Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
Maneras de administrar las políticas y los principales de Kerberos
Equivalentes de línea de comandos de la herramienta SEAM
El único archivo modificado por la herramienta SEAM
Funciones de impresión y ayuda en pantalla de la herramienta SEAM
Trabajo con listas extensas en la herramienta SEAM
Cómo iniciar la herramienta SEAM
Administración de los principales de Kerberos
Administración de los principales de Kerberos (mapa de tareas)
Automatización de la creación de nuevos principales de Kerberos
Cómo ver la lista de los principales de Kerberos
Cómo ver los atributos de un principal de Kerberos
Cómo crear un nuevo principal de Kerberos
Cómo duplicar un principal de Kerberos
Cómo modificar un principal de Kerberos
Cómo suprimir un principal de Kerberos
Cómo configurar valores predeterminados para crear nuevos principales de Kerberos
Cómo modificar los privilegios de administración de Kerberos
Administración de las políticas de Kerberos
Administración de las políticas de Kerberos (mapa de tareas)
Cómo ver la lista de políticas de Kerberos
Cómo ver los atributos de una política de Kerberos
Cómo crear una nueva política de Kerberos
Cómo duplicar una política de Kerberos
Cómo modificar una política de Kerberos
Cómo suprimir una política de Kerberos
Referencia de la herramienta SEAM
Descripción de los paneles de la herramienta SEAM
Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados
Administración de los archivos keytab
Administración de archivos keytab (mapa de tareas)
Cómo agregar un principal de servicio de Kerberos a un archivo keytab
Cómo eliminar un principal de servicio de un archivo keytab
Cómo visualizar la lista de claves (principales) en un archivo keytab
Cómo deshabilitar temporalmente la autenticación de un servicio en un host
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Cada host que proporciona un servicio debe tener un archivo local, denominado keytab (la abreviatura en inglés de “tabla de claves”). El archivo keytab contiene el principal para el servicio adecuado, denominado clave de servicio. La clave de servicio es utilizada por un servicio para autenticarse a sí misma en el KDC, y sólo es conocida por Kerberos y el servicio. Por ejemplo, si tiene un servidor NFS Kerberizado, ese servidor debe tener un archivo keytab que contenga su principal de servicio nfs.
Para agregar una clave de servicio a un archivo keytab, agregue el principal de servicio correspondiente al archivo keytab de un host mediante el comando ktadd de kadmin. Como está agregando un principal de servicio a un archivo keytab, el principal ya debe existir en la base de datos de Kerberos para que kadmin pueda verificar su existencia. En los servidores de aplicaciones que proporcionan servicios Kerberizados, el archivo keytab se encuentra en /etc/krb5/krb5.keytab, de manera predeterminada.
Un archivo keytab es análogo a la contraseña de un usuario. De la misma manera que es importante que los usuarios protejan sus contraseñas, es importante que los servidores de aplicaciones protejan sus archivos keytab. Siempre debe guardar los archivos keytab en un disco local y permitir su lectura sólo al usuario root. Asimismo, nunca debe enviar un archivo keytab a través una red no segura.
También hay una instancia especial en la que se debe agregar un principal root al archivo keytab de un host. Si desea que un usuario del cliente Kerberos monte sistemas de archivos NFS Kerberizados que requieren acceso equivalente a root, debe agregar el principal root del cliente al archivo keytab del cliente. De lo contrario, los usuarios deberán utilizar el comando kinit como root para obtener credenciales para el principal root del cliente cuando deseen montar un sistema de archivos NFS Kerberizado con acceso root, incluso cuando estén utilizando el montador automático.
Otro comando que puede utilizar para administrar los archivos keytab es el comando ktutil. Este comando interactivo le permite gestionar el archivo keytab de un host local sin tener privilegios de administración de Kerberos, porque ktutil no interactúa con la base de datos de Kerberos como lo hace kadmin. Por lo tanto, después de agregar un principal a un archivo keytab, puede usar ktutil para ver la lista de claves en un archivo keytab o para deshabilitar temporalmente la autenticación de un servicio.
Nota - Al cambiar un principal en un archivo keytab mediante el comando ktadd en kadmin, se genera una clave nueva y esta se agrega al archivo keytab.
|
Para obtener más información, consulte Cómo ver la lista de los principales de Kerberos.
