test

Sun Guía de Sun Enterprise Authentication Mechanism

Capítulo 3 Configuración de SEAM

Este capítulo proporciona procedimientos de configuración para servidores KDC, de aplicaciones de red y NFS y para clientes SEAM. Muchos de estos procedimientos necesitan el acceso de root, así pues deben usarlos los administradores de sistemas o los usuarios avanzados. También se estudian los procedimientos de configuración de ámbitos cruzados y otros temas relacionados con los servidores KDC.

Mapa de tareas de configuración de SEAM

Algunas partes del proceso de configuración dependen de otras y deben llevarse a cabo en un orden concreto. A menudo, estos procedimientos establecen servicios necesarios para poder utilizar SEAM, otros no son dependientes y pueden efectuarse cuando sea adecuado. La tabla siguiente muestra un orden sugerido para una instalación de SEAM.

Tabla 3-1 Primeros pasos: orden de configuración de SEAM

Tarea 

Descripción 

Para obtener instrucciones, vaya a ... 

1. Planificar la instalación de SEAM 

 Antes de iniciar el proceso de instalación de software, considere las cuestiones de configuración y tome decisiones sobre ellas.Capítulo 2

2. (Opcional) Instalar NTP 

 Para que SEAM funcione correctamente, deben mantenerse sincronizados los relojes de todos los sistemas del ámbito."Sincronización de relojes entre los KDC y los clientes SEAM"

3. (Opcional) Ejecute el procedimiento de configuración previa de SEAM 

 Para facilitar la instalación de una sede con muchos sistemas, puede ejecutarse el procedimiento para que almacene gran parte de la información de instalación en un servidor NFS. Esta información podrá utilizarse durante la instalación.Notas sobre la instalación de SEAM y sobre la versión

4. Configurar el servidor KDC maestro 

 Pasos para configurar y crear el servidor KDC maestro y la base de datos para un ámbito."Configuración de un KDC maestro"

5. (Opcional) Configurar un servidor KDC esclavo 

 Pasos para configurar y crear un servidor KDC esclavo para un ámbito."Configuración de un KDC esclavo"

6. (Opcional) Aumentar la seguridad en los servidores KDC 

 Pasos para evitar las infracciones de seguridad en los servidores KDC."Restricción del acceso a los servidores KDC"

7. (Opcional) Configurar los servidores KDC intercambiables 

 Siga los pasos de este procedimiento para facilitar la tarea de intercambiar el servidor KDC maestro y un esclavo."Configuración de un KDC esclavo intercambiable"

Cuando se hayan completado los pasos necesarios, pueden utilizarse los procedimientos siguientes cuando sea oportuno.

Tabla 3-2 Pasos siguientes: Tareas adicionales de SEAM

Tarea 

Descripción 

Para obtener instrucciones, vaya a ... 

Configurar la autenticación de ámbitos cruzados 

 Pasos para habilitar las comunicaciones de un ámbito a otro."Configuración de la autenticación de ámbitos cruzados"

Configurar servidores de aplicaciones SEAM 

Pasos para habilitar un servidor para que admita servicios como ftp, telnet y rsh mediante la autenticación Kerberos."Configuración de servidores de aplicaciones de red SEAM"

Configurar clientes SEAM 

 Pasos para habilitar un cliente para que utilice los servicios SEAM."Configuración de clientes SEAM"

Configurar un servidor NFS SEAM 

 Pasos para habilitar un servidor para que comparta un sistema de archivos que requiere la autenticación Kerberos."Configuración de servidores NFS SEAM"

Aumentar la seguridad de un servidor de aplicaciones 

 Pasos para aumentar la seguridad de un servidor de aplicaciones restringiendo el acceso a únicamente las transacciones autenticadas."Habilitación de sólo las aplicaciones adaptadas a Kerberos"

Configuración de servidores KDC

Después de instalar el software de SEAM, debe configurar los servidores KDC. La configuración de un KDC maestro y un KDC esclavo como mínimo proporciona el servicio que genera las credenciales. Éstas son la base de SEAM, por consiguiente deben instalarse los KDC antes de intentar otras tareas.

La diferencia más importante entre un KDC maestro y un esclavo es que sólo aquél puede manejar las solicitudes de administración de la base de datos. Por ejemplo, el cambio una contraseña o la adición de un principal nuevo se deben realizar en el KDC maestro. A continuación, pueden propagarse estos cambios a los KDC esclavos. Tanto éstos como el maestro generan credenciales; esto proporciona redundancia en el caso de que el KDC maestro no pueda responder.

Configuración de un KDC maestro

Para proporcionar un ejemplo completo, asuma que no ha ejecutado el procedimiento de configuración previa. Si lo ha utilizado al instalar el software, no deberá editar muchos de los archivos incluidos en este procedimiento; sin embargo, debería revisar su contenido.

En este procedimiento se utilizan los parámetros de configuración siguientes:

  1. Requisitos previos para configurar un KDC maestro.

    Este procedimiento requiere que esté instalado el software de KDC maestro. Además, DNS debe estar en ejecución. Si el maestro será intercambiable, véase "Intercambio de KDC maestro y esclavo" para obtener instrucciones de asignación de nombres adicionales.

  2. Conviértase en superusuario en el KDC maestro.

  3. Edite el archivo de configuración de Kerberos (krb5.conf).

    Necesita cambiar los nombres de ámbito y los nombres de los servidores. Para obtener una descripción completa de este archivo, véase la página del comando man krb5.conf(4). Si ha instalado el software de SEAM mediante los archivos de configuración, verifique el contenido del archivo en lugar de editarlo.


    kdc1 # cat /etc/krb5/krb5.conf
[libdefaults] 
default_realm = ACME.COM

[realms]
                ACME.COM = { 
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        } 

[domain_realm]
        .acme.com = ACME.COM
# 
# si el nombre de dominio y el nombre de ámbito son equivalentes, 
# esta entrada no es necesaria 
# 
[logging] 
default = FILE:/var/krb5/kdc.log 
kdc = FILE:/var/krb5/kdc.log 
[appdefaults] 
gkadmin = 
{ help_url = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956
        }

    En este ejemplo, se cambiaron las líneas para default_realm, kdc, admin_server y todas las entradas de domain_realm . Se incluye la línea para default_realm para completar el ejemplo, pero si los nombres del ámbito y del dominio son equivalentes, el programa de instalación no creará esta entrada. Además, se editó la línea que define help_url.

