Authentification sous Linux avec Kerberos

Authentification sous Linux avec Kerberos 1 de 25

Table des matières 1 la sécurité sous Linux par défaut...3 1.1 Les utilisateurs du système...3 1.1.1 Le fichier /etc/passwd...3 1.1.2 Le fichier /etc/shadow...4 1.1.3 Les groupes du système...4 1.2 Les commandes de gestion des utilisateurs...5 1.2.1 Création d'un utilisateur :...5 1.2.2 Suppression d'un utilisateur:...5 1.2.3 Modification du mot de passe:...5 1.3 Commande des permissions:...5 1.3.1 La notion de propriétaire...5 1.3.2 La notion de permission...6 2 La cryptographie...7 2.1 Le chiffrement par clés symétriques...7 2.2 Le chiffrement par clés asymétriques...8 2.3 Les certificats...8 3 Kerberos...9 3.1 Présentation:...9 3.1.1 Historique:...9 3.1.2 Avantages:...10 3.1.3 Inconvénients:...10 3.1.4 Conclusion...11 3.2 Terminologie de kerberos:...11 3.4 Principe de fonctionnement:...12 4 Installer et configurer un serveur Kerberos 5:...14 4.1 Installation du serveur Kerberos :...14 4.2 Configurer un client Kerberos 5...17 5 La sécurité:...18 Annexe:...19 Bulletin de sécurité:...19 Installation de Kerberos:...19 Serveur:...19 Client:...20 Lancement des services:...21 Commande USERADD...22 FICHIERS:...24 Sources:...25 2 de 25

1 la sécurité sous Linux par défaut. Les systèmes Linux furent conçus pour être multi-utilisateurs. Toute la conception du système est axée autour de cette notion. L'accès à chaque élément du système est contrôlé en fonction de l'utilisateur qui en fait la demande. Dans un premier temps nous allons voir comment gérer les comptes utilisateurs ainsi que la mise en place des permissions sur les fichiers. 1.1 Les utilisateurs du système Pour le système un utilisateur n'est pas obligatoirement une personne physique. Il peut détenir des fichiers, exécuter des programmes ou encore déclencher des fonctions systèmes. Un utilisateur possède un login lui permettant de démarrer une session. A ce login est associé un mot de passe personnel. Pour accéder aux ressources du système, l'utilisateur doit entrer le couple login/mot de passe. Ce processus est l'authentification du système. En plus de ce couple, chaque utilisateur est référencé sur le système par un UID (Identifiant Utilisateur Unique) qui est une valeur numérique permettant : d'obtenir une hiérarchie parmi les utilisateurs et d'être facilement référencé dans les informations d'un objet du système de fichiers. 1.1.1 Le fichier /etc/passwd Ce fichier contient les informations relatives à tous les utilisateurs du système; Par défaut il est le seul qui les liste et qui les définit. La syntaxe de ce fichier est des plus simples, chaque ligne concerne un utilisateur et les différents champs sont séparés par des «:» Exemple: login:password:uid:gid:infos utilisateurs:répertoire personnel:shell Pat:x:500:500:Patrick:/home/Pat:/bin/bash Descriptif des champs : login : identifiant password : mot de passe Le mot de passe peut apparaître sous différentes formes!! le compte est désactivé x ou! le mot de passe est conservé dans un fichier shadow champ vide pas de mot de passe UID : il s'agit de l'identifiant unique de l'utilisateur. Le ROOT possède l'uid 0 3 de 25

Les UID inférieur à 100 doivent être réservés au compte système. GID : identifiant du groupe principal de l'utilisateur Infos utilisateurs : des infos sur l'utilisateur; Chaque info doit être séparé par des virgules. Répertoire personnel : répertoire ou sont stockés les fichiers appartenant à l'utilisateur. En général de la forme /home/login Shell: le shell qui sera lancé après l'authentification. 1.1.2 Le fichier /etc/shadow Le fichier /etc/passwd est accessible en lecture par tout le monde. En effet, certaines commandes utilisent la liste des utilisateurs ou encore la correspondance login/uid. La présence du mot de passe dans /etc/passwd même crypté pose un problème de sécurité puisque tous les utilisateurs possèdent un accès en lecture sur ce fichier. Pour remédier à ce problème, les mots de passe sont stockés dans un fichier différent que seul l'administrateur peut lire. En fonction des différentes distributions, l'utilisation du fichier shadow peut ne pas être activée. Pour activer cette dernière, il suffit d'utiliser la commande <pwconv>. Exemple : Pat:$1$g8s9ptfE$/rvJFuZj23tf/pibTaf02.:13860:0:99999:7::: 1.1.3 Les groupes du système Sur les systèmes Linux, les groupes permettent de classer les utilisateurs. De la même manière que pour ceux ci, les informations concernant les groupes du système sont stockées dans un fichier /etc/group. Les informations relatives aux groupes présents sur le système sont répertoriées dans ce fichier et respectent une syntaxe comme celle de /etc/passwd : Exemple: adm:x:500:pat adm : nom du groupe x contient le caractère x (ou*) car n'est plus utilisé par les versions actuelles de Linux. 500 : le GID, c'est l'identifiant unique du groupe sous la forme d'une valeur numérique Pat : utilisateur du groupe. 4 de 25

1.2 Les commandes de gestion des utilisateurs 1.2.1 Création d'un utilisateur : Des commandes permettent de gérer facilement les utilisateurs : Pour la création d'un utilisateur : il existe la commande <useradd>. Supposons que nous voulions créer un utilisateur stagiaire1 avec pour shell /bin/bash, pour répertoire personnel /home/stagiaire1, pour groupe stagiaire et dev. La commande permettant de créer cet utilisateur sera : [Pat@localhost ~]$ <useradd -c ''stagiaire1'' -G stagiaire,dev -s /bin/bash stagiaire1> Afin d'alléger la commande, il existe des valeurs par défaut pour les paramètres essentiels de la création d'un utilisateur. La commande useradd -D montre toutes les options par défaut. 1.2.2 Suppression d'un utilisateur: La commande <userdel> permet de supprimer un utilisateur : [Pat@localhost ~]$ <userdel [-r] login> Cette commande va supprimer du fichier /etc/passwd l'entrée correspondant à l'utilisateur désigné. L'option -r permet d'effacer le répertoire personnel de l'utilisateur. 1.2.3 Modification du mot de passe: Une fois l'utilisateur créé, ce dernier ne peut se connecter au système tant qu'un mot de passe ne lui a pas été attribué. La commande <passwd> permet de changer le mot de passe d'un utilisateur. La syntaxe de cette commande est la suivante : passwd [option] [login] Il est à noter que si l'argument login n'est pas préciser, la modification s'appliquera à l'utilisateur en cours. 1.3 Commande des permissions: Pour finir cette partie concernant la sécurité de Linux par défaut, il semble important d'évoquer la gestion des permissions. Deux notions sont importantes, celle de propriétaire et celle de permission. 1.3.1 La notion de propriétaire Puisque tout est fichier sous Linux et qu'il s'agit d'un système multi-utilisateur, il est important de cloisonner certaines parties du système afin que tous les utilisateurs n'aient pas accès à toutes les ressources présentes sur l'ordinateur. 5 de 25

Pour cela différentes permissions sont attachées à chaque fichier. Ce principe de cloisonnement des données passe par un principe de propriété. On distingue trois types de relations par rapport à la propriété d'un fichier avec chacune des droits différents : Le propriétaire : c'est souvent le créateur du fichier Le groupe; cela englobe tous les utilisateurs appartenant à ce groupe. Par défaut, il s'agit du groupe principal du propriétaire. Les autres : tous les autres utilisateurs du système. 1.3.2 La notion de permission A cette notion de propriétaire s'ajoute celle des permissions attribuées aux différents types de propriétaires. Il existe trois types de droits : Lecture: représentée par la lettre R, elle donne l'autorisation de lire un fichier. Ecriture: représentée par la lettre W, elle autorise la modification du fichier. Exécution: représentée par la lettre X, elle donne le droit d'exécuter un fichier. Ces 3 types de droit sont attribués séparément à 3 types d'utilisateurs : user :représentée par la lettre U, c'est le propriétaire du fichier ou du dossier. group : représentée par la lettre G, c'est le groupe propriétaire du fichier ou du dossier other: représentée par la lettre O, ce sont tous les autres utilisateurs du système. Avec la commande <ls -l> nous pouvons visualiser ces droits d'accès: drwxr-xr-x 2 patrick patrick 4096 2008-12-05 13:50 Nasm -rw-r--r-- 1 patrick patrick 0 2008-01-07 12:09 nouveau fichier -rwxrwxrwx 1 patrick patrick 0 2008-01-07 12:09 nouveau fichier2 Le champ -rw-r r-- de la ligne n 2 ci-dessus montre que les droits de «nouveau fichier» sont: lecture et écriture pour les utilisateurs et lecture pour les Groupes et Autres soit en nombre 644. Le champ -rwxrwxrwx de la ligne n 3 montre que les droits de «nouveau fichier2» sont: Lecture, écriture et exécution pour les trois triades Utilisateurs(User), Groupes(Group) et Autres(Other) soit en nombre 777. 6 de 25

2 La cryptographie Avant de décrire Kerberos, nous allons évoquer la confidentialité. En effet la confidentialité des données est devenue une préoccupation majeure pour l'administrateur système. Les 3 grands principes du cryptage sont les suivants : 1. La sécurité repose sur le secret de la clé et non pas sur la longueur de l'algorithme. 2. Le déchiffrement de la clé est sinon impossible du moins réclamant de nombreux moyens et du temps donc beaucoup trop coûteux. 3. Trouver la clé à partir des informations en clair et du chiffre doit être impossible. Le protocole SSL permet de décrire les méthodes pour sécuriser les échanges qui se résument à 3 possibilités : 1. le chiffrement par clés symétriques. 2. le chiffrement par clés asymétriques. 3. le chiffrement par certificats. 2.1 Le chiffrement par clés symétriques Ce chiffrement également appelé chiffrement à clé privé ou secrète. Il consiste à utiliser la même clé pour le chiffrement que pour le déchiffrement. Le principal inconvénient de ce système est l'échange de la clé. En effet, le chiffrage repose sur la même clé d'encryptage et de décryptage. Il y a donc un échange de clé. Or si quelqu'un intercepte la clé, il sera capable de décrypter le message. 7 de 25

3 Kerberos 3.1 Présentation: Kerberos est un protocole d authentification réseau créé au Massachusetts Institute of Technology (MIT) en 1988. Kerberos utilise un système de tickets au lieu de mots de passe en texte clair. Ce principe renforce la sécurité du système et empêche que des personnes non autorisées interceptent les mots de passe des utilisateurs. Il utilise une cryptographie à clés symétriques. Kerberos est un protocole d authentification réseau. Il utilise une horloge pour : Limiter l usage des clés dans le temps. Détecter les attaques par rejeu. Il utilise DES : Le Data Encryption Standard (DES) est une méthode de chiffrement. Suppose un tiers de confiance. Kerberos ne fournit pas d autorisation mais uniquement de l authentification. Kerberos ne fait pas de chiffrement de données. 3.1.1 Historique: Kerberos 4, première version utilisable Kerberos 5, RFC 4120, juillet 2005 (RFC 1510, septembre 1993) Kerberos 5 est utilisé dans : UNIX : Linux, BSD, etc. Mac OS X (10.2 et suivants) GSS-API, SASL (NFSv4, AFS, LDAP, OpenSSH) Apache Samba PAM 9 de 25

MySQL Microsoft Windows (2000 et suivant),... 3.1.2 Avantages: La plupart des systèmes de réseau conventionnels utilisent des procédures d'authentification par mot de passe. Un utilisateur doit s'authentifier auprès d'un serveur réseau précis en fournissant son nom d'utilisateur et son mot de passe. L'authentification pour de nombreux services s'effectue de façon non-cryptée. Pour qu'une telle procédure soit sécurisée, il est essentiel d'une part que le réseau soit inaccessible aux utilisateurs externes et d'autre part, que tous les ordinateurs et utilisateurs sur le réseau soient dignes de confiance. Il suffit à tout pirate obtenant l'accès au réseau d'utiliser un simple analyseur de paquets (sniffer) pour intercepter des noms d'utilisateurs et des mots de passe envoyés en texte clair. Le principe de base de Kerberos est d'éviter la transmission de mots de passe non-cryptés à travers le réseau. Lorsque Kerberos est utilisé correctement, il élimine de façon efficace la menace des sniffers de paquets. 3.1.3 Inconvénients: Kerberos permet d'éliminer une menace commune pour la sécurité, mais plusieurs raisons font qu'il peut se révéler difficile à implémenter : La migration de mots de passe utilisateur d'une base de données de mots de passe Linux standard, comme /etc/passwd ou /etc/shadow, vers une base de données de mots de passe Kerberos peut être relativement longue car il n'existe aucun mécanisme automatique permettant d'effectuer cette tâche. Kerberos n'est que partiellement compatible avec le système PAM ('Pluggable Authentification Module', module d'authentification enfichable) utilisé par la plupart des serveurs exécutant Red Hat Linux. Kerberos suppose que tout utilisateur est digne de confiance. Son but principal est d'empêcher que des mots de passe en texte clair ne soient envoyés sur le réseau. Toutefois, si quelqu'un d'autre que l'utilisateur normal a physiquement accès à l'hôte qui émet les tickets utilisés pour l'authentification «appelé centre de distribution de clés (ou KDC de l'anglais Key Distribution Center)» tout le système d'authentification Kerberos est menacé d'être compromis. Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin de faire les appels appropriés dans les bibliothèques Kerberos. Les applications modifiées de la sorte sont considérées comme étant kerberisées. Pour certaines applications, ceux-ci peut exiger un effort de programmation trop important. Avec une solution Kerberos, c'est tout ou rien. Une fois que Kerberos est utilisé sur le réseau, tout mot de passe non crypté transmis à un service non kerberisé risque d'être intercepté. Dans de telles circonstances, le système ne tirera aucun avantage de l'utilisation de Kerberos. Afin de sécuriser votre réseau avec Kerberos, vous devez soit utiliser des versions kerberisées de toutes les applications client/serveur qui envoient des mots de passe en texte clair, soit n'utiliser absolument aucune application client/serveur. 10 de 25

3.1.4 Conclusion On utilisera Kerberos car: L'authentification est sécurisée (cryptographie). Il n'y a pas de transmission du mot de passe. 3.2 Terminologie de kerberos: Comme tout système, Kerberos dispose de sa propre terminologie. Ciphertext: Données cryptées. Client: Entité sur le réseau (utilisateur, hôte ou application) pouvant recevoir un ticket de Kerberos. Cache de certificat d'identité ou fichier ticket: Fichier contenant les clés nécessaires au cryptage des communications entre un utilisateur et divers services réseau. Kerberos 5 fournit un environnement permettant d'utiliser d'autres types de cache (par exemple, une mémoire partagée), mais les fichiers sont mieux pris en charge. Hache crypté: Hachage unidirectionnel utilisé pour l'authentification des utilisateurs. Plus sûr que le texte clair, mais relativement facile à décoder pour un pirate expérimenté. Hachage: Un nombre créé à partir de texte et utilisé pour garantir que des données transmises n'ont pas été manipulées de manière malveillante. Clé: Bloc de données utilisé pour le cryptage et le décryptage de données. Il est impossible de décrypter des données cryptées sans disposer de la clé appropriée. KDC (Key Distribution Center ou centre de distribution de clés): Service émettant des tickets Kerberos, généralement exécuté sur le même hôte que le serveur d'émission de tickets ou TGS (de l'anglais Ticket-granting Server). C'est une base de données des clients, des serveurs et des clés associées. Il est responsable de la maintenance des clés maîtres et de la mise à disposition des tickets Kerberos. L Authentication Service (AS) donne au client une clé de session et un Ticket Granting Ticket TGT. Il distribue les clés de session et les tickets pour les services via le Ticket Granting Service TGS. Table clé ou keytab: Fichier contenant une liste cryptée des "principaux" et de leurs clés respectives. Les serveurs extraient les clés dont ils ont besoin des fichiers keytab au lieu d'utiliser kinit. Le fichier keytab par défaut est /etc/krb5.keytab. Le serveur d'administration de KDC, /usr/kerberos/sbin/kadmind, est le seul service utilisant tout autre fichier (il utilise /var/kerberos/krb5kdc/kadm5.keytab). 11 de 25

