Kerberos permet d'éliminer une menace commune pour la sécurité, mais plusieurs raisons font que Kerberos peut être difficile à implémenter :
Il n'existe pas de solution rapide pour la migration de mots de passe utilisateur d'une base de données de mots de passe UNIX standard (par exemple /etc/passwd ou /etc/shadow) vers une base de données de mots de passe Kerberos. Consultez le site (Question 2.23) ou la section la section intitulée Autres ressources pour obtenir des informations plus détaillées sur ce point.
Kerberos n'est que partiellement compatible avec le système PAM (Pluggable Authentication Module, module d'authentification enfichable) utilisé par la plupart des serveurs exécutant Red Hat Linux. Pour plus d'informations, reportez-vous à la la section intitulée Kerberos et PAM (modules d'authentification enfichables).
Pour qu'une application utilise Kerberos, ses sources doivent être modifiées afin de faire les appels appropriés dans les bibliothèques Kerberos. Pour certaines applications, ceci peut exiger un effort de programmation trop important. Pour d'autres, des modifications doivent être apportées au protocole utilisé entre les serveurs de réseau et leurs clients ; une fois encore, il se peut que l'effort requis soit trop important. En outre, il peut être impossible de faire fonctionner avec Kerberos certaines applications dont les sources ne sont pas accessibles.
Kerberos suppose que vous utilisiez des hôtes sécurisés sur un réseau non sécurisé. Son but principal est d'empêcher l'envoi de mots de passe en texte clair sur le réseau. Si quelqu'un d'autre que l'utilisateur normal a physiquement accès à l'un des hôtes, et en particulier à celui qui délivre les tickets d'authentification, tout le système d'authentification Kerberos est menacé d'être compromis.
Enfin, si vous décidez d'utiliser Kerberos sur votre réseau, sachez qu'il s'agit d'un pari du type "tout ou rien". N'oubliez pas que tous les mots de passe transférés à un service n'utilisant pas Kerberos pour l'authentication courent le risque d'être interceptés par des sniffers, et votre réseau ne tirera aucun avantage de l'utilisation de Kerberos. Pour sécuriser votre réseau avec Kerberos, vous devez kerbériser () toutes les applications qui envoient des mots de passe en texte clair, ou ne pas utiliser du tout ces applications sur votre réseau.
| Précédent | Sommaire | Suivant |
| Kerberos | Niveau supérieur | Terminologie Kerberos |