  4. Edite el archivo de configuración del KDC (kdc.conf).

    Necesita cambiar el nombre de ámbito. Para obtener una descripción completa de este archivo, véase la página del comando man kdc.conf(4). Si ha instalado el software de SEAM mediante los archivos de configuración, verifique el contenido del archivo en lugar de editarlo.


    kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults] 
kdc_ports = 88,750 

[realms]
        ACME.COM= { 
profile = /etc/krb5/krb5.conf 
database_name = /var/krb5/principal 
admin_keytab = /var/krb5/kadm5.keytab 
acl_file = /var/krb5/kadm5.acl 
kadmind_port = 749 
max_life = 8h 0m 0s 
max_renewable_life = 7d 0h 0m 0s 
}

    En este ejemplo, se ha cambiado la definición del nombre del ámbito del apartado realms.

  5. Cree la base de datos del KDC mediante kdb5_util.

    El comando kdb5_util crea la base de datos del KDC y además, cuando se utiliza con la opción -s, crea un archivo de reserva que se utiliza para autenticar el KDC a sí mismo antes de que se inicien los daemons kadmind y krb5kdc. 


    kdc1 # /usr/krb5/sbin/kdb5_util create -r ACME.COM -s
Inicializando la base de datos '/var/krb5/principal' para el ámbito 'ACME.COM' 
nombre de clave maestra 'K/M@ACME.COM' 
Se le solicitará la Contraseña maestra de la base de datos. 
Es importante que NO OLVIDE esta contraseña. 
Escriba la clave maestra de la base de datos de KDC: <escriba la clave>
	Vuelva a escribir la clave maestra de KDC para verificarla: <vuélvala a escribir

    Si el nombre del ámbito es equivalente al nombre de dominio del espacio de nombres del servidor, no es necesaria la opción -r seguida de nombre del ámbito.

  6. Edite el archivo de lista de control de acceso de Kerberos (kadm5.acl).

    Cuando esté lleno, /etc/krb5/kadm5.acl debería contener todos los nombres de los principales que tengan permiso para administrar el KDC. La primera entrada agregada puede tener un aspecto similar a:


    kws/admin@ACME.COM   *

    Esta entrada proporciona al principal kws/admin del ámbito ACME.COM la capacidad para modificar los principales o las normas del KDC. La instalación predeterminada incluye un "*" para que concuerde con todos los principales de admin . Esto podría ser un riesgo de seguridad, de forma que es más seguro incluir una lista de todos los principales admin.

  7. Inicie kadmin.local.

    Los sub-pasos siguientes crean los principales que utiliza SEAM.


    kdc1 # /usr/krb5/sbin/kadmin.local
kadmin.local:

    1. Puede agregar principales de administración a la base de datos mediante kadmin.local.

      Puede agregar tantos principales admin como necesite. Para terminar el proceso de configuración de KDC, debe agregar un principal admin como mínimo. Para este ejemplo, se agrega un principal kws/admin. Puede sustituir el nombre de un principal apropiado por " kws."


      kadmin.local: addprinc kws/admin
Escriba la contraseña para el principal kws/admin@ACME.COM:
<escriba la contraseña>
Vuelva a escribir la contraseña para el principal kws/admin@ACME.COM: 
<escríbala de nuevo>
Principal "kws/admin@ACME.COM" creado. 
kadmin.local:

    2. Cree un archivo de tabla de claves para kadmin mediante kadmin.local.

      Esta secuencia de comandos crea un archivo de tabla de claves especial con entradas de principal para kadmin y changepw. Estos principales son necesarios para el servicio kadmind.


      kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.acme.com
Entrada para el principal kadmin/kdc1.acme.com con kvno 3, tipo de codificación DES-CBC-CRC 
agregado a la tabla de claves WRFILE:/etc/krb5/kadm5.keytab. 
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc1.acme.com
Entrada para el principal changepw/kdc1.acme.com con kvno 3, tipo de codificación DES-CBC-CRC 
agregado a la tabla de claves WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local:

    3. Salga de kadmin.local

      Ha agregado todos los principales necesarios para los pasos siguientes.


      kadmin.local: quit

  8. Inicie los daemons de Kerberos.


    kdc1 # /etc/init.d/kdc start
kdc1 # /etc/init.d/kdc.master start

  9. Inicie kadmin.

    En este punto, puede agregar los principales mediante la Herramienta de administración SEAM (SEAM Tool). El ejemplo de línea de comandos se muestra por su sencillez. Puede iniciar una sesión con uno de los nombres de principal admin que creó anteriormente en este procedimiento.


    kdc1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin:

    1. Cree el principal del sistema KDC maestro mediante kadmin.

      Las aplicaciones adaptadas a Kerberos (como klist y kprop), así como los servicios adaptados a Kerberos (como ftp y telnet) utilizan el principal de sistema.


      kadmin: addprinc -randkey host/kdc1.acme.com
Principal "host/kdc1.acme.com@ACME.COM" creado. 
kadmin:

    2. Opcional: cree el principal root del KDC maestro mediante kadmin.

      Este principal se utiliza para los montajes NFS autenticados y, por tanto, posiblemente no sea necesario en un KDC maestro.


      kadmin: addprinc root/kdc1.acme.com
Escriba la contraseña para el principal root/kdc1.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/kdc1.acme.com@ACME.COM: <escríbala de nuevo>
Principal "root/kdc1.acme.com@ACME.COM" creado. 
kadmin:

