JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Administración de Oracle Solaris 11.1: servicios de seguridad     Oracle Solaris 11.1 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Servicio de análisis de virus (tareas)

5.  Control de acceso a dispositivos (tareas)

6.  Verificación de la integridad de archivos mediante el uso de BART (tareas)

7.  Control de acceso a archivos (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Atributos de seguridad en Oracle Solaris (referencia)

Parte IV Servicios criptográficos

11.  Estructura criptográfica (descripción general)

12.  Estructura criptográfica (tareas)

13.  Estructura de gestión de claves

Parte V Servicios de autenticación y comunicación segura

14.  Uso de módulos de autenticación conectables

15.  Uso de Secure Shell

16.  Secure Shell (referencia)

17.  Uso de autenticación simple y capa de seguridad

18.  Autenticación de servicios de red (tareas)

Parte VI Servicio Kerberos

19.  Introducción al servicio Kerberos

20.  Planificación del servicio Kerberos

21.  Configuración del servicio Kerberos (tareas)

Configuración del servicio Kerberos (mapa de tareas)

Configuración de servicios Kerberos adicionales (mapa de tareas)

Configuración de servidores KDC

Cómo configurar automáticamente un KDC maestro

Cómo configurar interactivamente un KDC maestro

Cómo configurar manualmente un KDC maestro

Cómo configurar un KDC para utilizar un servidor de datos LDAP

Cómo configurar automáticamente un KDC esclavo

Cómo configurar interactivamente un KDC esclavo

Cómo configurar manualmente un KDC esclavo

Cómo refrescar las claves del servicio de otorgamiento de tickets en un servidor maestro

Configuración de autenticación entre dominios

Cómo establecer la autenticación entre dominios jerárquica

Cómo establecer la autenticación entre dominios directa

Configuración de servidores de aplicaciones de red de Kerberos

Cómo configurar un servidor de aplicaciones de red de Kerberos

Cómo utilizar el servicio de seguridad genérico con Kerberos al ejecutar FTP

Configuración de servidores NFS con Kerberos

Cómo configurar servidores NFS con Kerberos

Cómo crear una tabla de credenciales

Cómo agregar una única entrada a la tabla de credenciales

Cómo proporcionar asignación de credenciales entre dominios

Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos

Configuración de clientes Kerberos

Configuración de clientes Kerberos (mapa de tareas)

Cómo crear un perfil de instalación de cliente Kerberos

Cómo configurar automáticamente un cliente Kerberos

Cómo configurar interactivamente un cliente Kerberos

Cómo configurar un cliente Kerberos para un servidor de Active Directory

Cómo configurar manualmente un cliente Kerberos

Cómo desactivar la verificación del ticket de otorgamiento de tickets

Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root

Cómo configurar la migración automática de usuarios en un dominio Kerberos

Cómo configurar el bloqueo de cuenta

Cómo renovar automáticamente todos los tickets de otorgamiento de tickets (TGT)

Sincronización de relojes entre clientes Kerberos y KDC

Intercambio de un KDC maestro y un KDC esclavo

Cómo configurar un KDC esclavo intercambiable

Cómo intercambiar un KDC maestro y un KDC esclavo

Administración de la base de datos de Kerberos

Copia de seguridad y propagación de la base de datos de Kerberos

El archivo kpropd.acl

El comando kprop_script

Cómo realizar copias de seguridad de la base de datos de Kerberos

Cómo restaurar la base de datos de Kerberos

Cómo convertir una base de datos de Kerberos después de una actualización de servidor

Cómo reconfigurar un KDC maestro para utilizar la propagación incremental

Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental

Cómo configurar un KDC esclavo para utilizar la propagación completa

Cómo verificar que los servidores KDC estén sincronizados

Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos

Configuración de propagación en paralelo

Pasos de configuración para la propagación en paralelo

Administración del archivo intermedio

Cómo eliminar un archivo intermedio

Cómo emplear una nueva clave maestra

Gestión de un KDC en un servidor de directorios LDAP

Cómo mezclar atributos de principales de Kerberos en un tipo de clase de objeto que no es de Kerberos

