Configuración de clientes Kerberos

Los clientes Kerberos incluyen cualquier host, que no es un servidor KDC, en la red que necesita utilizar servicios Kerberos. Esta sección proporciona procedimientos para instalar un cliente Kerberos, así como información específica sobre el uso de la autenticación de root para montar sistemas de archivos NFS.

Configuración de clientes Kerberos (mapa de tareas)

El siguiente mapa de tareas incluye todos los procedimientos asociados con la configuración de clientes Kerberos. Cada fila incluye un identificador de tarea y una descripción del motivo por el que desea realizar la tarea, seguidos de un enlace a la tarea.

Tarea	Descripción	Para obtener instrucciones
Establecer un perfil de instalación de cliente Kerberos	Genera un perfil de instalación de cliente que se puede utilizar para instalar automáticamente un cliente Kerberos.	Cómo crear un perfil de instalación de cliente Kerberos
Configurar un cliente Kerberos	Instala manualmente un cliente Kerberos. Utilizar este procedimiento si la instalación de cada cliente requiere parámetros de instalación únicos.	Cómo configurar manualmente un cliente Kerberos
	Instala automáticamente un cliente Kerberos. Utilice este procedimiento si los parámetros de instalación para cada cliente son los mismos.	Cómo configurar automáticamente un cliente Kerberos
	Instala interactivamente un cliente Kerberos. Utilice este procedimiento si sólo algunos de los parámetros de instalación deben cambiarse.	Cómo configurar interactivamente un cliente Kerberos
Permitir que un cliente acceda a un sistema de archivos NFS como el usuario `root`	Crea un principal `root` en el cliente, para que el cliente pueda montar un sistema de archivos NFS compartido con el acceso `root`. Además, permite que el cliente configure acceso `root` no interactivo al sistema de archivos NFS, de modo que se puedan ejecutar trabajos cron.	Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario `root`
Deshabilitar la verificación del KDC que ha emitido un ticket de otorgamiento de tickets (TGT) de cliente	Permite a los clientes que no tienen un principal host almacenado en el archivo keytab local omitir la comprobación de seguridad que verifica que el KDC que ha emitido el TGT sea el mismo servidor que ha emitido el principal host.	Cómo deshabilitar la verificación del ticket de otorgamiento de tickets (TGT)

Cómo crear un perfil de instalación de cliente Kerberos

Este procedimiento crea un perfil kclient que se puede utilizar al instalar un cliente Kerberos. Mediante el perfil kclient, se reducen las probabilidades de errores de escritura. Asimismo, el uso del perfil reduce la intervención del usuario, en comparación con el proceso interactivo.

Conviértase en superusuario.

Cree un perfil de instalación kclient.

Un ejemplo de perfil kclient podría ser similar al siguiente:

client# cat /net/denver.example.com/export/install/profile
REALM EXAMPLE.COM
KDC kdc1.example.com
ADMIN clntconfig
FILEPATH /net/denver.example.com/export/install/krb5.conf
NFS 1
DNSLOOKUP none

Cómo configurar automáticamente un cliente Kerberos

Antes de empezar

Este procedimiento utiliza un perfil de instalación. Consulte Cómo crear un perfil de instalación de cliente Kerberos.

Conviértase en superusuario.

Ejecute la secuencia de comandos de instalación de kclient.

Debe proporcionar la contraseña para el principal clntconfig con el fin de completar el proceso.

client# /usr/sbin/kclient -p /net/denver.example.com/export/install/profile

Starting client setup
---------------------------------------------------

kdc1.example.com

Setting up /etc/krb5/krb5.conf.

Obtaining TGT for clntconfig/admin ...
Password for clntconfig/admin@EXAMPLE.COM: <Type the password>

nfs/client.example.com entry ADDED to KDC database.
nfs/client.example.com entry ADDED to keytab.

host/client.example.com entry ADDED to KDC database.
host/client.example.com entry ADDED to keytab.

Copied /net/denver.example.com/export/install/krb5.conf.