    3. Agregue el principal de sistema del KDC maestro al archivo de tabla de claves del KDC maestro.

      La adición del principal de sistema al archivo de tabla de claves permite que se utilice este principal automáticamente.


      kadmin: ktadd host/kdc1.acme.com
kadmin: Entrada para el principal host/kdc1.acme.com con 
kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

    4. Salga de kadmin 


      kadmin: quit

  10. Agregue una entrada para cada KDC en el archivo de configuración de la propagación (kpropd.acl).

    Para obtener una descripción completa de este archivo, véase la página del comando man kprop(1M). Si ha instalado el software de SEAM mediante los archivos de configuración, verifique el contenido del archivo en lugar de editarlo.


    kdc1 # cat /etc/krb5/kpropd.acl
host/kdc1.acme.com@ACME.COM 
host/kdc2.acme.com@ACME.COM

  11. Opcional: sincronice el reloj de los KDC maestros mediante NTP u otro mecanismo de sincronización de relojes.

    No es necesario instalar y utilizar NTP, pero, para que sea satisfactoria la autenticación, todos los relojes deben estar dentro del tiempo predeterminado definido en el apartado libdefaults del archivo krb5.conf. Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

Configuración de un KDC esclavo

En este procedimiento se configura un nuevo KDC esclavo llamado kdc3. Para proporcionar un ejemplo completo, se asume que no ha utilizado el procedimiento de configuración previa al instalar el software o no ha definido kdc3 como esclavo al ejecutar tal procedimiento. Si ha utilizado el procedimiento y ha identificado kdc3 como un esclavo, no deberá editar muchos de los archivos incluidos en este procedimiento, pero debería revisar su contenido.

Este procedimiento utiliza los parámetros de configuración siguientes:

  1. Requisitos previos para configurar un KDC esclavo.

    Este procedimiento precisa que se haya configurado el KDC maestro y que se haya instalado el software de KDC esclavo de SEAM en kdc3. Si este esclavo será intercambiable, véase "Intercambio de KDC maestro y esclavo" para obtener instrucciones específicas.

  2. En el KDC maestro: conviértase en superusuario.

  3. En el KDC maestro: Inicie kadmin.

    Debe iniciar una sesión con uno de los nombres de principal admin que creó al configurar el KDC maestro.


    kdc1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba ls contraseña: <Escriba la contraseña de kws/admin>
kadmin:

    1. En el KDC maestro: agregue los principales de sistema esclavos a la base de datos, si todavía no lo ha hecho, mediante kadmin.

      Para que funcione el esclavo, debe tener un principal de sistema.


      kadmin: addprinc -randkey host/kdc3.acme.com
Principal "host/kdc3@ACME.COM" creado. 
kadmin:

    2. Opcional: cree el principal root del KDC esclavo en el KDC maestro mediante kadmin.

      Este principal únicamente es necesario si el esclavo va a montar un sistema de archivos autenticado mediante NFS.


      kadmin: addprinc root/kdc3.acme.com
Escriba la contraseña para el principal root/kdc3.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/kdc3.acme.com@ACME.COM: <escríbala de nuevo>
Principal "root/kdc3.acme.com@ACME.COM" creado. 
kadmin:

    3. Salga de kadmin 


      kadmin: quit

  4. En el KDC maestro: edite el archivo de configuración de Kerberos (krb5.conf).

    Debe agregar una entrada para cada esclavo. Para obtener una descripción completa de este archivo, véase la página del comando man krb5.conf(4) . Si ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo.


    kdc1 # cat /etc/krb5/krb5.conf
[libdefaults] 
default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                kdc = kdc3.acme.com
                admin_server = kdc1.acme.com
        } [domain_realm]

        .acme.com = ACME.COM
# 
# si el nombre de dominio y el nombre de ámbito son equivalentes, 
# esta entrada no es necesaria 
# 
       [logging] 
default = FILE:/var/krb5/kdc.log 
kdc = FILE:/var/krb5/kdc.log

[appdefaults]
 gkadmin = { 
help_url = 
http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  5. En el KDC maestro: agregue una entrada para cada KDC esclavo en el archivo de configuración de la propagación de bases de datos ( kpropd.acl).

    Para obtener una descripción completa de este archivo, véase la página del comando man kprop(1M). ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo.


    kdc1 # cat /etc/krb5/kpropd.acl
host/kdc1.acme.com@ACME.COM 
host/kdc2.acme.com@ACME.COM
host/kdc3.acme.com@ACME.COM

  6. En todos los esclavos: copie los archivos de administración del KDC desde el servidor KDC maestro.

    Este paso se debe seguir en todos los KDC esclavos, ya que el servidor KDC maestro posee información actualizada que necesitan todos los servidores KDC. Si ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo. Para obtener las copias de los archivos siguientes del maestro puede utilizar ftp o un mecanismo de transferencia similar:

    • /etc/krb5/krb5.conf

    • /etc/krb5/kdc.conf

    • /etc/krb5/kpropd.acl

  7. En el esclavo nuevo: agregue el principal de sistema del esclavo a su archivo de tabla de claves mediante kadmin.

    Debe iniciar una sesión con uno de los nombres de principal admin que creó al configurar el KDC maestro. Esta entrada permitirá que funcione kprop y otras aplicaciones adaptadas a Kerberos.


    kdc3 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: ktadd host/kdc3.acme.com
kadmin: Entrada para el principal host/kdc3.acme.com 
con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves 
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

  8. En el KDC maestro: agregue los nombres de los KDC esclavos al trabajo cron, que ejecuta automáticamente las copias de seguridad, ejecutando crontab -e.

    Agregue el nombre de todos los servidores KDC esclavos al final de la línea kprop_script. Si ha definido kdc3 como un servidor esclavo al ejecutar el procedimiento de configuración previa, verifique el contenido del archivo en lugar de editarlo.


