Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
Cómo funciona el servicio Kerberos
Autenticación inicial: el ticket de otorgamiento de tickets
Autenticaciones Kerberos posteriores
Aplicaciones remotas de Kerberos
Servicios de seguridad de Kerberos
Componentes de las distintas versiones de Kerberos
Adiciones de Kerberos para la versión Solaris 10 5/08
Adiciones de Kerberos para la versión Solaris 10 8/07
Adiciones de Kerberos para la versión Solaris 10 6/06
Mejoras de Kerberos en la versión Solaris 10 3/05
Componentes de Kerberos en la versión Solaris 9
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
En varias de las versiones, se incluyen componentes del servicio Kerberos. Originalmente, el servicio Kerberos y los cambios realizados en el sistema operativo básico para que se admita el servicio Kerberos se lanzaron con el nombre de producto “Sun Enterprise Authentication Mechanism”, que se abrevió como SEAM. A medida que se fueron incluyendo más partes del producto SEAM en el software de Oracle Solaris, los contenidos de la versión de SEAM fueron disminuyendo. Para las versiones de Oracle Solaris se incluyen todas las partes del producto SEAM, por lo que el producto SEAM ya no es necesario. El nombre del producto SEAM existe en la documentación por razones históricas.
En la tabla siguiente, se describen los componentes que se incluyen en cada versión. Las versiones de producto se enumeran en orden cronológico. En las secciones siguientes, se describen todos los componentes.
Tabla 21-1 Contenidos de las versiones de Kerberos
|
De manera similar a la distribución del producto Kerberos V5 del MIT, el servicio Oracle Solaris Kerberos incluye lo siguiente:
Centro de distribución de claves (KDC):
Daemon de administración de bases de datos de Kerberos: kadmind.
Daemon de procesamiento de tickets de Kerberos: krb5kdc.
Programas de administración de bases de datos: kadmin (maestro solamente), kadmin.local y kdb5_util.
Software de propagación de bases de datos: kprop (esclavo solamente) y kpropd.
Programas de usuario para gestionar credenciales: kinit, klist y kdestroy.
Programa de usuario para cambiar la contraseña de Kerberos: kpasswd.
Aplicaciones remotas: ftp, rcp, rdist, rlogin, rsh, ssh y telnet.
Daemons de aplicaciones remotas: ftpd, rlogind, rshd, sshd y telnetd.
Utilidad de administración keytab: ktutil.
Generic Security Service Application Programming Interface (GSS-API): permite que las aplicaciones utilicen varios mecanismos de seguridad sin solicitarle que vuelva a compilar la aplicación cada vez que se agrega un mecanismo nuevo. GSS-API utiliza interfaces estándar que permiten que las aplicaciones puedan emplearse en varios sistemas operativos. GSS-API proporciona aplicaciones que pueden incluir servicios de seguridad de la integridad y la privacidad, y también autenticación. Tanto ftp como ssh utilizan GSS-API.
RPCSEC_GSS Application Programming Interface (API): permite que los servicios NFS usen la autenticación Kerberos. RPCSEC_GSS es un tipo de seguridad que proporciona servicios de seguridad que son independientes de los mecanismos que se utilizan. RPCSEC_GSS se sitúa en la parte superior de la capa de GSS-API. Cualquier mecanismo de seguridad basado en GSS_API que sea conectable puede utilizarse mediante las aplicaciones que usan RPCSEC_GSS.
Además, el servicio Oracle Solaris Kerberos incluye lo siguiente:
Herramienta gráfica de administración de Kerberos (gkadmin): permite administrar los principales y las políticas de los principales. Esta interfaz gráfica de usuario basada en la tecnología Java es una alternativa al comando kadmin.
Módulo de servicio Kerberos V5 para PAM: proporciona la autenticación y la gestión de cuentas, la gestión de sesiones y la gestión de contraseñas para el servicio Kerberos. Este módulo puede utilizarse para hacer que la autenticación Kerberos sea transparente para el usuario.
Módulos del núcleo: proporcionan implementaciones del servicio Kerberos basadas en el núcleo para que las utilice el servicio NFS a fin de mejorar considerablemente el rendimiento.
Estas mejoras se encuentran disponibles a partir de la versión Solaris 10 5/08:
El software de Solaris Kerberos se ha sincronizado con la versión 1.4 del MIT. Específicamente, se actualizaron el software para el KDC, el comando kinit y el mecanismo de Kerberos.