---------------------------------------------------
Setup COMPLETE.

client#

Ejemplo 23-7 Configuración automática de un cliente Kerberos con valores de sustitución de línea de comandos

El siguiente ejemplo sustituye los parámetros DNSARG y KDC que se establecen en el perfil de instalación.

# /usr/sbin/kclient -p /net/denver.example.com/export/install/profile\
-d dns_fallback -k kdc2.example.com

Starting client setup
---------------------------------------------------

kdc1.example.com

Setting up /etc/krb5/krb5.conf.

Obtaining TGT for clntconfig/admin ...
Password for clntconfig/admin@EXAMPLE.COM: <Type the password>

nfs/client.example.com entry ADDED to KDC database.
nfs/client.example.com entry ADDED to keytab.

host/client.example.com entry ADDED to KDC database.
host/client.example.com entry ADDED to keytab.

Copied /net/denver.example.com/export/install/krb5.conf.

---------------------------------------------------
Setup COMPLETE.

client#

Cómo configurar interactivamente un cliente Kerberos

Este procedimiento utiliza la utilidad de instalación kclient sin un perfil de instalación.

Conviértase en superusuario.
Ejecute la secuencia de comandos de instalación de kclient.
Necesita proporcionar la siguiente información:
- Nombre de dominio Kerberos
- Nombre de host de KDC maestro
- Nombre de principal administrativo
- Contraseña para el principal administrativo

Ejemplo 23-8 Ejecución de la utilidad de instalación kclient

A continuación, se muestra la salida de los resultados de la ejecución del comando kclient.

client# /usr/sbin/kclient

Starting client setup
---------------------------------------------------

Do you want to use DNS for kerberos lookups ? [y/n]: n
        No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the KDC hostname for the above realm: kdc1.example.com

Setting up /etc/krb5/krb5.conf.

Enter the krb5 administrative principal to be used: clntconfig/admin
Obtaining TGT for clntconfig/admin ...
Password for clntconfig/admin@EXAMPLE.COM: <Type the password>
Do you plan on doing Kerberized nfs ? [y/n]: n

host/client.example.com entry ADDED to KDC database.
host/client.example.com entry ADDED to keytab.

Do you want to copy over the master krb5.conf file ? [y/n]: y
Enter the pathname of the file to be copied: \
/net/denver.example.com/export/install/krb5.conf

Copied /net/denver.example.com/export/install/krb5.conf.

---------------------------------------------------
Setup COMPLETE !
#

Cómo configurar manualmente un cliente Kerberos

En este procedimiento, se utilizan los siguientes parámetros de configuración:

Nombre de dominio = EXAMPLE.COM
Nombre de dominio DNS = example.com
KDC maestro = kdc1.example.com
KDC esclavo = kdc2.example.com
Servidor NFS = denver.example.com
Cliente = client.example.com
Principal admin = kws/admin
Principal de usuario = mre
URL de ayuda en pantalla = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Nota - Ajuste la dirección URL para que enlace a la sección "Herramienta gráfica de administración de Kerberos", como se describe en URL de ayuda en pantalla en la herramienta gráfica de administración de Kerberos.

Conviértase en superusuario.

Edite el archivo de configuración de Kerberos (krb5.conf).

Para cambiar el archivo de la versión predeterminada de Kerberos, debe cambiar los nombres de dominios y los nombres de servidores. También tiene que identificar la ruta a los archivos de ayuda para gkadmin.

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = EXAMPLE.COM

[realms]
        EXAMPLE.COM = {
        kdc = kdc1.example.com
        kdc = kdc2.example.com
        admin_server = kdc1.example.com
        }

[domain_realm]
        .example.com = EXAMPLE.COM
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

Nota - Si desea restringir los tipos de cifrado, puede definir las líneas default_tkt_enctypes o default_tgs_enctypes. Consulte Uso de los tipos de cifrado de Kerberos para obtener una descripción de los problemas relacionados con la restricción de los tipos de cifrado.

