Suivant: , Précédent: , Monter: Services   [Table des matières][Index]


10.8.15 Services Kerberos

Le module (gnu services kerberos) fournit des services liés au protocole d’authentification Kerberos.

Service Krb5

Les programmes qui utilisent une bibliothèque cliente Kerberos s’attendent à trouver un fichier de configuration dans /etc/krb5.conf. Ce service génère un tel fichier à partir d’une définition fournie par la déclaration de système d’exploitation. Il ne démarre aucun démon.

Aucun fichier « keytab » n’est fourni par ce service — vous devez les créer explicitement. Ce service est connu pour fonctionner avec la bibliothèque cliente MIT, mit-krb5. Les autres implémentations n’ont pas été testées.

Variable Scheme : krb5-service-type

Un type de service pour les clients Kerberos 5.

Voici un exemple d’utilisation :

(service krb5-service-type
         (krb5-configuration
          (default-realm "EXAMPLE.COM")
          (allow-weak-crypto? #t)
          (realms (list
                   (krb5-realm
                    (name "EXAMPLE.COM")
                    (admin-server "groucho.example.com")
                    (kdc "karl.example.com"))
                   (krb5-realm
                    (name "ARGRX.EDU")
                    (admin-server "kerb-admin.argrx.edu")
                    (kdc "keys.argrx.edu"))))))

Cet exemple fournit une configuration cliente Kerberos 5 qui :

Les types krb5-realm et krb5-configuration ont de nombreux champs. Seuls les plus communs sont décrits ici. Pour une liste complète, et plus de détails sur chacun d’entre eux, voir la documentation de MIT krb5.conf.

Type de données : krb5-realm
name

Ce champ est une chaîne identifiant le nom d’un domaine. Une convention courante est d’utiliser le nom pleinement qualifié de votre organisation, converti en majuscule.

admin-server

Ce champ est une chaîne identifiant l’hôte où le serveur d’administration tourne.

kdc

Ce champ est une chaîne identifiant le centre de distribution de clefs pour ce domaine.

Type de données : krb5-configuration
allow-weak-crypto? (par défaut : #f)

Si ce drapeau est #t les services qui n’offrent que des algorithmes de chiffrement faibles seront acceptés.

default-realm (par défaut : #f)

Ce champ devrait être une chaîne identifiant le domaine Kerberos par défaut pour le client. Vous devriez mettre le nom de votre domaine Kerberos dans ce champ. Si cette valeur est #f alors un domaine doit être spécifié pour chaque principal Kerberos à l’invocation des programmes comme kinit.

realms

Cela doit être une liste non-vide d’objets krb5-realm, auxquels les clients peuvent accéder. Normalement, l’un d’entre eux aura un champ name qui correspond au champ default-realm.

Service PAM krb5

Le service pam-krb5 permet la connexion et la gestion des mots de passe par Kerberos. Vous aurez besoin de ce service si vous voulez que les applications qui utilisent PAM puissent authentifier automatiquement les utilisateurs avec Kerberos.

Variable Scheme : pam-krb5-service-type

Un type de service pour le module PAM Kerberos 5.

Type de données : pam-krb5-configuration

Type de données représentant la configuration du module PAM Kerberos 5. Ce type a les paramètres suivants :

pam-krb5 (par défaut : pam-krb5)

Le paquet pam-krb5 à utiliser.

minimum-uid (par défaut : 1000)

Le plus petite ID utilisateur pour lequel les authentifications Kerberos devraient être tentées. Les comptes locaux avec une valeur plus petite échoueront silencieusement leur authentification Kerberos.


Suivant: , Précédent: , Monter: Services   [Table des matières][Index]