System Manager's Manual

NOM¶

rpc.gssd - Démon rpcsec_gss

SYNOPSIS¶

rpc.gssd [-f] [-n] [-k rep_clés] [-l] [ -p rep_pipefs] [-v] [-r] [-d ccachedir]

DESCRIPTION¶

Le protocole rpcsec_gss donne la possibilité d'utiliser l'API de sécurité générique gss-api pour sécuriser les protocoles basés sur RPC (NFS en particulier). Avant tout échange de requêtes RPC basées sur rpcsec_gss, le client doit tout d'abord établir un contexte sécurisé. L'implémentation de rpcsec_gss dans le noyau Linux s'appuie sur le démon en espace utilisateur rpc.gssd pour la construction du contexte sécurisé. Le démon rpc.gssd se sert des fichiers présents dans le système de fichiers rpc_pipefs pour communiquer avec le noyau.

OPTIONS¶

-f: Lancer rpc.gssd en tâche de premier plan, et rediriger sa sortie standard vers la sortie d'erreur (au lieu de syslogd).

-n: Par défaut, rpc.gssd traite les accès de l'utilisateur UID 0 d'une façon particulière, et emploie les « accréditations de la machine » pour tous les accès de cet utilisateur qui nécessitent l'authentification Kerberos. Avec l'option -n, les « accréditations de la machine » ne seront pas employées pour des accès de l'UID 0. Au lieu de cela, elles devront être obtenues manuellement comme pour tous les autres utilisateurs. L'utilisation de cette option signifie que le superutilisateur doit obtenir manuellement des accréditations de Kerberos avant de tenter de monter un système de fichiers NFS exigeant cette authentification.

-k rep_clés: Indiquer à rpc.gssd d'utiliser les clés trouvées dans rep_clés afin d'obtenir les « accréditations de la machine ». La valeur par défaut est « /etc/krb5.keytab ».

: Les versions précédentes de rpc.gssd n'utilisaient que les clés de type « nfs/* » trouvées dans le fichier de clé rep_clés. Pour une meilleure conformité avec d'autres implémentations, différentes valeurs spécifiques d'entrées dans le fichier de clés sont recherchées. L'ordre de recherche des clés utilisées pour les « accréditations de la machine » est maintenant le suivant :

<NOM_D'HÔTE>$@<DOMAINE>

root/<nom_d'hôte>@<DOMAINE>

nfs/<nom_d'hôte>@<DOMAINE>

host/<nom_d'hôte>@<DOMAINE>

root/<n'importe_quel_nom>@<DOMAINE>

nfs/<n'importe_quel_nom>@<DOMAINE>

host/<n'importe_quel_nom>@<DOMAINE>

: Si cet ordre de recherche n'utilise pas la bonne touche, alors fournir un fichier keytab qui contient les touches correctes.

-l: Indiquer à rpc.gssd de limiter les clés de session au type Single DES, même si le noyau gère des types de chiffrement plus forts. Le chiffrement de ticket de service (« Service ticket encryption ») est toujours gouverné par ce que le centre de distribution des clés (« KDC ») croit être géré par le serveur cible. Ainsi le client peut accéder à un serveur qui a des clés fortes dans son fichier de clés pour le déchiffrement de ticket mais dont le noyau ne gère que Single DES.

: L'alternative est de mettre seulement des clés Single DES dans le fichier de clés du serveur et limiter essentiellement les types de chiffrement à Single DES sur le centre de distribution des clés. Cela impliquera que les tickets de service pour ce serveur seront chiffrés en utilisant seulement Single DES et (comme effet secondaire) ne contiendront que les clés de session Single DES.

: Ce comportement désuet est nécessaire seulement pour les anciens serveurs (antérieurs à nfs-utils-1.2.4). Si le serveur a un noyau, une implémentation de Kerberos et une version de nfs-utils récents, cela fonctionnera sans problèmes avec un chiffrement plus fort.

: Note : cette option n'est disponible qu'avec les bibliothèques Kerberos qui gèrent la détermination du type de chiffrement.

-p chemin: Indiquer à rpc.gssd où chercher le système de fichiers rpc_pipefs. Par défaut, il s'agit de « /var/lib/nfs/rpc_pipefs ».

-d répertoire: Indique où rpc.gssd doit cherche pour les fichiers d'accréditation (« credential files ») de Kerberos. Par défaut, c'est le répertoire « tmp ». On peut aussi indiquer une liste de répertoires séparés par des « : », qui seront alors parcourus pour trouver les fichiers Kerberos. Remarquez que, au cas où les fichiers d'accréditation de la machine sont stockés dans un fichier, alors le premier répertoire de cette liste est le répertoire qui contient ces fichiers.

-v: Augmenter le niveau de volubilité de la sortie (peut être demandée plusieurs fois).

-r: Augmenter le niveau de volubilité de la sortie (peut être demandée plusieurs fois) si la bibliothèque rpcsec_gss accepte la définition de niveau de débogage.

-R domaine: Les tickets Kerberos de ce domaine (« realm ») seront pris de préférence pendant le parcours des fichiers disponibles servant à la création d'un contexte. Le domaine (« realm ») par défaut du fichier de configuration de Kerberos sera utilisé de préférence.

-t attente: Attente, en seconde, pour le contexte gss du noyau. Cette option vous permet d'obliger la négociation de nouveau contextes du noyau après attente secondes, ce qui permet l'échange fréquent de tickets et d'identités Kerberos. Le temps d'attente par défaut n'est pas précisé, ce qui signifie que le contexte vivra le temps du ticket de service Kerberos utilisé lors de sa création.

VOIR AUSSI¶

rpc.svcgssd(8)

AUTEURS¶

Dug Song <dugsong@umich.edu>

Andy Adamson <andros@umich.edu>

Marius Aamodt Eriksen <marius@umich.edu>

J. Bruce Fields <bfields@umich.edu>

TRADUCTION¶

Cette page de manuel a été traduite et est maintenue par Sylvain Cherrier <sylvain DOT cherrier AT free DOT fr> et les membres de la liste <debian-l10n-french AT lists DOT debian DOT org> depuis 2006. Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.

14 mars 2007

Source file:	rpc.gssd.8.fr.gz (from manpages-fr-extra 20130226)
Source last updated:	2017-01-11T14:35:43Z
Converted to HTML:	2017-06-07T16:47:54Z