    10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com

    Quizás también desee cambiar la hora de las copias de seguridad. Esta configuración inicia el proceso de copia de seguridad cada día a las 3:10 de la madrugada.

  9. En el KDC maestro: haga una copia de seguridad de la base de datos y propáguela mediante kprop_script.

    Si ya hay disponible una copia de seguridad de la base de datos, no es necesario terminar otra. Véase "Propagación manual de la base de datos de Kerberos a los KDC esclavos" para obtener instrucciones adicionales.


    kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com
Propagación de base de datos a kdc3.acme.com: SATISFACTORIA

  10. En el esclavo nuevo: cree un archivo de reserva mediante kdb5_util.


    kdc3 # /usr/krb5/sbin/kdb5_util stash
kdb5_util: No es posible encontrar/leer la clave maestra almacenada al leer la clave maestra 
kdb5_util: Advertencia: continuando sin clave maestra 

Escriba la clave maestra de la base de datos KDC: <escriba la clave>

  11. En el esclavo nuevo: inicie el daemon de KDC (krb5kdc).


    kdc3 # inicio de/etc/init.d/kdc

  12. Opcional: en el esclavo nuevo, sincronice el reloj de los KDC maestros mediante NTP u otro mecanismo de sincronización de relojes.

    No es necesario instalar y utilizar NTP, pero, para que sea satisfactoria la autenticación, todos los relojes deben estar dentro del tiempo predeterminado definido en el apartado libdefaults del archivo krb5.conf. Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

Configuración de la autenticación de ámbitos cruzados

Hay varias formas de enlazar conjuntamente varios ámbitos, para que puedan autenticarse los usuarios de un ámbito en otro. Para ello, normalmente se establece una clave secreta para que la compartan ambos ámbitos. La relación de los ámbitos puede ser jerárquica o direccional (véase "Jerarquía de ámbitos").

Definición de la autenticación jerárquica de ámbitos cruzados

Para este ejemplo utilizaremos dos ámbitos, ING.ESTE.ACME.COM y ESTE.ACME.COM. La autenticación de ámbitos cruzados se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos ámbitos.

  1. Requisitos previos para establecer la autenticación jerárquica de ámbitos cruzados.

    Este procedimiento requiere que se haya configurado el KDC maestro para cada ámbito. Para comprobar totalmente el proceso, deben estar instalados varios clientes o KDC esclavos.

  2. Conviértase en root en el primer KDC maestro.

  3. Cree principales de servicio de cupón de obtención de cupones para los dos ámbitos mediante kadmin.

    Debe iniciar una sesión con uno de los nombres de principal admin que se crearon al configurar el KDC maestro.


    # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc krbtgt/ING.ESTE.ACME.COM@ESTE.ACME.COM
Escriba la contraseña para el principal krgtgt/ING.ESTE.ACME.COM@ESTE.ACME.COM: <escriba la 
contraseña>
kadmin: addprinc krbtgt/ESTE.ACME.COM@ING.ESTE.ACME.COM
Escriba la contraseña para el principal krgtgt/ESTE.ACME.COM@ING.ESTE.ACME.COM: <escriba la 
contraseña>
kadmin: quit
    Nota -

    La contraseña para cada principal de servicio debe ser idéntica en ambos KDC, es decir la contraseña para krbtgt/ING.ESTE.ACME.COM@ESTE.ACME.COM debe ser la misma para ambos ámbitos.

  4. Agregue entradas al archivo de configuración de Kerberos para definir los nombres de dominio para cada ámbito (krb5.conf).


    # cat /etc/krb5/kpropd.acl
[libdefaults] 
. 
. 
[domain_realm]
        .ing.este.acme.com = ING.ESTE.ACME.COM
        .este.acme.com = ESTE.ACME.COM

    En este ejemplo, se definen los nombres de dominio para los ámbitos ING.ESTE.ACME.COM y ESTE.ACME.COM. Es importante incluir primero el subdominio, ya que el archivo se busca de arriba a abajo.

  5. Copie el archivo de configuración de Kerberos a todos los clientes de este ámbito.

    Para que funcione la autenticación de ámbitos cruzados, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben tener instalada la nueva versión del archivo de configuración de Kerberos (/etc/krb5/krb5.conf).

  6. Repita estos pasos en el segundo ámbito.

Definición de la autenticación directa de ámbitos cruzados

Este ejemplo utiliza dos ámbitos: ING.ESTE.ACME.COM y VENTAS.OESTE.ACME.COM. La autenticación de ámbitos cruzados se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos ámbitos.

  1. Requisitos previos para establecer la autenticación directa de ámbitos cruzados.

    Este procedimiento requiere que se haya configurado el KDC maestro para cada ámbito. Para comprobar totalmente el proceso, deben estar instalados varios clientes o KDC esclavos.

  2. Conviértase en superusuario en uno de los servidores KDC maestros.

  3. Cree principales de servicio de cupón de obtención de cupones para los dos ámbitos mediante kadmin.

    Debe iniciar una sesión con uno de los nombres de principal admin que se crearon al configurar el KDC maestro.


    # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc krbtgt/ING.ESTE.ACME.COM@VENTAS.OESTE.ACME.COM
Escriba la contraseña para el principal 
krgtgt/ING.ESTE.ACME.COM@VENTAS.OESTE.ACME.COM: <escriba la contraseña>
kadmin: addprinc krbtgt/VENTAS.OESTE.ACME.COM@ING.ESTE.ACME.COM
Escriba la contraseña para el principal 
krgtgt/VENTAS.OESTE.ACME.COM@ING.ESTE.ACME.COM: <escriba la contraseña>
kadmin: quit
    Nota -

    La contraseña para cada principal de servicio debe ser idéntica en ambos KDC, es decir que la contraseña para krbtgt/ING.ESTE.ACME.COM@VENTAS.OESTE.ACME.COM debe ser la misma para ambos ámbitos.

  4. Agregue entradas en el archivo de configuración de Kerberos para definir la ruta directa al ámbito remoto (kdc.conf).

    Este ejemplo es para los clientes del ámbito ING.ESTE.ACME.COM . Para obtener las definiciones adecuadas del ámbito VENTAS.OESTE.ACME.COM, debería intercambiar los nombres de ámbito.


    # cat /etc/krb5/krb5.conf
[libdefaults] 
. 
.
[capaths]
    ING.ESTE.ACME.COM = {
        VENTAS.OESTE.ACME.COM = .
    }

    VENTAS.OESTE.ACME.COM = {
         ING.ESTE.ACME.COM = .
    }

  5. Copie el archivo de configuración de Kerberos a todos los clientes del ámbito actual.

    Para que funcione la autenticación de ámbitos cruzados, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben tener instalada la nueva versión del archivo de configuración de Kerberos ( krb5.conf).

  6. Repita estos pasos para el segundo ámbito.

Configuración de servidores de aplicaciones de red SEAM

Los servidores de aplicaciones de red son sistemas que proporcionan acceso mediante una de las aplicaciones de red siguientes: ftp, rcp, rlogin, rsh y telnet. Para habilitar la versión de SEAM de estos comandos en un servidor, sólo son necesarios algunos pasos.

Configuración de un servidor de aplicaciones de red SEAM

Este procedimiento utiliza los parámetros de configuración siguientes:

  1. Requisitos previos para configurar un servidor de aplicaciones.

    Este procedimiento requiere que se haya configurado el KDC maestro. Para probar totalmente el proceso, deben haberse instalado varios clientes.

  2. Instale el software de cliente de SEAM.

    El software de cliente de SEAM debe estar instalado.

  3. Opcional: instale el cliente de NTP u otro mecanismo de sincronización de reloj.

    Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

  4. Inicie kadmin.

    El uso de la Herramienta de administración SEAM para agregar un principal se explica en "Creación de un principal nuevo". El ejemplo siguiente muestra cómo agregar los principales necesarios mediante la línea de comandos. Debe iniciar una sesión con uno de los nombres de principal admin que creó al configurar el KDC maestro.


    kdc1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba contraseña: <Escriba la contraseña de kws/admin>
kadmin:

    1. Cree el principal host del servidor.


      kadmin: addprinc -randkey host/madrid.acme.com
Principal "host/madrid.acme.com" creado. 
kadmin:

    2. Opcional: cree un principal root para el principal de sistema.


      kadmin: addprinc root/madrid.acme.com
Escriba la contraseña para el principal root/madrid.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/madrid.acme.com@ACME.COM: <escríbala de 
nuevo>
Principal "root/madrid.acme.com@ACME.COM" creado. 
kadmin:

    3. Agregue el principal host del servidor a su tabla de claves.

      Si no se está ejecutando el comando kadmin, reinícielo con un comando como: /usr/krb5/bin/kadmin -p kws/admin 


      kadmin: ktadd host/madrid.acme.com
kadmin: Entrada para el principal host/madrid.acme.com 
con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves 
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

    4. Salga de kadmin 


      kadmin: quit

Configuración de servidores NFS SEAM

Los servicios NFS utilizan los UID de UNIX para identificar al usuario y no pueden usar los principales de forma directa. Para traducir el principal a un UID, debe crearse una tabla de credenciales que reasigne los principales de usuario a UID de UNIX. Los procedimientos siguientes se centran en las tareas necesarias para configurar un servidor NFS SEAM, para administrar la tabla de credenciales y para iniciar las modalidades de seguridad de Kerberos para los sistemas de archivos montados mediante NFS. La tabla siguiente describe las tareas analizados en este apartado.

Tabla 3-3 Mapa de tareas de la configuración del servidor NFS SEAM

Tarea 

Descripción 

Para obtener instrucciones, vaya a ... 

Configurar un servidor NFS SEAM 

 Pasos para habilitar un servidor para que comparta un sistema de archivos que requiere la autenticación Kerberos."Configuración de los servidores NFS SEAM"

Cambiar el mecanismo de componente trasero para la tabla de credenciales 

Pasos para definir el mecanismo de componente trasero que utiliza gsscred."Cambio del mecanismo de componente trasero para la tabla gsscred"

Crear una tabla de credenciales 

 Pasos para generar una tabla de credenciales."Creación de una tabla de credenciales"

Cambiar la tabla de credenciales que reasigna los principales de usuario a UID de UNIX. 

 Pasos para actualizar la información de la tabla de credenciales."Adición de una única entrada a la tabla de credenciales"

Compartir un sistema de archivos con autenticación Kerberos 

 Pasos para compartir un sistema de archivos con modalidades de seguridad para que sea necesaria la autenticación Kerberos."Configuración de un entorno de NFS seguro con varias modalidades de seguridad de Kerberos"

Configuración de los servidores NFS SEAM

Este procedimiento requiere que se haya configurado el KDC maestro. Para probar el proceso totalmente, necesita varios servidores. Se utilizan los parámetros de configuración siguientes:

  1. Requisitos previos para configurar un servidor NFS SEAM.

    El software de cliente de SEAM debe estar instalado.