Se estableció la compatibilidad para acceder a registros de políticas y principales de Kerberos mediante LDAP desde un servidor de directorios. Este cambio simplifica la administración y puede proporcionar una mayor disponibilidad en función de la implementación de los KDC y los DS. Consulte Gestión de un KDC en un servidor de directorios LDAP para obtener una lista de los procedimientos relacionados con LDAP.
En esta versión, se agregó el soporte para los clientes de Solaris que no requieren configuración adicional. Se realizaron cambios en el servicio Kerberos y en algunos valores predeterminados. Los clientes de Solaris Kerberos trabajan sin configuración del lado del cliente en entornos que están adecuadamente configurados. Consulte Opciones de configuración de cliente para obtener más información.
La interfaz de programación de aplicaciones MIT Kerberos V5 (krb5-api) es compatible con la versión Solaris 10 8/07. Consulte las páginas del comando man libkrb5(3LIB) y krb5-config(1) para obtener más información. Además, consulte las páginas web del proyecto de MIT Kerberos V5 en mit.edu para obtener más documentación detallada a medida que esté disponible.
Aunque krb5-api ya se encuentra disponible, Sun promueve el uso de GSS-API para la autenticación de red y la integridad y la privacidad, ya que GSS-API es un mecanismo de seguridad independiente que es un estándar IETF. Consulte la página del comando man libgss(3LIB) para obtener más información.
En la versión Solaris 10 6/06, el daemon ktkt_warnd puede renovar credenciales automáticamente, en lugar de sólo advertir al usuario cuando la credencial está a punto de caducar. El usuario debe haber iniciado sesión para que las credenciales se renueven automáticamente.
Estas mejoras de Kerberos se incluyen en la versión Oracle Solaris. Varias de las mejoras se habían introducido en versiones anteriores de Software Express y actualizado en las versiones Solaris 10 Beta.
Se proporciona compatibilidad con el protocolo Kerberos en aplicaciones remotas, como ftp, rcp, rlogin, rsh, ssh y telnet. Consulte las páginas del comando man para cada comando o daemon, y la página del comando man krb5_auth_rules(5) para obtener más información.
La base de datos principal de Kerberos se puede transferir ahora mediante actualizaciones progresivas en lugar de transferir la base entera cada vez. La propagación progresiva ofrece la siguientes ventajas:
Mayor coherencia de la base de datos en todos los servidores
Menor necesidad de recursos (red, CPU, etcétera)
Propagación de las actualizaciones en un tiempo más reducido
Método de propagación automático
Ahora se encuentra disponible una nueva secuencia de comandos para ayudar a configurar automáticamente un cliente Kerberos. La secuencia de comandos permite que un administrador pueda configurar de forma fácil y rápida un cliente Kerberos. Para conocer los procedimientos que utilizan la nueva secuencia de comandos, consulte Configuración de clientes Kerberos. Además, consulte la página del comando man kclient(1M) para obtener más información.
Se han agregado varios tipos de cifrado al servicio Kerberos. Estos nuevos tipos de cifrado suponen un aumento de la seguridad y mejoran la compatibilidad con otras implementaciones Kerberos que admiten estos tipos de cifrado. Consulte Uso de los tipos de cifrado de Kerberos para obtener más información. Entre los tipos de cifrado, se incluyen:
El tipo de cifrado AES puede utilizarse para establecer sesiones Kerberos con un cifrado de alta velocidad y con un nivel alto de seguridad.
ARCFOUR-HMAC proporciona una mejor compatibilidad con otras implementaciones de Kerberos.
Triple DES (3DES) con SHA1 aumenta la seguridad. Este tipo de cifrado también supone un beneficio para la interoperabilidad con otras implementaciones de Kerberos que admitan este tipo de cifrado.
Los tipos de cifrado se habilitan mediante la estructura criptográfica. La estructura puede proporcionar criptografía acelerada por hardware para el servicio Kerberos.
Ahora, el software KDC, los comandos de usuario y las aplicaciones de usuario admiten el uso del protocolo de red TCP. Esta mejora favorece la estabilidad del funcionamiento y la interoperabilidad con otras implementaciones de Kerberos, incluido Microsoft Active Directory. Ahora, KDC recibe los puertos UDP tradicionales y también los puertos TCP, de manera que puede responder a las solicitudes con cualquiera de estos dos protocolos. Las aplicaciones y los comandos de usuario intentan primero enviar solicitudes a KDC con UDP y, si esto falla, intentan con TCP.
Al software KDC se le ha agregado compatibilidad con IPv6, lo que incluye los comandos kinit, klist y kprop. La compatibilidad con las direcciones IPv6 se proporciona de manera predeterminada. No hay parámetros de configuración que deban cambiarse para habilitar la compatibilidad con IPv6. La compatibilidad con IPv6 no está disponible para los comandos kadmin y kadmind.
Se ha incluido una nueva opción -e para varios subcomandos del comando kadmin. Esta nueva opción permite seleccionar el tipo de cifrado durante la creación de principales. Consulte la página del comando man kadmin(1M) para obtener más información.
Se han realizado adiciones al módulo pam_krb5 para gestionar la antememoria de credenciales de Kerberos con la estructura PAM. Consulte la página del comando man pam_krb5(5) para obtener más información.
Se incorpora compatibilidad para la detección automática del KDC de Kerberos, el servidor de administración, el servidor kpasswd y las asignaciones de nombre de dominio para el dominio o el host mediante las búsquedas DNS. Esta mejora reduce la cantidad de pasos que son necesarios para instalar un cliente Kerberos. El cliente puede localizar un servidor KDC con DNS en lugar de tener que leer el archivo de configuración. Consulte la página del comando man krb5.conf(4) para obtener más información.
Se ha incorporado un nuevo módulo PAM llamado pam_krb5_migrate. Este módulo ayuda a migrar usuarios de manera automática al dominio local de Kerberos en caso de que éstos no dispongan de cuentas de Kerberos. Consulte la página del comando man pam_krb5_migrate(5) para obtener más información.
El archivo ~/.k5login se puede usar ahora con las aplicaciones GSS, ftp y ssh. Para obtener más información, consulte la página del comando man gss_auth_rules(5).
La utilidad kproplog se ha actualizado para mostrar todos los nombres de atributos por entrada de registro. Para obtener más información, consulte la página del comando man kproplog(1M).
La verificación TGT estricta puede deshabilitarse con una opción de configuración en el archivo krb5.conf. Consulte la página del comando man krb5.conf(4) para obtener más información.
Las extensiones realizadas en las utilidades de cambio de contraseña permiten que el servidor de administración de Oracle Solaris Kerberos V5 acepte solicitudes de cambio de contraseña de los clientes que no ejecuten el software de Oracle Solaris. Consulte la página del comando man kadmind(1M) para obtener más información.
La ubicación predeterminada de la antememoria de reproducción se ha cambiado de los sistemas de archivos basados en RAM al almacenamiento persistente en /var/krb5/rcache/. Esta nueva ubicación impide que se realicen reproducciones si se rearranca un sistema. También se ha mejorado el rendimiento del código rcache. No obstante, el rendimiento general de la antememoria de reproducción puede ser algo inferior debido al uso del almacenamiento persistente.
Ahora, la antememoria de reproducción se puede configurar para que use almacenamiento de archivo o de sólo memoria. Consulte la página del comando man krb5envvar(5) para obtener más información acerca de las variables de entorno que se pueden configurar para la tabla de claves y las ubicaciones y los tipos de antememoria de credenciales.
La tabla de credenciales GSS ya no es necesaria para los mecanismos GSS de Kerberos. Para obtener más información, consulte Asignación de credenciales GSS a credenciales UNIX o las páginas del comando man gsscred(1M), gssd(1M) y gsscred.conf(4).
Las utilidades Kerberos, kinit y ktutil, se basan ahora en la versión 1.2.1 de MIT Kerberos. Este cambio ha supuesto la adición de nuevas opciones para el comando kinit y nuevos subcomandos para el comando ktutil. Para obtener más información, consulte las páginas del comando man kinit(1) y ktutil(1).
El Centro de distribución de claves (KDC) de Oracle Solaris Kerberos y kadmind se basa en la versión 1.2.1 de MIT Kerberos. El KDC toma como valor predeterminado una base de datos basada en btree, que es más confiable que la base de datos actual basada en hash. Para obtener más información, consulte la página del comando man kdb5_util(1M).
Los daemons kpropd, kadmind, krb5kdc y ktkt_warnd se gestionan con la utilidad de gestión de servicios. Las acciones administrativas de este servicio, como la habilitación, la deshabilitación o el reinicio, pueden llevarse a cabo con el comando svcadm. Utilice el comando svcs para consultar el estado del servicio de todos los daemons. Para ver una descripción general de la Utilidad de gestión de servicios, consulte el Capítulo 18, Gestión de servicios (descripción general) de Guía de administración del sistema: administración básica.
La versión Solaris 9 contiene todos los componentes incluidos en Componentes de Kerberos, salvo las aplicaciones remotas.
La versión SEAM 1.0.2 incluye las aplicaciones remotas. Estas aplicaciones son la única parte de SEAM 1.0 que no se ha incorporado en la versión Solaris 9. Los componentes de las aplicaciones remotas son los siguientes:
Aplicaciones cliente: ftp, rcp, rlogin, rsh y telnet
Daemons del servidor: ftpd, rlogind, rshd y telnetd
La versión Solaris 8 incluye solamente las partes del lado del cliente del servicio Kerberos, por lo que muchos componentes no se incluyen. Este producto permite que los sistemas en los que se ejecuta la versión Solaris 8 se conviertan en clientes Kerberos sin que tenga que instalar SEAM 1.0.1 por separado. Para utilizar estas capacidades, debe instalar un KDC que utilice Solaris Easy Access Server 3.0 o Solaris 8 Admin Pack, la distribución del MIT, o Windows 2000. Los componentes del lado del cliente no son útiles sin un KDC que esté configurado para distribuir tickets. En esta versión, se incluyen los siguientes componentes:
Programas de usuario para obtener, visualizar y destruir tickets: kinit, klist y kdestroy.
Programa de usuario para cambiar la contraseña de Kerberos: kpasswd.
Utilidad de administración keytab: ktutil.
Adiciones al módulo de autenticación conectable (PAM): permiten que las aplicaciones utilicen distintos mecanismos de autenticación. PAM puede utilizarse para hacer que los inicios y cierres de sesión sean transparentes para el usuario.
Complementos de GSS_API: proporcionan compatibilidad de cifrado y protocolo Kerberos.
Compatibilidad con el servidor y el cliente NFS.
La versión SEAM 1.0.1 incluye todos los componentes de la versión SEAM 1.0 que no están incluidos en la versión Solaris 8. Los componentes son los siguientes:
Centro de distribución de claves (KDC) (maestro):
Daemon de administración de bases de datos de Kerberos: kadmind
Daemon de procesamiento de tickets de Kerberos: krb5kdc
KDC esclavos.
Programas de administración de bases de datos: kadmin y kadmin.local.
Software de propagación de bases de datos: kprop.
Aplicaciones remotas: ftp, rcp, rlogin, rsh y telnet.
Daemons de aplicaciones remotas: ftpd, rlogind, rshd y telnetd.
Utilidad de administración: kdb5_util.
Herramienta gráfica de administración de Kerberos (gkadmin): permite administrar los principales y las políticas de los principales. Esta interfaz gráfica de usuario basada en la tecnología Java es una alternativa al comando kadmin.
Un procedimiento de preconfiguración que permite establecer los parámetros para la instalación y la configuración de SEAM 1.0.1, lo que hace que la instalación de SEAM sea automática. Este procedimiento es especialmente útil para realizar varias instalaciones.
Varias bibliotecas.
La versión SEAM 1.0 contiene todas las opciones que se incluyen en Componentes de Kerberos y también las siguientes:
Una utilidad (gsscred) y un daemon (gssd): estos programas ayudan a asignar los ID de usuarios (UID) de UNIX a los nombres de principales. Estos programas son necesarios porque los servidores NFS utilizan UID de UNIX para identificar a los usuarios y no los nombres de principales, que se almacenan en un formato distinto.
Generic Security Service Application Programming Interface (GSS-API): permite que las aplicaciones utilicen varios mecanismos de seguridad sin solicitarle que vuelva a compilar la aplicación cada vez que se agrega un mecanismo nuevo. Dado que GSS-API es independiente del equipo, resulta conveniente para las aplicaciones de Internet. GSS-API proporciona aplicaciones que pueden incluir servicios de seguridad de la integridad y la privacidad, y también autenticación.
RPCSEC_GSS Application Programming Interface (API): permite que los servicios NFS usen la autenticación Kerberos. RPCSEC_GSS es un tipo de seguridad que proporciona servicios de seguridad que son independientes de los mecanismos que se utilizan. RPCSEC_GSS se sitúa en la parte superior de la capa de GSS-API. Cualquier mecanismo de seguridad basado en GSS_API que sea conectable puede utilizarse mediante las aplicaciones que usan RPCSEC_GSS.
Un procedimiento de preconfiguración: permite establecer los parámetros para la instalación y la configuración de SEAM 1.0, lo que hace que la instalación sea automática. Este procedimiento es especialmente útil para realizar varias instalaciones.