Gestion de l'accès au shell sécurisé dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Authentification du shell sécurisé

Shell sécurisé fournit des méthodes de clé publique et mot de passe pour l'authentification de la connexion à l'hôte distant. L'authentification avec clé publique est un mécanisme d'authentification plus fiable que l'authentification par mot de passe, car la clé privée ne se déplace pas sur le réseau.

Les méthodes d'authentification sont tentées dans l'ordre suivant. Lorsque la configuration ne satisfait pas à une méthode d'authentification, la méthode suivante est tentée.

  • GSS-API – Fait appel à des informations d'authentification pour les mécanismes GSS-API comme mech_krb5 (Kerberos V) et mech_dh (AUTH_DH) pour authentifier les clients et les serveurs. Pour plus d'informations sur GSS-API, reportez-vous à la section Introduction to GSS-API du manuel Developer’s Guide to Oracle Solaris 11 Security .

  • Authentification basée sur l'hôte : utilise les clés d'hôte et les fichiers rhosts. Utilise les clés d'hôte privées/publiques RSA et DSA du client pour authentifier ce dernier. Utilise les fichiers rhosts pour autoriser les clients à des utilisateurs.

  • Authentification avec clé publique : authentifie les utilisateurs avec leurs clés publiques et privées RSA et DSA.

  • Authentification par mot de passe : utilise PAM pour authentifier les utilisateurs. La méthode d'authentification du clavier dans v2 permet l'invitation arbitraire par PAM. Pour plus d'informations, reportez-vous à la section SECURITY de la page de manuel sshd(1M).

Le tableau suivant répertorie les conditions requises pour l'authentification d'un utilisateur essayant de se connecter à un hôte distant. L'utilisateur est sur l'hôte local, le client. L'hôte distant, le serveur, exécute le démon sshd. Le tableau présente les méthodes d'authentification Shell sécurisé et les conditions requises par l'hôte.

Table 1-1  Méthodes d'authentification pour le shell sécurisé
Méthode d'authentification
Exigences de l'hôte local (client)
Exigences de l'hôte distant (serveur)
GSS-API
Informations d'identification de l'initiateur pour le mécanisme GSS.
Informations d'identification de l'accepteur pour le mécanisme GSS. Pour plus d'informations, reportez-vous à la section Acquisition d'informations d'identification GSS dans le shell sécurisé.
Basée sur l'hôte
Compte utilisateur
Clé privée de l'hôte local dans /etc/ssh/ssh_host_rsa_key ou /etc/ssh/ssh_host_dsa_key
HostbasedAuthentication yes dans /etc/ssh/ssh_config
Compte utilisateur
Clé privée de l'hôte local dans /etc/ssh/known_hosts ou ~/.ssh/known_hosts
HostbasedAuthentication yes dans /etc/ssh/sshd_config
IgnoreRhosts no dans /etc/ssh/sshd_config
Entrée d'hôte local dans /etc/ssh/shosts.equiv, /etc/hosts.equiv, ~/.rhosts ou ~/.shosts
Par mot de passe
Compte utilisateur
Compte utilisateur
Prend en charge PAM.
.rhosts avec RSA (v1) sur le serveur uniquement
Compte utilisateur
Clé publique de l'hôte local dans /etc/ssh/ssh_host_rsa1_key
Compte utilisateur
Clé publique de l'hôte local dans /etc/ssh/ssh_known_hosts ou ~/.ssh/known_hosts
IgnoreRhosts no dans /etc/ssh/sshd_config
Entrée d'hôte local dans /etc/ssh/shosts.equiv, /etc/hosts.equiv, ~/.shosts ou ~/.rhosts
Clé publique RSA ou DSA
Compte utilisateur
Clé privée dans ~/.ssh/id_rsa ou ~/.ssh/id_dsa
Clé publique d'utilisateur dans ~/.ssh/id_rsa.pub ou ~/.ssh/id_dsa.pub
Compte utilisateur
Clé publique d'utilisateur en ~/.ssh/authorized_keys
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant