> Tech > Quelques avertissements

Quelques avertissements

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Vous avez peut-être remarqué que la commande MOUNT ne comporte ni paramètre d'identification d'utilisateur ni mot de passe, et qu'après un montage les utilisateurs peuvent immédiatement accéder à  des fichiers distants sans qu'on leur demande de s'authentifier. Comment NFS vérifie-t-il donc les droits de l'utilisateur à  accéder ou non à 

Quelques avertissements

des fichiers ? Pour en comprendre
le fonctionnement, regardons d’abord la manière dont Unix vérifie les droits
des utilisateurs.

à€ chaque utilisateur d’un système Unix est affectée une identification (User
ID ou UID) sous la forme d’un nombre de 16 bits signé allant de -32768 à  32768
(quelques versions utilisent des nombres de 16 bits non signés allant de 0 à 
65535). L’équivalent Unix de QSECOFR, la racine, a un UID de 0. Pour la vérification
des droits d’accès à  un fichier, Unix utilise l’UID plutôt que le nom de l’utilisateur.
Un utilisateur peut aussi faire partie d’un ou de plusieurs groupes. Les groupes
auxquels appartient un utilisateur sont représentés par des ID de groupes (group
ID ou GID). L’AS/400 demande un UID ou un GID quand il crée des profils d’utilisateurs
; cependant, à  l’exception de NFS AS/400, l’AS/400 utilise le nom de l’utilisateur
plutôt que l’UID pour déterminer les droits de l’utilisateur. NFS AS/400 utilise
les UID et les GID.

Chaque requête NFS, y compris la requête de montage, s’accompagne d’un ensemble
de droits d’utilisateurs tels que l’UID et la liste des GID auxquels appartient
l’utilisateur. Le serveur NFS fait correspondre un profil utilisateur AS/400
dont les droits déterminent si l’utilisateur est autorisé à  accéder au fichier
à  l’UID et aux GID. Quand un profil utilisateur est trouvé pour une UID et que
les requêtes anonymes sont autorisées, la requête est mappée par défaut à  QNFSANON,
l’utilisateur de NFS anonyme, sans droits spécifiques.

Gardez à  l’esprit qu’il est possible pour la même UID d’exister pour différents
profils utilisateurs sur les systèmes serveurs et clients. C’est pourquoi il
est vital de maintenir un schéma UID/GID cohérent pour tous les utilisateurs
dans les systèmes du réseau utilisant NFS. En outre, si on autorise un accès
racine par l’option ROOT de la commande EXPORTFS, un utilisateur racine qui
a tous les droits sur un système client a aussi tous les droits sur le répertoire
exporté, même sans mot de passe QSECOFR.

Pour limiter l’exposition des données critiques, il ne faut exporter que les
répertoires relatifs à  ses applications. Et comme NFS utilise des lookups DNS,
il est important que le serveur DNS soit sûr. Un serveur DNS dont la sécurité
est compromise peut aussi mettre en danger la sécurité NFS parce qu’un utilisateur
peut  » voler  » le nom d’un client et obtenir l’accès à  des fichiers qu’il ne
devrait normalement pas ouvrir.

Cet article ne constitue pas un cours complet sur NFS, mais il a pour but de
constituer un point de départ pour l’exploration des possibilités qu’offre cet
outil. NFS ne constitue peut-être pas la réponse à  tous vos problèmes de partage
de fichiers mais, jusqu’à  ce que l’AS/400 devienne un système client plus mûr,
utilisant d’autres protocoles standard de l’industrie, comme SMB, NFS représente
un bon moyen de partager des ressources locales et des ressources distantes.
Lancez-vous donc, profitez de NFS, et vous verrez qu’ouvrir vos données sur
l’extérieur n’est pas si difficile que vous pouviez le penser !


Denis Seiler est président de Netsys, Ltd., société
spécialisée dans les réseaux, l’administration de systèmes et l’intégration
multi plates-formes. Il travaille sur AS/400 depuis 1988.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010