Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Vérification de l'intégrité des fichiers à l'aide de BART (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Utilisation de modules d'authentification enfichables
15. Utilisation de Secure Shell
17. Utilisation de l'authentification simple et de la couche de sécurité
18. Authentification des services réseau (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
Configuration du service Kerberos (liste des tâches)
Configuration de services Kerberos supplémentaires (liste des tâches)
Configuration des serveurs KDC
Configuration automatique d'un KDC maître
Configuration interactive d'un KDC maître
Configuration manuelle d'un KDC maître
Configuration d'un KDC pour l'utilisation d'un serveur de données LDAP
Configuration automatique d'un KDC esclave
Configuration interactive d'un KDC esclave
Configuration manuelle d'un KDC esclave
Actualisation des clés TGS sur un serveur maître
Configuration de l'authentification inter-domaine
Etablissement de l'authentification inter-domaine hiérarchique
Etablissement de l'authentification inter-domaine directe
Configuration des serveurs d'application réseau Kerberos
Configuration d'un serveur d'application réseau Kerberos
Utilisation du service de sécurité générique avec Kerberos lors de l'exécution FTP
Configuration de serveurs NFS Kerberos
Configuration des serveurs NFS Kerberos
Création d'une table d'informations d'identification
Ajout d'une entrée unique à la table d'informations d'identification
Mappage d'informations d'identification entre domaines
Configuration d'un environnement NFS sécurisé avec plusieurs modes de sécurité Kerberos
Configuration des clients Kerberos
Configuration des clients Kerberos (liste des tâches)
Création d'un profil d'installation de client Kerberos
Configuration automatique d'un client Kerberos
Configuration interactive d'un client Kerberos
Configuration d'un client Kerberos pour un serveur Active Directory
Configuration manuelle d'un client Kerberos
Désactivation de la vérification du ticket d'octroi de tickets
Accès à un système de fichiers NFS protégé par Kerberos en tant qu'utilisateur root
Configuration de la migration automatique des utilisateurs dans un domaine Kerberos
Configuration du verrouillage de compte
Renouvellement automatique de tous les tickets d'octroi de tickets
Synchronisation des horloges entre les KDC et les clients Kerberos
Echange d'un KDC maître et d'un KDC esclave
Configuration d'un KDC échangeable
Echange d'un KDC maître et d'un KDC esclave
Administration de la base de données Kerberos
Sauvegarde et propagation de la base de données Kerberos
Sauvegarde de la base de données Kerberos
Restauration de la base de données Kerberos
Conversion d'une base de données Kerberos après une mise à niveau du serveur
Reconfiguration d'un KDC maître pour l'utilisation de la propagation incrémentielle
Reconfiguration d'un KDC esclave pour l'utilisation de la propagation incrémentielle
Configuration d'un KDC esclave pour l'utilisation de la propagation complète
Vérification de la synchronisation des serveurs KDC
Propagation manuelle de la base de données Kerberos aux KDC esclaves
Configuration d'une propagation parallèle
Etapes de configuration d'une propagation parallèle
Administration du fichier stash
Suppression d'un fichier stash
Utilisation d'une nouvelle clé principale
Gestion d'un KDC sur un serveur d'annuaire LDAP
Association des attributs de principaux Kerberos dans un type de classe d'objet non Kerberos
Suppression d'un domaine d'un serveur d'annuaire LDAP
Renforcement de la sécurité des serveurs Kerberos
Restriction de l'accès aux serveurs KDC
Utilisation d'un fichier dictionnaire pour augmenter la sécurité de mot de passe
22. Messages d'erreur et dépannage de Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Les serveurs d'application réseau sont des hôtes fournissant un accès à l'aide d'une ou plusieurs applications réseau parmi les suivantes : ftp, rcp, rlogin, rsh, ssh et telnet. Seules quelques étapes sont nécessaires pour activer la version Kerberos de ces commandes sur un serveur.
Cette procédure utilise les paramètres de configuration ci-dessous :
Serveur d'application = boston
admin principal = kws/admin
Nom de domaine DNS = example.com
Nom de domaine = EXAMPLE.COM
Avant de commencer
Cette procédure nécessite que le KDC maître ait été configuré. Pour tester complètement le processus, plusieurs clients Kerberos doivent être configurés.
Vous devez prendre le rôle root sur le serveur d'application. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Pour plus d'informations sur le protocole NTP, reportez-vous à la section Synchronisation des horloges entre les KDC et les clients Kerberos.
La commande suivante indique l'existence de l'hôte principal :
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
Si la commande ne renvoie pas de principal, créez de nouveaux comptes utilisateur en suivant les étapes ci-dessous.
L'utilisation de l'outil d'administration graphique Kerberos pour ajouter un principal est expliquée à la section Création d'un principal Kerberos. L'exemple dans les étapes suivantes montre comment ajouter les principaux requis à l'aide de la ligne de commande. Vous devez vous connecter à l'aide de l'un des noms de principal admin que vous avez créé lors de la configuration du KDC maître.
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
L'host principal est utilisé dans les cas suivants :
Pour authentifier le trafic lors de l'utilisation des commandes à distance, comme rsh et ssh.
Par pam_krb5 afin d'empêcher les attaques par mystification de KDC en utilisant l'host principal pour vérifier que les informations d'identification Kerberos d'un utilisateur ont été obtenues auprès d'un KDC de confiance.
Pour autoriser l'utilisateur root à acquérir automatiquement des informations d'identification Kerberos en l'absence d'un principal root. Cela peut être utile lors d'un montage NFS manuel où le partage requiert des informations d'identification Kerberos.
Ce principal est obligatoire si le trafic qui utilise l'application distante doit être authentifié à l'aide du service Kerberos. Si le serveur a plusieurs noms d'hôte associés, créez un principal pour chaque nom d'hôte sous la forme de nom de domaine complet(FQDN) du nom d'hôte.
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
Si la commande kadmin n'est pas en cours d'exécution, redémarrez-la avec une commande similaire à la suivante : /usr/sbin/kadmin -p kws/admin
Si le serveur a plusieurs noms d'hôte associés, ajoutez un principal au fichier keytab de chaque nom d'hôte.
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
Le service de sécurité générique (GSS) peut être utilisé sur des applications pour faciliter l'utilisation de Kerberos pour l'authentification, l'intégrité et la confidentialité. Les étapes suivantes montrent comment activer le service GSS pour ProFTPD.
Avant de commencer
Vous devez prendre le rôle root sur le serveur FTP. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.
Ces étapes ne sont peut-être pas nécessaires si les modifications ont été effectuées précédemment.
ftpserver1 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
kadmin: ank -randkey ftp/ftpserver1.example.com
La création d'un fichier keytab permet à ces informations d'être disponibles pour le service ftp, sans exposer l'ensemble des informations du fichier keytab sur le serveur.
kadmin: ktadd -k /etc/krb5/ftp.keytab ftp/ftpserver1.example.com
ftpserver1 # chown ftp:ftp /etc/krb5/ftp.keytab
Apportez les modifications suivantes au fichier /etc/proftpd.conf .
# cat /etc/proftpd.conf LoadModule mod_gss.c GSSEngine on GSSKeytab /etc/krb5/ftp.keytab
# svcadm restart network/ftp