(Opcional) Cambie el proceso utilizado para localizar los KDC.
A partir de la versión Solaris 10 5/08, de manera predeterminada, el dominio Kerberos para la asignación del KDC se determina en el orden siguiente:
- La definición en la sección realms, en krb5.conf.
- Mediante la búsqueda de registros SRV en DNS.
Puede cambiar este comportamiento agregando dns_lookup_kdc o dns_fallback a la sección libdefaults del archivo krb5.conf. Consulte la página del comando man krb5.conf(4) para obtener más información. Tenga en cuenta que las referencias siempre se intentan en primer lugar.
(Opcional) Cambie el proceso que se utiliza para determinar el dominio para un host.
A partir de la versión Solaris 10 5/08, de manera predeterminada, el host para la asignación del dominio se determina en el orden siguiente:
- Si el KDC admite referencias, el KDC puede informar al cliente a qué dominio pertenece el host.
- Por la definición de domain_realm en el archivo krb5.conf.
- El nombre de dominio DNS del host.
- El dominio predeterminado.
Puede cambiar este comportamiento agregando dns_lookup_kdc o dns_fallback a la sección libdefaults del archivo krb5.conf. Consulte la página del comando man krb5.conf(4) para obtener más información. Tenga en cuenta que las referencias siempre se intentarán en primer lugar.
(Opcional) Sincronice el reloj del cliente con el reloj del KDC maestro mediante NTP u otro mecanismo de sincronización de relojes.
No es necesario instalar ni utilizar el protocolo de hora de red (NTP). Sin embargo, cada reloj debe estar sincronizado con la hora en el servidor KDC dentro de una diferencia máxima definida por la relación clockskew en el archivo krb5.conf para que la autenticación se realice con éxito. Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener información sobre el NTP.

Inicie kadmin.

Si desea obtener información sobre cómo utilizar la herramienta gráfica de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. Para ello, debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro. Sin embargo, el siguiente ejemplo muestra cómo agregar los principales necesarios mediante la línea de comandos.

denver # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:

(Opcional) Cree un principal de usuario si aún no existe ningún principal de usuario.
Necesita crear un principal de usuario sólo si el usuario asociado con este host no tiene un principal asignado a él.
```
kadmin: addprinc mre
Enter password for principal mre@EXAMPLE.COM: <Type the password>
Re-enter password for principal mre@EXAMPLE.COM: <Type it again>
kadmin: 
```

(Opcional) Cree un principal root y agregue el principal al archivo keytab del servidor.

Este paso es necesario para que el cliente pueda tener acceso root a sistemas de archivos montados mediante el servicio NFS. Este paso también es necesario si se necesita acceso root no interactivo, por ejemplo, la ejecución de trabajos cron como root.

Si el cliente no requiere acceso root a un sistema de archivos remoto que está montado mediante el servicio NFS, puede omitir este paso. El principal root debe ser un principal de dos componentes, donde el segundo componente es el nombre de host del sistema cliente Kerberos, para evitar la creación de un principal root de todo el dominio. Tenga en cuenta que cuando la instancia de principal es un nombre de host, el FQDN se debe especificar en letras minúsculas, independientemente de si el nombre de dominio está en mayúsculas o minúsculas, en el archivo /etc/resolv.conf.

kadmin: addprinc -randkey root/client.example.com
Principal "root/client.example.com" created.
kadmin: ktadd root/client.example.com
Entry for principal root/client.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:

Cree un principal host y agregue el principal al archivo keytab del servidor.

El principal host es utilizado por servicios de acceso remoto para proporcionar autenticación. El principal permite que root adquiera una credencial si ya no hay una en el archivo keytab.

kadmin: addprinc -randkey host/denver.example.com
Principal "host/denver.example.com@EXAMPLE.COM" created.
kadmin: ktadd host/denver.example.com
Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:

(Opcional) Agregue el principal de servicio NFS del servidor al archivo keytab del servidor.

Este paso sólo es necesario si el cliente necesita acceder a sistemas de archivos NFS utilizando la autenticación Kerberos.

kadmin: ktadd nfs/denver.example.com
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:

Salga de kadmin.
```
kadmin: quit
```

(Opcional) Habilite Kerberos con NFS.
1. Habilite los modos de seguridad de Kerberos en el archivo /etc/nfssec.conf.
  Edite el archivo /etc/nfssec.conf y elimine el símbolo “#” que se encuentra delante de los modos de seguridad de Kerberos.
```
# cat /etc/nfssec.conf
 .
 .
#
# Uncomment the following lines to use Kerberos V5 with NFS
#
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS
```
2. Habilite el DNS.
  Si el archivo /etc/resolv.conf aún no se ha creado, créelo, ya que la canonización del principal de servicio depende del DNS para hacerlo. Consulte la página del comando man resolv.conf(4) para obtener más información.
3. Reinicie el servicio gssd.
  Después de que el archivo /etc/resolv.conf se ha creado o modificado, debe reiniciar el daemon gssd para volver a leer los cambios.
```
# svcadm restart network/rpc/gss
```
Si desea que el cliente renueve automáticamente el TGT o advierta a los usuarios acerca de la caducidad del ticket Kerberos, cree una entrada en el archivo /etc/krb5/warn.conf.
Consulte la página del comando man warn.conf(4) para obtener más información.

Ejemplo 23-9 Configuración de un cliente Kerberos mediante un KDC que no sea Solaris

Un cliente Kerberos se puede configurar para trabajar con un KDC que no sea Solaris. En este caso, se debe incluir una línea en el archivo /etc/krb5/krb5.conf, en la sección realms. Esta línea cambia el protocolo que se utiliza cuando el cliente se comunica con el servidor de cambio de contraseña de Kerberos. A continuación, se indica el formato de esta línea.

[realms]
                EXAMPLE.COM = {
                kdc = kdc1.example.com
                kdc = kdc2.example.com
                admin_server = kdc1.example.com
                kpasswd_protocol = SET_CHANGE
        }

Ejemplo 23-10 Registros TXT de DNS para la asignación de nombre de host y dominio al dominio Kerberos

@ IN SOA kdc1.example.com root.kdc1.example.com (
                                1989020501   ;serial
                                10800        ;refresh
                                3600         ;retry
                                3600000      ;expire
                                86400 )      ;minimum

                        IN      NS      kdc1.example.com.
kdc1                    IN      A       192.146.86.20
kdc2                    IN      A       192.146.86.21

_kerberos.example.com.             IN      TXT     "EXAMPLE.COM"
_kerberos.kdc1.example.com.        IN      TXT     "EXAMPLE.COM"
_kerberos.kdc2.example.com.        IN      TXT     "EXAMPLE.COM"

Ejemplo 23-11 Registros SRV de DNS para ubicaciones del servidor Kerberos

En este ejemplo, se definen los registros para la ubicación de los KDC, el servidor admin y servidor kpasswd, respectivamente.

@ IN SOA kdc1.example.com root.kdc1.example.com (
                                1989020501   ;serial
                                10800        ;refresh
                                3600         ;retry
                                3600000      ;expire
                                86400 )      ;minimum

                                   IN      NS      kdc1.example.com.
kdc1                               IN      A       192.146.86.20
kdc2                               IN      A       192.146.86.21

_kerberos._udp.EXAMPLE.COM         IN      SRV 0 0 88  kdc2.example.com
_kerberos._tcp.EXAMPLE.COM         IN      SRV 0 0 88  kdc2.example.com
_kerberos._udp.EXAMPLE.COM         IN      SRV 1 0 88  kdc1.example.com
_kerberos._tcp.EXAMPLE.COM         IN      SRV 1 0 88  kdc1.example.com
_kerberos-adm._tcp.EXAMPLE.COM     IN      SRV 0 0 749 kdc1.example.com
_kpasswd._udp.EXAMPLE.COM          IN      SRV 0 0 749 kdc1.example.com

Cómo deshabilitar la verificación del ticket de otorgamiento de tickets (TGT)

Este procedimiento deshabilita la comprobación de seguridad que comprueba que el KDC del principal host almacenado en el archivo /etc/krb5/krb5.keytab local sea el mismo KDC que ha emitido el ticket de otorgamiento de tickets. Esta comprobación impide ataques de falsificación de DNS. Sin embargo, para algunas configuraciones de clientes, el principal host puede no estar disponible, por lo que esta comprobación debería ser deshabilitada para permitir que el cliente funcione. Éstas son las configuraciones que requieren que esta comprobación esté deshabilitada:

La dirección IP del cliente se asigna dinámicamente. Por ejemplo, un cliente DHCP.
El cliente no está configurado para hospedar servicios, por lo que no se ha creado ningún principal host.
La clave del host no se almacena en el cliente.

Conviértase en superusuario.
Cambie el archivo krb5.conf.
Si la opción verify_ap_req_nofail se establece en false, el proceso de verificación de TGT no está habilitado. Consulte la página del comando man krb5.conf(4) para obtener más información sobre esta opción.
```
client # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = EXAMPLE.COM
        verify_ap_req_nofail = false
  ...
```
Nota - La opción verify_ap_req_nofail se puede introducir en la sección [libdefaults] o [realms] del archivo krb5.conf. Si la opción está en la sección [libdefaults], el valor se utiliza para todos los dominios. Si la opción está en la sección [realms], el valor sólo se aplica al dominio definido.

Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario `root`

Este procedimiento permite a un cliente acceder a un sistema de archivos NFS que requiere la autenticación Kerberos con el privilegio de ID root. En particular, cuando el sistema de archivos NFS está compartido con opciones, como -o sec=krb5,root=client1.sun.com.

Conviértase en superusuario.
Inicie kadmin.
Si desea obtener información sobre cómo utilizar la herramienta gráfica de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. Para ello, debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro. Sin embargo, el siguiente ejemplo muestra cómo agregar los principales necesarios mediante la línea de comandos.
```
denver # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin: 
```
1. Cree un principal root para el cliente NFS.
  Este principal se utiliza para proporcionar acceso equivalente a root a sistemas de archivos montados en NFS que requieren la autenticación Kerberos. El principal root debe ser un principal de dos componentes, donde el segundo componente es el nombre de host del sistema cliente Kerberos, para evitar la creación de un principal root de todo el dominio. Tenga en cuenta que cuando la instancia de principal es un nombre de host, el FQDN se debe especificar en letras minúsculas, independientemente de si el nombre de dominio está en mayúsculas o minúsculas, en el archivo /etc/resolv.conf.
```
kadmin: addprinc -randkey root/client.example.com
Principal "root/client.example.com" created.
kadmin:
```
2. Agregue el principal root al archivo keytab del servidor.
  Este paso es necesario si ha agregado un principal root para que el cliente pueda tener acceso root a sistemas de archivos montados mediante el servicio NFS. Este paso también es necesario si se necesita acceso root no interactivo, por ejemplo, la ejecución de trabajos cron como root.
```
kadmin: ktadd root/client.example.com
Entry for principal root/client.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal root/client.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: 
```
3. Salga de kadmin.
```
kadmin: quit
```

Cómo configurar la migración automática de usuarios en un dominio Kerberos

Los usuarios, que no tienen un principal de Kerberos, se pueden migrar automáticamente a un dominio Kerberos existente. La migración se logra utilizando la estructura PAM para el servicio en uso mediante el apilamiento del módulo pam_krb5_migrate en la pila de autenticación del servicio, en /etc/pam.conf.

En este ejemplo, los nombres de servicio PAM dtlogin y other se configuran para usar la migración automática. Se utilizan los siguientes parámetros de configuración:

Nombre de dominio = EXAMPLE.COM
KDC maestro = kdc1.example.com
Equipo que hospeda el servicio de migración = server1.example.com
Principal de servicio de migración = host/server1.example.com

Antes de empezar

Configure server1 como un cliente Kerberos del dominio EXAMPLE.COM. Consulte Configuración de clientes Kerberos para obtener más información.

Compruebe si existe un principal de servicio de host para server1.

El principal de servicio de host en el archivo keytab de server1 se utiliza para autenticar el servidor en el KDC maestro.

server1 # klist -k
Keytab name: FILE:/etc/krb5/krb5.keytab
    KVNO Principal
    ---- ------------------------------------------------
       3 host/server1.example.com@EXAMPLE.COM
       3 host/server1.example.com@EXAMPLE.COM
       3 host/server1.example.com@EXAMPLE.COM
       3 host/server1.example.com@EXAMPLE.COM

Realice cambios en el archivo de configuración de PAM.

Agregue entradas para el servicio dtlogin.

# cat /etc/pam.conf
 .
 .
# # dtlogin service (explicit because of pam_krb5_migrate) # dtlogin auth requisite pam_authtok_get.so.1 dtlogin auth required pam_dhkeys.so.1 dtlogin auth required pam_unix_cred.so.1 dtlogin auth sufficient pam_krb5.so.1 dtlogin auth requisite pam_unix_auth.so.1 dtlogin auth optional pam_krb5_migrate.so.1

(Opcional) Fuerce un cambio inmediato de contraseña si es necesario.
Las cuentas de Kerberos recién creadas pueden tener el tiempo de caducidad de contraseña establecido en la hora actual (ahora) para forzar un cambio inmediato de contraseña Kerberos. Para establecer el tiempo de caducidad en la hora actual, agregue la opción expire_pw a las líneas que utilizan el módulo pam_krb5_migrate. Consulte la página del comando man pam_krb5_migrate(5) para obtener más información.
```
# cat /etc/pam.conf
 .
 .
dtlogin auth optional pam_krb5_migrate.so.1 expire_pw
```

Agregue el módulo pam_krb5 a la pila de cuentas.

Esta adición permite la caducidad de la contraseña en Kerberos para bloquear el acceso.

# cat /etc/pam.conf
 .
 .
#
# Default definition for Account management
# Used when service name is not explicitly mentioned for account management
#
other   account requisite       pam_roles.so.1
other account required pam_krb5.so.1
other   account required        pam_unix_account.so.1

Agregue el módulo pam_krb5 a la pila de contraseñas.

Esta adición permite que las contraseñas se actualicen cuando la contraseña caduca.

# cat /etc/pam.conf
 .
 .
#
# Default definition for Password management
# Used when service name is not explicitly mentioned for password management
#
other   password required       pam_dhkeys.so.1
other   password requisite      pam_authtok_get.so.1
other   password requisite      pam_authtok_check.so.1
other   password sufficient     pam_krb5.so.1
other   password required       pam_authtok_store.so.1

En el KDC maestro, actualice el archivo de control de acceso.
Las entradas siguientes otorgan privilegios de migración y consulta al principal de servicio host/server1.example.com para todos los usuarios, excepto el usuario root. Es importante que los usuarios que no se deben migrar se enumeren en el archivo kadm5.acl utilizando el privilegio U. Estas entradas deben estar antes de la entrada ui o permitir todo. Consulte la página del comando man kadm5.acl(4) para obtener más información.
```
kdc1 # cat /etc/krb5/kadm5.acl
host/server1.example.com@EXAMPLE.COM U root
host/server1.example.com@EXAMPLE.COM ui *
*/admin@EXAMPLE.COM *
```
En el KDC maestro, reinicie el daemon de administración Kerberos.
Este paso permite al daemon kadmind utilizar las nuevas entradas kadm5.acl.
```
kdc1 # svcadm restart network/security/kadmin
```
En el KDC maestro, agregue entradas al archivo pam.conf.
Las entradas siguientes permiten que el daemon kadmind utilice el servicio PAM k5migrate para validar la contraseña de usuario de UNIX para las cuentas que necesitan migración.
```
# grep k5migrate /etc/pam.conf
k5migrate        auth    required        pam_unix_auth.so.1
k5migrate        account required        pam_unix_account.so.1
```

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad