Suivant: Services LDAP, Précédent: Services de surveillance, Monter: Services [Table des matières][Index]
Le module (gnu services kerberos)
fournit des services liés au
protocole d’authentification Kerberos.
Les programmes qui utilisent une bibliothèque cliente Kerberos s’attendent à trouver un fichier de configuration dans /etc/krb5.conf. Ce service génère un tel fichier à partir d’une définition fournie par la déclaration de système d’exploitation. Il ne démarre aucun démon.
Aucun fichier « keytab » n’est fourni par ce service — vous devez les créer
explicitement. Ce service est connu pour fonctionner avec la bibliothèque
cliente MIT, mit-krb5
. Les autres implémentations n’ont pas été
testées.
Un type de service pour les clients Kerberos 5.
Voici un exemple d’utilisation :
(service krb5-service-type
(krb5-configuration
(default-realm "EXAMPLE.COM")
(allow-weak-crypto? #t)
(realms (list
(krb5-realm
(name "EXAMPLE.COM")
(admin-server "groucho.example.com")
(kdc "karl.example.com"))
(krb5-realm
(name "ARGRX.EDU")
(admin-server "kerb-admin.argrx.edu")
(kdc "keys.argrx.edu"))))))
Cet exemple fournit une configuration cliente Kerberos 5 qui :
Les types krb5-realm
et krb5-configuration
ont de nombreux
champs. Seuls les plus communs sont décrits ici. Pour une liste complète,
et plus de détails sur chacun d’entre eux, voir la documentation de MIT
krb5.conf.
name
Ce champ est une chaîne identifiant le nom d’un domaine. Une convention courante est d’utiliser le nom pleinement qualifié de votre organisation, converti en majuscule.
admin-server
Ce champ est une chaîne identifiant l’hôte où le serveur d’administration tourne.
kdc
Ce champ est une chaîne identifiant le centre de distribution de clefs pour ce domaine.
allow-weak-crypto?
(par défaut : #f
)Si ce drapeau est #t
les services qui n’offrent que des algorithmes
de chiffrement faibles seront acceptés.
default-realm
(par défaut : #f
)Ce champ devrait être une chaîne identifiant le domaine Kerberos par défaut
pour le client. Vous devriez mettre le nom de votre domaine Kerberos dans
ce champ. Si cette valeur est #f
alors un domaine doit être spécifié
pour chaque principal Kerberos à l’invocation des programmes comme
kinit
.
realms
Cela doit être une liste non-vide d’objets krb5-realm
, auxquels les
clients peuvent accéder. Normalement, l’un d’entre eux aura un champ
name
qui correspond au champ default-realm
.
Le service pam-krb5
permet la connexion et la gestion des mots de
passe par Kerberos. Vous aurez besoin de ce service si vous voulez que les
applications qui utilisent PAM puissent authentifier automatiquement les
utilisateurs avec Kerberos.
Un type de service pour le module PAM Kerberos 5.
Type de données représentant la configuration du module PAM Kerberos 5. Ce type a les paramètres suivants :
pam-krb5
(par défaut : pam-krb5
)Le paquet pam-krb5 à utiliser.
minimum-uid
(par défaut : 1000
)Le plus petite ID utilisateur pour lequel les authentifications Kerberos devraient être tentées. Les comptes locaux avec une valeur plus petite échoueront silencieusement leur authentification Kerberos.
Suivant: Services LDAP, Précédent: Services de surveillance, Monter: Services [Table des matières][Index]