Cómo destruir un dominio en un servidor de directorios LDAP

Aumento de la seguridad en servidores Kerberos

Cómo restringir el acceso a servidores KDC

Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas

22.  Mensajes de error y resolución de problemas de Kerberos

23.  Administración de las políticas y los principales de Kerberos (tareas)

24.  Uso de aplicaciones Kerberos (tareas)

25.  El servicio Kerberos (referencia)

Parte VII Auditoría en Oracle Solaris

26.  Auditoría (descripción general)

27.  Planificación de la auditoría

28.  Gestión de auditoría (tareas)

29.  Auditoría (referencia)

Glosario

Índice

Configuración de servidores NFS con Kerberos

Los servicios NFS utilizan ID de usuario (UID) de UNIX para identificar a un usuario y no pueden utilizar directamente credenciales GSS. Para traducir la credencial a un UID, es posible que se deba crear una tabla de credenciales que asigne credenciales de usuario a UID de UNIX. Consulte Asignación de credenciales GSS a credenciales UNIX para obtener más información sobre la asignación predeterminada de credenciales. Los procedimientos de esta sección se centran en las tareas que se necesitan para configurar un servidor NFS con Kerberos, administrar la tabla de credenciales e iniciar los modos de seguridad de Kerberos para sistemas de archivos montados en NFS. En el siguiente mapa de tareas, se describen las tareas que se tratan en esta sección.

Tabla 21-2 Configuración de servidores NFS con Kerberos (mapa de tareas)

Tarea
Descripción
Para obtener instrucciones
Configurar un servidor NFS con Kerberos
Permite que un servidor comparta un sistema de archivos que requiere la autenticación Kerberos.
Crear una tabla de credenciales
Genera una tabla de credenciales que se puede utilizar para proporcionar asignación de credenciales GSS a ID de usuario de UNIX si la asignación predeterminada no es suficiente.
Cambiar la tabla de credenciales que asigna credenciales de usuario a UID de UNIX
Actualiza la información en la tabla de credenciales.
Crear asignaciones de credenciales entre dos dominios similares
Proporciona instrucciones sobre cómo asignar UID de un dominio a otro si los dominios comparten un archivo de contraseña.
Compartir un sistema de archivos con autenticación Kerberos
Comparte un sistema de archivos con modos de seguridad, de manera que la autenticación Kerberos es necesaria.

Cómo configurar servidores NFS con Kerberos

En este procedimiento, se utilizan los siguientes parámetros de configuración:

Antes de empezar

Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

  1. Complete los requisitos para configurar un servidor NFS con Kerberos.

    El KDC maestro debe estar configurado. Para probar completamente el proceso, necesita varios clientes.

  2. (Opcional) Instale el cliente NTP u otro mecanismo de sincronización de relojes.

    No es necesario instalar ni utilizar el protocolo de hora de red (NTP). Sin embargo, cada reloj debe estar sincronizado con la hora en el servidor KDC dentro de una diferencia máxima definida por la relación clockskew en el archivo krb5.conf para que la autenticación se realice con éxito. Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener información sobre el NTP.

  3. Configure el servidor NFS como un cliente Kerberos.

    Siga las instrucciones en Configuración de clientes Kerberos.

  4. Inicie kadmin.

    Si desea obtener información sobre cómo utilizar la herramienta gráfica de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. Para ello, debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro. Sin embargo, el siguiente ejemplo muestra cómo agregar los principales necesarios mediante la línea de comandos.

    denver # /usr/sbin/kadmin -p kws/admin
    Enter password: <Type kws/admin password>
    kadmin: 
    1. Cree el principal de servicio NFS del servidor.

      Tenga en cuenta que cuando la instancia de principal es un nombre de host, el FQDN se debe especificar en letras minúsculas, independientemente de si el nombre de dominio está en mayúsculas o minúsculas en el servicio de nombres.

