Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
Méthodes d'administration des principaux et des stratégies Kerberos
Equivalents de ligne de commande de l'outil SEAM
Seul fichier modifié par l'outil SEAM
Fonctions d'impression et d'aide en ligne de l'outil SEAM
Utilisation de grandes listes dans l'outil SEAM
Gestion des principaux de Kerberos
Gestion des principaux de Kerberos (liste des tâches)
Automatisation de la création de principaux Kerberos
Affichage de la liste des principaux Kerberos
Affichage des attributs d'un principal Kerberos
Création d'un principal Kerberos
Duplication d'un principal Kerberos
Modification d'un principal Kerberos
Suppression d'un principal Kerberos
Paramétrage des valeurs par défaut pour la création de principaux Kerberos
Procédure de modification des privilèges d'administration Kerberos
Administration des stratégies Kerberos
Administration des stratégies Kerberos (liste des tâches)
Affichage de la liste des stratégies Kerberos
Affichage des attributs d'une stratégie Kerberos
Création d'une stratégie Kerberos
Duplication d'une stratégie Kerberos
Modification d'une stratégie Kerberos
Suppression d'une stratégie Kerberos
Descriptions des panneaux de l'outil SEAM
Utilisation de l'outil SEAM avec privilèges d'administration Kerberos limités
Administration des fichiers keytab
Administration des fichiers keytab (liste des tâches)
Ajout d'un principal de service Kerberos à un fichier keytab
Procédure de suppression d'un principal de service d'un fichier keytab
Procédure d'affichage de la liste de clés (principaux) dans un fichier keytab
Désactivation temporaire de l'authentification d'un service sur un hôte
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Tous les hôtes qui fournissent un service doivent disposer d'un fichier local, appelé un keytab (abréviation de “key table” (table des clés)). Le fichier keytab contient le principal pour le service approprié, appelé clé de service. Une clé de service est utilisée par un service pour s'authentifier auprès du KDC et est uniquement connue de Kerberos et du service lui-même. Par exemple, si vous avez un serveur NFS utilisant Kerberos, le serveur doit avoir un fichier keytab qui contient son principal de service nfs.
Pour ajouter une clé de service à un fichier keytab, vous ajoutez le principal de service approprié à un fichier keytab de l'hôte à l'aide de la commande ktadd de kadmin. Comme vous êtes en train d'ajouter un principal de service à un fichier keytab, le principal doit exister dans la base de données Kerberos afin que kadmin puisse vérifier son existence. Sur les serveurs d'applications qui fournissent des services utilisant Kerberos, le fichier keytab est situé à /etc/krb5/krb5.keytab, par défaut.
Un fichier keytab est comparable à un mot de passe d'utilisateur. Tout comme il est important pour les utilisateurs de protéger leurs mots de passe, il est tout aussi important pour les serveurs d'applications de protéger leurs fichiers keytab. Vous devez toujours stocker les fichiers keytab sur un disque local et les rendre lisibles uniquement par l'utilisateur root. En outre, vous ne devez jamais envoyer un fichier keytab par le biais d'un réseau non sécurisé.
Il existe également une instance spéciale dans laquelle ajouter un principal root au fichier keytab d'un hôte. Si vous souhaitez qu'un utilisateur sur le client Kerberos monte des systèmes de fichiers NFS utilisant Kerberos, qui nécessitent un accès équivalent au root, vous devez ajouter le principal root du client à son fichier keytab. Dans le cas contraire, les utilisateurs doivent utiliser la commande kinit en tant que root pour obtenir des informations d'identification pour le principal root du client lorsqu'ils souhaitent monter un système de fichiers NFS utilisant Kerberos avec accès root, même lorsqu'ils utilisent l'agent de montage automatique.
Une autre commande que vous pouvez utiliser pour administrer les fichiers keytab est la commande ktutil. Cette commande interactive vous permet de gérer le fichier keytab d'un hôte local sans disposer de privilèges d'administration Kerberos, car ktutil n'interagit pas avec la base de données Kerberos comme le fait kadmin. Par conséquent, après l'ajout d'un principal à un fichier keytab, vous pouvez utilisez ktutil pour visualiser la liste de clés dans le fichier keytab ou pour désactiver temporairement l'authentification d'un service.
Remarque - Lorsque vous modifiez un principal dans un fichier keytab à l'aide de la commande ktadd dans kadmin, une nouvelle clé est générée et ajoutée au fichier keytab.
|
Pour plus d'informations, reportez-vous à la section Affichage de la liste des principaux Kerberos.
# /usr/sbin/kadmin
kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
Remplace la liste des types de chiffrement définie dans le fichier krb5.conf.
Spécifie le fichier keytab. Par défaut, /etc/krb5/krb5.keytab est utilisé.
