Mejoras de Kerberos

Las mejoras que se han realizado en Kerberos están incluidas en la versión Solaris 10. Algunas de las mejoras ya se introdujeron en versiones anteriores de Software Express.

• La compatibilidad con el protocolo Kerberos se consigue en aplicaciones remotas como, por ejemplo, ftp, rcp, rdist, rlogin, rsh y telnet. Consulte las páginas de comando man de cada comando o daemon y krb5_auth_rules(5) para obtener más información.

• La base de datos principal de Kerberos se puede transferir ahora mediante actualizaciones progresivas en lugar de transferir la base entera cada vez. La propagación progresiva aporta varias ventajas, entre las que se incluyen las siguientes:

  • Mayor coherencia de la base de datos en todos los servidores

  • Menor necesidad de recursos como, por ejemplo, recursos de red o de CPU

  • Propagación de las actualizaciones en un tiempo más reducido

  • Método de propagación automático

• Hay una nueva secuencia de comandos que ayuda a configurar automáticamente un cliente Kerberos. La secuencia permite que un administrador pueda configurar de forma fácil y rápida un cliente Kerberos. Para conocer los procedimientos que utilizan la nueva secuencia de comandos, consulte el capítulo 22, "Configuring the Kerberos Service (Tasks)", de la System Administration Guide: Security Services . Consulte también la página de comando man kclient(1M) para obtener más información.

• Se han agregado varios tipos de cifrado al servicio Kerberos. Estos nuevos tipos de cifrado suponen un aumento de la seguridad y mejoran la compatibilidad con otras implementaciones Kerberos que admiten estos tipos de cifrado. Todos los tipos de cifrado aparecen documentados en la página de comando man mech(4). Consulte "Using Kerberos Encryption Types" en la System Administration Guide: Security Services para obtener más información. Los tipos de cifrado proporcionan las siguientes funciones:

  • El tipo de cifrado AES se puede utilizar para cifrados de alta seguridad o alta velocidad de sesiones de Kerberos. El uso de AES se habilita mediante la estructura criptográfica.

  • ARCFOUR-HMAC proporciona una mejor compatibilidad con otras versiones de Kerberos.

  • Triple DES (3DES) con SHA1 aumenta la seguridad. Este tipo de cifrado también supone un beneficio para la interoperabilidad con otras implementaciones de Kerberos que admitan este tipo de cifrado.

• El software KDC y el comando kinit son compatibles ahora con el uso el protocolo de red TCP. Gracias a esta adición, podrá realizar operaciones de forma más sólida y mejorará la interoperabilidad con otras implementaciones de Kerberos. KDC ahora “escucha” a través de los puertos UDP tradicionales y de los puertos TCP, de forma que puede responder a las solicitudes que usen ambos protocolos. El comando kinit intenta usar primero el puerto UDP a la hora de enviar solicitudes a KDC. Si se produce un fallo, intentará usar el puerto TCP.

• Al software KDC se le ha agregado compatibilidad con IPv6 con los comandos kinit, klist y kprop. La compatibilidad con las direcciones IPv6 se proporciona de manera predeterminada. No es necesario cambiar ningún parámetro de configuración para habilitar esta compatibilidad.

• Se ha agregado una nueva opción -e a varios subcomandos del comando kadmin. Esta nueva opción permite seleccionar el tipo de cifrado cuando se vayan a crear los elementos principales. Consulte la página de comando man kadmin(1M) para obtener más información.

• Se han realizado adiciones al módulo pam_krb5 para gestionar la caché de credenciales de Kerberos usando la estructura PAM. Consulte la página de comando man pam_krb5(5) para obtener más información.

• Se incorpora compatibilidad para la detección automática de varios elementos de Kerberos: el KDC, el servidor de administración, el servidor kpasswd y las asignaciones de nombre de dominio para el dominio o el host utilizadas por las búsquedas DNS. Esta compatibilidad reduce la cantidad de pasos necesarios para instalar un cliente Kerberos. El cliente puede localizar un servidor KDC usando DNS en lugar de leer el archivo de configuración. Consulte la página de comando man krb5.conf(4) para obtener más información.

• Se ha incorporado un nuevo módulo PAM llamado pam_krb5_migrate. Este módulo ayuda a migrar usuarios de forma automática al dominio local de Kerberos en caso de que éstos no dispongan de cuentas de Kerberos. Consulte la página de comando man pam_krb5_migrate(5) para obtener más información.

• El archivo ~/.k5login se puede usar ahora con aplicaciones GSS, ftp y ssh. Para obtener más información, consulte la página de comando man krb5_auth_rules(5).

• La utilidad kproplog se ha actualizado para mostrar todos los nombres de atributos por entrada de registro. Para obtener más información, consulte la página de comando man kproplog(1M).

• Una nueva opción de archivo de configuración permite que la estricta función de verificación TGT (Ticket Granting Ticket) se pueda configurar de forma opcional para cada dominio. Consulte la página de comando man krb5.conf(4) para obtener más información.

• Las extensiones realizadas en las utilidades de cambio de contraseña permiten que el servidor de administración Solaris Kerberos V5 acepte solicitudes de cambio de contraseñas procedentes de clientes que no sean Solaris. Consulte la página de comando man kadmin(1M) para obtener más información.

• La ubicación predeterminada de la caché de reproducción se ha cambiado de los sistemas de archivos basados en RAM al almacenamiento persistente en /var/krb5/rcache/. Esta nueva ubicación impide que se realicen reproducciones si se rearranca un sistema. También se ha mejorado el rendimiento del código rcache. No obstante, el rendimiento general de la caché de reproducción puede ser algo inferior debido al uso del almacenamiento persistente.

• La caché de reproducción se puede configurar ahora para que use almacenamiento de archivo o almacenamiento de sólo memoria. Consulte la página de comando man krb5envvar(5) para obtener más información acerca de las variables de entorno que se pueden configurar para la tabla de claves, y los tipos de caché de credenciales o las ubicaciones.

• La tabla de credenciales GSS ya no es necesaria para los mecanismos GSS de Kerberos. Para obtener más información, consulte las páginas de comando man gsscred(1M), gssd(1M) y gsscred.conf(4).

• Las utilidades Kerberos, kinit y ktutil, se basan ahora en la versión 1.2.1 de MIT Kerberos. Este cambio ha supuesto la adición de nuevas opciones para el comando kinit y nuevos subcomandos para el comando ktutil. Para obtener más información, consulte las páginas de comando man kinit(1) y ktutil(1).

• El Centro de distribución de claves de Kerberos (KDC) de Solaris se basa ahora en la versión 1.2.1. de Kerberos MIT. El KDC toma como valor predeterminado una base de datos basada en btree, más fiable que la base de datos actual basada en hash. Para obtener más información, consulte la página de comando man kdb5_util(1M) Para los usuarios de Solaris 9, este cambio se introdujo en la versión Solaris 9 12/03.