Ubuntu Manpage: rpc.gssd - Démon RPCSEC

Provided by: manpages-fr-extra_20151231_all

NOM

       rpc.gssd - Démon RPCSEC_GSS

SYNOPSIS

       rpc.gssd [-DfMnlvr] [-k keytab] [-p pipefsdir] [-d ccachedir] [-t timeout] [-R realm]

INTRODUCTION

Le protocole RPCSEC_GSS, défini par la norme RFC 5403, est utilisé pour fournir une sécurité accrue pour
les protocoles basés sur RPC, tels que NFS.

Avant d'échanger des requêtes RPC en utilisant RPCSEC_GSS, un client RPC doit établir un contexte de
sécurité GSS. Un contexte de sécurité est un état commun à chaque extrémité d'un transport réseau qui
active les services de sécurité GSS-API.

Les contextes de sécurité sont établis en utilisant des accréditations de sécurité (security
credentials). Une accréditation de sécurité offre l'accès temporaire à un service réseau sécurisé, tout
comme un ticket de train donne le droit d'accéder temporairement au réseau ferroviaire.

Un utilisateur obtiendra typiquement une accréditation en fournissant un mot de passe à la commande
kinit(1), ou grâce à la bibliothèque modulaire d'authentification PAM lors de la connexion. Une
accréditation acquise avec un commettant utilisateur est appelée accréditation utilisateur (consultez
kerberos(1) pour plus d'informations sur les commettants).

Des accréditations ne représentant aucun utilisateur sont toujours disponibles. Elles sont nécessaires
pour certaines opérations, n'offrent aucun droit dans les autres contextes. Ces accréditations sont
appelées accréditations machine.

Les accréditations machine sont typiquement établies en utilisant un commettant de service, dont les mots
de passe chiffrés, appelés ses clés, sont stockés dans un fichier, appelé un tableau de clés, afin
d'éviter l'utilisation d'une invite utilisateur. Une accréditation machine en pratique n'expire pas, car
le système peut la renouveler en cas de besoin sans l'intervention de l'utilisateur.

Une fois obtenues, les accréditations sont en général stockées dans des fichiers temporaires avec des
noms de chemin connus.

DESCRIPTION

Pour établir des contextes de sécurité GSS en utilisant ces fichiers d'accréditation, le client RPC du
noyau Linux dépend d'un démon en espace utilisateur, appelé rpc.gssd. Le démon rpc.gssd utilise le
système de fichiers rpc_pipefs pour communiquer avec le noyau.

Accréditations utilisateur
Lorsque un utilisateur s'authentifie en utilisant une commande comme kinit(1), l'accréditation
correspondante est stockée dans un fichier avec un nom clairement identifié construit à partir de
l'identifiant de l'utilisateur.

Pour interagir avec un serveur NFS au nom d'un utilisateur authentifié par Kerberos, le client RPC du
noyau Linux demande l'initialisation par rpc.gssd du contexte de sécurité avec le fichier d'accréditation
de l'utilisateur.

Typiquement, les fichiers d'accréditation sont placés dans /tmp. Cependant, rpc.gssd peut chercher des
fichiers d'accréditation dans plusieurs répertoires. Consultez la description de l'option -d pour plus de
détails.

Accréditations machine
Une accréditation utilisateur est établie par un utilisateur, et est ensuite partagée avec le noyau et
rpc.gssd. Une accréditation machine est établie par rpc.gssd pour le noyau, sans qu'il y ait
d'utilisateur. C'est pourquoi rpc.gssd doit déjà disposer du nécessaire pour établir cette accréditation
sans nécessiter l'intervention d'un utilisateur.

rpc.gssd cherche dans le tableau de clés du système local un commettant et une clé à utiliser pour
établir l'accréditation machine. Par défaut. rpc.gssd suppose que le fichier /etc/krb5.keytab contient
des commettants et des clés qui peuvent être utilisés pour obtenir des accréditations machine.

rpc.gssd cherche un commettant à utiliser dans l'ordre suivant, le premier qui correspond à un des
critères étant sélectionné. Pour la recherche, <nom_d'hôte> et <DOMAINE> sont remplacés respectivement
par le nom d'hôte et le domaine (« realm ») Kerberos.

<nom_d'hôte>$@<DOMAINE>
root/<nom_d'hôte>@<DOMAINE>
nfs/<nom_d'hôte>@<DOMAINE>
host/<nom_d'hôte>@<DOMAINE>
root/<n'importe_quel_nom>@<DOMAINE>
nfs/<n'importe_quel_nom>@<DOMAINE>
host/<n'importe_quel_nom>@<DOMAINE>

Les entrées <n'importe_quel_nom> correspondent au nom de service et au domaine, mais pas au nom d'hôte.
Elles peuvent être utilisées si un commettant correspondant au nom d'hôte local n'est pas trouvé.

Notez que le premier commettant dans l'ordre de la recherche est un commettant utilisateur qui active NFS
avec Kerberos lorsque le système local rejoint un domaine Active Directory avec Samba. Un mot de passe
pour ce commettant doit être fourni dans le tableau de clés du système local.

Vous pouvez indiquer un autre tableau de clés avec l'option -k si /etc/krb5.keytab n'existe pas ou ne
fournit pas l'un de ces commettants.

Accréditations pour l'identifiant utilisateur 0
L'identifiant utilisateur 0 est un cas particulier. Par défaut, rpc.gssd utilise l'accréditation machine
du système pour les accès de l'identifiant utilisateur 0 qui nécessitent une authentification GSS. Cela
limite les droits du superutilisateur lors d'accès à des ressources réseau nécessitant une
authentification.

Indiquez l'option -n au démarrage de rpc.gssd si vous souhaitez forcer l'utilisation d'une accréditation
utilisateur plutôt que de l'accréditation machine locale pour le superutilisateur.

Lorsque l'option -n est indiquée, le noyau continue de demander un contexte GSS établi avec une
accréditation machine pour les opérations NFS version 4, telles que SETCLIENTID ou RENEW qui gèrent
l'état. Si rpc.gssd ne peut pas obtenir d'accréditation machine (par exemple si le système local n'a pas
de tableau de clés), les opérations NFS version 4 qui nécessitent une accréditation machine échoueront.

Types de chiffrement
Un administrateur de domaine peut choisir d'ajouter dans le tableau de clés local des clés chiffrées de
différentes façons. Par exemple, un hôte ou un commettant peut avoir des clés pour les types de
chiffrement aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, des3-cbc-sha1 et arcfour-hmac. Cela permet
à rpc.gssd de choisir un type de chiffrement approprié pris en charge par le serveur NFS cible.

Ces types de chiffrement sont plus robustes que les types de chiffrement historiques DES unique. Pour
interopérer dans des environnements dans lesquels des serveurs ne prennent en charge que des types de
chiffrement faibles, vous pouvez forcer votre client à utiliser le chiffrement DES unique en indiquant
l'option -l au démarrage de rpc.gssd.

OPTIONS

-D Les recherches inversées de DNS ne sont pas utilisées pour déterminer les noms de serveur pour
GSSAPI. Cette option modifie cela et force l'utilisation de la résolution DNS inverse de l'adresse
IP du serveur pour obtenir le nom du serveur à utiliser dans l'authentification GSSAPI.

-f Lancer rpc.gssd en tâche de premier plan et rediriger sa sortie standard vers la sortie d'erreur
(au lieu de syslogd).

-n Lorsque demandé, l'identifiant utilisateur 0 est imposé pour obtenir des accréditations
utilisateur utilisées au lieu des accréditations machine du système local.

-k rep_clés
Indiquer à rpc.gssd d'utiliser les clés trouvées dans rep_clés afin d'obtenir les accréditations
machine. La valeur par défaut est /etc/krb5.keytab.

-l Lorsqu'elle est indiquée, elle restreint rpc.gssd aux sessions avec des types de chiffrement
faibles, tels que des-cbc-crc. Cette option n'est disponible que lorsque la bibliothèque Kerberos
du système local prend en charge les types de chiffrement réglables.

-p chemin
Indiquer à rpc.gssd où chercher le système de fichiers rpc_pipefs. Par défaut, il s'agit de
/var/lib/nfs/rpc_pipefs.

-p chemin
Cette option indique une liste de répertoires séparés par des deux-points « : » qui seront
examinés par rpc.gssd lors de la recherche de fichiers d'accréditation. La valeur par défaut est
/tmp:/run/user/%U. La séquence « %U » peut être indiquée pour représenter l'identifiant de
l'utilisateur pour qui des accréditations sont cherchées.

-M Par défaut, les accréditations machine sont stockées dans des fichiers du premier répertoire dans
le chemin de recherche des accréditations (voir l'option -d). Lorsque l'option -M est indiquée,
rpc.gssd stocke alors les accréditations machine en mémoire.

-v Augmenter le niveau de verbosité de la sortie (peut être demandé plusieurs fois).

-r Augmenter le niveau de verbosité de la sortie (cette option peut être indiquée plusieurs fois) si
la bibliothèque RPCSEC_GSS accepte le réglage du niveau de débogage.

-R domaine
Les tickets Kerberos de ce domaine (« realm ») seront pris de préférence pendant le parcours des
fichiers disponibles servant à la création d'un contexte. Le domaine (« realm ») par défaut du
fichier de configuration de Kerberos sera utilisé de préférence.

-t attente
Attente, en seconde, pour le contexte GSS du noyau. Cette option vous permet d'obliger la
négociation de nouveaux contextes du noyau après attente secondes, ce qui permet l'échange
fréquent de tickets et d'identités Kerberos. Le temps d'attente par défaut n'est pas précisé, ce
qui signifie que le contexte vivra le temps du ticket de service Kerberos utilisé lors de sa
création.

VOIR AUSSI

       rpc.svcgssd(8), kerberos(1), kinit(1), krb5.conf(5)

AUTEURS

       Dug Song <dugsong@umich.edu>
       Andy Adamson <andros@umich.edu>
       Marius Aamodt Eriksen <marius@umich.edu>
       J. Bruce Fields <bfields@umich.edu>

TRADUCTION

       Cette  page  de manuel a été traduite et est maintenue par Sylvain Cherrier <sylvain DOT cherrier AT free
       DOT fr> et les membres de la liste <debian-l10n-french AT lists DOT debian DOT org> depuis 2006. Veuillez
       signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.

                                                 20 février 2013                                     rpc.gssd(8)