Administración de los principales de Kerberos

En esta sección se proporcionan instrucciones detalladas que se deben utilizar para administrar principales con la herramienta SEAM. En esta sección también se proporcionan ejemplos de equivalentes de línea de comandos, si están disponibles.

Administración de los principales de Kerberos (mapa de tareas)

Tarea	Descripción	Para obtener instrucciones
Ver lista de principales	Para ver la lista de principales, haga clic en la ficha Principals.	Cómo ver la lista de los principales de Kerberos
Ver atributos de un principal	Para ver los atributos de un principal, seleccione el principal en la lista de principales y, a continuación, haga clic en el botón Modify.	Cómo ver los atributos de un principal de Kerberos
Crear un principal nuevo	Para crear un principal nuevo, haga clic en el botón Create New en el panel Principal List.	Cómo crear un nuevo principal de Kerberos
Duplicar un principal	Para duplicar un principal, seleccione el principal que desea duplicar en la lista de principales y, a continuación, haga clic en el botón Duplicate.	Cómo duplicar un principal de Kerberos
Modificar un principal	Para modificar un principal, seleccione el principal que desea modificar en la lista de principales y, a continuación, haga clic en el botón Modify. Tenga en cuenta que no puede modificar el nombre de un principal. Para cambiar el nombre de un principal, debe duplicar el principal, especificar un nombre nuevo para él, guardarlo y, a continuación, suprimir el antiguo principal.	Cómo modificar un principal de Kerberos
Suprimir un principal	Para suprimir un principal, seleccione el principal que desea suprimir en la lista de principales y, a continuación, haga clic en el botón Delete.	Cómo suprimir un principal de Kerberos
Configurar valores predeterminados para crear principales nuevos	Para configurar valores predeterminado para crear principales nuevos, seleccione Properties en el menú Edit.	Cómo configurar valores predeterminados para crear nuevos principales de Kerberos
Modificar los privilegios de administración de Kerberos (archivo `kadm5.acl`)	Sólo línea de comandos. Los privilegios de administración de Kerberos determinan qué operaciones puede realizar un principal en la base de datos de Kerberos, por ejemplo, agregar y modificar. Debe editar el archivo `/etc/krb5/kadm5.acl` para modificar los privilegios de administración de Kerberos para cada principal.	Cómo modificar los privilegios de administración de Kerberos

Automatización de la creación de nuevos principales de Kerberos

Si bien la herramienta SEAM es fácil de usar, no ofrece una manera de automatizar la creación de nuevos principales. La automatización es especialmente útil si necesita agregar 10 o, incluso, 100 nuevos principales en un breve periodo. Sin embargo, puede utilizar el comando kadmin.local en una secuencia de comandos de shell Bourne para hacer exactamente eso.

La siguiente secuencia de comandos de shell es un ejemplo de cómo automatizar la creación de nuevos principales:

awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | 
        time /usr/sbin/kadmin.local> /dev/null

Este ejemplo está dividido en dos líneas para su legibilidad. La secuencia de comandos lee un archivo llamado princnames que contiene los nombres de principales y sus contraseñas, y los agrega a la base de datos de Kerberos. Usted debería crear el archivo princnames, que contiene un nombre de principal y su contraseña en cada línea, separados por un espacio o varios. La opción +needchange configura el principal para que se le pida al usuario que introduzca una nueva contraseña la primera vez que inicia sesión con el principal. Esta práctica ayuda a garantizar que las contraseñas del archivo princnames no sean un riesgo de seguridad.

Puede crear secuencias de comandos más elaboradas. Por ejemplo, la secuencia de comandos podría utilizar la información del servicio de nombres para obtener la lista de nombres de usuario para los nombres de principales. Lo que usted hace y cómo lo hace está determinado por las necesidades del sitio y su experiencia en secuencias de comandos.

Cómo ver la lista de los principales de Kerberos

Después de este procedimiento se muestra un ejemplo del equivalente de línea de comandos.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.
```
$ /usr/sbin/gkadmin
```
Haga clic en la ficha Principals.
Aparecerá la lista de principales.
Muestre un principal específico o una sublista de principales.
Escriba una cadena de filtro en el campo de filtro y, a continuación, presione la tecla de retorno. Si el filtro se realiza correctamente, se muestra la lista de principales que coinciden con el filtro.
La cadena de filtro debe estar compuesta por uno o varios caracteres. Debido a que el mecanismo de filtro distingue mayúsculas de minúsculas, deberá utilizar las letras mayúsculas y minúsculas correspondientes para el filtro. Por ejemplo, si escribe la cadena de filtro ge, el mecanismo de filtro mostrará sólo los principales que contengan la cadena ge (por ejemplo, george o edge).
Si desea que aparezca la lista completa de principales, haga clic en Clear Filter.

Ejemplo 23-1 Visualización de la lista de los principales de Kerberos (línea de comandos)

En el ejemplo siguiente, el comando list_principals de kadmin se utiliza para mostrar todos los principales que coinciden con kadmin*. Se pueden utilizar comodines con el comando list_principals.

kadmin: list_principals kadmin*
kadmin/changepw@EXAMPLE.COM
kadmin/kdc1.example.con@EXAMPLE.COM
kadmin/history@EXAMPLE.COM
kadmin: quit

Cómo ver los atributos de un principal de Kerberos

Después de este procedimiento se muestra un ejemplo del equivalente de línea de comandos.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.
```
$ /usr/sbin/gkadmin
```
Haga clic en la ficha Principals.
Seleccione el principal que desea ver en la lista y, a continuación, haga clic en Modify.
Aparecerá el panel Principal Basics que contiene algunos de los atributos del principal.
A continuación, haga clic en Next para ver todos los atributos del principal.
Tres ventanas contienen información de atributos. Para obtener información sobre los diferentes atributos de cada ventana, seleccione Context-Sensitive Help desde el menú Help. O, para ver las descripciones de todos los atributos de los principales , vaya a Descripción de los paneles de la herramienta SEAM.
Cuando haya terminado, haga clic en Cancel.

Ejemplo 23-2 Visualización de los atributos de un principal de Kerberos

En el ejemplo siguiente, se muestra la primera ventana que se verá al visualizar el principal jdb/admin.

image:En el cuadro de diálogo de la herramienta SEAM se muestran los datos de cuenta del principal jdb/admin. Se muestra la fecha de caducidad y los comentarios de la cuenta.

Ejemplo 23-3 Visualización de los atributos de un principal de Kerberos (línea de comandos)

En el ejemplo siguiente, el comando get_principal de kadmin se utiliza para ver los atributos del principal jdb/admin.

kadmin: getprinc jdb/admin
Principal: jdb/admin@EXAMPLE.COM

Expiration date: [never]
Last password change: [never]

Password expiration date: Wed Apr 14 11:53:10 PDT 2011
Maximum ticket life: 1 day 16:00:00
Maximum renewable life: 1 day 16:00:00
Last modified: Mon Sep 28 13:32:23 PST 2009 (host/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 1
Key: vno 1, AES-256 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, AES-128 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, Triple DES with HMAC/sha1, no salt
Key: vno 1, ArcFour with HMAC/md5, no salt
Key: vno 1, DES cbc mode with RSA-MD5, no salt
Attributes: REQUIRES_HW_AUTH
Policy: [none]
kadmin: quit

Cómo crear un nuevo principal de Kerberos

Después de este procedimiento se muestra un ejemplo del equivalente de línea de comandos.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.

Nota - Si va a crear un nuevo principal que pueda necesitar una nueva política, debe crear la nueva política antes de crear el nuevo principal. Vaya a Cómo crear una nueva política de Kerberos.
```
$ /usr/sbin/gkadmin
```
Haga clic en la ficha Principals.
Haga clic en New.
Aparecerá el panel Principal Basics que contiene algunos de los atributos del principal que se está visualizando.
Especifique un nombre de principal y una contraseña.
Tanto el nombre de principal como la contraseña son obligatorios.
Especifique los tipos de cifrado para el principal.
Haga clic en el cuadro ubicado a la derecha del campo de tipos de clave de cifrado para abrir una nueva ventana que muestre todos los tipos de clave de cifrado disponibles. Después de seleccionar los tipos de cifrado necesarios, haga clic en OK.
Especifique la política para el principal.
Especifique los valores para los atributos del principal y, a continuación, haga clic en Next para especificar más atributos.
Tres ventanas contienen información de atributos. Para obtener información sobre los diferentes atributos de cada ventana, seleccione Context-Sensitive Help desde el menú Help. O, para ver las descripciones de todos los atributos de los principales , vaya a Descripción de los paneles de la herramienta SEAM.
Haga clic en Save para guardar el principal, o bien, haga clic en Done en el último panel.
Si es necesario, configure los privilegios de administración de Kerberos para el nuevo principal en el archivo /etc/krb5/kadm5.acl.
Para obtener más detalles, consulte Cómo modificar los privilegios de administración de Kerberos.

