Actuellement, les services "kerberisés" n'utilisent pas du tout les PAM (Pluggable Authentication Modules) — les serveurs "kerberisés" ignorent complètement les PAM. Toutefois, les applications utilisant des PAM peuvent se servir de Kerberos pour l'authentification si le module pam_krb5 (contenu dans le paquetage pam_krb5) est installé. Le paquetage pam_krb5 contient des exemples de fichiers de configuration qui permettent à des services tels que login et gdm d'authentifier des utilisateurs et d'obtenir des certificats d'identité initiaux à l'aide de leurs mots de passe. Pour autant que l'accès aux serveurs de réseau s'effectue toujours à l'aide de services "kerberisés", ou de services utilisant GSS-API, par exemple IMAP, le réseau peut être considéré comme raisonnablement sûr.
![]() | Astuce |
---|---|
Les administrateurs s'assureront de ne pas permettre l'authentification des utilisateur auprès de la plupart des réseaux au moyen de leurs mots de passe Kerberos. En effet, de nombreux protocoles utilisés par ces services ne cryptent pas le mot de passe avant de l'envoyer sur le réseau, annulant ainsi tous les avantages d'un système Korberos. Les utilisateurs ne devraient par exemple pas être autorisés à s'authentifier au moyen de leur mot de passe Kerberos sur un réseau Telnet. |
Précédent | Sommaire | Suivant |
Fonctionnement de Kerberos | Niveau supérieur | Configuration d'un serveur Kerberos 5 |