Qu'est-ce que Kerberos Linux
Ce protocole vous permet d'utiliser n'importe quel programme compatible Kerberos sur le système d'exploitation Linux sans saisir de mots de passe à chaque fois. Kerberos est également compatible avec d'autres systèmes d'exploitation majeurs tels que Apple Mac OS, Microsoft Windows et FreeBSD.
L'objectif principal de Kerberos Linux est de fournir aux utilisateurs un moyen de s'authentifier de manière fiable et sûre sur les programmes qu'ils utilisent dans le système d'exploitation. Bien sûr, les responsables de l'autorisation des utilisateurs à accéder à ces systèmes ou programmes dans la plate-forme. Kerberos peut facilement s'interfacer avec des systèmes comptables sécurisés, garantissant que le protocole complète efficacement la triade AAA en authentifiant, autorisant et comptabilité."
Cet article se concentre uniquement sur Kerberos Linux. Et en dehors de la brève introduction, vous apprendrez également ce qui suit;
- Composants du protocole Kerberos
- Concepts du protocole Kerberos
- Variables environnementales qui affectent le fonctionnement et les performances des programmes compatibles Kerberos
- Une liste des commandes Kerberos communes
Composants du protocole Kerberos
Alors que la dernière version a été développée pour Project Athena au MIT (Massachusetts Institute of Technology), le développement de ce protocole intuitif a commencé dans les années 1980 et a été publié pour la première fois en 1983. Il tire son nom de Cerberos, de la mythologie grecque et présente 3 composantes, y compris;
- Un principal ou un principal est tout identifiant unique auquel le protocole peut attribuer des billets. Un directeur peut être un service d'application ou un client / utilisateur. Ainsi, vous vous retrouverez avec un directeur de service pour les services d'application ou un ID utilisateur pour les utilisateurs. Noms d'utilisateur pour le principal pour les utilisateurs, tandis que le nom d'un service est le principal pour le service.
- Une ressource réseau Kerberos; est un système ou une application qui permet d'accéder à la ressource réseau nécessitant une authentification via un protocole Kerberos. Ces serveurs peuvent inclure l'informatique à distance, l'émulation de terminal, les e-mails et les services de fichiers et d'impression.
- Un centre de distribution clé ou KDC est le service d'authentification de confiance du protocole, le service de données et le service d'accès aux billets ou TGS. Ainsi, un KDC a 3 fonctions majeures. Il se targue d'une authentification mutuelle et permet aux nœuds de prouver leur identité de manière appropriée. Le processus d'authentification fiable de Kerberos exploite une cryptographie secrète partagée conventionnelle pour garantir la sécurité des paquets d'information. Cette fonctionnalité rend les informations illisibles ou immuables sur divers réseaux.
Les concepts principaux du protocole Kerberos
Kerberos fournit une plate-forme aux serveurs et aux clients pour développer un circuit crypté pour s'assurer que toutes les communications du réseau restent privées. Pour atteindre ses objectifs, les développeurs de Kerberos ont énoncé certains concepts pour guider son utilisation et sa structure, et ils incluent;
- Il ne devrait jamais permettre la transmission de mots de passe sur un réseau car les attaquants peuvent accéder, écouter et intercepter les ID utilisateur et les mots de passe.
- Aucun stockage de mots de passe en texte clair sur les systèmes clients ou sur des serveurs authentifiants
- Les utilisateurs ne doivent entrer des mots de passe qu'une fois chaque session (SSO), et ils peuvent accepter tous les programmes et systèmes auxquels ils sont autorisés à accéder.
- Un serveur central stocke et maintient toutes les informations d'authentification de chaque utilisateur. Cela rend la protection des informations d'identification des utilisateurs un jeu d'enfant. Bien que les serveurs d'application ne stockent pas les informations d'authentification de l'utilisateur, il autorise un tableau d'applications. L'administrateur peut révoquer l'accès de tout utilisateur à tout serveur d'applications sans accéder à ses serveurs. Un utilisateur ne peut modifier ou modifier ses mots de passe une seule fois, et il pourra toujours accéder à tous les services ou programmes à laquelle il a le pouvoir d'accéder.
