| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En la siguiente sección se proporciona información sobre la implementación de SASL.
Los complementos de SASL admiten mecanismos de seguridad, canonización del usuario y recuperación de propiedad auxiliar. De manera predeterminada, los complementos de 32 bits cargados dinámicamente se instalan en /usr/lib/sasl, y los complementos de 64 bits se instalan en /usr/lib/sasl/ $ISA. Se proporcionan los siguientes complementos de mecanismo de seguridad:
CRAM-MD5, que admite sólo autenticación, no autorización.
DIGEST-MD5, que admite autenticación, integridad, privacidad y autorización.
GSSAPI, que admite autenticación, integridad, privacidad y autorización. El mecanismo de seguridad GSSAPI requiere una infraestructura Kerberos en funcionamiento.
PLAIN, que admite autenticación y autorización.
Además, el complemento de mecanismo de seguridad EXTERNAL y el complemento de canonización de usuario INTERNAL están integrados en libsasl.so.1. El mecanismo EXTERNAL admite la autenticación y la autorización. El mecanismo admite integridad y privacidad, si el origen de la seguridad externa la proporciona. El complemento INTERNAL agrega el nombre de dominio al nombre de usuario, si es necesario.
La versión de Oracle Solaris no suministra ningún complemento auxprop en este momento. Para que los complementos de mecanismo CRAM-MD5 y DIGEST-MD5 funcionen plenamente en el servidor, el usuario debe proporcionar un complemento auxprop para recuperar contraseñas de texto sin cifrar. El complemento PLAIN requiere asistencia adicional para verificar la contraseña. La asistencia para la verificación de la contraseña puede ser una de las siguientes opciones: una devolución de llamada a la aplicación del servidor, un complemento auxprop, saslauthd o pwcheck. Los daemons salauthd y pwcheck no se proporcionan en las versiones de Oracle Solaris. Para obtener una mejor interoperabilidad, restrinja las aplicaciones del servidor a los mecanismos que sean totalmente operativos mediante la opción de SASL mech_list.
De manera predeterminada, el nombre de autenticación del cliente se establece en getenv("LOGNAME"). Esta variable puede ser restablecida por el cliente o por el complemento.
El comportamiento de libsasl y los complementos se pueden modificar en el servidor mediante las opciones que se pueden establecer en el archivo /etc/sasl/app.conf. La variable app es el nombre definido por el servidor para la aplicación. La documentación de la aplicación del servidor debe especificar el nombre de la aplicación.
Se admiten las siguientes opciones:
Pasa al usuario automáticamente a otros mecanismos cuando el usuario realiza una autenticación de texto sin formato correcta.
Muestra el nombre de los complementos de propiedad auxiliar que se van a utilizar.
Selecciona el complemento canon_user que se va a utilizar.
Muestra los mecanismos que la aplicación del servidor tiene permitido utilizar.
Muestra los mecanismos utilizados para verificar las contraseñas. Actualmente, auxprop es el único valor permitido.
Ajusta el tiempo, en minutos, durante el cual la información de autenticación se almacena en la caché para una nueva autenticación rápida. Esta opción es utilizada por el complemento DIGEST-MD5. Al definir esta opción en 0, se desactiva una nueva autenticación.
Las siguientes opciones no se admiten:
Muestra los mecanismos disponibles. No se utiliza porque la opción cambia el comportamiento de la carga dinámica de los complementos.
Define la ubicación de la puerta saslauthd, que se utiliza para la comunicación con el daemon saslauthd. El daemon saslauthd no se incluye en la versión de Oracle Solaris. Por lo tanto, esta opción tampoco está incluida.
Define la ubicación del archivo keytab usado por el complemento GSSAPI. Utilice la variable de entorno KRB5_KTNAME en su lugar para establecer la ubicación predeterminada de keytab.
Las siguientes son opciones que no se encuentran en Cyrus SASL. Sin embargo, se agregaron a la versión de Oracle Solaris:
Adquiere las credenciales del cliente en lugar de utilizar las credenciales predeterminadas al crear el contexto de seguridad del cliente GSS. De manera predeterminada, se utiliza la identidad Kerberos del cliente por defecto.
Establece el nivel deseado de registro para un servidor.
|