Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
La section suivante fournit des informations sur l'implémentation de SASL.
Les plug-ins SASL assurent la prise en charge des mécanismes de sécurité, la normalisation utilisateur et la récupération des propriétés auxiliaires. Par défaut, les plug-ins 32 bits chargés de manière dynamique sont installés dans /usr/lib/sasl et les plug-ins 64 bits sont installés dans /usr/lib/sasl/ $ISA. Les plug-ins de mécanismes de sécurité suivants sont fournis :
CRAM-MD5, qui prend en charge l'authentification uniquement, et non l'autorisation.
DIGEST-MD5, qui prend en charge l'authentification, l'intégrité et la confidentialité, ainsi que l'autorisation.
GSSAPI, qui prend en charge l'authentification, l'intégrité et la confidentialité, ainsi que l'autorisation. Le mécanisme de sécurité GSSAPI requiert une infrastructure Kerberos en état de fonctionnement.
PLAIN, qui prend en charge l'authentification et l'autorisation.
En outre, les plug-ins de mécanismes de sécurité EXTERNES et les plug-ins de normalisation utilisateur INTERNE sont créés dans libsasl.so.1. Le mécanisme EXTERNE prend en charge l'authentification et l'autorisation. Le mécanisme prend en charge l'intégrité et la confidentialité si la source de sécurité externe les fournit. Le plug-in INTERNE ajoute le nom de domaine si nécessaire pour le nom d'utilisateur.
Actuellement, la version d'Oracle Solaris ne fournit aucun plug-in auxprop. Pour que les plug-ins de mécanismes CRAM-MD5 et DIGEST-MD5 soient entièrement opérationnels côté serveur, l'utilisateur doit fournir un plug-in auxprop pour récupérer des mots de passe en clair. Le plug-in PLAIN (en clair) requiert une prise en charge supplémentaire pour vérifier le mot de passe. La prise en charge de la vérification du mot de passe peut se faire à travers l'un des éléments suivants : un rappel à l'application de serveur, un plug-in auxprop, saslauthd ou pwcheck. Les démons salauthd et pwcheck ne sont pas fournis dans les versions Oracle Solaris. Pour une meilleure interopérabilité, limitez les applications de serveur aux mécanismes qui sont entièrement opérationnel en utilisant l'option SASL mech_list.
Par défaut, le nom d'authentification client est défini sur getenv("LOGNAME"). Cette variable peut être réinitialisée par le client ou par le plug-in.
Le comportement de libsasl et les plug-ins peuvent être modifiés côté serveur à l'aide d'options pouvant être définies dans le fichier /etc/sasl/app.conf. La variable app est le nom défini côté serveur pour l'application. La documentation du serveur app doit indiquer le nom de l'application.
Les options suivantes sont prises en charge :
Effectue la transition automatique de l'utilisateur vers d'autres mécanismes lorsque celui-ci réalise une authentification en texte simple réussie.
Dresse la liste des noms de plug-ins de propriétés auxiliaires à utiliser.
Sélectionne le plug-in canon_user à utiliser.
Dresse la liste des mécanismes autorisés à être utilisés par l'application de serveur.
Dresse la liste des mécanismes utilisés pour vérifier les mots de passe. Actuellement, auxprop est la seule valeur autorisée.
Définit la durée, en minutes, pendant laquelle les informations d'authentification sont mises en mémoire cache pour une réauthentification rapide. Cette option est utilisée par le plug-in DIGEST-MD5. La définition de cette option sur la valeur 0 désactive la réauthentification.
Les options suivantes ne sont pas prises en charge :
Dresse la liste des mécanismes disponibles. Non utilisé, car l'option modifie le comportement de chargement dynamique des plug-ins.
Définit l'emplacement de la porte saslauthd, qui est utilisée pour la communication avec le démon saslauthd. Le démon saslauthd n'est pas inclus dans la version Oracle Solaris. Par conséquent, cette option n'est pas incluse non plus.
Définit l'emplacement du fichier keytab utilisé par le plug-in GSSAPI. Utilisez à la place la variable d'environnement KRB5_KTNAME pour définir l'emplacement keytab par défaut.
Les options suivantes ne figurent pas dans Cyrus SASL. Cependant, elles ont été ajoutées dans la version Oracle Solaris :
Permet d'obtenir les informations d'identification du client plutôt que d'utiliser les informations d'identification par défaut lors de la création du contexte de sécurité client GSS. Par défaut, l'identité Kerberos du client est utilisée.
Définit le niveau souhaité de journalisation d'un serveur.