  2. Opcional: instale el cliente de NTP u otro mecanismo de sincronización de reloj.

    Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

  3. Inicie kadmin.

    El uso de la Herramienta de administración SEAM para agregar un principal se explica en "Creación de un principal nuevo". El ejemplo siguiente muestra cómo agregar los principales necesarios mediante la línea de comandos. Debe iniciar una sesión con uno de los nombres de principal admin que creó al configurar el KDC maestro.


    puebla # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin:

    1. Cree el principal de servicio NFS del servidor.


      kadmin: addprinc -randkey nfs/puebla.acme.com
Principal "nfs/puebla.acme.com" creado. 
kadmin:

    2. Opcional: cree un principal root para el servidor NFS.


      kadmin: addprinc root/puebla.acme.com
Escriba la contraseña para el principal root/puebla.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/puebla.acme.com@ACME.COM: <escríbala de 
nuevo>
Principal "root/puebla.acme.com@ACME.COM" creado. 
kadmin:

    3. Agregue el principal de servicio NFS del servidor a la tabla de claves de éste.


      kadmin: ktadd nfs/puebla.acme.com
kadmin: Entrada para el principal nfs/puebla.acme.com 
con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves 
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

    4. Salga de kadmin 


      kadmin: quit

  4. Cree la tabla gsscred.

    Para obtener más información, véase "Creación de una tabla de credenciales".

  5. Comparta el sistema de archivos NFS mediante las modalidades de seguridad de Kerberos.

    Para obtener más información, véase "Configuración de un entorno de NFS seguro con varias modalidades de seguridad de Kerberos".

  6. En cada cliente: autentique a los principales de usuario y de root.

    Para más información, véase "Configuración de la autenticación de root para montar los sistemas de archivos NFS".

Cambio del mecanismo de componente trasero para la tabla gsscred

  1. Conviértase en superusuario en el servidor NFS.

  2. Edite /etc/gss/gsscred.conf y cambie el mecanismo.

    Puede utilizarse uno de los mecanismos de componente trasero siguientes: files, xfn_files, xfn_nis, xfn_nisplus o xfn. En "Uso de la tabla gsscred" se comentan las ventajas de cada uno de estos mecanismos.

Creación de una tabla de credenciales

Los servidores NFS utilizan la tabla de credenciales gsscred para reasignar los principales de SEAM a un UID. Para que los clientes NFS puedan montar los sistemas de archivos de un servidor NFS mediante la autenticación Kerberos, debe crearse esta tabla o hacerla disponible.

  1. Conviértase en superusuario en el servidor apropiado.

    Desde qué servidor se ejecuta este comando o bajo qué ID, depende del mecanismo de componente trasero que se haya seleccionado para que admita la tabla gsscred. Para todos los mecanismos excepto xfn_nisplus, debe convertirse en root.

    Si su mecanismo de componente trasero es ... 

    entonces ... 

    files

    Se ejecuta en el servidor NFS 

    xfn

    Se selecciona un sistema basado en el valor predeterminado de los archivos xfn

    xfn_files

    Se ejecuta en el servidor NFS 

    xfn_nis

    Se ejecuta en el servidor NIS 

    xfn_nisplus

    Se ejecuta en cualquier parte mientras estén listos los permisos para cambiar los datos de NIS+.  

  2. Opcional: si no existe /var/fn y desea utilizar una de las opciones de xfn, cree una base de datos XFN inicial.


    # archivos fnselect
# fncreate -t org -o org//

  3. Cree la tabla de credenciales mediante gsscred.

    El comando recopila información de todas las fuentes enumeradas con la entrada passwd de /etc/nsswitch.conf. Si no desea que las entradas de contraseña locales se incluyan en la tabla de credenciales, quizás deba eliminar temporalmente la entrada files. Para obtener más información, véase la página del comando man gsscred(1M).


    # gsscred -m kerberos_v5 -a

Adición de una única entrada a la tabla de credenciales

Este procedimiento requiere que ya se haya instalado la tabla gsscred en el servidor NFS.

  1. Conviértase en superusuario en un servidor NFS.

  2. Agregue una entrada a la tabla mediante gsscred.


    # gsscred -m [mechanismo] -n [nombre] -u [uid] -a

    mecanismo

    El mecanismo de seguridad que se utilizará. 

    nombre

    El nombre de principal del usuario, según está definido en el KDC. 

    uid

    El UID del usuario, según está definido en la base de datos de contraseñas. 

    -a

    Agrega el UID a la reasignación de nombres de principal.  

Ejemplo: cambio de una única entrada de la tabla de credenciales

El ejemplo siguiente agrega una entrada para el usuario llamado sandra, que está reasignado al UID 3736. Si no se incluye el UID en la línea de comandos, se obtendrá en el archivo de contraseñas.


# gsscred -m kerberos_v5 -n sandra -u 3736 -a

Configuración de un entorno de NFS seguro con varias modalidades de seguridad de Kerberos

  1. Conviértase en superusuario en el servidor NFS.

  2. Edite el archivo /etc/dfs/dfstab y agregue la opción sec= con las modalidades de seguridad necesarias a las entradas apropiadas. 


    # share -F nfs -o [modalidad] [sistema_archivos]

    modalidad

    Las modalidades de seguridad que se utilizarán durante la compartición. Cuando se utilicen varias modalidades de seguridad, autofs utilizará la primera de la lista como la predeterminada. 

    sistema_archivos

    La ruta del sistema de archivos que compartirá. 

    Todos los clientes que intenten acceder a los archivos del sistema de archivos nombrado requieren la autenticación Kerberos. Para terminar el acceso a los archivos, deben estar autenticados el principal de usuario y el principal root del cliente NFS.

  3. Compruebe que el servicio NFS se está ejecutando en el servidor.

    Si es el primer comando o conjunto de comandos de compartición que ha iniciado, es probable que no se estén ejecutando los daemons de NFS. El conjunto de comandos siguiente finaliza los daemons y los reinicia.


    # /etc/init.d/nfs.server stop
# /etc/init.d/nfs.server start

  4. Opcional: si utiliza autofs, edite los datos de auto_master para seleccionar una modalidad de seguridad distinta a la predeterminada.

    Si no utiliza autofs para acceder al sistema de archivos o si es aceptable la selección predeterminada de la modalidad de seguridad, no es necesario que siga este procedimiento.


    /home	  auto_home  -nosuid,sec=krbi

  5. Opcional: envíe manualmente el comando mount para acceder al sistema de archivos mediante una modalidad no predeterminada.

