Services Kerberos (Manuel de référence de GNU Guix)

12.9.17 Services Kerberos

Le module (gnu services kerberos) fournit des services liés au protocole d’authentification Kerberos.

Service Krb5

Les programmes qui utilisent une bibliothèque cliente Kerberos s’attendent à trouver un fichier de configuration dans /etc/krb5.conf. Ce service génère un tel fichier à partir d’une définition fournie par la déclaration de système d’exploitation. Il ne démarre aucun démon.

Aucun fichier « keytab » n’est fourni par ce service — vous devez les créer explicitement. Ce service est connu pour fonctionner avec la bibliothèque cliente MIT, mit-krb5. Les autres implémentations n’ont pas été testées.

Variable Scheme :krb5-service-type: Un type de service pour les clients Kerberos 5.

Voici un exemple d’utilisation :

(service krb5-service-type
         (krb5-configuration
          (default-realm "EXAMPLE.COM")
          (allow-weak-crypto? #t)
          (realms (list
                   (krb5-realm
                    (name "EXAMPLE.COM")
                    (admin-server "groucho.example.com")
                    (kdc "karl.example.com"))
                   (krb5-realm
                    (name "ARGRX.EDU")
                    (admin-server "kerb-admin.argrx.edu")
                    (kdc "keys.argrx.edu"))))))

Cet exemple fournit une configuration cliente Kerberos 5 qui :

Reconnais deux domaines : « EXAMPLE.COM » et « ARGREX.EDU », tous deux aillant des serveurs d’administration et des centres de distribution de clefs distincts ;
Utilisera le domaine « EXAMPLE.COM » pr défaut si le domaine n’est pas spécifié explicitement par les clients ;
Acceptera les services qui ne supportent que des types de chiffrements connus pour être faibles.

Les types krb5-realm et krb5-configuration ont de nombreux champs. Seuls les plus communs sont décrits ici. Pour une liste complète, et plus de détails sur chacun d’entre eux, voir la documentation de MIT krb5.conf.

Type de données :krb5-realm

name: Ce champ est une chaîne identifiant le nom d’un domaine. Une convention courante est d’utiliser le nom pleinement qualifié de votre organisation, converti en majuscule.
admin-server: Ce champ est une chaîne identifiant l’hôte où le serveur d’administration tourne.
kdc: Ce champ est une chaîne identifiant le centre de distribution de clefs pour ce domaine.

Type de données :krb5-configuration

allow-weak-crypto? (par défaut : #f): Si ce drapeau est #t les services qui n’offrent que des algorithmes de chiffrement faibles seront acceptés.
default-realm (par défaut : #f): Ce champ devrait être une chaîne identifiant le domaine Kerberos par défaut pour le client. Vous devriez mettre le nom de votre domaine Kerberos dans ce champ. Si cette valeur est #f alors un domaine doit être spécifié pour chaque principal Kerberos à l’invocation des programmes comme kinit.
realms: Cela doit être une liste non-vide d’objets krb5-realm, auxquels les clients peuvent accéder. Normalement, l’un d’entre eux aura un champ name qui correspond au champ default-realm.

Service PAM krb5

Le service pam-krb5 permet la connexion et la gestion des mots de passe par Kerberos. Vous aurez besoin de ce service si vous voulez que les applications qui utilisent PAM puissent authentifier automatiquement les utilisateurs avec Kerberos.

Variable Scheme :pam-krb5-service-type: Un type de service pour le module PAM Kerberos 5.

Type de données :pam-krb5-configuration

Type de données représentant la configuration du module PAM Kerberos 5. Ce type a les paramètres suivants :

pam-krb5 (par défaut : pam-krb5): Le paquet pam-krb5 à utiliser.
minimum-uid (par défaut : 1000): Le plus petite ID utilisateur pour lequel les authentifications Kerberos devraient être tentées. Les comptes locaux avec une valeur plus petite échoueront silencieusement leur authentification Kerberos.