Kinit: La commande kinit permet à un principal qui est déjà connecté d'obtenir et de mettre en cache le ticket d'émission de tickets initial ou TGT (pour Ticket-granting Ticket). Principal: trinôme <nom, instance, domaine> nom : nom d utilisateur ou du service instance : qualifie le primary (rôle/groupe) domaine d authentification Le principal est le nom unique de l'utilisateur ou du service pouvant effectuer une authentification à l'aide de Kerberos. Un nom de principal a le format root[/instance]@realm. Pour un utilisateur ordinaire, le root correspond à l'id de connexion. L'instance est facultative. Si le principal a une instance, il est séparé de la variable root par une barre oblique en avant ("/"). Une chaîne vide ("") est considérée comme une instance valide (qui diffère de l'instance NULL par défaut), mais son utilisation peut être source de confusion. Tous les éléments principaux d'une zone (realm) ont leur propre clé dérivée de leur mot de passe ou définie de façon aléatoire pour les services. Realm: Un réseau utilisant Kerberos, composé d'un ou plusieurs serveurs (appelés également KDC) et un nombre potentiel très élevé de clients. Service: Programme accessible via le réseau. Ticket: Ensemble temporaire de certificats d'identité électroniques qui vérifient l'identité d'un client pour un service particulier. Service d'émission de tickets (TGS pour Ticket Granting Service): Serveur émettant les tickets pour un service souhaité que l'utilisateur doit ensuite employer pour accéder au service en question. Le TGS fonctionne en général sur le même hôte que le KDC. Ticket d'émission de tickets (TGT pour Ticket-granting Ticket): Ticket spécial permettant au client d'obtenir des tickets supplémentaires sans les demander au KDC. ticket donné par l AS (Authentication Service), expire à une date et à une heure déterminées. Mot de passe non-crypté: Un mot de passe en texte clair, lisible par quiconque. 3.4 Principe de fonctionnement: Sur un réseau classique employant des mots de passe pour authentifier les utilisateurs, lorsqu'un utilisateur demande un service réseau nécessitant une authentification, il lui est demandé son Login et son mot de passe. Ceux-ci sont transmis sous forme de hache chiffré réseau ou pire en texte clair. Aussi toute personne interceptant des paquets sur le réseau peut potentiellement trouver le nom d'utilisateur et son mot de passe. Kerberos utilise un cryptage symétrique et un programme externe digne de confiance connu sous le nom de Centre de distribution de tickets (KDC Key Distribution Center) afin d'authentifier les utilisateurs sur un réseau. Une fois l'authentification auprès du KDC effectuée, Kerberos renvoie à 12 de 25

l'ordinateur de l'utilisateur un ticket spécifique à cette session sur l'ordinateur de l'utilisateur. Ainsi tout service kerberisé peut rechercher ce ticket plutôt que de demander à l'utilisateur de s'authentifier à l'aide du couple Login / mot de passe. 1. Lorsqu'un utilisateur faisant partie d'un réseau "kerberisé" souhaite s'authentifier, il renvoie une demande au KDC (AS-REQ ou TGT). Lors de cette demande, il va entrer son mot de passe, qui va être transformé, puis utilisé comme clé de chiffrement pour la demande d'authentification. A aucun moment le mot de passe ou une représentation du mot de passe ne transitera sur le réseau. En fait son principal est envoyé au KDC. Cette demande peut être émise par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut être émise par le programme kinit une fois l'utilisateur connecté. 2. Le KDC reçoit alors cette demande. Il est le seul à connaître le mot de passe de l'utilisateur. Grâce à ce mot de passe, il va pouvoir déchiffrer la demande d'authentification. Si le déchiffrement a réussi, c'est que l'utilisateur a chiffré sa demande avec le bon mot de passe. Il vient donc de prouver son identité. Le KDC renvoie alors une réponse positive (AS- REP), après vérification du principal dans sa base de données, comprenant une clé de session, un TGT, le crypte à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier. Il servira alors à valider tous les échanges entre l'utilisateur et le KDC. Si le déchiffrement échoue, le KDC renvoie une erreur (KRB-ERROR). Le programme de connexion ou le programme kinit présent sur l'ordinateur client décrypte ensuite le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). La clé de l'utilisateur est utilisée seulement sur l'ordinateur client et n'est pas envoyée sur le réseau. 13 de 25

