Decisiones de configuración de SEAM

Antes de instalar SEAM, debe resolver algunas cuestiones de configuración. Aunque es posible cambiar la configuración después de la instalación inicial, resulta más difícil con cada cliente nuevo que se agrega al sistema. Además, algunos cambios necesitan una reinstalación completa, de forma que es mejor considerar los objetivos a largo plazo durante la planificación.

Ámbitos

Un ámbito es una red lógica, como un dominio, que define a un grupo de sistemas bajo el mismo KDC maestro. Al igual que al establecer un nombre de dominio de DNS, deben solucionarse cuestiones como el nombre del ámbito, el número y tamaño de cada ámbito y la relación de un ámbito con el resto antes de instalar SEAM.

Nombres de ámbito

Los nombres del ámbito pueden ser cualquier cadena ASCII. Habitualmente, es el mismo que su nombre de dominio de DNS pero en mayúsculas, lo que ayuda a diferenciar los problemas de SEAM de los problemas con el espacio de nombres de DNS, al tiempo que utiliza, a su vez, un nombre familiar. Si no usa DNS o opta por utilizar una cadena distinta, puede servirse de cualquier cadena, aunque es aconsejable emplear nombres de ámbito que sigan la estructura de asignación de nombres estándar de Internet.

Número de ámbitos

El número de ámbitos que necesite su instalación depende de varios factores:

• El número de clientes que se admitirán. Si hay demasiados clientes en un ámbito, la administración será más difícil y éste finalmente deberá dividirse. Los factores principales que determinan el número de clientes que se pueden admitir son: la cantidad de tráfico de SEAM que genera cada cliente, el ancho de banda de la red física y la velocidad de los sistemas. Como cada instalación tendrá limitaciones diferentes, no hay una regla para determinar el número máximo de clientes.

• La distancia de los clientes. Si éstos están en una región geográfica distinta, puede tener sentido configurar varios ámbitos pequeños.

• El número de sistemas disponibles para instalarlos como KDC. Cada ámbito debería tener dos servidores KDC como mínimo (maestro y esclavo).

Jerarquía de ámbitos

Al configurar varios ámbitos, es necesario que decida cómo unirlos. Puede establecer una relación jerárquica entre ellos que proporcione rutas automáticas a los dominios relacionados, pero para eso es necesario que todos los ámbitos de la cadena jerárquica estén configurados correctamente. Las rutas automáticas pueden facilitar las carga de la administración; sin embargo, si hay demasiados niveles de dominios, puede que no desee utilizar la ruta predeterminada porque necesite demasiadas transacciones.

También puede optar por establecer la conexión directamente que es más útil cuando existen demasiados niveles entre dos dominios jerárquicos o cuando no hay ninguna relación jerárquica. La conexión debe estar definida en el archivo /etc/krb5/krb5.conf de todos los archivos que la utilicen, de forma que es necesario algún trabajo adicional. Véase "Ámbitos" para obtener una introducción y "Configuración de la autenticación de ámbitos cruzados" para ver los procedimientos de configuración de varios ámbitos.

Reasignación de nombres de sistema a los ámbitos

La reasignación de nombres de sistema a nombres de ámbito está definida en el apartado domain_realm del archivo krb5.conf. Estas reasignaciones se pueden definir para un dominio completo y para sistemas individuales, según los requisitos. Para obtener más información, véase la página del comando man krb5.conf(4).

Nombres de clientes y de principales de servicio

Al utilizar SEAM, es preferible que los servicios de DNS ya estén configurados y en ejecución en todos los sistemas. Si se utiliza DNS, debe estar habilitado en todos los sistemas o en ninguno. Si está disponible DNS, el principal debe contener el nombre de dominio completo (FQDN) de cada sistema. Por ejemplo, si el nombre de sistema es puebla, el nombre de dominio de DNS es acme.com y el nombre de ámbito es ACME.COM, el nombre de principal para el sistema sería host/puebla.acme.com@ACME.COM. Los ejemplos de este manual utilizan el FQDN para cada sistema.

Para los nombres de los principales que incluyan el FQDN de un sistema, es importante hacer concordar la cadena que describe el nombre del dominio de DNS de /etc/resolv.conf. Esta cadena distingue entre mayúsculas y minúsculas. SEAM requiere que los nombres de dominio de DNS estén en minúsculas, de forma que al introducir el FQDN de un principal sólo se utilizan minúsculas.

