JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del sistema: servicios de seguridad
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Control de acceso a dispositivos (tareas)

5.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

6.  Control de acceso a archivos (tareas)

7.  Uso de la herramienta automatizada de mejora de la seguridad (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Control de acceso basado en roles (referencia)

11.  Privilegios (tareas)

12.  Privilegios (referencia)

Parte IV Servicios criptográficos

13.  Estructura criptográfica de Oracle Solaris (descripción general)

14.  Estructura criptográfica de Oracle Solaris (tareas)

15.  Estructura de gestión de claves de Oracle Solaris

Parte V Servicios de autenticación y comunicación segura

16.  Uso de servicios de autenticación (tareas)

17.  Uso de PAM

18.  Uso de SASL

SASL (descripción general)

SASL (referencia)

Complementos de SASL

Variable de entorno de SASL

Opciones de SASL

19.  Uso de Oracle Solaris Secure Shell (tareas)

20.  Oracle Solaris Secure Shell (referencia)

Parte VI Servicio Kerberos

21.  Introducción al servicio Kerberos

22.  Planificación del servicio Kerberos

23.  Configuración del servicio Kerberos (tareas)

24.  Mensajes de error y resolución de problemas de Kerberos

25.  Administración de las políticas y los principales de Kerberos (tareas)

26.  Uso de aplicaciones Kerberos (tareas)

27.  El servicio Kerberos (referencia)

Parte VII Auditoría de Oracle Solaris

28.  Auditoría de Oracle Solaris (descripción general)

29.  Planificación de la auditoría de Oracle Solaris

30.  Gestión de la auditoría de Oracle Solaris (tareas)

31.  Auditoría de Oracle Solaris (referencia)

Glosario

Índice

SASL (referencia)

En la siguiente sección se proporciona información sobre la implementación de SASL.

Complementos de SASL

Los complementos de SASL admiten mecanismos de seguridad, canonización del usuario y recuperación de propiedad auxiliar. De manera predeterminada, los complementos de 32 bits cargados dinámicamente se instalan en /usr/lib/sasl, y los complementos de 64 bits se instalan en /usr/lib/sasl/ $ISA. Se proporcionan los siguientes complementos de mecanismo de seguridad:

crammd5.so.1

CRAM-MD5, que admite sólo autenticación, no autorización.

digestmd5.so.1

DIGEST-MD5, que admite autenticación, integridad, privacidad y autorización.

gssapi.so.1

GSSAPI, que admite autenticación, integridad, privacidad y autorización. El mecanismo de seguridad GSSAPI requiere una infraestructura Kerberos en funcionamiento.

plain.so.1

PLAIN, que admite autenticación y autorización.

Además, el complemento de mecanismo de seguridad EXTERNAL y el complemento de canonización de usuario INTERNAL están integrados en libsasl.so.1. El mecanismo EXTERNAL admite la autenticación y la autorización. El mecanismo admite integridad y privacidad, si el origen de la seguridad externa la proporciona. El complemento INTERNAL agrega el nombre de dominio al nombre de usuario, si es necesario.

La versión de Oracle Solaris no suministra ningún complemento auxprop en este momento. Para que los complementos de mecanismo CRAM-MD5 y DIGEST-MD5 funcionen plenamente en el servidor, el usuario debe proporcionar un complemento auxprop para recuperar contraseñas de texto sin cifrar. El complemento PLAIN requiere asistencia adicional para verificar la contraseña. La asistencia para la verificación de la contraseña puede ser una de las siguientes opciones: una devolución de llamada a la aplicación del servidor, un complemento auxprop, saslauthd o pwcheck. Los daemons salauthd y pwcheck no se proporcionan en las versiones de Oracle Solaris. Para obtener una mejor interoperabilidad, restrinja las aplicaciones del servidor a los mecanismos que sean totalmente operativos mediante la opción de SASL mech_list.

Variable de entorno de SASL

De manera predeterminada, el nombre de autenticación del cliente se establece en getenv("LOGNAME"). Esta variable puede ser restablecida por el cliente o por el complemento.

Opciones de SASL

El comportamiento de libsasl y los complementos se pueden modificar en el servidor mediante las opciones que se pueden establecer en el archivo /etc/sasl/app.conf. La variable app es el nombre definido por el servidor para la aplicación. La documentación de la aplicación del servidor debe especificar el nombre de la aplicación.

Se admiten las siguientes opciones:

auto_transition

Pasa al usuario automáticamente a otros mecanismos cuando el usuario realiza una autenticación de texto sin formato correcta.

auxprop_login

Muestra el nombre de los complementos de propiedad auxiliar que se van a utilizar.

canon_user_plugin

Selecciona el complemento canon_user que se va a utilizar.

mech_list

Muestra los mecanismos que la aplicación del servidor tiene permitido utilizar.

pwcheck_method

Muestra los mecanismos utilizados para verificar las contraseñas. Actualmente, auxprop es el único valor permitido.

reauth_timeout

Ajusta el tiempo, en minutos, durante el cual la información de autenticación se almacena en la antememoria para una nueva autenticación rápida. Esta opción es utilizada por el complemento DIGEST-MD5. Al definir esta opción en 0, se inhabilita una nueva autenticación.

Las siguientes opciones no se admiten:

plugin_list

Muestra los mecanismos disponibles. No se utiliza porque la opción cambia el comportamiento de la carga dinámica de los complementos.

saslauthd_path

Define la ubicación de la puerta saslauthd, que se utiliza para la comunicación con el daemon saslauthd. El daemon saslauthd no se incluye en la versión de Oracle Solaris. Por lo tanto, esta opción tampoco está incluida.

keytab

Define la ubicación del archivo keytab usado por el complemento GSSAPI. Utilice la variable de entorno KRB5_KTNAME en su lugar para establecer la ubicación predeterminada de keytab.

Las siguientes son opciones que no se encuentran en Cyrus SASL. Sin embargo, se agregaron a la versión de Oracle Solaris:

use_authid

Adquiere las credenciales del cliente en lugar de utilizar las credenciales predeterminadas al crear el contexto de seguridad del cliente GSS. De manera predeterminada, se utiliza la identidad Kerberos del cliente por defecto.

log_level

Establece el nivel deseado de registro para un servidor.