JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Administration d'Oracle Solaris : services de sécurité     Oracle Solaris 11 Information Library (Français)
search filter icon
search icon

Informations document

Préface

Partie I Présentation de la sécurité

1.  Services de sécurité (présentation)

Partie II Sécurité du système, des fichiers et des périphériques

2.  Gestion de la sécurité de la machine (présentation)

3.  Contrôle de l'accès aux systèmes (tâches)

Contrôle de l'accès système (liste des tâches)

Sécurisation des connexions et des mots de passe (liste des tâches)

Sécurisation des connexions et des mots de passe (liste des tâches)

Procédure de modification du mot de passe root

Procédure d'affichage de l'état de connexion d'un utilisateur

Procédure d'affichage des utilisateurs sans mots de passe

Procédure de désactivation temporaire des connexions utilisateur

Procédure de contrôle des tentatives de connexion ayant échoué

Procédure de contrôle de toutes les tentatives de connexion ayant échoué

Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)

Procédure de spécification d'un algorithme de chiffrement de mot de passe

Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine NIS

Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP

Contrôle et restriction du superutilisateur (tâches)

Procédure de contrôle de l'utilisateur de la commande su

Procédure de restriction et de contrôle des connexions superutilisateur

Contrôle de l'accès au matériel du système (tâches)

Procédure de spécification d'un mot de passe obligatoire pour l'accès au matériel

Procédure de désactivation de la séquence d'abandon d'un système

4.  Service d'analyse antivirus (tâches)

5.  Contrôle de l'accès aux périphériques (tâches)

6.  Utilisation de l'outil de génération de rapports d'audit de base (tâches)

7.  Contrôle de l'accès aux fichiers (tâches)

Partie III Rôles, profils de droits et privilèges

8.  Utilisation des rôles et des privilèges (présentation)

9.  Utilisation du contrôle d'accès basé sur les rôles (tâches)

10.  Attributs de sécurité dans Oracle Solaris (référence)

Partie IV Services cryptographiques

11.  Structure cryptographique (présentation)

12.  Structure cryptographique (tâches)

13.  Structure de gestion des clés

Partie V Services d'authentification et communication sécurisée

14.  Authentification des services réseau (tâches)

15.  Utilisation de PAM

16.  Utilisation de SASL

17.  Utilisation de Secure Shell (tâches)

18.  Secure Shell (référence)

Partie VI Service Kerberos

19.  Introduction au service Kerberos

20.  Planification du service Kerberos

21.  Configuration du service Kerberos (tâches)

22.  Messages d'erreur et dépannage de Kerberos

23.  Administration des principaux et des stratégies Kerberos (tâches)

24.  Utilisation des applications Kerberos (tâches)

25.  Service Kerberos (référence)

Partie VII Audit dans Oracle Solaris

26.  Audit (présentation)

27.  Planification de l'audit

28.  Gestion de l'audit (tâches)

29.  Audit (référence)

Glossaire

Index

Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)

Par défaut, les mots de passe utilisateur sont chiffrés avec l'algorithme crypt_sha256. Vous pouvez utiliser un autre algorithme de chiffrement en modifiant l'algorithme de chiffrement de mot de passe par défaut.

Procédure de spécification d'un algorithme de chiffrement de mot de passe

Dans cette procédure, la version BSD-Linux de l'algorithme MD5 est l'algorithme de chiffrement par défaut qui est utilisé lorsque les utilisateurs modifient leurs mots de passe. Cet algorithme est adapté à un réseau mixte de systèmes qui exécutent les versions Oracle Solaris, BSD et Linux d'UNIX. Pour obtenir une liste des algorithmes de chiffrement mot de passe et des identificateurs d'algorithme, reportez-vous au Tableau 2-1.

Avant de commencer

Vous devez être dans le rôle root.