    Otra solución es utilizar el comando mount para especificar la modalidad de seguridad, pero esto no aprovecha las ventajas del montador automático:


    # mount -F nfs -o sec=krb5p /export/home

Ejemplo: compartición de un sistema de archivos con una modalidad de seguridad de Kerberos

Este ejemplo requerirá la autenticación Kerberos para poder acceder a los archivos.


# share -F nfs -o sec=krb5 /export/home

Ejemplo: compartición de un sistema de archivos con varias modalidades de seguridad de Kerberos

En este ejemplo, se han seleccionado las tres modalidades de seguridad de Kerberos. Si no se especifica ninguna modalidad de seguridad cuando se realiza una solicitud de montaje, se utilizará la primera modalidad enumerada en todos los clientes NFS V3 (en este caso, krb5). Puede encontrarse información adicional en "Cambios en el comando share".


# share -F nfs -o sec=krb5:krb5i:krb5p /export/home

Configuración de clientes SEAM

Los clientes SEAM incluyen cualquier sistema de la red (excepto los servidores KDC) que necesite utilizar los servicios de SEAM. Este apartado proporciona un procedimiento para instalar un cliente SEAM, así como información específica sobre cómo utilizar la autenticación de root para montar los sistemas de archivos NFS.

Configuración de un cliente SEAM

Se utilizan los parámetros de configuración siguientes:

  1. Requisitos previos para la configuración de un cliente SEAM.

    El software de cliente SEAM debe estar instalado.

  2. Edite el archivo de configuración de Kerberos (krb5.conf).

    Si ha utilizado el producto de configuración previa no necesita editar este archivo, pero debería revisar su contenido. Para cambiar el archivo a uno distinto de la versión predeterminada de SEAM, debe cambiar los nombres de ámbito y los de los servidores, además de identificar la ruta para los archivos de ayuda de gkadmin. 


    kdc1 # cat /etc/krb5/krb5.conf
[libdefaults] 
default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        } 
[domain_realm]
        .acme.com = ACME.COM
# 
# si el nombre de dominio y el nombre de ámbito son equivalentes
# esta entrada no es necesaria 
# [logging] 
default = FILE:/var/krb5/kdc.log 
kdc = FILE:/var/krb5/kdc.log 

[appdefaults] 
gkadmin = { 
help_url = http://puebla:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

  3. Opcional: sincronícese con el reloj del KDC maestro mediante NTP u otro mecanismo de sincronización de reloj.

    Véase "Sincronización de relojes entre los KDC y los clientes SEAM" para obtener información sobre NTP.

  4. Opcional: cree un principal de usuario si no existe uno.

    Únicamente necesita crear un principal de usuario si el usuario asociado con este sistema todavía no tiene asignado ninguno. Véase "Creación de un principal nuevo" para obtener instrucciones sobre el uso de la Herramienta de administración SEAM. A continuación se muestra un ejemplo de línea de comandos.


    cliente1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: addprinc mre
Escriba la contraseña para el principal mre@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal mre@ACME.COM: <escríbala de nuevo>
kadmin:

  5. Cree un principal root.


    kadmin: addprinc root/client1.acme.com
Escriba la contraseña para el principal root/client1.acme.com@ACME.COM: <escriba la contraseña>
Vuelva a escribir la contraseña para el principal root/client1.acme.com@ACME.COM: <escríbala de 
nuevo>
kadmin: quit

  6. (Opcional) Si desea que un usuario del cliente SEAM monte automáticamente los sistemas de archivos NFS adaptados a Kerberos mediante la autenticación Kerberos, debe autenticar el usuario root.

    Este proceso se realiza con mayor seguridad mediante el comando kinit; sin embargo, cada vez que necesiten montar un sistema de archivos protegido por Kerberos los usuarios deberán utilizar kinit como root . Puede optar por utilizar un archivo de tabla de claves en su lugar. Véase "Configuración de la autenticación de root para montar los sistemas de archivos NFS" para obtener información detallada sobre el requisito de tabla de claves. 


    client1 # /usr/krb5/bin/kinit root/client1.acme.com
Contraseña para root/client1.acme.com@ACME.COM: <Escriba la contraseña>

    Para utilizar la opción del archivo de tabla de claves, agregue el principal root a la tabla de claves del cliente mediante kadmin:


    cliente1 # /usr/krb5/sbin/kadmin -p kws/admin
Escriba la contraseña: <Escriba la contraseña de kws/admin>
kadmin: ktadd root/client1.acme.com
kadmin: Entrada para el principal root/client.acme.com 
con kvno 3, tipo de codificación DES-CBC-CRC agregado a la tabla de claves 
WRFILE:/etc/krb5/krb5.keytab. 
kadmin: quit

  7. Si desea que el cliente avise a los usuarios sobre la caducidad de los cupones de Kerberos, cree una entrada en el archivo /etc/krb5/warn.conf.

    Para obtener más información, véase warn.conf(4).

  8. Actualice la ruta de búsqueda del shell del usuario para que incluya la ubicación de los comandos y las páginas del comando man SEAM.

    Si ha instalado el software SEAM mediante los archivos de configuración y ha seleccionado la actualización automática de la definición de PATH, sólo necesita cambiar la variable MANPATH. Si utiliza el C shell, escriba:


    % set path=(/usr/krb5/bin $path)
% set MANPATH=(/usr/krb5/man $MANPATH)

    Para realizar estos cambios en la ruta de búsqueda de su shell de forma permanente, edite su archivo de inicio .cshrc o .login.

    Si utiliza el shell Bourne o Korn, escriba:


    $ PATH=/usr/krb5/bin:$PATH
$ MANPATH=/usr/krb5/man:$MANPATH

    Para realizar estos cambios en la ruta de búsqueda de su shell de forma permanente, edite su archivo de inicio .profile.