# /usr/sbin/kadmin
kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
Sustituye la lista de tipos de cifrado definida en el archivo krb5.conf.
Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.
Muestra menos información detallada.
Especifica el principal que se va a agregar al archivo keytab. Se pueden agregar los siguientes principales de servicio: host, root, nfs y ftp.
Especifica las expresiones de principal. Todos los principales que coinciden con las expresiones_principal se agregan al archivo keytab. Las reglas de expresión de principal son las mismas que para el comando list_principals de kadmin.
kadmin: quit
Ejemplo 23-16 Adición de un principal de servicio a un archivo keytab
En el siguiente ejemplo, el principal del host de denver se agrega al archivo keytab de denver para que el KDC pueda autenticar los servicios de red de denver.
denver # /usr/sbin/kadmin kadmin: ktadd host/denver.example.com Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
# /usr/sbin/kadmin
Para obtener instrucciones detalladas, consulte Cómo visualizar la lista de claves (principales) en un archivo keytab.
kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.
Muestra menos información detallada.
Especifica el principal que se va a eliminar del archivo keytab.
Elimina todas las entradas del principal especificado cuyo número de versión de clave coincida con kvno.
Elimina todas las entradas del principal especificado.
Elimina todas las entradas del principal especificado, excepto las de los principales con el número de versión más alto.
kadmin: quit
Ejemplo 23-17 Eliminación de un principal de servicio de un archivo keytab
En el siguiente ejemplo, el principal del host de denver se elimina del archivo keytab de denver.
denver # /usr/sbin/kadmin kadmin: ktremove host/denver.example.com@EXAMPLE.COM kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3 removed from keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Aparece la memoria intermedia de lista de claves actual.
ktutil: quit
Ejemplo 23-18 Visualización de la lista de claves (principales) en un archivo keytab
En el siguiente ejemplo, se muestra la lista de claves en el archivo /etc/krb5/krb5.keytab en el host denver.
denver # /usr/bin/ktutil ktutil: read_kt /etc/krb5/krb5.keytab ktutil: list slot KVNO Principal ---- ---- --------------------------------------- 1 5 host/denver@EXAMPLE.COM ktutil: quit
En algunas ocasiones, es posible que necesite desactivar temporalmente el mecanismo de autenticación de un servicio, como rlogin o ftp, en un servidor de aplicaciones de red. Por ejemplo, es posible que desee impedir que los usuarios inicien sesión en un sistema mientras usted está realizando tareas de mantenimiento. El comando ktutil le permite realizar esta tarea mediante la eliminación del principal de servicio del archivo keytab del servidor, sin necesidad de privilegios kadmin. Para volver a activar la autenticación, sólo necesita copiar el archivo keytab original que guardó nuevamente en su ubicación original.
Nota - De manera predeterminada, la mayoría de los servicios están configurados para requerir autenticación. Si un servicio no está configurado para requerir autenticación, el servicio sigue funcionando, aunque desactive la autenticación del servicio.
Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Aparece la memoria intermedia de lista de claves actual. Anote el número de ranura para el servicio que desea deshabilitar.
ktutil: delete_entry slot-number
Donde número_ranura especifica el número de ranura del principal de servicio que se va a suprimir, el cual se muestra mediante el comando list.
ktutil: write_kt new-keytab
ktutil: quit
# mv new-keytab keytab
Ejemplo 23-19 Inhabilitación temporal de un servicio en un host
En el ejemplo siguiente, el servicio de host en el host denver está desactivado temporalmente. Para volver a activar el servicio de host en denver, copie el archivo krb5.keytab.temp en el archivo /etc/krb5/krb5.keytab.
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp denver # /usr/bin/ktutil ktutil:read_kt /etc/krb5/krb5.keytab ktutil:list slot KVNO Principal ---- ---- --------------------------------------- 1 8 root/denver@EXAMPLE.COM 2 5 host/denver@EXAMPLE.COM ktutil:delete_entry 2 ktutil:list slot KVNO Principal ---- ---- -------------------------------------- 1 8 root/denver@EXAMPLE.COM ktutil:write_kt /etc/krb5/new.krb5.keytab ktutil: quit denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab