Next: Solution Up: Les Netgroups et la sécurité Previous: Les Netgroups et la sécurité
Next: Solution
Up: Les
Netgroups et la sécurité Previous: Les
Netgroups et la sécurité
La table netgroup est une base de données pour la création d'ensemble d'utilisateurs et de sites. Un groupe réseau est un triplet de la forme :
nom_group (nom_site , nom_utilisateur , nom_domaine)
Il peut contenir plusieurs de ces triplets, et peut être constitué de plusieurs groupes réseaux :
étudiants filles , garçon
Le site et l'utilisateur ont leur signification usuelle. Le domaine fait référence au domaine NIS pour lequel ce groupe est valide. Si un champ est vide il peut prendre n'importe quelle valeur, si il est rempli par un - il ne prend aucune valeur.
Les groupes réseaux sont utilisés pour compléter d'autres tables et d'autres fichiers. Par exemple, l'ajout d'un groupe spécifique d'utilisateurs à un fichier de mot de passe, ou bien un groupe de sites qui peuvent accéder à un système de fichiers NFS.
Le mécanisme de groupe réseau ne donne pas explicitement des permissions à un utilisateur comme le /etc/group. Il crée simplement des abréviations ou surnoms. Ils peuvent être employés dans tout fichier où apparaît un nom d'utilisateur ou de site (passwd, host.equiv, exports qui contient les listes d'exportation de NFS...).
Le format de triplet de la table des groupes réseaux cache le fonctionnement réel des groupes réseaux. Il n'y a aucun lien entre le nom de site et le nom d'utilisateur pour la bonne raison que tous les utilitaires analyses soit les noms de sites, c'est le cas pour host.equiv, soit les noms d'utilisateurs et c'est le cas pour passwd.
EXEMPLE :
nis (picasso,zinno,reso) (,masse,) est défini dans netgroup
+@nis est rajouté à la table passwd locale de dali
RÉSULTAT : zinno peut se connecter sur dali à partir de picasso comme de toutes les autres stations, aussi bien que masse. La table passwd n'est analysée qu'à partir des noms d'utilisateurs.
Au lieu de restreindre les accès à zinno, on les a tous accordés.
De même les champs vides qui servent de jokers peuvent amener des comportements inatendus.
EXEMPLE :
Le groupe
nfs_group (,beb,) (,cobra,) (iris1,,) (dali,,)
qui peut s'utiliser sous la forme
+@nfs_group
dans /etc/passwd d'iris2. Ou alors sous la forme
/reseaux -access=nfs_group
dans /etc/exports d'iris2
On veut autoriser beb et cobra à se connecter sur iris2 à partir de tout site du réseau et interdire les montages NFS sur les sites autres que iris1 et dali.
Si on fait un mount iris2:/reseaux /reseaux sur picasso ça marche.
Le fichier exports étant analysé à partir des sites, les deux premiers triplets de nfs_group ont donné tous les droits car il y a un joker à la place du nom de site.