Ejemplo 23-4 Creación de un nuevo principal de Kerberos

En el siguiente ejemplo se muestra el panel Principal Basics cuando se crea un nuevo principal denominado pak. La política se establece en testuser.

image:En el cuadro de diálogo de la herramienta SEAM se muestran los datos de cuenta del principal pak. Muestra la contraseña, la fecha de caducidad de la cuenta y la política testuser.

Ejemplo 23-5 Creación de un nuevo principal de Kerberos (línea de comandos)

En el ejemplo siguiente, el comando add_principal de kadmin se utiliza para crear un nuevo principal denominado pak. La política del principal se establece en testuser.

kadmin: add_principal -policy testuser pak
Enter password for principal "pak@EXAMPLE.COM": <Type the password>
Re-enter password for principal "pak@EXAMPLE.COM": <Type the password again>
Principal "pak@EXAMPLE.COM" created.
kadmin: quit

Cómo duplicar un principal de Kerberos

En este procedimiento se explica cómo utilizar todos los atributos de un principal existente, o algunos de ellos, para crear un nuevo principal. No hay equivalente de línea de comandos para este procedimiento.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.
```
$ /usr/sbin/gkadmin
```
Haga clic en la ficha Principals.
Seleccione el principal que desea duplicar en la lista y, a continuación, haga clic en Duplicate.
Aparecerá el panel Principal Basics. Todos los atributos del principal seleccionado se duplican, excepto los campos Principal Name y Password, que están vacíos.
Especifique un nombre de principal y una contraseña.
Tanto el nombre de principal como la contraseña son obligatorios. Para realizar un duplicado exacto del principal que ha seleccionado, haga clic en Save y vaya al Paso 7.
Especifique diferentes valores para los atributos del principal y, a continuación, haga clic en Next para especificar más atributos.
Tres ventanas contienen información de atributos. Para obtener información sobre los diferentes atributos de cada ventana, seleccione Context-Sensitive Help desde el menú Help. O, para ver las descripciones de todos los atributos de los principales , vaya a Descripción de los paneles de la herramienta SEAM.
Haga clic en Save para guardar el principal, o bien, haga clic en Done en el último panel.
Si es necesario, configure los privilegios de administración de Kerberos para el principal en el archivo /etc/krb5/kadm5.acl.
Para obtener más información, consulte Cómo modificar los privilegios de administración de Kerberos.

Cómo modificar un principal de Kerberos

Después de este procedimiento se muestra un ejemplo del equivalente de línea de comandos.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.
```
$ /usr/sbin/gkadmin
```
Haga clic en la ficha Principals.
Seleccione el principal que desea modificar en la lista y, a continuación, haga clic en Modify.
Aparecerá el panel Principal Basics que contiene algunos de los atributos del principal que se está visualizando.
Modifique los atributos del principal y, a continuación, haga clic en Next para modificar más atributos.
Tres ventanas contienen información de atributos. Para obtener información sobre los diferentes atributos de cada ventana, seleccione Context-Sensitive Help desde el menú Help. O, para ver las descripciones de todos los atributos de los principales , vaya a Descripción de los paneles de la herramienta SEAM.

Nota - No puede modificar el nombre de un principal. Para cambiar el nombre de un principal, debe duplicar el principal, especificar un nombre nuevo para él, guardarlo y, a continuación, suprimir el antiguo principal.
Haga clic en Save para guardar el principal, o bien, haga clic en Done en el último panel.
Modifique los privilegios de administración de Kerberos para el principal en el archivo /etc/krb5/kadm5.acl.
Para obtener más información, consulte Cómo modificar los privilegios de administración de Kerberos.

Ejemplo 23-6 Modificación de la contraseña de un principal de Kerberos (línea de comandos)

En el ejemplo siguiente, el comando change_password de kadmin se utiliza para modificar la contraseña para el principal jdb. El comando change_password no le permitirá cambiar la contraseña por una contraseña que ya esté en el historial de contraseñas del principal.

kadmin: change_password jdb
Enter password for principal "jdb": <Type the new password>
Re-enter password for principal "jdb": <Type the password again>
Password for "jdb@EXAMPLE.COM" changed.
kadmin: quit

Para modificar otros atributos de un principal, debe utilizar el comando modify_principal de kadmin.

Cómo suprimir un principal de Kerberos

Después de este procedimiento se muestra un ejemplo del equivalente de línea de comandos.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.
```
$ /usr/sbin/gkadmin
```
Haga clic en la ficha Principals.
Seleccione el principal que desea suprimir en la lista y, a continuación, haga clic en Delete.
Una vez que confirme la supresión, el principal se suprimirá.
Elimine el principal del archivo de la lista de control de acceso (ACL) de Kerberos, /etc/krb5/kadm5.acl.
Para obtener más información, consulte Cómo modificar los privilegios de administración de Kerberos.

Ejemplo 23-7 Supresión de un principal de Kerberos (línea de comandos)

En el ejemplo siguiente, el comando delete_principal de kadmin se utiliza para suprimir el principal jdb.

kadmin: delete_principal pak
Are you sure you want to delete the principal "pak@EXAMPLE.COM"? (yes/no): yes
Principal "pak@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.
kadmin: quit

Cómo configurar valores predeterminados para crear nuevos principales de Kerberos

No hay equivalente de línea de comandos para este procedimiento.

Si es necesario, inicie la herramienta SEAM.
Para obtener más información, consulte Cómo iniciar la herramienta SEAM.
```
$ /usr/sbin/gkadmin
```
Elija Properties en el menú Edit.
Aparecerá la ventana Properties.
Seleccione los valores predeterminados que desea utilizar para crear nuevos principales.
Para obtener información sobre los diferentes atributos de cada ventana, seleccione Context-Sensitive Help desde el menú Help.
Haga clic en Guardar.

Cómo modificar los privilegios de administración de Kerberos

Aunque su sitio probablemente tenga muchos principales de usuario, en general, se prefiere que sólo unos pocos usuarios puedan administrar la base de datos de Kerberos. Los privilegios para administrar la base de datos de Kerberos se determinan mediante el archivo de la lista de control de acceso (ACL) de Kerberos, kadm5.acl. Mediante el archivo kadm5.acl se pueden permitir o prohibir privilegios para cada principal. También puede utilizar el comodín '*' en el nombre del principal para especificar privilegios para grupos de principales.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Edite el archivo /etc/krb5/kadm5.acl.

Una entrada del archivo kadm5.acl debe tener el siguiente formato:

principal privileges [principal-target]

`principal`	Especifica el principal al que se le otorgan los privilegios. Cualquier parte del nombre del principal puede incluir el comodín '', que es útil para proporcionar los mismos privilegios para un grupo de principales. Por ejemplo, si desea especificar todos los principales con la instancia `admin`, debe utilizar `/admin@realm`. Tenga en cuenta que un uso común de una instancia `admin` es conceder privilegios independientes (por ejemplo, acceso de administración a la base de datos de Kerberos) a un principal de Kerberos individual. Por ejemplo, el usuario `jdb` puede tener un principal para su uso administrativo, denominado `jdb/admin`. De esta manera, el usuario `jdb` obtiene los tickets de `jdb/admin` sólo cuando realmente necesita utilizar esos privilegios.
`privilegios`	Especifica qué operaciones puede, o no puede, realizar el principal. Este campo consta de una cadena compuesta por uno o varios caracteres de la siguiente lista, o por sus equivalentes en mayúscula. Si el carácter está en mayúscula (o no se ha especificado), la operación está prohibida. Si el carácter está en minúscula, la operación está permitida.
	`a`	Permite o prohíbe la agregación de principales o políticas.
	`d`	Permite o prohíbe la supresión de principales o políticas.
	`m`	Permite o prohíbe la modificación de principales o políticas.
	`c`	Permite o prohíbe la modificación de contraseñas de principales.
	`i`	Permite o prohíbe realizar consultas a la base de datos de Kerberos.
	`l`	Permite o prohíbe mostrar principales o políticas en la base de datos de Kerberos.
	`x` o `*`	Permite todos los privilegios (`admcil`).
`destino_principal`	Cuando se especifica un principal en este campo, los `privileges` se aplican al `principal` sólo cuando el `principal` opera en el `principal-target`. Cualquier parte del nombre del principal puede incluir el comodín '*', que es útil para agrupar principales.

Ejemplo 23-8 Modificación de los privilegios de administración de Kerberos

La siguiente entrada en el archivo kadm5.acl otorga a cualquier principal del dominio EXAMPLE.COM con la instancia admin todos los privilegios de la base de datos de Kerberos:

*/admin@EXAMPLE.COM *

La siguiente entrada del archivo kadm5.acl le otorga al principal jdb@EXAMPLE.COM los privilegios para agregar, mostrar y consultar cualquier principal que tenga la instancia root.

jdb@EXAMPLE.COM ali */root@EXAMPLE.COM

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español)