Une fois authentifié, l'utilisateur emploiera sa clé de session pour communiquer avec le KDC et demander des tickets, tickets qui serviront de preuve auprès des services sur les quels l'utilisateur souhaite s'authentifier. 3. Les tickets ou le TGT, est établi pour expirer après un certain laps de temps, est stocké dans le cache de certificats d'identité de l'ordinateur client. Un délai d'expiration est défini de manière à ce qu'un TGT compromis ne puisse être utilisé par un pirate que pendant une courte durée. Une fois que le TGT est émis, l'utilisateur "n'a pas à redonner son mot de passe" au KDC tant que le TGT n'a pas expiré ou tant qu'il ne se déconnecte pas. Chaque fois que l'utilisateur doit accéder à un service réseau, le logiciel client utilise le TGT pour demander au serveur d'émission de tickets (TGS) un nouveau ticket pour ce service spécifique. Le ticket pour le service souhaité est alors émis et utilisé pour authentifier l'utilisateur auprès de ce service de façon transparente. 4 Installer et configurer un serveur Kerberos 5: On commencera par installer le serveur. 4.1 Installation du serveur Kerberos : 1. Etant donné que certains aspects de Kerberos reposent sur le DNS (Domain Name System), le service DNS doit être installé et parfaitement configuré. Assurez-vous de la synchronisation de l'horloge entre le serveur Kerberos et ses différents clients. Si les horloges du serveur et du client diffèrent de plus de cinq minutes (ce chiffre par défaut est configurable dans Kerberos 5), les clients ne pourront pas s'authentifier sur le serveur. Cette synchronisation de l'horloge est nécessaire pour empêcher un agresseur d'utiliser un ancien authentificateur pour se déguiser en un utilisateur valide. Vous devez configurer un réseau client/serveur compatible NTP (protocole de synchronisation de réseau) comme par exemple, ntpd. Consultez usr/share/doc/ntp- 4.2.4p2/index.html pour Fedora. 2. Installez les paquetages krb5-libs, krb5-server et krb5-workstation sur la machine sur laquelle tournera votre KDC. Cette machine doit être sécurisée si possible; elle ne devrait pas exécuter de services autres que le KDC. Si vous souhaitez utiliser un utilitaire d'interface utilisateur graphique GUI pour gérer Kerberos, vous devez également installer le paquetage gnome-kerberos. Celui-ci contient krb5, un outil GUI pour gérer les tickets, et gkadmin, un outil GUI pour gérer les zones de Kerberos. 3. Editez les fichiers de configuration /etc/krb5.conf et /var/kerberos/krb5kdc/ kdc.conf afin de refléter votre nom de zone et les configurations domaine à zone. Une simple zone peut être construite en remplaçant les instances de EXEMPLE.COM et 14 de 25

exemple.com avec votre nom de domaine. Assurez-vous de bien garder les noms en majuscules et minuscules dans le format approprié et en changeant le KDC de kerberos.exemple.com par le nom de votre serveur Kerberos. Par convention, tous les noms de zones sont en majuscules et tous les noms d'hôtes DNS ainsi que les noms de domaines en minuscules. Le fichier krb5.conf contient la configuration générale de Kerberos. Le kdc.conf indique ou se situe la base de donnée des comptes utilisateurs. 4. Créez la base de données à l'aide de l'utilitaire kdb5_util à partir de l'invite shell: /usr/kerberos/sbin/kdb5_util create -s La commande create crée la base de données (dans /usr/local/var/krb5kdc) qui sera utilisée pour stocker les clés de votre zone Kerberos. Le commutateur -s force la création d'un fichier stash dans lequel est stocké la clé du serveur maître. S'il n'existe aucun fichier stash à partir duquel lire la clé, le serveur Kerberos (krb5kdc) demandera à l'utilisateur le mot de passe du serveur maître (qui peut être utilisé pour régénérer la clé) à chaque fois qu'il sera lancé. Exemple: [Patrick@localhost ~]$ su -c '/usr/kerberos/sbin/kdb5_util create -s' Mot de passe : Loading random data Initializing database '/var/kerberos/krb5kdc/principal' for realm 'EXAMPLE.COM', master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key: Re-enter KDC database master key to verify: 5. Editez le fichier /var/kerberos/krb5kdc/kadm5.acl. Ce fichier est utilisé par kadmind afin de déterminer quels éléments principaux ont accès à la base de données de Kerberos et de définir leur niveau d'accès. Une seule ligne suffira à la plupart des organisations : /admin@exemple.com La plupart des utilisateurs seront représentés dans la base de données par un seul élément principal (avec une instance NULL, ou vide, telle que joe@exemple.com). Avec cette configuration, les utilisateurs ayant un second élément principal avec comme instance admin (par exemple, joe/admin@exemple.com) pourront exercer un pouvoir total sur la base de données Kerberos de la zone. Une fois kadmind lancé sur le serveur, n'importe quel utilisateur pourra accéder à ses 15 de 25

