NOM¶
rpc.gssd - Démon rpcsec_gss
SYNOPSIS¶
rpc.gssd [
-f] [
-n] [
-k rep_clés]
[
-l] [
-p rep_pipefs] [
-v] [
-r] [
-d
ccachedir]
DESCRIPTION¶
Le protocole rpcsec_gss donne la possibilité d'utiliser l'API de
sécurité générique gss-api pour sécuriser les
protocoles basés sur RPC (NFS en particulier). Avant tout échange de
requêtes RPC basées sur rpcsec_gss, le client doit tout d'abord
établir un contexte sécurisé. L'implémentation de
rpcsec_gss dans le noyau Linux s'appuie sur le démon en espace
utilisateur
rpc.gssd pour la construction du contexte
sécurisé. Le démon
rpc.gssd se sert des fichiers
présents dans le système de fichiers rpc_pipefs pour communiquer
avec le noyau.
OPTIONS¶
- -f
- Lancer rpc.gssd en tâche de premier plan, et
rediriger sa sortie standard vers la sortie d'erreur (au lieu de
syslogd).
- -n
- Par défaut, rpc.gssd traite les accès de
l'utilisateur UID 0 d'une façon particulière, et emploie les
« accréditations de la machine » pour tous les
accès de cet utilisateur qui nécessitent l'authentification
Kerberos. Avec l'option -n, les « accréditations de la
machine » ne seront pas employées pour des accès de
l'UID 0. Au lieu de cela, elles devront être obtenues manuellement
comme pour tous les autres utilisateurs. L'utilisation de cette option
signifie que le superutilisateur doit obtenir manuellement des
accréditations de Kerberos avant de tenter de monter un système
de fichiers NFS exigeant cette authentification.
- -k rep_clés
- Indiquer à rpc.gssd d'utiliser les clés
trouvées dans rep_clés afin d'obtenir les
« accréditations de la machine ». La valeur par
défaut est « /etc/krb5.keytab ».
- Les versions précédentes de rpc.gssd
n'utilisaient que les clés de type « nfs/* »
trouvées dans le fichier de clé rep_clés. Pour une
meilleure conformité avec d'autres implémentations,
différentes valeurs spécifiques d'entrées dans le fichier
de clés sont recherchées. L'ordre de recherche des clés
utilisées pour les « accréditations de la
machine » est maintenant le suivant :
<NOM_D'HÔTE>$@<DOMAINE>
root/<nom_d'hôte>@<DOMAINE>
nfs/<nom_d'hôte>@<DOMAINE>
host/<nom_d'hôte>@<DOMAINE>
root/<n'importe_quel_nom>@<DOMAINE>
nfs/<n'importe_quel_nom>@<DOMAINE>
host/<n'importe_quel_nom>@<DOMAINE>
- Si cet ordre de recherche n'utilise pas la bonne touche,
alors fournir un fichier keytab qui contient les touches correctes.
- -l
- Indiquer à rpc.gssd de limiter les clés de
session au type Single DES, même si le noyau gère des types de
chiffrement plus forts. Le chiffrement de ticket de service
(« Service ticket encryption ») est toujours
gouverné par ce que le centre de distribution des clés
(« KDC ») croit être géré par le
serveur cible. Ainsi le client peut accéder à un serveur qui a
des clés fortes dans son fichier de clés pour le
déchiffrement de ticket mais dont le noyau ne gère que Single
DES.
- L'alternative est de mettre seulement des clés Single
DES dans le fichier de clés du serveur et limiter essentiellement les
types de chiffrement à Single DES sur le centre de distribution des
clés. Cela impliquera que les tickets de service pour ce serveur
seront chiffrés en utilisant seulement Single DES et (comme effet
secondaire) ne contiendront que les clés de session Single DES.
- Ce comportement désuet est nécessaire seulement
pour les anciens serveurs (antérieurs à nfs-utils-1.2.4). Si le
serveur a un noyau, une implémentation de Kerberos et une version de
nfs-utils récents, cela fonctionnera sans problèmes avec un
chiffrement plus fort.
- Note : cette option n'est disponible qu'avec
les bibliothèques Kerberos qui gèrent la détermination du
type de chiffrement.
- -p chemin
- Indiquer à rpc.gssd où chercher le
système de fichiers rpc_pipefs. Par défaut, il s'agit de
« /var/lib/nfs/rpc_pipefs ».
- -d répertoire
- Indique où rpc.gssd doit cherche pour les
fichiers d'accréditation (« credential files »)
de Kerberos. Par défaut, c'est le répertoire
« tmp ». On peut aussi indiquer une liste de
répertoires séparés par des « : », qui
seront alors parcourus pour trouver les fichiers Kerberos. Remarquez que,
au cas où les fichiers d'accréditation de la machine sont
stockés dans un fichier, alors le premier répertoire de cette
liste est le répertoire qui contient ces fichiers.
- -v
- Augmenter le niveau de volubilité de la sortie (peut
être demandée plusieurs fois).
- -r
- Augmenter le niveau de volubilité de la sortie (peut
être demandée plusieurs fois) si la bibliothèque rpcsec_gss
accepte la définition de niveau de débogage.
- -R domaine
- Les tickets Kerberos de ce domaine
(« realm ») seront pris de préférence
pendant le parcours des fichiers disponibles servant à la
création d'un contexte. Le domaine
(« realm ») par défaut du fichier de
configuration de Kerberos sera utilisé de préférence.
- -t attente
- Attente, en seconde, pour le contexte gss du noyau. Cette
option vous permet d'obliger la négociation de nouveau contextes du
noyau après attente secondes, ce qui permet l'échange
fréquent de tickets et d'identités Kerberos. Le temps d'attente
par défaut n'est pas précisé, ce qui signifie que le
contexte vivra le temps du ticket de service Kerberos utilisé lors de
sa création.
VOIR AUSSI¶
rpc.svcgssd(8)
AUTEURS¶
Dug Song <dugsong@umich.edu>
Andy Adamson <andros@umich.edu>
Marius Aamodt Eriksen <marius@umich.edu>
J. Bruce Fields <bfields@umich.edu>
TRADUCTION¶
Cette page de manuel a été traduite et est maintenue par Sylvain
Cherrier <sylvain DOT cherrier AT free DOT fr> et les membres de la
liste <debian-l10n-french AT lists DOT debian DOT org> depuis 2006.
Veuillez signaler toute erreur de traduction par un rapport de bogue sur le
paquet manpages-fr-extra.