Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
Chiffrement DES avec NFS sécurisé
Authentification Diffie-Hellman et RPC sécurisé
Mise en oeuvre de l'authentification Diffie-Hellman
Administration de l'authentification avec le RPC sécurisé (tâches)
Administration du RPC sécurisé (liste des tâches)
Procédure de redémarrage du serveur de clé RPC sécurisé
Procédure de configuration d'une clé Diffie-Hellman pour un hôte NIS
Procédure de configuration d'une clé Diffie-Hellman pour un utilisateur NIS
Procédure de partage de fichiers NFS avec l'authentification Diffie-Hellman
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
En requérant l'authentification pour l'utilisation des systèmes de fichiers NFS montés, vous augmentez la sécurité de votre réseau.
La liste des tâches suivante indique les procédures de configuration du RPC sécurisé pour NIS et NFS.
|
Avant de commencer
Vous devez être dans le rôle root.
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
Cette procédure doit être effectuée sur chaque hôte du domaine NIS.
Avant de commencer
Vous devez être dans le rôle root.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis"
Si la valeur de config/default est nis, vous pouvez arrêter ici.
# svccfg # svccfg -s name-service/switch setprop config/publickey = astring: "nis" # svccfg -s name-service/switch:default refresh
# svccfg # svccfg -s name-service/switch listprop config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis" config/publickey astring nis
Sur ce système, la valeur de publickey est répertoriée, car elle est différente de la valeur par défaut, files.
# newkey -h hostname
où hostname est le nom du client.
Exemple 14-1 Configuration d'une nouvelle clé pour root sur un client NIS
Dans l'exemple ci-dessous, earth est configuré en tant que client NIS sécurisé. L'administrateur se voit attribuer le profil de droits Name Service Security (sécurité du service de noms).
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Cette procédure doit être effectuée sur chaque utilisateur du domaine NIS.
Avant de commencer
Seuls les administrateurs système, lorsqu'ils sont connectés au serveur maître NIS, peuvent générer une nouvelle clé pour un utilisateur. Le profil de droits Name Service Security (sécurité du service de noms) doit avoir été attribué aux administrateurs.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# newkey -u username
où username correspond au nom de l' utilisateur. Le système vous invite à saisir un mot de passe. Vous pouvez saisir un mot de passe générique. La clé privée est stockée sous forme chiffrée à l'aide du mot de passe générique.
Cette commande permet aux utilisateurs de re-chiffrer leurs clés privées avec un mot de passe uniquement connu de l'utilisateur.
Remarque - La commande chkey peut être utilisée pour créer une nouvelle paire de clés pour un utilisateur.
Exemple 14-2 Configuration et chiffrement d'une nouvelle clé utilisateur dans NIS
Dans cet exemple, le superutilisateur définit la clé.
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
L'utilisateur jdoe re-chiffre la clé à l'aide d'un mot de passe privé.
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
Cette procédure protège les systèmes de fichiers partagés sur un serveur NFS en requérant l'authentification pour l'accès.
Avant de commencer
L'authentification par clé publique Diffie-Hellman doit être activée sur le réseau. Pour activer l'authentification sur le réseau, effectuez la procédure Procédure de configuration d'une clé Diffie-Hellman pour un hôte NIS.
Le profil de droits System Management (gestion du système) doit vous avoir été attribué pour effectuer cette tâche.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
# share -F nfs -o sec=dh /filesystem
où filesystem est le système de fichiers partagé.
L'option -o sec=dh signifie que l'authentification AUTH_DH est désormais requise pour accéder au système de fichiers.
# mount -F nfs -o sec=dh server:filesystem mount-point
Nom du système qui partage filesystem
Nom du système de fichiers partagé, tel que opt
Nom du point de montage, tel que /opt
L'option -o sec=dh permet de monter le système de fichiers avec l'authentification AUTH_DH.