services en exécutant kadmin ou gkadmin sur tous les clients ou serveurs de la zone. Toutefois, les utilisateurs non spécifiés dans le fichier kadm5.acl ne pourront en aucun cas modifier la base de données ; le seul changement qu'il leur sera possible d'effectuer sera celui de leurs propres mots de passe. Tapez la commande kadmin.local suivante au terminal KDC afin de créer le premier élément principal : /usr/kerberos/sbin/kadmin.local -q "addprinc nom-d'utilisateur/admin" Exemple: [Patrick@localhost ~]$ su -c '/usr/kerberos/sbin/kadmin.local -q "addprinc Patrick/admin"' Mot de passe : Authenticating as principal Patrick/admin@EXAMPLE.COM with password. WARNING: no policy specified for Patrick/admin@EXAMPLE.COM; defaulting to no policy Enter password for principal "Patrick/admin@EXAMPLE.COM": Re-enter password for principal "Patrick/admin@EXAMPLE.COM": Principal "Patrick/admin@EXAMPLE.COM" created. 6. Lancez Kerberos à l'aide des commandes suivantes : /sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start 7. Ajoutez des éléments principaux pour vos utilisateurs à l'aide de la commande addprinc avec kadmin ou à l'aide de l'option de menu Principal => Add dans gkadmin. kadmin et kadmin.local, sur le KDC maître, sont des interfaces de ligne de commande pour le système d'administration de Kerberos. En tant que telles, de nombreuses commandes sont disponibles après le lancement du programme kadmin. 8. Vérifiez que votre serveur émettra bien des tickets. Tout d'abord, exécutez kinit afin d'obtenir un ticket et de le stocker dans un fichier cache de certificats d'identité. Utilisez ensuite klist afin de visualiser la liste des certificats d'identité dans votre cache et utilisez kdestroy pour détruire le cache ainsi que les certificats qu'il contient. Remarque Par défaut, kinit tente de vous authentifier en utilisant le nom d'utilisateur de connexion du compte utilisé lorsque vous vous êtes connecté pour la première fois à votre système (pas au serveur Kerberos). Si le nom d'utilisateur de ce système ne correspond pas à un élément principal dans votre base de données Kerberos, un message d'erreur s'affichera. Le cas échéant, indiquez simplement à kinit le nom de votre élément principal en tant 16 de 25

qu'argument sur la ligne de commande (kinit élément principal). Nous allons passer à la configuration des clients Kerberos. 4.2 Configurer un client Kerberos 5 Il est moins complexe de configurer un client Kerberos 5 qu'un serveur. Vous devez au minimum installer les paquetages clients et fournir à vos clients un fichier de configuration krb5.conf valide. Les versions "kerbérisées" de rsh et rlogin nécessiteront également des changements au niveau de la configuration. 1. Assurez-vous que la synchronisation de l'heure est effective entre le client Kerberos et le KDC. Le DNS doit aussi fonctionner correctement sur le client Kerberos avant d'installer les programmes de ce client. 2. Installez les paquetages krb5-libs et krb5-workstation sur tous les clients de votre zone. Vous devez fournir votre propre version de /etc/krb5.conf pour les stations de travail de vos clients ; cela peut généralement être le même krb5.conf que celui utilisé par le KDC. 3. Avant qu'une station de travail donnée de votre zone puisse permettre aux utilisateurs de se connecter à l'aide des commandes rsh et rlogin "kerbérisées", le paquetage xinetd devra y être installé et l'élément principal de l'hôte propre à la station devra être présent dans la base de données Kerberos. Les programmes de serveur kshd et klogind auront également besoin d'un accès aux clés pour l'élément principal de leur service. A l'aide de kadmin, ajoutez un élément principal d'hôte pour la station de travail. L'instance sera dans ce cas le nom d'hôte de la station. Parce que vous n'aurez jamais besoin de taper à nouveau le mot de passe pour cet élément principal, vous ne voudrez probablement pas perdre de temps à chercher un bon mot de passe. Vous pouvez utiliser l'option -randkey de la commande addprinc de kadmin afin de créer l'élément principal et de lui attribuer une clé aléatoire : addprinc -randkey host/blah.exemple.com Maintenant que vous avez créé l'élément principal, vous pouvez extraire les clés de la station de travail en exécutant kadmin sur la station de travail elle-même et utiliser la commande ktadd dans kadmin : ktadd -k /etc/krb5.keytab host/blah.exemple.com Afin d'utiliser les versions "kerbérisées" de rsh et de rlogin, vous devez activer klogin, 17 de 25

eklogin et kshell. 4. D'autres services de réseau "kerbérisés" devront être lancés. Pour utiliser la commande telnet kerbérisée, vous devez activer krb5-telnet. Afin de fournir un accès FTP, créez puis extrayez une clé pour un élément principal avec un root de ftp, l'instance étant configurée au nom d'hôte du serveur FTP. Activez ensuite gssftp. Le serveur IMAP inclus dans le paquetage imap utilisera l'authentification GSS-API à l'aide de Kerberos 5 s'il parvient à trouver la clé appropriée dans /etc/krb5.keytab. Le root de l'élément principal doit être imap. Le gserveur CVS utilise un élément principal avec un root de cvs et est en dehors de cela identique à un pserver. 5 La sécurité: Parce qu'un système est caractérisé par le niveau de sécurité de son maillon le plus faible, de la même façon qu'une chaîne, la sécurité doit être abordée dans un contexte global: La sensibilisation des utilisateurs aux problèmes de sécurité. La sécurité logique, c'est à dire la sécurité au niveau des données. La sécurité des télécommunications. La sécurité des applications. La sécurité physique (sécurité matérielle). On veillera aux mises à jour de sécurité du système d'exploitation ainsi que des applications. Par exemple vous pouvez constater ci-dessous un avis de sécurité sur Kerberos. Alors pensez à maintenir vos systèmes à jour... 18 de 25