SEAM puede ejecutarse sin servicios de DNS, pero no funcionarán algunas funciones clave, como la capacidad de comunicarse con otros ámbitos. Si no está configurado DNS, puede usarse un nombre de sistema para el nombre del ejemplar. En ese caso, el principal sería host/puebla@ACME.COM. Si se habilita DNS más adelante, deben suprimirse y sustituirse todos los principales de sistema en la base de datos de KDC.

Puertos para los servicios KDC y Admin

De forma predeterminada, se usan los puertos 88 y 750 para el KDC y el puerto 749 para el daemon de administración del KDC. Pueden utilizarse números de puerto diferentes, pero si se cambian es necesario modificar los archivos /etc/services y /etc/krb5/krb5.conf de cada cliente. Además, debe actualizarse el archivo /etc/krb5/kdc.conf de cada KDC.

KDC esclavos

Los KDC esclavos generan credenciales para los clientes, al igual que el KDC maestro. Estos KDC esclavos sirven de reserva en caso de que el maestro no esté disponible. Cada ámbito debe tener un KDC esclavo como mínimo. Puede que se necesiten KDC esclavos adicionales, de acuerdo con estos factores:

• El número de segmentos físicos del ámbito. Normalmente, la red debería estar configurada para que cada segmento pueda funcionar de forma mínima, por lo menos, sin el resto del ámbito. Para ello, es necesario que haya accesible un KDC desde cada segmento. En este caso, el KDC podría ser un maestro o un esclavo.

• El número de clientes del ámbito. La adición de más servidores KDC esclavos puede reducir la carga de los servidores actuales.

Es posible agregar demasiados KDC esclavos. Recuerde que debe propagarse la base de datos de KDC a cada servidor, de forma que cuantos más servidores KDC hayan instalados, más se tardará en actualizar los datos a través del ámbito. Además, como cada esclavo conserva una copia de la base de datos de KDC, un número mayor de esclavos incrementa el riesgo de una infracción de seguridad.

Además, puede configurarse uno o varios de los KDC esclavos para intercambiarlo fácilmente con el KDC maestro. La ventaja de seguir este procedimiento en uno de los KDC esclavos como mínimo es que si el KDC maestro falla por cualquier motivo, tendrá preconfigurado un sistema que podrá intercambiar fácilmente por el maestro. Véase "Intercambio de KDC maestro y esclavo" para obtener instrucciones sobre cómo configurar un KDC esclavo intercambiable.

Propagación de bases de datos

La base de datos almacenada en el KDC maestro debe propagarse regularmente a los KDC esclavos. Una de las primeras cuestiones que solucionar es la frecuencia de actualización de los KDC esclavos. Se ha de conseguir un equilibrio entre el deseo de que todos los clientes dispongan de información actualizada con la cantidad de tiempo que tarda en completarse la actualización. Véase "Administración de la base de datos de Kerberos" para obtener más información sobre la propagación de bases de datos.

En las instalaciones grandes, con muchos KDC en un ámbito, es posible que uno o varios de los esclavos propaguen los datos para que el proceso se lleve a cabo en paralelo. Esto reduce la cantidad de tiempo que tarda la actualización, pero también aumenta el nivel de complejidad de la administración del ámbito.

Sincronización de relojes

Todos los sistemas que formen parte del sistema de autenticación Kerberos deben tener sincronizados sus relojes respecto a una cantidad máxima de tiempo especificada (conocida como desviación de reloj), que proporciona otra comprobación de seguridad de Kerberos. Si se supera la desviación de reloj entre cualquiera de los sistemas participantes, se rechazarán las solicitudes.

Se pueden sincronizar todos los relojes mediante el software de Network Time Protocol (NTP, protocolo de hora de red) (véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener más información). Hay disponibles otras formas de sincronizar los relojes, sin que sea necesario utilizar NTP. Debe utilizarse alguna forma de sincronización para evitar los fallos de acceso debidos al desvío de reloj.

Procedimiento de configuración previa de SEAM

El producto SEAM incluye un procedimiento de configuración previa que almacena la información en un servidor NFS. A continuación, la secuencia de instalación del software puede utilizar la información. El uso del procedimiento es opcional pero es altamente recomendado, ya que ahorra tiempo durante el proceso de instalación y reduce los errores causados por la introducción manual de los datos.