| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
Contrôle de l'accès système (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Sécurisation des connexions et des mots de passe (liste des tâches)
Procédure de modification du mot de passe root
Procédure d'affichage de l'état de connexion d'un utilisateur
Procédure d'affichage des utilisateurs sans mots de passe
Procédure de désactivation temporaire des connexions utilisateur
Procédure de contrôle des tentatives de connexion ayant échoué
Procédure de contrôle de toutes les tentatives de connexion ayant échoué
Modification de l'algorithme par défaut pour le chiffrement de mot de passe (tâches)
Procédure de spécification d'un algorithme de chiffrement de mot de passe
Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine NIS
Procédure de spécification d'un nouvel algorithme de mot de passe pour un domaine LDAP
Contrôle et restriction du superutilisateur (tâches)
Procédure de contrôle de l'utilisateur de la commande su
Procédure de restriction et de contrôle des connexions superutilisateur
Contrôle de l'accès au matériel du système (tâches)
Procédure de spécification d'un mot de passe obligatoire pour l'accès au matériel
Procédure de désactivation de la séquence d'abandon d'un système
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Par défaut, les mots de passe utilisateur sont chiffrés avec l'algorithme crypt_sha256. Vous pouvez utiliser un autre algorithme de chiffrement en modifiant l'algorithme de chiffrement de mot de passe par défaut.
Dans cette procédure, la version BSD-Linux de l'algorithme MD5 est l'algorithme de chiffrement par défaut qui est utilisé lorsque les utilisateurs modifient leurs mots de passe. Cet algorithme est adapté à un réseau mixte de systèmes qui exécutent les versions Oracle Solaris, BSD et Linux d'UNIX. Pour obtenir une liste des algorithmes de chiffrement mot de passe et des identificateurs d'algorithme, reportez-vous au Tableau 2-1.
Avant de commencer
Vous devez être dans le rôle root.
Saisissez l'identificateur en tant que valeur pour la variable CRYPT_DEFAULT du fichier /etc/security/policy.conf.
Vous pouvez ajouter un commentaire au fichier afin d'expliquer votre choix.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 (5) that works with Linux and BSD systems. # Passwords previously encrypted with SHA256 (1) will be encrypted # with MD5 when users change their passwords. # # #CRYPT_DEFAULT=5 CRYPT_DEFAULT=1
Dans cet exemple, la configuration des algorithmes assure que l'algorithme sha256 n'est pas utilisé pour chiffrer un mot de passe. Les utilisateurs dont les mots de passe ont été chiffrés avec le module sha256 obtiennent un mot de passe chiffré par crypt_bsdmd5 lorsqu'ils changent leurs mots de passe.
Pour plus d'informations sur la configuration des sélections d'algorithme, reportez-vous à la page de manuel policy.conf(4)
Exemple 3-6 Contrainte des algorithmes de chiffrement de mot de passe dans un environnement hétérogène
Dans cet exemple, l'administrateur sur un réseau qui inclut les systèmes BSD et Linux configure les mots de passe de sorte qu'ils soient utilisables sur tous les systèmes. Etant donné que certaines applications de réseau ne peuvent pas gérer le chiffrement SHA512, l'administrateur n'inclut pas son identificateur dans la liste des algorithmes autorisés. L'administrateur conserve l'algorithme SHA256, 5, en tant que valeur de la variable CRYPT_DEFAULT. La variable CRYPT_ALGORITHMS_ALLOW contient l'identificateur MD5 qui est compatible avec les systèmes BSD et Linux et l'identificateur Blowfish qui est compatible avec les systèmes BSD. Etant donné que 5 est l'algorithme CRYPT_DEFAULT, il n'a pas besoin d'être répertorié dans la liste CRYPT_ALGORITHMS_ALLOW. Cependant, pour des raisons de maintenance, l'administrateur place 5 dans la liste CRYPT_ALGORITHMS_ALLOW et les identificateurs inutilisés dans la liste CRYPT_ALGORITHMS_DEPRECATE.
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5
Lorsque les utilisateurs dans un domaine NIS modifient leurs mots de passe, le client NIS consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. Le système client NIS chiffre le mot de passe.
Avant de commencer
Vous devez être dans le rôle root.
Lorsque le client LDAP est configuré correctement, le client LDAP peut utiliser les nouveaux algorithmes de mot de passe. Le client LDAP se comporte exactement comme un client NIS.
Avant de commencer
Vous devez être dans le rôle root.
Assurez-vous qu'un signe de commentaire (#) précède les entrées incluant pam_ldap.so.1. En outre, n'utilisez pas l'option server_policy avec le module pam_authtok_store.so.1.
Les entrées PAM du fichier pam.conf du client permettent de chiffrer le mot de passe en fonction de la configuration des algorithmes. Les entrées PAM permettent également l'authentification du mot de passe.
Lorsque les utilisateurs du domaine LDAP modifient leurs mots de passe, le client LDAP consulte sa configuration locale des algorithmes dans le fichier /etc/security/policy.conf. Le système client LDAP chiffre le mot de passe. Ensuite, le client envoie le mot de passe chiffré, avec une balise {crypt}, pour le serveur. La balise indique au serveur que le mot de passe est déjà chiffré. Le mot de passe est ensuite stocké, tel quel, sur le serveur. Pour l'authentification, le client récupère le mot de passe stocké dans le serveur. Le client compare ensuite le mot de passe stocké avec la version chiffrée que le client vient de générer à partir du mot de passe saisi par l'utilisateur.
Remarque - Pour tirer parti des commandes de stratégie de mot de passe sur le serveur LDAP, utilisez l'option server_policy avec les entrées pam_authtok_store dans le fichier pam.conf. Les mots de passe sont alors chiffrés sur le serveur en utilisant le mécanisme cryptographique de Oracle Directory Server Enterprise Edition. Pour plus d'informations sur cette procédure, reportez-vous au Chapitre 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) du manuel Oracle Solaris Administration: Naming and Directory Services.
|