rpc.gssd(8) System Manager's Manual rpc.gssd(8) NOM rpc.gssd - Demon RPCSEC_GSS SYNOPSIS rpc.gssd [-DfMnlvrH] [-k tableau_cles] [-p pipefsdir] [-d ccachedir] [-t attente] [-T attente] [-U attente] [-R domaine] INTRODUCTION Le protocole RPCSEC_GSS, defini par la norme RFC 5403, est utilise pour fournir une securite accrue pour les protocoles bases sur RPC, tels que NFS. Avant d'echanger des requetes RPC en utilisant RPCSEC_GSS, un client RPC doit etablir un contexte de securite GSS. Un contexte de securite est un etat commun a chaque extremite d'un transport reseau qui active les services de securite GSS-API. Les contextes de securite sont etablis en utilisant des accreditations de securite (security credentials). Une accreditation de securite offre l'acces temporaire a un service reseau securise, tout comme un ticket de train donne le droit d'acceder temporairement au reseau ferroviaire. Un utilisateur obtiendra typiquement une accreditation en fournissant un mot de passe a la commande kinit(1), ou grace a la bibliotheque modulaire d'authentification PAM lors de la connexion. Une accreditation acquise avec un commettant utilisateur est appelee accreditation utilisateur (consultez kerberos(1) pour plus d'informations sur les commettants). Certaines operations necessitent une accreditation ne representant aucun utilisateur particulier ou representant l'hote lui-meme. Ces accreditations sont appelees accreditations machine. Un hote etablit son accreditation machine en utilisant un commettant de service, dont les mots de passe chiffres sont stockes dans un fichier local appele tableau_cles. Une accreditation machine reste effective sans aucune intervention d'utilisateur aussi longtemps que l'hote peut la prolonger. Une fois obtenues, les accreditations sont en general stockees dans des fichiers temporaires locaux avec des noms de chemin connus. DESCRIPTION Pour etablir des contextes de securite GSS en utilisant ces fichiers d'accreditation, le client RPC du noyau Linux depend d'un demon en espace utilisateur appele rpc.gssd. Le demon rpc.gssd utilise le systeme de fichiers rpc_pipefs pour communiquer avec le noyau. Accreditations utilisateur Lorsque un utilisateur s'authentifie en utilisant une commande comme kinit(1), l'accreditation correspondante est stockee dans un fichier avec un nom clairement identifie construit a partir de l'identifiant de l'utilisateur. Pour interagir avec un serveur NFS au nom d'un utilisateur authentifie par Kerberos, le client RPC du noyau Linux demande l'initialisation par rpc.gssd du contexte de securite avec l'accreditation dans le fichier d'accreditation de l'utilisateur. Typiquement, les fichiers d'accreditation sont places dans /tmp. Cependant, rpc.gssd peut chercher des fichiers d'accreditation dans plusieurs repertoires. Consultez la description de l'option -d pour plus de details. Accreditations machine rpc.gssd cherche dans le tableau de cles par defaut, /etc/krb5.keytab, dans l'ordre suivant un commettant et un mot de passe a utiliser lors de l'etablissement de l'accreditation machine. Pour la recherche, rpc.gssd remplace et par le nom d'hote du systeme local et le domaine (<< realm >>) Kerberos. $@ root/@ nfs/@ host/@ root/@ nfs/@ host/@ rpc.gssd selectionne une des entrees de s'il ne trouve pas un commettant de service correspondant au nom d'hote local, par exemple, si DHCP assigne le nom d'hote dynamiquement. Le dispositif active l'utilisation du meme tableau de cles sur plusieurs systemes. Cependant, l'utilisation du meme commettant de service pour etablir une meme accreditation machine sur plusieurs hotes peut creer des expositions de securite non desirees et par consequent n'est pas recommandee. Notez que le $@ est un commettant utilisateur qui active NFS avec Kerberos lorsque le systeme local est joint a un domaine Active Directory avec Samba. Le tableau de cles fournit le mot de passe pour ce commettant. Vous pouvez indiquer un tableau de cles different avec l'option -k si /etc/krb5.keytab n'existe pas ou ne fournit pas l'un de ces commettants. Accreditations pour l'identifiant utilisateur 0 L'identifiant utilisateur 0 est un cas particulier. Par defaut, rpc.gssd utilise l'accreditation machine du systeme pour les acces de l'identifiant utilisateur 0 qui necessitent une authentification GSS. Cela limite les droits du superutilisateur lors d'acces a des ressources reseau necessitant une authentification. Indiquez l'option -n au demarrage de rpc.gssd si vous souhaitez forcer le superutilisateur a obtenir une accreditation plutot que d'utiliser l'accreditation machine locale du systeme. Lorsque l'option -n est indiquee, le noyau continue de demander un contexte GSS etabli avec une accreditation machine pour les operations NFS version 4, telles que SETCLIENTID ou RENEW qui gerent l'etat. Si rpc.gssd ne peut pas obtenir d'accreditation machine (par exemple si le systeme local n'a pas de tableau de cles), les operations NFS version 4 qui necessitent une accreditation machine echoueront. Types de chiffrement Un administrateur de domaine peut choisir d'ajouter dans le tableau de cles du systeme local des cles chiffrees de differentes facons. Par exemple, un hote ou un commettant peut avoir des cles pour les types de chiffrement aes256-cts-hmac-sha1-96, aes128-cts-hmac-sha1-96, des3-cbc-sha1 et arcfour-hmac. Cela permet a rpc.gssd de choisir un type de chiffrement approprie pris en charge par le serveur NFS cible. Ces types de chiffrement sont plus robustes que les types de chiffrement historiques DES simple. Pour interoperer dans des environnements dans lesquels des serveurs ne prennent en charge que des types de chiffrement faibles, vous pouvez forcer votre client a utiliser le chiffrement DES simple en indiquant l'option -l au demarrage de rpc.gssd. OPTIONS -D Le nom de serveur passe a GSS-API pour l'authentification est normalement le nom tel qu'il est demande. Par exemple, pour NFS, c'est le nom du serveur dans la requete de montage << nom_serveur:/chemin >>. Seulement si le nom du serveur semble etre une adresse IP (IPv4 or IPv6) ou un nom non qualifie (pas de points), une recherche DNS inverse sera faite pour obtenir le nom canonique du serveur. Si -D est present, une recherche DNS inverse sera toujours utilisee, meme si le nom du serveur semble etre un nom canonique. Aussi c'est necessaire si des noms partiellement qualifies ou non canoniques sont regulierement utilises. L'utilisation de -D peut introduire une vulnerabilite de securite, aussi il est recommande de ne pas utiliser -D, et que les noms canoniques soient toujours utilises dans la requete de services. -f Lancer rpc.gssd en tache de premier plan et rediriger sa sortie standard vers la sortie d'erreur (au lieu de syslogd). -n Lorsque demande, l'identifiant utilisateur 0 est impose pour obtenir des accreditations utilisateur utilisees au lieu des accreditations machine du systeme local. -k tableau_cles Indiquer a rpc.gssd d'utiliser les cles trouvees dans tableau_cles afin d'obtenir les accreditations machine. La valeur par defaut est /etc/krb5.keytab. -l Lorsqu'elle est indiquee, elle restreint rpc.gssd aux sessions avec des types de chiffrement faible, tels que des-cbc-crc. Cette option n'est disponible que lorsque la bibliotheque Kerberos du systeme local prend en charge les types de chiffrement reglables. -p chemin Indiquer a rpc.gssd ou chercher le systeme de fichiers rpc_pipefs. Par defaut, il s'agit de /var/lib/nfs/rpc_pipefs. -p chemin_recherche Cette option indique une liste de repertoires separes par des deux-points << : >> qui seront examines par rpc.gssd lors de la recherche de fichiers d'accreditation. La valeur par defaut est /tmp:/run/user/%U. La sequence << %U >> peut etre indiquee pour representer l'identifiant de l'utilisateur pour qui des accreditations sont cherchees. -M Par defaut, les accreditations machine sont stockees dans des fichiers du premier repertoire dans le chemin de recherche des accreditations (voir l'option -d). Lorsque l'option -M est indiquee, rpc.gssd stocke alors les accreditations machine en memoire. -v Augmenter le niveau de verbosite de la sortie (peut etre demande plusieurs fois). -r Augmenter le niveau de verbosite de la sortie (cette option peut etre indiquee plusieurs fois) si la bibliotheque RPCSEC_GSS accepte le reglage du niveau de debogage. -R domaine Les tickets Kerberos de ce domaine (<< realm >>) seront pris de preference pendant le parcours des fichiers de cache disponibles servant a la creation d'un contexte. Le domaine (<< realm >>) par defaut du fichier de configuration de Kerberos sera utilise de preference. -t attente Attente, en seconde, pour le contexte GSS du noyau. Cette option vous permet d'obliger la negociation de nouveaux contextes du noyau apres attente secondes, ce qui permet l'echange frequent de tickets et d'identites Kerberos. Le temps d'attente par defaut n'est pas precise, ce qui signifie que le contexte vivra le temps du ticket de service Kerberos utilise lors de sa creation. -T attente Attente, en seconde, pour creer une connexion RPC avec un serveur tout en etablissant un contexte GSS authentifie pour un utilisateur. L'attente par defaut est reglee a cinq secondes. Si vous obtenez un message tel que << WARNING: can't create tcp rpc_clnt to server %servername% for user with uid %uid%: RPC: Remote system error - Connection timed out >>, vous devriez envisager d'augmenter le temps d'attente. -U attente Attente, en seconde, pour les threads d'appel montant. Les threads dont l'execution dure plus de attente secondes provoqueront un message d'erreur qui sera journalise. L'attente par defaut est 30 secondes. Le minimum est 5 secondes et le maximum 600 secondes. -C En plus de la journalisation des messages d'erreur pour le threads qui ont depasse le delai, le thread sera annule et une erreur de -ETIMEDOUT sera rapportee au noyau. -H Eviter le reglage de $HOME a << / >>. Cela autorise rpc.gssd a lire les fichiers k5identity de chaque utilisateur plutot que de lire les fichiers /.k5identity de chaque utilisateur. Si -H n'est pas defini, rpc.gssd utilisera la premiere correspondance trouvee dans /var/kerberos/krb5/user/$EUID/client.keytab et n'utilisera pas un commettant base sur les parametres de l'hote ou du service listes dans $HOME/.k5identity. FICHIER DE CONFIGURATION La plupart des options pouvant etre reglees sur la ligne de commande peuvent aussi l'etre a travers des valeurs definies dans la section [gssd] du fichier de configuration /etc/nfs.conf. Les valeurs autorisees comprennent : verbosity Valeur qui est equivalente au nombre pour -v. rpc-verbosity Valeur qui est equivalente au nombre pour -r. use-memcache Un drapeau booleen equivalent a -M. use-machine-creds Drapeau booleen. Le reglage a false est equivalent a indiquer le drapeau -n. avoid-dns Le reglage a false est equivalent a indiquer le drapeau -D. limit-to-legacy-enctypes Equivalent a -l. context-timeout Equivalent a -t. rpc-timeout Equivalent to -T. keytab-file Equivalent a -k. cred-cache-directory Equivalent a -d. preferred-realm Equivalent a -R. upcall-timeout Equivalent de -U. cancel-timed-out-upcalls Le reglage a true est equivalent a indiquer le drapeau -C. set-home Le reglage a false est equivalent a fournir l'option -H. De plus, la valeur suivante de la section [general] est reconnue : pipefs-directory Equivalent a -p. VOIR AUSSI rpc.svcgssd(8), kerberos(1), kinit(1), krb5.conf(5) AUTEURS Dug Song Andy Adamson Marius Aamodt Eriksen J. Bruce Fields TRADUCTION La traduction francaise de cette page de manuel a ete creee par Valery Perrin , Sylvain Cherrier , Thomas Huriaux , Dominique Simen , Nicolas Sauzede , Romain Doumenc , David Prevot , Denis Mugnier , Cedric Boutillier et Jean-Paul Guillonneau Cette traduction est une documentation libre ; veuillez vous reporter a la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITE LEGALE. Si vous decouvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message a . 20 fevrier 2013 rpc.gssd(8)