Le plug-in audit_remote envoie la piste d'audit binaire à un serveur ARS dans le même format que celui utilisé par le plug-in audit_binfile pour écrire dans les fichiers d'audit locaux. Le plug-in audit_remote utilise la bibliothèque libgss pour authentifier le serveur ARS, et un mécanisme GSS-API pour assurer la confidentialité et l'intégrité de la transmission. Pour obtenir des informations de référence, reportez-vous à la section Description du service Kerberos du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 et à la sectionUtilitaires Kerberos du manuel Gestion de Kerberos et d’autres services d’authentification dans Oracle Solaris 11.2 .
Le seul mécanisme GSS-API actuellement pris en charge est kerberosv5. Pour plus d'informations, reportez-vous à la page de manuel mech(4).
Pour vérifier si un domaine utilisant le protocole Kerberos est configuré, émettez la commande suivante. L'exemple de sortie indique que Kerberos n'est pas installé sur le système.
# pkg info system/security/kerberos-5 pkg: info: no packages matching these patterns are installed on the system.
Avant de commencer
Cette procédure suppose que vous utilisez le plug-in audit_remote.
Vous pouvez utiliser le système qui servira de serveur ARS, ou utiliser un système situé à proximité. Le serveur ARS envoie un volume considérable de trafic d'authentification au package KDC principal.
# pkg install pkg:/system/security/kerberos-5
Sur le KDC maître, vous devez utiliser les commandes kdcmgr et kadmin Kerberos pour gérer le domaine. Pour plus d'informations, reportez-vous aux pages de manuel kdcmgr(1M) et kadmin(1M).
# pkg install pkg:/system/security/kerberos-5
Ce package inclut la commande kclient. Sur ces systèmes, vous devez exécuter la commande kclient pour vous connecter au package KDC. Pour plus d'informations, reportez-vous à la page de manuel kclient(1M).
Si l'écart d'horloge est trop grand entre les systèmes audités et le serveur ARS, la tentative de connexion échoue. Une fois la connexion établie, l'heure locale du serveur ARS détermine les noms des fichiers d'audit stockés, comme décrit à la section Conventions relatives aux noms de fichiers d'audit binaires.
Pour plus d'informations sur les horloges, reportez-vous à la section Garantie de la fiabilité de l'horodatage.