Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
Méthodes d'administration des principaux et des stratégies Kerberos
Equivalents de ligne de commande de l'outil SEAM
Seul fichier modifié par l'outil SEAM
Fonctions d'impression et d'aide en ligne de l'outil SEAM
Gestion des principaux de Kerberos
Gestion des principaux de Kerberos (liste des tâches)
Automatisation de la création de principaux Kerberos
Affichage de la liste des principaux Kerberos
Affichage des attributs d'un principal Kerberos
Création d'un principal Kerberos
Duplication d'un principal Kerberos
Modification d'un principal Kerberos
Suppression d'un principal Kerberos
Paramétrage des valeurs par défaut pour la création de principaux Kerberos
Procédure de modification des privilèges d'administration Kerberos
Administration des stratégies Kerberos
Administration des stratégies Kerberos (liste des tâches)
Affichage de la liste des stratégies Kerberos
Affichage des attributs d'une stratégie Kerberos
Création d'une stratégie Kerberos
Duplication d'une stratégie Kerberos
Modification d'une stratégie Kerberos
Suppression d'une stratégie Kerberos
Descriptions des panneaux de l'outil SEAM
Utilisation de l'outil SEAM avec privilèges d'administration Kerberos limités
Administration des fichiers keytab
Administration des fichiers keytab (liste des tâches)
Ajout d'un principal de service Kerberos à un fichier keytab
Procédure de suppression d'un principal de service d'un fichier keytab
Procédure d'affichage de la liste de clés (principaux) dans un fichier keytab
Désactivation temporaire de l'authentification d'un service sur un hôte
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
L'outil SEAM (gkadmin) est une interface graphique interactive qui permet de mettre à jour les principaux et les stratégies de Kerberos. Cet outil fournit globalement les mêmes fonctions que la commande kadmin. Toutefois, il ne prend pas en charge la gestion des fichiers keytab. Vous devez utiliser la commande kadmin pour gérer les fichiers keytab, comme décrit dans la section Administration des fichiers keytab.
Similaire à la commande kadmin, l'outil SEAM utilise l'authentification Kerberos et le RPC chiffré pour fonctionner en toute sécurité depuis n'importe quel point du réseau. L'outil SEAM permet d'effectuer les opérations suivantes :
Créer des principaux basés sur les valeurs par défaut ou des principaux existants.
Créer des stratégies basées sur des stratégies existantes.
Ajouter des commentaires pour les principaux.
Définir des valeurs par défaut pour la création de principaux.
Se connecter en tant qu'un autre principal sans quitter l'outil.
Imprimer ou enregistrer des listes de principaux et des listes de stratégies.
Afficher ou rechercher des listes de principaux et des listes de stratégies.
L'outil SEAM fournit également une aide contextuelle et une aide en ligne générale.
La liste des tâches suivante fournit des indications sur les différentes tâches réalisables avec l'outil SEAM :
En outre, reportez-vous à la section Descriptions des panneaux de l'outil SEAM pour obtenir les descriptions de tous les attributs de principaux et de stratégies que vous pouvez spécifier ou afficher dans l'outil SEAM.
Cette section répertorie les commandes kadmin qui fournissent les mêmes fonctionnalités que l'outil SEAM. Ces commandes peuvent être utilisées sans exécuter un système X Window System. Même si la plupart des procédures de ce chapitre utilisent l'outil SEAM, plusieurs procédures fournissent également des exemples qui utilisent les équivalents de ligne de commande.
Tableau 23-1 Equivalents de ligne de commande de l'outil SEAM
|
Le seul fichier modifié par l'outil SEAM est le fichier $HOME/.gkadmin. Ce fichier contient les valeurs par défaut pour la création de principaux. Vous pouvez mettre à jour ce fichier en choisissant Properties (Propriétés) dans le menu Edit (Edition).
L'outil SEAM fournit des fonctions d'impression et d'aide en ligne. Depuis le menu Print (Imprimer), vous pouvez envoyer les éléments suivants vers une imprimante ou un fichier :
Liste des principaux disponibles sur le KDC maître spécifié
Liste des stratégies disponibles sur le KDC maître spécifié
Principal actuellement sélectionné ou chargé
Dans le menu d'aide, vous pouvez accéder à l'aide contextuelle et à l'aide générale. Lorsque vous choisissez l'option d'aide contextuelle dans le menu d'aide, la fenêtre d'aide contextuelle s'affiche et l'outil passe en mode d'aide. En mode d'aide, lorsque vous cliquez sur les champs, les étiquettes ou les boutons de la fenêtre, l'aide de ces éléments est affichée dans la fenêtre d'aide. Pour revenir au mode normal, cliquez sur Dismiss (Fermer) dans la fenêtre d'aide.
Vous pouvez également utiliser le sommaire de l'aide, qui s'ouvre dans un navigateur HTML et fournit des indications sur la présentation générale et des informations sur les tâches de ce chapitre.
Quand votre site commence à accumuler un grand nombre de principaux et de stratégies, le temps qu'il faut à l'outil SEAM pour charger et afficher les listes de principaux et de stratégies s'allonge. Par conséquent, votre productivité avec l'outil baisse. Il existe plusieurs façons de remédier à ce problème.
Tout d'abord, vous pouvez éliminer totalement le temps de chargement des listes en empêchant l'outil SEAM de les charger. Pour définir cette option, choisissez Properties dans le menu Edit, puis désactivez l'option Show Lists (Afficher les listes). Bien entendu, lorsque l'outil ne charge pas les listes, il ne peut pas les afficher et vous ne pouvez plus utiliser les panneaux de listes pour sélectionner des principaux et des stratégies. Au lieu de cela, vous devez saisir un nom de principal ou de stratégie dans le nouveau champ de nom qui est fourni, puis sélectionner l'opération que vous souhaitez effectuer. Dans les faits, la saisie d'un nom est équivalente à la sélection d'un élément dans la liste.
Une autre façon de travailler avec de grandes listes est de les mettre en cache. En fait, la mise en cache des listes pour une période limitée est définie comme le comportement par défaut pour l'outil SEAM. L'outil SEAM doit toujours initialement charger les listes dans le cache. Mais après cela, l'outil peut utiliser le cache plutôt que d'extraire les listes à nouveau. Cette option supprime la nécessité de continuer à charger les listes à partir du serveur, ce qui est très long.
Vous pouvez paramétrer la mise en cache de listes en sélectionnant Properties dans le menu Edit. Il existe deux paramètres de mise en cache. Vous pouvez choisir de mettre en cache la liste indéfiniment ou de spécifier une limite dans le temps lorsque l'outil doit recharger les listes à partir du serveur dans le cache.
La mise en cache des listes vous permet toujours d'utiliser les panneaux de listes pour sélectionner des principaux et des stratégies, de sorte qu'il n'y a pas d'incidence sur la manière dont vous utilisez l'outil SEAM comme avec la première option. En outre, même si la mise cache ne vous permet pas de voir les modifications d'autres utilisateurs, vous pouvez toujours voir les dernières informations relatives à la liste en fonction de vos modifications, car celles-ci mettent à jour les listes sur le serveur et dans le cache. Et, si vous souhaitez mettre à jour le cache pour voir d'autres modifications et récupérer la dernière copie des listes, vous pouvez utiliser le menu Refresh (Actualiser) chaque fois que vous le souhaitez pour actualiser le cache depuis le serveur.
$ /usr/sbin/gkadmin
La fenêtre de connexion d'administration SEAM s'affiche.
La fenêtre est automatiquement renseignée avec des valeurs par défaut. Le nom de principal par défaut est déterminé en prenant votre identité en cours à partir de la variable d'environnement USER et en lui ajoutant /admin (username/admin). Les champs de domaine et de KDC maître par défaut sont sélectionnés à partir du fichier /etc/krb5/krb5.conf. Si vous souhaitez récupérer les valeurs par défaut, cliquez sur Start Over (Recommencer).
Remarque - Les opérations d'administration que chaque nom de principal peut effectuer sont déterminées par le fichier ACL Kerberos, /etc/krb5/kadm5.acl. Pour plus d'informations sur les privilèges limités, reportez-vous à la section Utilisation de l'outil SEAM avec privilèges d'administration Kerberos limités.
Une fenêtre contenant tous les principaux s'affiche.