Le protocole Shell sécurisé prend en charge l'authentification utilisateur/hôte et l'authentification hôte serveur. Les clés cryptographiques sont échangées pour la protection des sessions Shell sécurisé. Shell sécurisé fournit plusieurs méthodes pour l'authentification et l'échange de clés. Certaines de ces méthodes sont facultatives. Les mécanismes d'authentification client sont répertoriés dans le Table 1–1. Les serveurs sont authentifiés à l'aide de clés publiques d'hôte connu.
Pour l'authentification, Shell sécurisé prend en charge l'authentification de l'utilisateur et l'authentification interactive générique, qui implique généralement des mots de passe. Shell sécurisé prend également en charge l'authentification avec des clés publiques utilisateur et des clés publiques d'hôte de confiance. Il peut s'agir de clés RSA ou DSA. Les échanges de clés de session sont des échanges de clés éphémères Diffie-Hellman qui sont signées à l'étape d'authentification du serveur. En outre, Shell sécurisé peut utiliser des informations d'identification GSS pour l'authentification.
Pour utiliser GSS-API pour l'authentification dans Shell sécurisé, le serveur doit disposer des informations d'identification de l'accepteur GSS-API et le client doit disposer des informations d'identification de l'initiateur GSS-API. La prise en charge est disponible pour mech_dh et pour mech_krb5.
Pour mech_dh, le serveur dispose des informations d'identification de l'accepteur GSS-API si root a exécuté la commande keylogin.
Pour mech_krb5, le serveur dispose des informations d'identification de GSS-API lorsque l'hôte principal qui correspond au serveur possède une valeur correcte dans /etc/krb5/krb5.keytab.
Le client dispose des informations d'identification de l'initiateur pour mech_dh si l'une des actions ci-après a été effectuée :
La commande keylogin a été exécutée.
Le module pam_dhkeys est utilisé dans le fichier pam.conf.
Le client dispose des informations d'identification de l'initiateur pour mech_krb5 si l'une des actions ci-après a été effectuée :
La commande kinit a été exécutée.
Le module pam_krb5 est utilisé dans le fichier pam.conf.
Pour plus d'informations sur l'utilisation de mech_dh dans le RPC sécurisé, reportez-vous au Chapitre 10, Configuration des services réseau d’authentification du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 . Pour plus d'informations sur l'utilisation de mech_krb5, reportez-vous au Chapitre 2, A propos du service Kerberos du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 . Pour plus d'informations sur les mécanismes, reportez-vous aux pages de manuel mech(4) et mech_spnego(5).