Annexe: Les manipulations ont été réalisées avec la distribution Fedora. Bulletin de sécurité: - Kerberos : Versions affectées : Kerberos 5 versions 5-1.4 à 5-1.6.2 Criticité: Non Critique Moyennement Critique Critique Très Critique Impact: Exécution des commandes arbitraires, Déni de service, par un attaquant distant. Brève Description: Ces vulnérabilités sont dues à des erreurs : - Une erreur de gestion des requêtes RPC. L'exploitation de cette faille pourrait permettre à un attaquant d'exécuter du code arbitraire avec les privilèges "root" ou de créer un déni de service du démon "kadmind". - Une erreur de gestion de l'espace mémoire. L'exploitation de cette faille pourrait permettre à un attaquant local ayant les privilèges "modify policy" d'exécuter du code arbitraire avec les privilèges "root" ou de créer un déni de service du démon "kadmind". Pour plus de détails : http://web.mit.edu/kerberos/www/advisories/mitkrb5-sa-2007-006.txt http://sunsolve.sun.com/search/document.do?assetkey=1-26-103060-1 Solution : Appliquer le correctif de MIT pour Kerberos 5 : http://web.mit.edu/kerberos/advisories/2007-006-patch.txt Référence CVE-2007-3999 -CVE-2007-4000 -CVE-2007-4743 RéférenceCERT-TCC: CERT-TCC/Vuln.2007-442 Installation de Kerberos: Serveur: [Patrick@localhost ~]$ su -c 'yum install krb5-server' Mot de passe : Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package krb5-server.i386 0:1.6.1-4.fc7 set to be updated 19 de 25

--> Finished Dependency Resolution Dependencies Resolved ======================================================================= ====== Package Arch Version Repository Size ======================================================================= ====== Installing: krb5-server i386 1.6.1-4.fc7 updates 896 k Transaction Summary ======================================================================= ====== Install 1 Package(s) Update 0 Package(s) Remove 0 Package(s) Total download size: 896 k Is this ok [y/n]: y Downloading Packages: (1/1): krb5-server-1.6.1-100% ========================= 896 kb 00:01 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Installing: krb5-server ######################### [1/1] Installed: krb5-server.i386 0:1.6.1-4.fc7 Complete! [Patrick@localhost ~]$ Client: [Patrick@localhost ~]$ su -c 'yum install krb5-workstation' Mot de passe : Setting up Install Process Parsing package install arguments Resolving Dependencies --> Running transaction check ---> Package krb5-workstation.i386 0:1.6.1-4.fc7 set to be updated --> Finished Dependency Resolution Dependencies Resolved ======================================================================= ====== Package Arch Version Repository Size 20 de 25

======================================================================= ====== Installing: krb5-workstation i386 1.6.1-4.fc7 updates 443 k Transaction Summary ======================================================================= ====== Install 1 Package(s) Update 0 Package(s) Remove 0 Package(s) Total download size: 443 k Is this ok [y/n]: y Downloading Packages: ftp://ftp.uvsq.fr/pub/fedora/updates/7/i386/krb5-workstation-1.6.1-4.fc7.i386.rpm: [Errno 4] IOError: [Errno ftp error] 530-530-Sorry, there are too many users using the system at this time. 530-Please try again later. 530-530 Login incorrect. Trying other mirror. (1/1): krb5-workstation-1 100% ========================= 443 kb 00:03 Running rpm_check_debug Running Transaction Test Finished Transaction Test Transaction Test Succeeded Running Transaction Installing: krb5-workstation ######################### [1/1] Installed: krb5-workstation.i386 0:1.6.1-4.fc7 Complete! [Patrick@localhost ~]$ Lancement des services: NTP: [Patrick@localhost ~]$ su -lc '/sbin/service ntpd start' Mot de passe : Démarrage de ntpd : [ OK ] krb5kdc: [Patrick@localhost ~]$ su -lc 'service krb5kdc start' Mot de passe : Démarrage de Kerberos 5 KDC : [ OK ] 21 de 25

kadmin: [Patrick@localhost ~]$ su -lc 'service kadmin start' Mot de passe : Extraction des clés de service kadm5 :Authenticating as principal root/admin@example.com with password. Entry for principal kadmin/admin with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/admin with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/admin with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/admin with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/changepw with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/changepw with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/changepw with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/changepw with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Authenticating as principal root/admin@example.com with password. ] Entry for principal kadmin/localhost.localdomain with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/localhost.localdomain with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/localhost.localdomain with kvno 3, encryption type DES with HMAC/sha1 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. Entry for principal kadmin/localhost.localdomain with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/var/kerberos/krb5kdc/kadm5.keytab. [ OK ] Démarrage de Kerberos 5 Admin Server : [ OK ] Commande USERADD USERADD Commandes de gestion du système USERADD NOM 22 de 25

useradd - créer un nouvel utilisateur ou modifier les informations par défaut appliquées aux nouveaux utilisateurs SYNOPSIS useradd [options] LOGIN useradd -D useradd -D [options] DESCRIPTION Quand elle est invoquée sans l option -D, la commande useradd crée un nouveau compte utilisateur qui utilise les valeurs indiquées sur la ligne de commande et les valeurs par défaut du système. En fonction des options de la ligne de commande, la commande useradd fera la mise à jour des fichiers du système, elle pourra créer le répertoire personnel et copier les fichiers initiaux. OPTIONS Les options disponibles pour la commande useradd sont : -c, --comment COMMENTAIRE Toute chaîne de texte. C est généralement une description courte du compte, elle est actuellement utilisée comme champ pour le nom complet de l utilisateur. -b, --base-dir RÉP_BASE Répertoire de base par défaut du système si l option -d rép n est pas spécifiée. RÉP_BASE est concaténé avec le nom du compte pour définir le répertoire personnel. Quand l option -m n est pas utilisée, RÉP_BASE doit exister. -d, --home RÉP_PERSO Le nouvel utilisateur sera créé en utilisant RÉP_PERSO comme valeur de répertoire de connexion de l utilisateur. Le comportement par défaut est de concaténer UTILISATEUR au répertoire RÉP_BASE, et de l utiliser en tant que nom de répertoire de connexion. Il n est pas nécessaire que le répertoire RÉP_PERSO existe mais il ne sera pas créé s il n existe pas. -e, --expiredate DATE_FIN_VALIDITÉ Date à laquelle le compte utilisateur sera désactivé. La date est indiquée dans le format AAAA-MM-JJ. -f, --inactive DURÉE_INACTIVITÉ Nombre de jours suivant la fin de validité d un mot de passe après lequel le compte est définitivement désactivé. Une valeur de 0 désactive le compte dès que le mot de passe a dépassé sa fin de validité, et une valeur de -1 désactive cette fonctionnalité. La valeur par défaut est de -1. -g, --gid GROUPE Nom ou ou numéro du groupe de connexion initial de l utilisateur. Le nom du groupe doit exister. Un numéro de groupe doit se référer à un groupe existant. Le numéro de groupe par défaut est de 1, ou la valeur indiquée dans /etc/default/useradd. -G, --groups GROUPE1[,GROUPE2,...[,GROUPEN]]] Liste de groupes supplémentaires auxquels appartient également l utilisateur. Chaque groupe 23 de 25

est séparé du suivant par une virgule, sans espace entre eux. Les groupes sont soumis aux mêmes restrictions que celles de l option -g. Le comportement par défaut pour l utilisateur est de n appartenir qu au groupe initial. -h, --help Afficher un message d aide et quitter. -m, --create-home Le répertoire personnel de l utilisateur sera créé s il n existe pas déjà. Les fichiers contenus dans rép_squelette seront copiés dans le répertoire personnel si l option -k est employée ; sinon, les fichiers contenus dans /etc/skel seront utilisés à la place. Tous les répertoires contenus dans rép_squelette ou dans /etc/skel seront également créés dans le répertoire personnel de l utilisateur. L option -k n est valable qu en conjonction avec l option -m. Le comportement par défaut est de ne pas créer le répertoire, et de ne copier aucun fichier. -K, --key CLÉ=VALEUR Surcharge les valeurs par défaut du fichier /etc/login.defs (UID_MIN, UID_MAX, UMASK, PASS_MAX_DAYS et autres). Par exemple : -K PASS_MAX_DAYS=-1 peut être utilisé pour la création de comptes système pour désactiver la gestion de la durée de validité des mots de passe, même si les comptes système n ont pas de mot de passe. Plusieurs options -K peuvent être spécifiées, comme par exemple : -K UID_MIN=100 -K UID_MAX=499 Note : -K UID_MIN=10,UID_MAX=499 ne fonctionne pas pour l instant. -o, --non-unique Permet de créer un compte d utilisateur avec un identifiant («UID») dupliqué (non unique). -p, --password MOT_DE_PASSE Le mot de passe chiffré, comme renvoyé par crypt(3). Le comportement par défaut est de désactiver le compte. -s, --shell INTERPRÉTEUR Le nom de l interpréteur de commandes initial de l utilisateur («login shell»). Le comportement par défaut est de laisser ce champ vide. Le système sélectionnera alors l interpréteur par défaut. -u, --uid UID La valeur numérique de l identifiant de l utilisateur. Cette valeur doit être unique, à moins que l option -o ne soit utilisée. La valeur ne doit pas être négative. Le comportement par défaut est d utiliser la plus petite valeur d identifiant plus grande que 999, et plus grande que celle des identifiants de tous les autres utilisateurs. Les valeurs comprises entre 0 et 999 sont généralement réservées pour les comptes systèmes. Si aucune option n est spécifiée, useradd affiche les valeurs par défaut du moment. FICHIERS: /etc/passwd 24 de 25

Informations sur les comptes des utilisateurs. /etc/shadow Informations sécurisées sur les comptes utilisateurs. /etc/group Informations sur les groupes. /etc/default/useradd Valeurs par défaut pour la création de comptes. /etc/skel/ Répertoire contenant les fichiers par défaut. /etc/login.defs Configuration de la suite des mots de passe cachés «shadow password». Sources: Pour NTP: http://www.eecis.udel.edu/~ntp. Kerberos: http://web.mit.edu/kerberos/www/ http://linux.startcom.org/docs/ 25 de 25