Gestion de Kerberos et d'autres services d'authentification dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Assignation d'une stratégie PAM modifiée

Dans cette procédure, vous devez configurer une stratégie PAM autre que celui par défaut sur toutes les images du système. Une fois que tous les fichiers sont copiés, vous pouvez appliquer la nouvelle stratégie PAM ou la stratégie modifiée à des utilisateurs individuels ou à tous les utilisateurs.

Avant de commencer

Vous avez modifié les fichiers de configuration et testez la qui répondent aux conditions spécifiques au PAM nouvelle stratégie.

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Ajouter les fichiers PAM par défaut à toutes les images du système.

    Vous devez ajouter tous les nouveaux modules PAM et des fichiers de configuration nouveaux et modifiés à toutes les images du système.

    1. Ajoutez tout d'abord à chaque toute nouvelle image système modules PAM.
      1. Ajoutez le module PAM 32 bits au répertoire d'architecture appropriée.
      2. Ajoutez le module PAM 64 bits au répertoire d'architecture appropriée.

      Pour obtenir un exemple de configuration d'annuaire, reportez-vous à Step 1 dans la section Ajout d'un module PAM.

    2. Ensuite, ajoutez de nouveaux fichiers dans chaque PAM l'image du système.

      Par exemple, ajoutez le fichier /opt/local_pam/ssh-telnet-conf à chaque image de système.

    3. Il vous suffit ensuite de copier toute modification apportée dans chaque système PAM image les fichiers de configuration.

      Par exemple, copiez un fichier /etc/pam.conf modifié et n'importe quel /etc/pam.d/service-name-files modifié sur chaque image de système.

  2. Affecter une stratégie PAM autre que celui par défaut à tous les utilisateurs.
    1. Modifiez le fichier policy.conf de l'une des façons suivantes :
      • Ajoutez un fichier de configuration PAM au mot-clé PAM_POLICY dans le fichier policy.conf. 
        # pfedit /etc/security/policy.conf
...
# PAM_POLICY=
PAM_POLICY=/opt/local_pam/ssh-telnet-conf
...
      • Ajoutez un profil de droits au mot-clé PROFS_GRANTED dans le fichier policy.conf.

        Par exemple, affectez la stratégie PAM par utilisateur de tout profil de droits à partir de Example 1–3.

        # pfedit /etc/security/policy.conf
...
AUTHS_GRANTED=
# PROFS_GRANTED=Basic Solaris User
PROFS_GRANTED=PAM Per-User Policy of Any,Basic Solaris User
...
    2. Copiez le fichier policy.conf modifié sur chaque image du système.
  3. Pour affecter une stratégie PAM autre que celui par défaut à chaque utilisateur, vous pouvez affecter le privilège directement à un utilisateur ou à ajouter la stratégie à un profil de droits assigné à des utilisateurs.
    • Affectez le privilège directement PAM à des utilisateurs individuels. 
      # usermod -K pam_policy="/opt/local_pam/ssh-telnet-conf" jill
    • Stratégie dans une inclure le profil de droits PAM et affectez le profil à des utilisateurs individuels.

      Cet exemple utilise la stratégie PAM ldap.

      # profiles -p "PAM Per-User Policy of LDAP" \
'set desc="Profile which sets pam_policy=ldap";
set pam_policy=ldap; exit;'

      Affectez alors le profil de droits à un utilisateur.

      # usermod -P +"PAM Per-User Policy of LDAP" jill
Exemple 1-4  Restriction de la pile PAM ktelnet aux utilisateurs sélectionnés

L'administrateur souhaite autoriser un nombre limité d'utilisateurs la possibilité d'utiliser dans un domaine Kerberos telnet. Par conséquent, avant que le service telnet soit activé, l'administrateur modifie le fichier de configuration ktelnet par défaut, et place le fichier ktelnet par défaut dans le répertoire pam_policy.

Tout d'abord, l'administrateur configure un fichier par utilisateur ktelnet.

# cp /etc/pam.d/ktelnet /etc/security/pam_policy/ktelnet-conf
# pfedit /etc/security/pam_policy/ktelnet-conf
...
# Kerberized telnet service
#
ktelnet  auth required           pam_unix_cred.so.1
ktelnet  auth required           pam_krb5.so.1

L'administrateur protège le fichier avec les autorisations 444.

# chmod 444 /etc/security/pam_policy/ktelnet-conf
# ls -l /etc/security/pam_policy/ktelnet-conf
-r--r--r--   1 root     root         228 Nov 27 15:04 ktelnet-conf

    Puis, l'administrateur modifie le fichier ktelnet dans le répertoire pam.d.

  • Pour effectuer un ajustement en fonction de la première entrée permet active l'affectation de l'utilisateur.

  • La seconde entrée rejette l'utilisation de ktelnet sauf si pam_policy=ktelnet vous est affecté par l'administrateur.

# cp /etc/pam.d/ktelnet /etc/pam.d/ktelnet.orig
                # pfedit /etc/pam.d/ktelnet
...
# Denied Kerberized telnet service
#
auth definitive         pam_user_policy.so.1
auth required           pam_deny.so.1

L'administrateur teste la configuration avec un utilisateur privilégié, un utilisateur standard, et le rôle root. Une fois la configuration réussie, l'administrateur active le servicetelnet et affecte la stratégie par utilisateur aux administrateurs Kerberos.

# svcadm enable telnet
# rolemod -S ldap -K pam_policy=ktelnet-conf kerbadmin

L'administrateur copie les fichiers modifiés sur tous les serveurs Kerberos et active telnet sur ces serveurs.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant