19.4. Kerberos et PAM
Actuellement, les services kerberis�s n'utilisent pas les modules d'authentification enfichagbles (ou PAM de l'anglais Pluggable Authentication Modules) — les serveurs kerberis�s contournent compl�tement les PAM. Toutefois, les applications utilisant des PAM peuvent se servir de Kerberos pour l'authentification si le module pam_krb5 (contenu dans le paquetage pam_krb5) est install�. Le paquetage pam_krb5 contient des exemples de fichiers de configuration permettant � des services tels que login et gdm d'authentifier des utilisateurs et d'obtenir des certificats d'identit� initiaux � l'aide de leur mot de passe. Pour autant que l'acc�s aux serveurs de r�seau s'effectue toujours � l'aide de services kerberis�s ou de services utilisant GSS-API, tels que IMAP, le r�seau peut �tre consid�r� comme raisonnablement s�curis�.
 | Astuce |
|---|
| | Les administrateurs s'assureront de ne pas permettre l'authentification des utilisateurs aupr�s de la plupart des r�seaux au moyen de leurs mots de passe Kerberos. En effet, de nombreux protocoles utilis�s par ces services ne cryptent pas le mot de passe avant de l'envoyer sur le r�seau, annulant ainsi tous les avantages d'un syst�me Korberos. Les utilisateurs ne devraient par exemple pas �tre autoris�s � s'authentifier au moyen de leur mot de passe Kerberos sur un r�seau Telnet. |
