JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Administración de Oracle Solaris: servicios de seguridad     Oracle Solaris 11 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Servicio de análisis de virus (tareas)

5.  Control de acceso a dispositivos (tareas)

6.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

7.  Control de acceso a archivos (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Atributos de seguridad en Oracle Solaris (referencia)

Parte IV Servicios criptográficos

11.  Estructura criptográfica (descripción general)

12.  Estructura criptográfica (tareas)

13.  Estructura de gestión de claves

Parte V Servicios de autenticación y comunicación segura

14.  Autenticación de servicios de red (tareas)

15.  Uso de PAM

16.  Uso de SASL

17.  Uso de Secure Shell (tareas)

18.  Secure Shell (referencia)

Parte VI Servicio Kerberos

19.  Introducción al servicio Kerberos

20.  Planificación del servicio Kerberos

21.  Configuración del servicio Kerberos (tareas)

22.  Mensajes de error y resolución de problemas de Kerberos

23.  Administración de las políticas y los principales de Kerberos (tareas)

24.  Uso de aplicaciones Kerberos (tareas)

Gestión de tickets de Kerberos

¿Debe preocuparse por los tickets?

Creación de un ticket de Kerberos

Visualización de tickets de Kerberos

Destrucción de tickets de Kerberos

Gestión de contraseñas de Kerberos

Consejos para elegir una contraseña

Cambio de la contraseña

Otorgamiento de acceso a su cuenta

Comandos de usuario de Kerberos

Descripción general de comandos Kerberizados

Reenvío de tickets de Kerberos

Uso de comandos Kerberizados (ejemplos)

25.  El servicio Kerberos (referencia)

Parte VII Auditoría en Oracle Solaris

26.  Auditoría (descripción general)

27.  Planificación de la auditoría

28.  Gestión de auditoría (tareas)

29.  Auditoría (referencia)

Glosario

Índice

Gestión de tickets de Kerberos

En esta sección, se explica cómo obtener, visualizar y destruir tickets. Para obtener una introducción a los tickets, consulte Cómo funciona el servicio Kerberos.

¿Debe preocuparse por los tickets?

Con cualquiera de las versiones de SEAM o las versiones de Oracle Solaris instaladas, Kerberos está integrado en el comando login, de modo que usted obtendrá los tickets automáticamente al iniciar sesión. Los comandos Kerberizados rsh, rcp, telnet y rlogin por lo general están configurados para reenviar copias de los tickets a otros equipos, de modo que no es necesario solicitar explícitamente los tickets para obtener acceso a esos equipos. Es posible que la configuración no incluya este reenvío automático, pero es el comportamiento predeterminado. Consulte Descripción general de comandos Kerberizados y Reenvío de tickets de Kerberos para obtener más información sobre el reenvío de tickets.

Para obtener información sobre las duraciones de los tickets, consulte Duración de los tickets.

Creación de un ticket de Kerberos

Normalmente, si el PAM se ha configurado correctamente, un ticket se crea automáticamente cuando inicia sesión, de modo que no tiene que hacer nada especial para obtener un ticket. Sin embargo, puede que necesite crear un ticket si su ticket caduca. Además, puede que necesite utilizar un principal diferente aparte del principal predeterminado, por ejemplo, si usa rlogin -l para iniciar sesión en un equipo como otro usuario.

Para crear un ticket, utilice el comando kinit.

% /usr/bin/kinit
 

El comando kinit le solicita la contraseña. Para conocer la sintaxis completa del comando kinit, consulte la página del comando man kinit(1).

Ejemplo 24-1 Creación de un ticket de Kerberos

En este ejemplo, se muestra a un usuario, jennifer, que crea un ticket en su propio sistema.

% kinit
Password for jennifer@ENG.EXAMPLE.COM:  <Type password>
 

Aquí, el usuario david crea un ticket que tiene una validez de tres horas, con la opción -l.

% kinit -l 3h david@EXAMPLE.ORG
Password for david@EXAMPLE.ORG:  <Type password>
 

En este ejemplo se muestra cómo el usuario david crea un ticket reenviable (con la opción -f). Con este ticket reenviable, puede, por ejemplo, iniciar sesión en un segundo sistema y, a continuación, ejecutar el comando telnet para iniciar sesión en un tercer sistema.

% kinit -f david@EXAMPLE.ORG
Password for david@EXAMPLE.ORG:     <Type password>
 

Para obtener más información sobre el reenvío de tickets, consulte Reenvío de tickets de Kerberos y Tipos de tickets.

Visualización de tickets de Kerberos

No todos los tickets son similares. Por ejemplo, un ticket puede ser reenviable. Otro ticket puede ser posfechado. Mientras que un tercer ticket puede ser reenviable y posfechado. Puede ver los tickets que tiene y sus atributos utilizando el comando klist con la opción -f:

% /usr/bin/klist -f

Los siguientes símbolos indican los atributos asociados con cada ticket, como se muestra por klist:

A

Preautenticado

D

Posfechable

d

Posfechado

F

Reenviable

f

Reenviado

I

Inicial

i

No válido

P

Que admite proxy

p

Proxy

R

Renovable

En la sección Tipos de tickets, se describen los diferentes atributos que un ticket puede tener.

Ejemplo 24-2 Visualización de tickets de Kerberos

En este ejemplo, se muestra que el usuario jennifer tiene un ticket inicial, que es reenviable (F) y posfechado (d), pero que aún no está validado (i).

% /usr/bin/klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: jennifer@EXAMPLE.COM
 
Valid starting                 Expires                 Service principal
09 Mar 04 15:09:51  09 Mar 04 21:09:51  nfs/EXAMPLE.COM@EXAMPLE.COM
        renew until 10 Mar 04 15:12:51, Flags: Fdi
 

El siguiente ejemplo muestra que el usuario david tiene dos tickets que fueron reenviados (f) al host desde otro host. Los tickets también son reenviables (F).

% klist -f
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
 
Valid starting                 Expires                 Service principal
07 Mar 04 06:09:51  09 Mar 04 23:33:51  host/EXAMPLE.COM@EXAMPLE.COM
        renew until 10 Mar 04 17:09:51, Flags: fF
 
Valid starting                 Expires                 Service principal
08 Mar 04 08:09:51  09 Mar 04 12:54:51  nfs/EXAMPLE.COM@EXAMPLE.COM
        renew until 10 Mar 04 15:22:51, Flags: fF

El ejemplo siguiente muestra cómo visualizar los tipos de cifrado de la clave de sesión y el ticket mediante la opción -e. La opción -a se utiliza para asignar la dirección de host a un nombre de host si el servicio de nombres puede realizar la conversión.

% klist -fea
Ticket cache: /tmp/krb5cc_74287
Default principal: david@EXAMPLE.COM
 
Valid starting                 Expires                 Service principal
07 Mar 04 06:09:51  09 Mar 04 23:33:51  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 10 Mar 04 17:09:51, Flags: FRIA
        Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32
        Addresses: client.example.com

Destrucción de tickets de Kerberos

Si desea destruir todos los tickets de Kerberos adquiridos durante la sesión actual, utilice el comando kdestroy. El comando destruye la antememoria de credenciales, que destruye todas las credenciales y los tickets. Si bien esto no suele ser necesario, la ejecución de kdestroy reduce las posibilidades de que la antememoria de credenciales esté en riesgo en los momentos en los que no tiene ninguna sesión iniciada.

Para destruir los tickets, utilice el comando kdestroy.

% /usr/bin/kdestroy

El comando kdestroy destruye todos los tickets. No puede utilizar este comando para destruir de manera selectiva un determinado ticket.

Si no va a utilizar el sistema y le preocupa que un intruso use sus permisos, debe utilizar kdestroy o un protector de pantalla que bloquee la pantalla.