Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
Intérêt de la planification des déploiements de Kerberos
Mappage de noms d'hôtes sur des domaines
Noms des clients et des principaux de service
Ports pour les services d'administration et le KDC
Mappage d'informations d'identification GSS sur des informations d'identification UNIX
Migration automatique d'utilisateur vers un domaine Kerberos
Choix du système de propagation de base de données
Synchronisation de l'horloge dans un domaine
Options de configuration du client
Amélioration de la sécurité de connexion des clients
Options de configuration de KDC
Approbation de services pour la délégation
URL d'aide en ligne dans l'outil d'administration graphique de Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Un domaine est réseau logique qui définit un groupe de systèmes qui sont sous le même KDC maître. Comme pour l'établissement d'un nom de domaine DNS, les problèmes tels que le nom de domaine, le nombre et la taille de chaque domaine, ainsi que la relation d'un domaine à d'autres domaines pour l'authentification inter-domaine, doivent être résolus avant de configurer le service Kerberos.
Les noms de domaine peuvent être constitués de n'importe quelle chaîne de caractères ASCII. En général, le nom de domaine est le même que celui de votre nom de domaine DNS, sauf que le nom de domaine est en majuscules. Cette convention permet de différencier les problèmes avec le service Kerberos des problèmes avec l'espace de noms DNS, tout en utilisant un nom familier. Si vous ne souhaitez pas utiliser DNS ou que vous choisissez d'utiliser une autre chaîne, vous pouvez utiliser n'importe quelle chaîne. Toutefois, le processus de configuration nécessite plus de travail. L'utilisation de noms de domaine qui suivent les conventions de désignation d'Internet est judicieuse.
Le nombre de domaines requis par votre installation dépend de plusieurs facteurs :
Le nombre de clients à prendre en charge. Trop de clients dans un domaine rend l'administration plus difficile et finit par vous forcer à diviser le domaine. Les principaux facteurs qui déterminent le nombre de clients pouvant être pris en charge sont les suivants :
Quantité de trafic générée par chaque client Kerberos
Bande passante du réseau physique
Vitesse de l'hôte
Etant donné que chaque installation aura différentes limitations, aucune règle n'existe pour déterminer le nombre maximum de clients.
La distance qui les sépare des clients. Configurer plusieurs petits domaines peut avoir un sens si les clients sont dans différentes régions.
Le nombre d'hôtes disponibles pour être installés en tant que KDC. Chaque domaine doit disposer d'au moins deux serveurs KDC, un serveur maître et un serveur esclave.
L'alignement des domaines Kerberos avec les domaines d'administration est recommandé. Il convient de noter qu'un domaine Kerberos V peut s'étendre sur plusieurs sous-domaines du domaine DNS auquel le domaine correspond.
Lorsque vous configurez plusieurs domaines pour l'authentification inter-domaine, vous devez décider comment lier les domaines entre eux. Vous pouvez établir une relation hiérarchique entre les domaines, ce qui fournit automatiquement les chemins d'accès aux domaines associés. Bien entendu, tous les domaines dans la chaîne hiérarchique doivent être configurés correctement. Les chemins d'accès automatiques peuvent alléger la charge administrative. Cependant, s'il existe de nombreux niveaux de domaines, il se peut que vous ne souhaitiez pas utiliser le chemin par défaut car cela nécessite trop de transactions.
Vous pouvez également choisir d'établir la relation de confiance de manière directe. Une relation de confiance directe est plus utile lorsqu'un trop grand nombre de niveaux hiérarchiques existent entre deux domaines ou lorsqu'il n'existe aucune relation hiérarchique. La connexion doit être définie dans le fichier /etc/krb5/krb5.conf sur tous les hôtes qui utilisent la connexion. Par conséquent, certains travaux supplémentaires sont nécessaires. La relation de confiance directe est également appelée relation transitive. Pour une introduction, reportez-vous à Domaines Kerberos. Pour les procédures de configuration de plusieurs domaines, reportez-vous à la section Configuration de l'authentification inter-domaine.