Provided by: manpages-fr_4.13-4_all bug

NOM

       rpc.gssd - Démon RPCSEC_GSS

SYNOPSIS

       rpc.gssd  [-DfMnlvr]  [-k  tableau_clés]  [-p  pipefsdir]  [-d ccachedir] [-t attente] [-R
       domaine]

INTRODUCTION

       Le protocole RPCSEC_GSS, défini par la  norme  RFC 5403,  est  utilisé  pour  fournir  une
       sécurité accrue pour les protocoles basés sur RPC, tels que NFS.

       Avant  d'échanger  des requêtes RPC en utilisant RPCSEC_GSS, un client RPC doit établir un
       contexte de sécurité GSS. Un contexte de sécurité est un état commun  à  chaque  extrémité
       d'un transport réseau qui active les services de sécurité GSS-API.

       Les  contextes  de  sécurité  sont  établis  en  utilisant  des accréditations de sécurité
       (security credentials). Une accréditation  de  sécurité  offre  l'accès  temporaire  à  un
       service  réseau  sécurisé,  tout  comme  un  ticket  de  train  donne  le  droit d'accéder
       temporairement au réseau ferroviaire.

       Un utilisateur obtiendra typiquement une accréditation en fournissant un mot de passe à la
       commande  kinit(1), ou grâce à la bibliothèque modulaire d'authentification PAM lors de la
       connexion.  Une  accréditation  acquise  avec  un  commettant  utilisateur   est   appelée
       accréditation   utilisateur  (consultez  kerberos(1)  pour  plus  d'informations  sur  les
       commettants).

       Pour certaines opérations, une accréditation  qui  ne  représente  aucun  utilisateur  est
       nécessaire,  n’est  par  ailleurs  pas  privilégiée  et  est  toujours  disponible.  Cette
       accréditation est appelée accréditation machine.

       Les accréditations machine  sont  typiquement  établies  en  utilisant  un  commettant  de
       service,  dont les mots de passe chiffrés, appelés ses clés, sont stockés dans un fichier,
       appelé  tableau_clés,  afin  d'éviter  l'utilisation   d'une   invite   utilisateur.   Une
       accréditation machine n'expire pas en pratique car le système peut la renouveler en cas de
       besoin sans l'intervention de l'utilisateur.

       Une fois  obtenues,  les  accréditations  sont  en  général  stockées  dans  des  fichiers
       temporaires locaux avec des noms de chemin connus.

DESCRIPTION

       Pour  établir  des contextes de sécurité GSS en utilisant ces fichiers d'accréditation, le
       client RPC du noyau Linux dépend d'un démon en  espace  utilisateur  appelé  rpc.gssd.  Le
       démon rpc.gssd utilise le système de fichiers rpc_pipefs pour communiquer avec le noyau.

   Accréditations utilisateur
       Lorsque   un   utilisateur   s'authentifie  en  utilisant  une  commande  comme  kinit(1),
       l'accréditation correspondante  est  stockée  dans  un  fichier  avec  un  nom  clairement
       identifié construit à partir de l'identifiant de l'utilisateur.

       Pour  interagir  avec  un serveur NFS au nom d'un utilisateur authentifié par Kerberos, le
       client RPC du noyau Linux demande l'initialisation par rpc.gssd du  contexte  de  sécurité
       avec l’accréditation dans le fichier d'accréditation de l'utilisateur.

       Typiquement,  les fichiers d'accréditation sont placés dans /tmp. Cependant, rpc.gssd peut
       chercher des fichiers d'accréditation dans plusieurs répertoires. Consultez la description
       de l'option -d pour plus de détails.

   Accréditations machine
       Une  accréditation utilisateur est établie par un utilisateur et est ensuite partagée avec
       le noyau et rpc.gssd. Une accréditation machine est établie par  rpc.gssd  pour  le  noyau
       quand  il  n’existe  pas  d'utilisateur.  C'est  pourquoi  rpc.gssd  doit déjà disposer du
       nécessaire  pour  établir  cette  accréditation  sans   nécessiter   l'intervention   d'un
       utilisateur.

       rpc.gssd  cherche  dans  le  tableau  de  clés du système local un commettant et une clé à
       utiliser pour établir l'accréditation machine. Par défaut. rpc.gssd suppose que le fichier
       /etc/krb5.keytab  contient  des  commettants  et  des  clés qui peuvent être utilisés pour
       obtenir des accréditations machine.

       rpc.gssd cherche un commettant à utiliser dans l'ordre suivant, le premier qui  correspond
       à  un  des  critères  étant sélectionné. Pour la recherche, <nom_d'hôte> et <DOMAINE> sont
       remplacés respectivement par le nom d'hôte du système  local  et  le  domaine  (« realm »)
       Kerberos.

          <nom_d'hôte>$@<DOMAINE>
          root/<nom_d'hôte>@<DOMAINE>
          nfs/<nom_d'hôte>@<DOMAINE>
          host/<nom_d'hôte>@<DOMAINE>
          root/<n'importe_quel_nom>@<DOMAINE>
          nfs/<n'importe_quel_nom>@<DOMAINE>
          host/<n'importe_quel_nom>@<DOMAINE>

       Les entrées <n'importe_quel_nom> correspondent au nom de service et au domaine mais pas au
       nom d'hôte. Elles peuvent être utilisées si un  commettant  correspondant  au  nom  d'hôte
       local n'est pas trouvé.

       Notez que le premier commettant dans l'ordre de la recherche est un commettant utilisateur
       qui active NFS avec Kerberos lorsque le système  local  est  joint  à  un  domaine  Active
       Directory  avec Samba. Un mot de passe pour ce commettant doit être fourni dans le tableau
       de clés du système local.

       Vous pouvez indiquer un autre  tableau  de  clés  avec  l'option  -k  si  /etc/krb5.keytab
       n'existe pas ou ne fournit pas l'un de ces commettants.

   Accréditations pour l'identifiant utilisateur 0
       L'identifiant  utilisateur  0  est  un  cas  particulier.  Par  défaut,  rpc.gssd  utilise
       l'accréditation machine du système pour les  accès  de  l'identifiant  utilisateur  0  qui
       nécessitent  une  authentification  GSS.  Cela  limite les droits du superutilisateur lors
       d'accès à des ressources réseau nécessitant une authentification.

       Indiquez l'option -n au démarrage de rpc.gssd si vous souhaitez forcer le superutilisateur
       à  obtenir  une  accréditation  plutôt  que  d’utiliser  l'accréditation machine locale du
       système.

       Lorsque l'option -n est indiquée, le noyau continue de demander  un  contexte  GSS  établi
       avec  une  accréditation machine pour les opérations NFS version 4, telles que SETCLIENTID
       ou RENEW qui gèrent l'état. Si rpc.gssd ne peut pas obtenir d'accréditation  machine  (par
       exemple  si le système local n'a pas de tableau de clés), les opérations NFS version 4 qui
       nécessitent une accréditation machine échoueront.

   Types de chiffrement
       Un administrateur de domaine peut choisir d'ajouter dans le tableau  de  clés  du  système
       local des clés chiffrées de différentes façons. Par exemple, un hôte ou un commettant peut
       avoir   des   clés   pour    les    types    de    chiffrement    aes256-cts-hmac-sha1-96,
       aes128-cts-hmac-sha1-96,  des3-cbc-sha1 et arcfour-hmac. Cela permet à rpc.gssd de choisir
       un type de chiffrement approprié pris en charge par le serveur NFS cible.

       Ces types de chiffrement sont plus robustes que les types de chiffrement  historiques  DES
       simple. Pour interopérer dans des environnements dans lesquels des serveurs ne prennent en
       charge que des types de chiffrement faibles, vous pouvez forcer votre client à utiliser le
       chiffrement DES simple en indiquant l'option -l au démarrage de rpc.gssd.

OPTIONS

       -D     Le  nom  de  serveur passé à GSS-API pour l’authentification est normalement le nom
              tel qu’il est demandé. Par exemple, pour NFS, c’est  le  nom  du  serveur  dans  la
              requête  de  montage « nom_serveur:/chemin ». Seulement si le nom du serveur semble
              être une adresse IP (IPv4 or IPv6) ou un nom non  qualifié  (pas  de  points),  une
              recherche DNS inverse sera faite pour obtenir le nom canonique du serveur.

              Si -D est présent, une recherche DNS inverse sera toujours utilisée, même si le nom
              du serveur semble être un  nom  canonique.  Aussi  c’est  nécessaire  si  des  noms
              partiellement qualifiés ou non canoniques sont régulièrement utilisés.

              L’utilisation  de  -D  peut  introduire une vulnérabilité de sécurité, aussi il est
              recommandé de ne pas utiliser -D,  et  que  les  noms  canoniques  soient  toujours
              utilisés dans la requête de services.

       -f     Lancer  rpc.gssd  en  tâche de premier plan et rediriger sa sortie standard vers la
              sortie d'erreur (au lieu de syslogd).

       -n     Lorsque  demandé,  l'identifiant  utilisateur  0  est  imposé  pour   obtenir   des
              accréditations  utilisateur utilisées au lieu des accréditations machine du système
              local.

       -k tableau_clés
              Indiquer à rpc.gssd d'utiliser les clés trouvées dans tableau_clés  afin  d'obtenir
              les accréditations machine. La valeur par défaut est /etc/krb5.keytab.

       -l     Lorsqu'elle  est  indiquée,  elle restreint rpc.gssd aux sessions avec des types de
              chiffrement faible, tels que des-cbc-crc. Cette option n'est disponible que lorsque
              la  bibliothèque Kerberos du système local prend en charge les types de chiffrement
              réglables.

       -p chemin
              Indiquer à rpc.gssd où chercher le système de fichiers rpc_pipefs. Par  défaut,  il
              s'agit de /var/lib/nfs/rpc_pipefs.

       -p chemin_recherche
              Cette option indique une liste de répertoires séparés par des deux-points « : » qui
              seront examinés par rpc.gssd lors de la recherche de fichiers  d'accréditation.  La
              valeur par défaut est /tmp:/run/user/%U. La séquence « %U » peut être indiquée pour
              représenter  l'identifiant  de  l'utilisateur  pour  qui  des  accréditations  sont
              cherchées.

       -M     Par  défaut,  les accréditations machine sont stockées dans des fichiers du premier
              répertoire dans le chemin de  recherche  des  accréditations  (voir  l'option  -d).
              Lorsque  l'option -M est indiquée, rpc.gssd stocke alors les accréditations machine
              en mémoire.

       -v     Augmenter le niveau de verbosité de la sortie (peut être demandé plusieurs fois).

       -r     Augmenter le niveau de verbosité de la sortie  (cette  option  peut  être  indiquée
              plusieurs  fois)  si  la  bibliothèque  RPCSEC_GSS  accepte le réglage du niveau de
              débogage.

       -R domaine
              Les tickets Kerberos de ce domaine (« realm ») seront pris de préférence pendant le
              parcours  des fichiers de cache disponibles servant à la création d'un contexte. Le
              domaine (« realm ») par défaut du fichier de configuration de Kerberos sera utilisé
              de préférence.

       -t attente
              Attente,  en  seconde,  pour  le  contexte  GSS  du noyau. Cette option vous permet
              d'obliger la négociation de nouveaux contextes du noyau après attente secondes,  ce
              qui  permet  l'échange  fréquent  de  tickets  et  d'identités  Kerberos.  Le temps
              d'attente par défaut n'est pas précisé, ce qui signifie que le  contexte  vivra  le
              temps du ticket de service Kerberos utilisé lors de sa création.

       -T attente
              Attente,  en  seconde,  pour  créer  une  connexion  RPC  avec  un  serveur tout en
              établissant un contexte GSS authentifié pour un utilisateur. L’attente  par  défaut
              est  réglée  à  cinq  secondes. Si vous obtenez un message tel que « WARNING: can't
              create tcp rpc_clnt to server %servername% for user with  uid  %uid%:  RPC:  Remote
              system  error - Connection timed out », vous devriez envisager d’augmenter le temps
              d’attente.

VOIR AUSSI

       rpc.svcgssd(8), kerberos(1), kinit(1), krb5.conf(5)

AUTEURS

       Dug Song <dugsong@umich.edu>
       Andy Adamson <andros@umich.edu>
       Marius Aamodt Eriksen <marius@umich.edu>
       J. Bruce Fields <bfields@umich.edu>

TRADUCTION

       La  traduction  française  de  cette  page  de  manuel  a  été  créée  par  Valéry  Perrin
       <valery.perrin.debian@free.fr>,   Sylvain   Cherrier   <sylvain.cherrier@free.fr>,  Thomas
       Huriaux <thomas.huriaux@gmail.com>, Dominique Simen <dominiquesimen@hotmail.com>,  Nicolas
       Sauzède    <nsauzede@free.fr>,    Romain    Doumenc   <rd6137@gmail.com>,   David   Prévot
       <david@tilapin.org>,    Denis    Mugnier     <myou72@orange.fr>,     Cédric     Boutillier
       <cedric.boutillier@gmail.com> et Jean-Paul Guillonneau <guillonneau.jeanpaul@free.fr>

       Cette  traduction  est  une  documentation libre ; veuillez vous reporter à la GNU General
       Public  License  version 3  ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩   concernant   les
       conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

       Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un
       message à debian-l10n-french@lists.debian.org ⟨⟩.

                                         20 février 2013                              rpc.gssd(8)