- Les serveurs Kerberos travaillent en limité royaumes. Les systèmes de noms de domaine identifient les domaines et le domaine du principal est l'endroit où le serveur Kerberos fonctionne.
- Les utilisateurs et les serveurs d'applications doivent s'authentifier chaque fois que.Alors que les utilisateurs doivent s'authentifier pendant la connexion, les services d'application peuvent avoir besoin de s'authentifier auprès du client.
Variables de l'environnement Kerberos
Notamment, Kerberos travaille sous certaines variables d'environnement, les variables affectant directement le fonctionnement des programmes sous Kerberos. Les variables d'environnement importantes incluent krb5_ktname, krb5ccname, krb5_kdc_profile, krb5_trace, krb5rcachetype et krb5_config.
La variable krb5_config indique l'emplacement des fichiers de l'onglet clé. Habituellement, un fichier d'onglet clé prendra la forme de Type: résiduel. Et où aucun type n'existe, résiduel devient le chemin d'accès du fichier. Le nom de Krb5cc définit l'emplacement des caches d'identification et existe sous la forme de Type: résiduel.
La variable krb5_config spécifie l'emplacement du fichier de configuration et le krb5_kdc_profile indique l'emplacement du fichier KDC avec des directives de configuration supplémentaires. En revanche, la variable KRB5RCACHETYPE spécifie les types de caches de relecture par défaut disponibles pour les serveurs. Enfin, la variable KRB5_TRACE fournit le nom de fichier sur lequel écrire la sortie de trace.
Un utilisateur ou un directeur devra désactiver certaines de ces variables d'environnement pour divers programmes. Par exemple, setuid ou les programmes de connexion doivent rester assez sécurisés lorsqu'ils sont exécutés par des sources non fiables; Par conséquent, les variables n'ont pas besoin d'être actives.
Commandes communes Kerberos Linux
Cette liste se compose de certaines des commandes Kerberos Linux les plus vitales du produit. Bien sûr, nous en discuterons longuement dans d'autres sections de ce site Web.
| Commande | Description |
|---|---|
| / usr / bin / kinit | Obtient et met en cache les titres initiaux d'accès aux billets pour le principal |
| / usr / bin / klist | Affiche les billets Kerberos existants |
| / usr / bin / ftp | Commande de protocole de transfert de fichiers |
| / usr / bin / kdestroy | Programme de destruction de billets Kerberos |
| / usr / bin / kpasswd | Modifie les mots de passe |
| / usr / bin / rdist | Distribue des fichiers distants |
| / usr / bin / rlogin | Une commande de connexion distante |
| / usr / bin / ktutil | Gère les fichiers d'onglet clés |
| / usr / bin / rcp | Copie les fichiers à distance |
| / usr / lib / krb5 / kprop | Un programme de propagation de base de données |
| / usr / bin / telnet | Un programme Telnet |
| / usr / bin / rsh | Un programme de shell distant |
| / usr / sbin / gsscred | Gère les entrées de table GSSCred |
| / usr / sbin / kdb5_ldap_uti | Crée des conteneurs LDAP pour les bases de données à Kerberos |
| / usr / sbin / kgcmgr | Configure maître KDC et esclave KDC |
| / usr / sbin / kclient | Un script d'installation client |
Conclusion
Kerberos sur Linux est considéré comme le protocole d'authentification le plus sécurisé et le plus utilisé. Il est mature et sûr, donc idéal pour authentifier les utilisateurs dans un environnement Linux. De plus, Kerberos peut copier et exécuter des commandes sans aucune erreur inattendue. Il utilise un ensemble de cryptographie forte pour protéger les informations et les données sensibles sur divers réseaux non garantis.