Exemple 3-6 Contrainte des algorithmes de chiffrement de mot de passe dans un environnement hétérogène

Dans cet exemple, l'administrateur sur un réseau qui inclut les systèmes BSD et Linux configure les mots de passe de sorte qu'ils soient utilisables sur tous les systèmes. Etant donné que certaines applications de réseau ne peuvent pas gérer le chiffrement SHA512, l'administrateur n'inclut pas son identificateur dans la liste des algorithmes autorisés. L'administrateur conserve l'algorithme SHA256, 5, en tant que valeur de la variable CRYPT_DEFAULT. La variable CRYPT_ALGORITHMS_ALLOW contient l'identificateur MD5 qui est compatible avec les systèmes BSD et Linux et l'identificateur Blowfish qui est compatible avec les systèmes BSD. Etant donné que 5 est l'algorithme CRYPT_DEFAULT, il n'a pas besoin d'être répertorié dans la liste CRYPT_ALGORITHMS_ALLOW. Cependant, pour des raisons de maintenance, l'administrateur place 5 dans la liste CRYPT_ALGORITHMS_ALLOW et les identificateurs inutilisés dans la liste CRYPT_ALGORITHMS_DEPRECATE.

CRYPT_ALGORITHMS_ALLOW=1,2a,5
#CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6
CRYPT_DEFAULT=5

Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine NIS

Lorsque les utilisateurs dans un domaine NIS modifient leurs mots de passe, le client NIS consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. Le système client NIS chiffre le mot de passe.

Avant de commencer

Vous devez être dans le rôle root.

  1. Spécifiez l'algorithme de chiffrement de mot de passe dans le fichier /etc/security/policy.conf du client NIS.
  2. Copiez le fichier /etc/security/policy.conf modifié sur chaque système client dans le domaine NIS.
  3. Pour éviter toute confusion, copiez le fichier /etc/security/policy.conf modifié sur le serveur root NIS et les serveurs esclaves.

Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP

Lorsque le client LDAP est configuré correctement, le client LDAP peut utiliser les nouveaux algorithmes de mot de passe. Le client LDAP se comporte exactement comme un client NIS.

Avant de commencer

Vous devez être dans le rôle root.

  1. Spécifiez un algorithme de chiffrement de mot de passe dans le fichier /etc/security/policy.conf du client LDAP.
  2. Copiez le fichier policy.conf modifié pour chaque système client dans le domaine LDAP.
  3. Assurez-vous que le fichier /etc/pam.conf du client n'utilise pas un module pam_ldap.

    Assurez-vous qu'un signe de commentaire (#) précède les entrées incluant pam_ldap.so.1. En outre, n'utilisez pas l'option server_policy avec le module pam_authtok_store.so.1.

    Les entrées PAM du fichier pam.conf du client permettent de chiffrer le mot de passe en fonction de la configuration des algorithmes. Les entrées PAM permettent également l'authentification du mot de passe.

    Lorsque les utilisateurs du domaine LDAP modifient leurs mots de passe, le client LDAP consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. Le système client LDAP chiffre le mot de passe. Ensuite, le client envoie le mot de passe chiffré, avec une balise {crypt}, pour le serveur. La balise indique au serveur que le mot de passe est déjà chiffré. Le mot de passe est ensuite stocké, tel quel, sur le serveur. Pour l'authentification, le client récupère le mot de passe stocké dans le serveur. Le client compare ensuite le mot de passe stocké avec la version chiffrée que le client vient de générer à partir du mot de passe saisi par l'utilisateur.


    Remarque - Pour tirer parti des commandes de stratégie de mot de passe sur le serveur LDAP, utilisez l'option server_policy avec les entrées pam_authtok_store dans le fichier pam.conf. Les mots de passe sont alors chiffrés sur le serveur en utilisant le mécanisme cryptographique de Oracle Directory Server Enterprise Edition. Pour plus d'informations sur cette procédure, reportez-vous au Chapitre 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) du manuel Oracle Solaris Administration: Naming and Directory Services.