| Red Hat Linux 7.1: Guide de référence officiel Red Hat Linux | ||
|---|---|---|
| Précédent | Chapitre 9. Utilisation de Kerberos 5 sur Red Hat Linux | Suivant |
Si Kerberos permet d'éliminer une menace commune pour la sécurité, pourquoi n'est-il pas systématiquement utilisé sur tous les réseaux ? Plusieurs raisons font que Kerberos peut être difficile à implémenter :
Il n'existe pas de solution rapide pour la migration de mots de passe utilisateur d'une base de données de mots de passe UNIX standard (par exemple /etc/passwd ou /etc/shadow) vers une base de données de mots de passe Kerberos. Consultez laQuestion 2.23 du site http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#pwconvert ou la section la section intitulée Autres ressources pour obtenir des informations plus détaillées sur ce point.
PAM (Pluggable Authentication Module, module d'authentification enfichable) est utilisé par la plupart des serveurs fonctionnant avec Red Hat Linux. Pour plus d'informations sur ce point, reportez-vous à la la section intitulée Kerberos et les modules d'authentification enfichables (PAM).
Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin de faire les appels appropriés dans les bibliothèques Kerberos. Pour certaines applications, ceci peut exiger un effort de programmation trop important. Pour d'autres, des modifications doivent être apportées au protocole utilisé entre les serveurs de réseau et leurs clients ; une fois encore, il se peut que l'effort requis soit trop important. En outre, il peut être impossible de faire fonctionner avec Kerberos certaines applications dont les sources ne sont pas accessibles.
Kerberos suppose que vous utilisez des hôtes sécurisés sur un réseau non sécurisé. Son but principal est d'empêcher d'envoyer des mots de passe en texte clair dans le réseau. Si quelqu'un d'autre que l'utilisateur normal a physiquement accès à l'un des hôtes, et en particulier à celui qui délivre les tickets d'authentification, tout le système d'authentification Kerberos est menacé d'être compromis.
Enfin, si vous décidez d'utiliser Kerberos sur votre réseau, sachez qu'il s'agit d'un pari du type "tout ou rien". Si l' un des services transmettant des mots de passe sous forme de texte en clair est encore utilisé, il reste possible d'intercepter des mots de passe et votre réseau ne tirera aucun avantage de l'utilisation de Kerberos. Pour sécuriser votre réseau avec Kerberos, vous devez faire fonctionner avec Kerberos toutes les applications qui envoient des mots de passe sous forme de texte en clair ou arrêter de les utiliser sur votre réseau.
| Précédent | Sommaire | Suivant |
| Utilisation de Kerberos 5 sur Red Hat Linux | Niveau supérieur | Terminologie Kerberos |