Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Administration des fichiers keytab

Tous les hôtes qui fournissent un service doivent disposer d'un fichier local, appelé un fichier keytab, qui est l'abréviation de "key table" (table des clés). Le fichier keytab contient le principal pour le service approprié, appelé clé de service. Une clé de service est utilisée par un service pour s'authentifier auprès du KDC et est uniquement connue de Kerberos et du service lui-même. Par exemple, si vous avez un serveur NFS utilisant Kerberos, le serveur doit avoir un fichier keytab qui contient le principal de service pour le principal de service nfs.

Pour ajouter une clé de service à un fichier keytab, vous ajoutez le principal de service approprié à un fichier keytab de l'hôte à l'aide de la commande ktadd décrite dans un processus kadmin. Comme vous êtes en train d'ajouter un principal de service à un fichier keytab, le principal doit déjà exister dans la base de données Kerberos. Sur les serveurs d'applications qui fournissent des services utilisant Kerberos, le fichier keytab se trouve dans /etc/krb5/krb5.keytab, par défaut.

Un fichier keytab est comparable à un mot de passe d'utilisateur. La même façon que les utilisateurs doivent protéger leurs mots de passe, serveurs d'application doit protéger leurs fichiers keytab. Vous devez toujours stocker les fichiers keytab sur un disque local et les rendre lisibles uniquement par l'utilisateur root. En outre, vous ne devez jamais envoyer un fichier keytab par le biais d'un réseau non sécurisé.

Des circonstances particulières peuvent exiger que vous ajoutiez un principal root à un fichier keytab d'hôte. Si vous souhaitez qu'un utilisateur sur un client Kerberos monte des systèmes de fichiers NFS utilisant Kerberos qui nécessitent un accès équivalent à root, vous devez ajouter le principal root du client au fichier keytab du client. Dans le cas contraire, les utilisateurs doivent utiliser la commande kinit en tant que root pour obtenir des informations d'identification pour le principal root du client lorsqu'ils souhaitent monter un système de fichiers NFS utilisant Kerberos avec accès root, même lorsqu'ils utilisent l'agent de montage automatique.

Caution

Mise en garde  -  Le montage des serveurs NFS en tant qu'utilisateur root peut poser des problèmes de sécurité.

Vous pouvez également utiliser la commande ktutil pour administrer les fichiers keytab. Cette commande interactive vous permet de gérer un fichier keytab d'un hôte local sans disposer de privilèges d'administration Kerberos, car cette commande n'interagit pas avec la base de données Kerberos comme le fait kadmin. Après l'ajout d'un principal à un fichier keytab, vous pouvez utiliser ktutil pour visualiser la liste de clés dans le fichier keytab ou pour désactiver temporairement l'authentification d'un service.

Remarque -  Lorsque vous modifiez un principal dans un fichier keytab à l'aide de la commande ktadd dans kadmin, une nouvelle clé est générée et ajoutée au fichier keytab.
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant