Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
Configuración del servicio Kerberos (mapa de tareas)
Configuración de servicios Kerberos adicionales (mapa de tareas)
Configuración de servidores KDC
Cómo configurar automáticamente un KDC maestro
Cómo configurar interactivamente un KDC maestro
Cómo configurar manualmente un KDC maestro
Cómo configurar un KDC para utilizar un servidor de datos LDAP
Cómo configurar automáticamente un KDC esclavo
Cómo configurar interactivamente un KDC esclavo
Cómo configurar manualmente un KDC esclavo
Cómo refrescar las claves del servicio de otorgamiento de tickets en un servidor maestro
Configuración de autenticación entre dominios
Cómo establecer la autenticación entre dominios jerárquica
Cómo establecer la autenticación entre dominios directa
Configuración de servidores de aplicaciones de red de Kerberos
Cómo configurar un servidor de aplicaciones de red de Kerberos
Cómo utilizar el servicio de seguridad genérico con Kerberos al ejecutar FTP
Configuración de servidores NFS con Kerberos
Cómo configurar servidores NFS con Kerberos
Cómo crear una tabla de credenciales
Cómo agregar una única entrada a la tabla de credenciales
Cómo proporcionar asignación de credenciales entre dominios
Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos
Configuración de clientes Kerberos
Configuración de clientes Kerberos (mapa de tareas)
Cómo crear un perfil de instalación de cliente Kerberos
Cómo configurar automáticamente un cliente Kerberos
Cómo configurar interactivamente un cliente Kerberos
Cómo configurar un cliente Kerberos para un servidor de Active Directory
Cómo configurar manualmente un cliente Kerberos
Cómo desactivar la verificación del ticket de otorgamiento de tickets
Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root
Cómo configurar la migración automática de usuarios en un dominio Kerberos
Cómo configurar el bloqueo de cuenta
Cómo renovar automáticamente todos los tickets de otorgamiento de tickets (TGT)
Sincronización de relojes entre clientes Kerberos y KDC
Intercambio de un KDC maestro y un KDC esclavo
Cómo configurar un KDC esclavo intercambiable
Cómo intercambiar un KDC maestro y un KDC esclavo
Administración de la base de datos de Kerberos
Copia de seguridad y propagación de la base de datos de Kerberos
Cómo realizar copias de seguridad de la base de datos de Kerberos
Cómo restaurar la base de datos de Kerberos
Cómo convertir una base de datos de Kerberos después de una actualización de servidor
Cómo reconfigurar un KDC maestro para utilizar la propagación incremental
Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental
Cómo configurar un KDC esclavo para utilizar la propagación completa
Cómo verificar que los servidores KDC estén sincronizados
Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos
Configuración de propagación en paralelo
Pasos de configuración para la propagación en paralelo
Administración del archivo intermedio
Cómo eliminar un archivo intermedio
Cómo emplear una nueva clave maestra
Gestión de un KDC en un servidor de directorios LDAP
Cómo destruir un dominio en un servidor de directorios LDAP
Aumento de la seguridad en servidores Kerberos
Cómo restringir el acceso a servidores KDC
Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Los servidores de aplicaciones de red son hosts que proporcionan acceso mediante una o más de las siguientes aplicaciones de red: ftp, rcp, rlogin, rsh, ssh y telnet. Sólo se requieren unos pocos pasos para habilitar la versión de Kerberos de estos comandos en un servidor.
Este procedimiento utiliza los siguientes parámetros de configuración:
Servidor de aplicaciones = boston
Principal admin = kws/admin
Nombre de dominio DNS = example.com
Nombre de dominio = EXAMPLE.COM
Antes de empezar
Este procedimiento requiere que el KDC maestro se haya configurado. Para probar completamente el proceso, varios clientes Kerberos deben estar configurados.
Debe asumir el rol root en el servidor de aplicación. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener información sobre el NTP.
El siguiente comando informa la existencia del principal host:
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
Si el comando no devuelve un principal, cree nuevos principales mediante los siguientes pasos.
Si desea obtener información sobre cómo utilizar la herramienta de interfaz gráfica de usuario de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. El ejemplo de los siguientes pasos muestra cómo agregar los principales necesarios mediante la línea de comandos. Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
El principal host se utiliza de las siguientes maneras:
Para autenticar el tráfico al utilizar los comandos remotos, como rsh y ssh.
Por pam_krb5 para evitar ataques de falsificación de KDC mediante el principal host a fin de verificar que la credencial de Kerberos de un usuario se haya obtenido de un KDC de confianza.
Para permitir que el usuario root adquiera automáticamente una credencial de Kerberos sin necesidad de que exista un principal root. Esto puede ser útil al realizar un montaje de NFS manual donde el recurso compartido requiere una credencial de Kerberos.
Este principal es necesario si el tráfico que utiliza la aplicación remota se va a autenticar mediante el servicio Kerberos. Si el servidor tiene varios nombres de host asociados con él, cree un principal para cada nombre de host utilizando el formato de FQDN del nombre de host.
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
Si el comando kadmin no se está ejecutando, reinícielo con un comando similar al siguiente: /usr/sbin/kadmin -p kws/admin
Si el servidor tiene varios nombres de host asociados con él, agregue un principal al archivo keytab para cada nombre de host.
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
El servicio de seguridad genérico (GSS) se puede utilizar en aplicaciones para utilizar fácilmente Kerberos para autenticación, integridad y privacidad. Los pasos siguientes muestran cómo activar el servicio GSS para ProFTPD.
Antes de empezar
Debe asumir el rol root en el servidor FTP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Estas medidas podrían no ser necesarias si los cambios se realizaron anteriormente.
ftpserver1 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
kadmin: ank -randkey ftp/ftpserver1.example.com
La creación de un nuevo archivo keytab, permite que esta información esté disponible para el servicio ftp, sin exponer toda la información del archivo keytab para el servidor.
kadmin: ktadd -k /etc/krb5/ftp.keytab ftp/ftpserver1.example.com
ftpserver1 # chown ftp:ftp /etc/krb5/ftp.keytab
Realice los siguientes cambios en el archivo /etc/proftpd.conf.
# cat /etc/proftpd.conf LoadModule mod_gss.c GSSEngine on GSSKeytab /etc/krb5/ftp.keytab
# svcadm restart network/ftp