      Repita este paso para cada interfaz única en el sistema que pueda ser utilizada para acceder a datos de NFS. Si un host tiene varias interfaces con nombres únicos, cada nombre único debe tener su propio principal de servicio NFS.

      kadmin: addprinc -randkey nfs/denver.example.com
      Principal "nfs/denver.example.com" created.
      kadmin:
    2. Agregue el principal de servicio NFS del servidor al archivo keytab del servidor.

      Repita este paso para cada principal de servicio único creado en el Paso a.

      kadmin: ktadd nfs/denver.example.com
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode
                with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode
                with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc
                mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour
                with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode
                with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
      kadmin:
    3. Salga de kadmin.
      kadmin: quit
  5. (Opcional) Cree asignaciones de credenciales GSS especiales si es necesario.

    Normalmente, el servicio Kerberos genera asignaciones adecuadas entre las credenciales GSS y los UID de UNIX. La asignación predeterminada se describe en Asignación de credenciales GSS a credenciales UNIX. Si la asignación predeterminada no es suficiente, consulte Cómo crear una tabla de credenciales para obtener más información.

  6. Comparta el sistema de archivos NFS con modos de seguridad de Kerberos.

    Consulte Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos para obtener más información.

Cómo crear una tabla de credenciales

La tabla de credenciales gsscred es utilizada por un servidor NFS para asignar credenciales Kerberos a un UID. De manera predeterminada, la parte principal del nombre del principal se compara con un nombre de inicio de sesión de UNIX. Para que los clientes NFS monten sistemas de archivos de un servidor NFS con autenticación Kerberos, esta tabla se debe crear si la asignación predeterminada no es suficiente.

Antes de empezar

Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

  1. Edite /etc/gss/gsscred.conf y cambie el mecanismo de seguridad.

    Cambie el mecanismo a files.

  2. Cree la tabla de credenciales mediante el comando gsscred.
    # gsscred -m kerberos_v5 -a

    El comando gsscred recopila información de todos los orígenes que se muestran con la entrada passwd en el servicio svc:/system/name-service/switch:default. Es posible que necesite eliminar temporalmente la entrada files si no desea las entradas de contraseñas locales incluidas en la tabla de credenciales. Consulte la página del comando man gsscred(1M) para obtener más información.

Cómo agregar una única entrada a la tabla de credenciales

Antes de empezar

Este procedimiento requiere que la tabla gsscred ya se haya creado en el servidor NFS. Consulte Cómo crear una tabla de credenciales para obtener instrucciones.

Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Ejemplo 21-3 Adición de un principal de componente múltiple a la tabla de credenciales

En el siguiente ejemplo, se agrega una entrada para un principal denominado sandy/admin, que está asignado al UID 3736.

# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a

Ejemplo 21-4 Adición de un principal de un dominio diferente en la tabla de credenciales

En el siguiente ejemplo, se agrega una entrada para un principal denominado sandy/admin@EXAMPLE.COM, que está asignado al UID 3736.

# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a

Cómo proporcionar asignación de credenciales entre dominios

Este procedimiento proporciona una asignación de credenciales apropiada entre dominios que utilizan el mismo archivo de contraseña. En este ejemplo, los dominios CORP.EXAMPLE.COM y SALES.EXAMPLE.COM utilizan el mismo archivo de contraseña. Las credenciales para bob@CORP.EXAMPLE.COM y bob@SALES.EXAMPLE.COM están asignadas al mismo UID.

Antes de empezar

Debe asumir el rol root en el sistema cliente. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Ejemplo 21-5 Asignación de credenciales entre dominios mediante el mismo archivo de contraseña

Este ejemplo proporciona una asignación de credenciales apropiada entre dominios que utilizan el mismo archivo de contraseña. En este ejemplo, los dominios CORP.EXAMPLE.COM y SALES.EXAMPLE.COM utilizan el mismo archivo de contraseña. Las credenciales para bob@CORP.EXAMPLE.COM y bob@SALES.EXAMPLE.COM están asignadas al mismo UID. En el sistema cliente, agregue entradas al archivo krb5.conf.

# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = CORP.EXAMPLE.COM
 .
[realms]
    CORP.EXAMPLE.COM = {
        .
        auth_to_local_realm = SALES.EXAMPLE.COM
        .
    }

Errores más frecuentes

Consulte Observación de asignación de credenciales GSS a credenciales UNIX para obtener ayuda con el proceso de resolución de problemas de asignación de credenciales.

Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos

Este procedimiento permite que un servidor NFS proporcione acceso seguro al NFS mediante diferentes tipos o modos de seguridad. Cuando un cliente negocia un tipo de seguridad con el servidor NFS, se utiliza el primer tipo ofrecido por el servidor al cual el cliente tiene acceso. Este tipo se utiliza para todas las solicitudes de cliente posteriores del sistema de archivos compartidas por el servidor NFS.

Antes de empezar

Debe asumir el rol root en el servidor NFS. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

  1. Verifique que exista un principal de servicio NFS en el archivo keytab.

    El comando klist informa si hay un archivo keytab y muestra los principales. Si los resultados muestran que no existe ningún archivo keytab o que no existe ningún principal de servicio NFS, debe verificar que se hayan completado todos los pasos en Cómo configurar servidores NFS con Kerberos.

    # klist -k
    Keytab name: FILE:/etc/krb5/krb5.keytab
    KVNO Principal
    ---- ---------------------------------------------------------
       3 nfs/denver.example.com@EXAMPLE.COM
       3 nfs/denver.example.com@EXAMPLE.COM
       3 nfs/denver.example.com@EXAMPLE.COM
       3 nfs/denver.example.com@EXAMPLE.COM
  2. Active los modos de seguridad de Kerberos en el archivo /etc/nfssec.conf.

    Edite el archivo /etc/nfssec.conf y elimine el símbolo “#” que se encuentra delante de los modos de seguridad de Kerberos.

    # cat /etc/nfssec.conf
     .
     .
    #
    # Uncomment the following lines to use Kerberos V5 with NFS
    #
    krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
    krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
    krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS
  3. Comparta los sistemas de archivos con los modos de seguridad apropiados.
    share -F nfs -o sec=mode file-system
    modo

    Especifica los modos de seguridad que se utilizarán al compartir el sistema de archivos. Cuando se utilizan varios modos de seguridad, el primero en la lista se utiliza de manera predeterminada.

    sistema_archivos

    Define la ruta al sistema de archivos que se va a compartir.

    Todos los clientes que intentan acceder a los archivos desde el sistema de archivos especificado requieren autenticación Kerberos. Para acceder a los archivos, el principal de usuario en el cliente NFS debe autenticarse.

  4. (Opcional) Si el montador automático se está utilizando, edite la base de datos auto_master para seleccionar un modo de seguridad distinto del predeterminado.

    No es necesario que siga este procedimiento si no está utilizando el montador automático para acceder al sistema de archivos o si la selección predeterminada para el modo de seguridad es aceptable.

    file-system  auto_home  -nosuid,sec=mode
  5. (Opcional) Emita manualmente el comando mount para acceder al sistema de archivos mediante un modo que no esté predeterminado.

    Como alternativa, puede utilizar el comando mount para especificar el modo de seguridad, pero esta alternativa no aprovecha el montador automático.

    # mount -F nfs -o sec=mode file-system

Ejemplo 21-6 Uso compartido de un sistema de archivos con un modo de seguridad de Kerberos

En este ejemplo, la autenticación de Kerberos debe realizarse correctamente antes de que se pueda acceder a cualquier archivo mediante el servicio NFS.

# share -F nfs -o sec=krb5 /export/home

Ejemplo 21-7 Uso compartido de un sistema de archivos con varios modos de seguridad de Kerberos

En este ejemplo, los tres modos de seguridad de Kerberos se han seleccionado. El modo que se utiliza se negocia entre el cliente y el servidor NFS. Si falla el primer modo en el comando, se intenta con el siguiente. Consulte la página del comando man nfssec(5) para obtener más información.

# share -F nfs -o sec=krb5:krb5i:krb5p /export/home