Affiche des informations moins détaillées.
Spécifie le principal à ajouter au fichier keytab. Vous pouvez ajouter les principaux de service suivants : host, root, nfs et ftp.
Spécifie les expressions de principal. Tous les principaux qui correspondent à principal-exp sont ajoutés au fichier keytab. Les règles qui régissent l'expression de principal sont les mêmes que pour la commande list_principals de kadmin.
kadmin: quit
Exemple 23-16 Ajout d'un principal de service dans un fichier keytab
Dans l'exemple suivant, le principal d'host de denver est ajouté au fichier keytab de denver, de manière à ce que le KDC puisse authentifier les services de réseau de denver.
denver # /usr/sbin/kadmin kadmin: ktadd host/denver.example.com Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
# /usr/sbin/kadmin
Pour obtenir des instructions détaillées, reportez-vous à la section Procédure d'affichage de la liste de clés (principaux) dans un fichier keytab.
kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
Spécifie le fichier keytab. Par défaut, /etc/krb5/krb5.keytab est utilisé.
Affiche des informations moins détaillées.
Spécifie le principal à supprimer du fichier keytab.
Supprime toutes les entrées pour le principal spécifié dont le numéro de version de clé correspond à kvno.
Supprime toutes les entrées pour le principal spécifié.
Supprime toutes les entrées pour le principal spécifié, à l'exception des principaux avec les numéros de version de clé les plus élevés.
kadmin: quit
Exemple 23-17 Suppression d'un principal de service d'un fichier keytab.
Dans l'exemple suivant, le principal d'host de denver est supprimé du fichier keytab de denver.
denver # /usr/sbin/kadmin kadmin: ktremove host/denver.example.com@EXAMPLE.COM kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3 removed from keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
Remarque - Bien qu'il soit possible de créer des fichiers keytab détenus par d'autres utilisateurs, l'utilisation de l'emplacement par défaut pour le fichier keytab requiert la propriété root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Le tampon de la liste de clés actuel s'affiche.
ktutil: quit
Exemple 23-18 Affichage de la liste de clés (principaux) dans un fichier keytab
L'exemple suivant affiche la liste de clés dans le fichier /etc/krb5/krb5.keytab sur l'hôte denver hôte.
denver # /usr/bin/ktutil ktutil: read_kt /etc/krb5/krb5.keytab ktutil: list slot KVNO Principal ---- ---- --------------------------------------- 1 5 host/denver@EXAMPLE.COM ktutil: quit
Parfois, il peut s'avérer nécessaire de désactiver temporairement le mécanisme d'authentification d'un service, tel que rlogin ou ftp, sur un serveur d'applications réseau. Par exemple, si vous le souhaitez, vous pouvez empêcher les utilisateurs de se connecter à un système pendant que vous êtes en train d'effectuer des procédures de maintenance. La commande ktutil permet d'accomplir cette tâche en supprimant le principal de service à partir du fichier keytab du serveur, sans nécessiter de privilèges kadmin. Pour réactiver l'authentification, il vous suffit de copier le fichier keytab d'origine que vous avez enregistré jusqu'à son emplacement d'origine.
Remarque - Par défaut, la plupart des services sont configurés de façon à exiger l'authentification. Si un service n'est pas configuré pour demander l'authentification, le service fonctionne toujours, même si vous désactivez l'authentification pour le service.
Remarque - Bien qu'il soit possible de créer des fichiers keytab détenus par d'autres utilisateurs, l'utilisation de l'emplacement par défaut pour le fichier keytab requiert la propriété root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Le tampon de la liste de clés actuel s'affiche. Notez le numéro d'emplacement du service que vous voulez désactiver.
ktutil: delete_entry slot-number
Où slot-number indique le numéro d'emplacement du principal de service à supprimer, ce qui est affiché par la commande list.
ktutil: write_kt new-keytab
ktutil: quit
# mv new-keytab keytab
Exemple 23-19 Désactivation temporaire d'un service sur un hôte
Dans l'exemple suivant, le service host sur l'hôte denver est temporairement désactivé. Pour réactiver le service d'hôte sur denver, vous devez copier le fichier krb5.keytab.temp vers le fichier /etc/krb5/krb5.keytab.
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp denver # /usr/bin/ktutil ktutil:read_kt /etc/krb5/krb5.keytab ktutil:list slot KVNO Principal ---- ---- --------------------------------------- 1 8 root/denver@EXAMPLE.COM 2 5 host/denver@EXAMPLE.COM ktutil:delete_entry 2 ktutil:list slot KVNO Principal ---- ---- -------------------------------------- 1 8 root/denver@EXAMPLE.COM ktutil:write_kt /etc/krb5/new.krb5.keytab ktutil: quit denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab