Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Synchronisation des horloges entre les KDC et les clients Kerberos

Tous les hôtes participant au système d'authentification Kerberos doivent avoir leurs horloges internes synchronisées dans une quantité maximale de temps spécifiée (appelée écart d'horloge). Cette exigence constitue un autre contrôle de sécurité Kerberos. Si l'écart d'horloge est dépassé entre des hôtes participants, les demandes du client sont rejetées.

L'écart d'horloge détermine également la durée pendant laquelle les serveurs d'application doivent assurer le suivi des messages du protocole Kerberos, afin de reconnaître et de rejeter les demandes rediffusées. Ainsi, plus l'écart d'horloge est élevé, plus les serveurs d'application doivent collecter d'informations.

La valeur par défaut pour l'écart d'horloge maximal est de 300 secondes (5 minutes). Vous pouvez modifier cette valeur par défaut dans la section libdefaults du fichier krb5.conf.

Remarque -  Pour des raisons de sécurité, l'écart d'horloge ne doit pas dépasser 300 secondes.

Dans la mesure où il est important de conserver la synchronisation des horloges entre les KDC et les clients Kerberos, utilisez le logiciel NTP (Network Time Protocol) pour les synchroniser. Le logiciel NTP du domaine public de l'Université du Delaware est inclus dans le logiciel Oracle Solaris. La documentation est disponible sur l'adresse NTP Documentation.

NTP vous permet de gérer avec précision la synchronisation de l'heure ou de l'horloge du réseau, ou les deux, dans un environnement réseau. Serveur - client NTP est un protocole. Un système est NTP l'horloge principale, le serveur. Les clients NTP tous les autres systèmes sont qui synchronisent leurs horloges avec l'horloge principale. Pour synchroniser les horloges, NTP utilise le démon xntpd qui définit et actualise l'heure du jour d'un système UNIX en accord avec les serveurs de temps standard Internet. Le schéma suivant montre un exemple de cette implémentation NTP serveur-client.

Figure 4-1  Synchronisation des horloges à l'aide de NTP

image:Le diagramme illustre un serveur NTP en tant qu'horloge principale pour les clients NTP et les clients Kerberos qui exécutent le démon xntpd.

    S'assurer que les KDC et les clients Kerberos maintiennent leurs horloges synchronisées implique la mise en oeuvre des étapes suivantes :

  1. Configuration d'un serveur NTP sur votre réseau. Ce serveur peut être n'importe quel système, à l'exception du KDC maître.

  2. Lorsque vous configurez les clients KDC et Kerberos sur le réseau, définissez-les de sorte qu'ils soient des clients NTP sur le serveur NTP. Revenir à la maître en tant que KDC NTP : si vous optez pour une configuration client.

  3. L'activation du service NTP sur tous les systèmes.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant