Sécuriser les informations d’identification avec PAM et Kerberos sous Linux
Introduction• Ce tutoriel explique comment sécuriser les informations d'identification sous Linux en utilisant PAM (Pluggable Authentication Module) et Kerberos. Ces outils permettent une gestion centralisée et une authentification sécurisée dans les environnements Linux.
Prérequis• Une distribution Linux compatible avec PAM et Kerberos (ex. Ubuntu, CentOS).
• Un accès root ou sudo pour configurer les modules d’authentification.
• Un serveur Kerberos opérationnel (comme MIT Kerberos ou Heimdal).
Méthodologie• Introduire les deux approches principales :
• Méthode 1 : Configuration manuelle des modules PAM pour Kerberos.
• Méthode 2 : Automatisation avec des scripts Bash pour déploiement rapide.
Avantages des 2 méthodes• Méthode 1 : Permet un contrôle fin des configurations.
• Méthode 2 : Rapide pour les environnements multi-machines.
Inconvénients des 2 méthodes• Méthode 1 : Complexité accrue pour les débutants.
• Méthode 2 : Nécessite une planification préalable pour couvrir tous les cas d’usage.
Étapes pour chaque méthode• Méthode 1 : Configuration manuelle
Installez les paquets nécessaires :
Code:
sudo apt update && sudo apt install -y libpam-krb5 krb5-userConfigurez le fichier /etc/krb5.conf pour inclure votre domaine Kerberos :
Code:
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc.example.com
admin_server = admin.example.com
}Modifiez le fichier /etc/pam.d/common-auth pour utiliser Kerberos :
Code:
auth sufficient pam_krb5.so
auth required pam_unix.so nullok_secureTestez la configuration avec la commande suivante :
Code:
kinit username• Méthode 2 : Script d’automatisation
Créez un script d’installation automatisé :
Code:
#!/bin/bash
sudo apt update
sudo apt install -y libpam-krb5 krb5-user
echo "[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc.example.com
admin_server = admin.example.com
}" > /etc/krb5.conf
sed -i '1iauth sufficient pam_krb5.so' /etc/pam.d/common-auth
echo "Configuration terminée. Veuillez redémarrer le service PAM."Rendez le script exécutable et exécutez-le :
Code:
chmod +x setup_kerberos_pam.sh && ./setup_kerberos_pam.sh
Astuce• Configurez des politiques de renouvellement automatique des tickets Kerberos pour réduire les interruptions de connexion.
Mise en garde• Assurez-vous que l’horloge système est synchronisée avec le serveur Kerberos pour éviter les erreurs de tickets.
Conseil• Activez 2FA pour renforcer davantage la sécurité des connexions utilisateur.
Solution alternative• Utilisez SSSD (System Security Services Daemon) pour intégrer Kerberos et gérer les connexions réseau.
Références• Recherche Google
• Ubuntu FR - Kerberos
Conclusion• En suivant ces étapes, vous pouvez sécuriser les informations d’identification sur Linux en utilisant PAM et Kerberos, protégeant ainsi vos systèmes contre les accès non autorisés.
