aux périphériques (tâches)
5. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
6. Contrôle de l'accès aux fichiers (tâches)
7. Utilisation d'Automated Security Enhancement Tool (Tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Contrôle d'accès basé sur les rôles (référence)
Partie IV Services cryptographiques
13. Structure cryptographique Oracle Solaris (présentation)
14. Structure cryptographique Oracle Solaris (tâches)
15. Structure de gestion des clés Oracle Solaris
Partie V Services d'authentification et communication sécurisée
16. Utilisation des services d'authentification (tâches)
19. Utilisation d'Oracle Solaris Secure Shell (tâches)
20. Oracle Solaris Secure Shell (référence)
21. Introduction au service Kerberos
22. Planification du service Kerberos
23. Configuration du service Kerberos (tâches)
24. Messages d'erreur et dépannage de Kerberos
25. Administration des principaux et des stratégies Kerberos (tâches)
26. Utilisation des applications Kerberos (tâches)
Gestion des mots de passe Kerberos
Conseils sur le choix d'un mot de passe
Modification de votre mot de passe
Octroi de l'accès à votre compte
Commandes utilisateur Kerberos
Présentation des commandes utilisant Kerberos
Transfert des tickets Kerberos
Utilisation de commandes utilisant Kerberos (exemples)
27. Service Kerberos (référence)
Partie VII Audit Oracle Solaris
28. Audit Oracle Solaris (présentation)
29. Planification de l'audit Oracle Solaris
30. Gestion de l'audit Oracle Solaris (tâches)
Cette section explique comment obtenir, afficher et détruire les tickets. Pour une présentation des tickets, reportez-vous à la section Fonctionnement du service Kerberos.
Avec l'une des versions SEAM ou les versions Oracle Solaris installées, Kerberos est intégré dans la commande login, et vous obtenez des tickets automatiquement lorsque vous vous connectez. Les commandes utilisant Kerberos rsh, rcp, rdist, telnet et rlogin sont généralement configurées pour fournir des copies de vos tickets aux autres machines, de sorte que vous n'avez pas à demander explicitement des billets pour obtenir l'accès à ces machines. Votre configuration peut ne pas inclure ce transfert automatique, mais il s'agit du comportement par défaut. Reportez-vous aux sections Présentation des commandes utilisant Kerberos et Transfert des tickets Kerberos pour plus d'informations sur le transfert de tickets.
Pour plus d'informations sur les durées de vie des tickets, reportez-vous à la section Durée de vie des tickets.
Normalement, si le PAM est configuré correctement, un ticket est créé automatiquement lorsque vous vous connectez, et vous n'avez pas besoin d'effectuer une action spécifique pour obtenir un ticket. Cependant, vous devrez peut-être créer un ticket si votre ticket arrive à expiration. En outre, vous devrez peut-être utiliser un autre principal en plus de votre principal par défaut, par exemple, si vous utilisez rlogin - l pour vous connecter à un ordinateur sous l'identité d'un autre utilisateur.
Pour créer un ticket, utilisez la commande kinit.
% /usr/bin/kinit
La commande kinit vous invite à saisir votre mot de passe. Pour la syntaxe complète de la commande kinit, reportez-vous à la page de manuel kinit(1).
Exemple 26-1 Création d'un ticket Kerberos
Cet exemple illustre un utilisateur, jennifer, créant un ticket sur son propre système.
% kinit Password for jennifer@ENG.EXAMPLE.COM: <Type password>
Ici, l'utilisateur david crée un ticket qui est valide pendant trois heures avec l'option -l.
% kinit -l 3h david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
L'exemple affiche l'utilisateur david créant un ticket transmissible (avec l'option -f) pour lui-même. Avec ce ticket transmissible, il peut, par exemple, se connecter à un autre système, puis se connecter via Internet ou un réseau local (telnet) à un système tiers.
% kinit -f david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
Pour plus d'informations sur la façon dont le transfert de tickets fonctionne, reportez-vous aux sections Transfert des tickets Kerberos et Types de tickets.
Tous les tickets ne sont pas similaires. Un seul ticket peut, par exemple, être transmissible. Un autre ticket peut être postdaté. Un troisième ticket peut être à la fois transmissible et postdaté. Vous pouvez voir les billets que vous avez, ainsi que leurs attributs, en utilisant la commande klist avec l'option -f :
% /usr/bin/klist -f
Les symboles suivants indiquent les attributs qui sont associés à chaque ticket, tel qu'affiché par klist :
Préauthentifié (Preauthenticated)
Postdatable
Postdaté (Postdated)
Transmissible (Forwardable)
Transmis (Forwarded)
Initial
Non valide (Invalid)
Utilisable avec proxy (Proxiable)
Proxy
Renouvelable (Renewable)
La section Types de tickets décrit les différents attributs qu'un ticket peut avoir.
Exemple 26-2 Affichage des tickets Kerberos
Cet exemple montre que l'utilisateur jennifer a un ticket initial, qui est transmissible (F) et postdaté (d), mais il n'a pas encore été validé (i).
% /usr/bin/klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: jennifer@EXAMPLE.COM
Valid starting Expires Service principal
09 Mar 04 15:09:51 09 Mar 04 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 15:12:51, Flags: Fdi
L'exemple suivant montre que l'utilisateur david a deux tickets qui ont été transmis (f) à son hôte à partir d'un autre hôte. Les tickets sont également transmissibles (F).
% klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 17:09:51, Flags: fF
Valid starting Expires Service principal
08 Mar 04 08:09:51 09 Mar 04 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 15:22:51, Flags: fF
L'exemple suivant montre comment afficher les types de chiffrement de la clé de session et du ticket en utilisant l'option -e. L'option -a est utilisée pour mapper l'adresse de l'hôte à un nom d'hôte si le service de noms peut faire la conversion.
% klist -fea
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
Valid starting Expires Service principal
07 Mar 04 06:09:51 09 Mar 04 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 10 Mar 04 17:09:51, Flags: FRIA
Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32
Addresses: client.example.com
Si vous souhaitez détruire tous les tickets Kerberos acquis au cours de votre session en cours, utilisez la commande kdestroy. La commande détruit votre cache des informations d'identification, ce qui détruit toutes vos informations d'identification et tous les tickets. Bien que ce ne soit pas généralement nécessaire, l'exécution de kdestroy réduit le risque de compromettre le cache des informations d'identification pendant que vous n'êtes pas connecté.
Pour détruire vos tickets, utilisez la commande kdestroy.
% /usr/bin/kdestroy
La commande kdestroy détruit vos tickets all. Vous ne pouvez pas utiliser cette commande pour détruire sélectivement un ticket donné.
Si vous allez vous éloigner de votre système et êtes inquiet qu'un intrus puisse utiliser vos autorisations, vous devez utiliser kdestroy ou un économiseur d'écran qui verrouille l'écran.
|