Configuración de la autenticación de root para montar los sistemas de archivos NFS

Si los usuarios desean acceder a un sistema de archivos NFS no adaptado a Kerberos, puede montarse este sistema de archivos como root o accederse a él directamente a través del montador automático (sin necesitar permisos de root).

El montaje de un sistema de archivos NFS adaptado a Kerberos es muy similar, pero presenta un obstáculo adicional. Para montar un sistema de archivo NFS adaptado a Kerberos, los usuarios deben utilizar el comando kinit como root para obtener las credenciales para el principal root del cliente, ya que habitualmente éste no se encuentra en la tabla de claves del cliente . Esto es cierto incluso cuando está configurado el montador automático. Pero no es sólo un paso más, ya que fuerza a todos los usuarios a que conozcan la contraseña del usuario root de su sistema y la contraseña del principal root.

Para obviar este problema, puede agregar el principal root de un cliente a su tabla de claves, lo que proporcionará automáticamente las credenciales para root. Aunque esto permite a los usuarios que puedan montar sistemas de archivos NFS sin ejecutar el comando kinit y mejora la facilidad de uso, es un riesgo de seguridad. Por ejemplo, si alguien obtiene el acceso a un sistema con el principal root en su tabla de claves, tiene la posibilidad de obtener las credenciales de root. Asegúrese de que toma las precauciones de seguridad adecuadas. Para obtener más información, véase "Administración de tablas de claves".

Sincronización de relojes entre los KDC y los clientes SEAM

Todos los sistemas que integren el sistema de autenticación Kerberos deben tener sincronizados sus relojes respecto a una cantidad máxima de tiempo especificada (conocida como desviación de reloj), que proporciona otra comprobación de seguridad de Kerberos. Si se supera la desviación de reloj entre cualquiera de los sistemas participantes, se ignorarán las solicitudes de los clientes.

La desviación de reloj también determina cuánto tiempo deben conservar los servidores de aplicaciones todos los mensajes de protocolo de Kerberos, para poder reconocer y rechazar las solicitudes ya reproducidas. Así, cuanto mayor sea el valor de desviación de reloj, más información deberán recopilar los servidores de aplicaciones.

El valor predeterminado para la desviación de reloj es de 300 segundos (cinco minutos), que se puede cambiar en el apartado libdefaults del archivo krb5.conf.

Nota -

Por motivos de seguridad, no aumente la desviación de reloj a más de 300 segundos.

Como es importante mantener sincronizados los relojes entre los KDC y los clientes SEAM, se recomienda que utilice el software de Protocolo de hora de red (NTP). Este software de dominio público creado por la Universidad de Delaware se incluye en el software de Solaris a partir de la versión 2.6.

Nota -

Otra forma de sincronizar los relojes es utilizar el comando rdate y trabajos de cron, que puede ser un proceso menos complicado que utilizar NTP. Sin embargo, este apartado seguirá centrándose en el uso de NTP. Además, si utiliza la red para sincronizar los relojes, el protocolo de sincronización de los relojes propiamente dicho debe ser seguro.

NTP permite gestionar la sincronización precisa de la hora y/o el reloj de la red en un entorno de red. NTP básicamente es una implementación de cliente/servidor. Se selecciona un sistema para que sea el reloj maestro (servidor NTP) y luego se configura el resto de sistemas para que sincronicen sus relojes con el reloj maestro (clientes NTP). Esta operación se lleva a cabo mediante el daemon xntpd, que configura y mantiene la hora del día del sistema UNIX de acuerdo con los servidores de hora estándar de Internet. Figura 3-1 muestra un ejemplo del uso de la implementación de servidor/cliente NTP.

Figura 3-1 Sincronización de relojes mediante NTP

Graphic

Para garantizar que los KDC y los clientes SEAM mantengan sincronizados sus relojes, implemente los pasos siguientes:

  1. Configure un servidor NTP en su red (puede ser cualquier sistema excepto el KDC maestro). Véase "Configuración de un servidor NTP".

  2. Cuando configure los KDC y los clientes SEAM de la red, establézcalos para que sean clientes NTP del servidor NTP. Véase "Configuración de un cliente NTP".

Configuración de un servidor NTP

  1. Conviértase en superusuario en el sistema que será el servidor NTP.

  2. Cambie al principal /etc/inet.

  3. Copie el archivo ntp.server al archivo ntp.conf .


    # cp ntp.server ntp.conf

  4. Cambie al directorio /etc/init.d.

  5. Inicie el daemon xntpd.


    # ./xntpd start

Configuración de un cliente NTP

  1. Conviértase en superusuario en el sistema que será un cliente NTP.

  2. Cambie al directorio /etc/inet.

  3. Copie el archivo ntp.client al archivo ntp.conf .


    # cp ntp.client ntp.conf

  4. Cambie al directorio /etc/init.d.

  5. Inicie el daemon xntpd.


    # ./xntpd start

Intercambio de KDC maestro y esclavo

Estos procedimientos deben utilizarse para facilitar el intercambio de un KDC maestro con un esclavo. Sólo deberían seguirse si el servidor KDC maestro fallara por algún motivo o si debiera reconfigurarse (por ejemplo, debido a hardware nuevo).

Configuración de un KDC esclavo intercambiable

Este procedimiento debe llevarse a cabo en el servidor KDC esclavo que desea tener disponible para que se convierta en el maestro.

  1. Durante la instalación, utilice nombres de alias para los servidores KDC maestro y esclavo intercambiables.

    Al definir los nombres de sistema para los KDC, asegúrese de que cada sistema tenga incluido un alias en DNS y utilice los nombres de alias al definirlos en /etc/krb5/krb5.conf.

  2. Instale el software de KDC maestro.

    Al instalar el software de KDC maestro se proporcionan todos los binarios y otros archivos que serán necesarios durante un intercambio, cosa que incluye todos los archivos que necesita un servidor KDC esclavo. Cuando termine la instalación, no rearranque el sistema.

  3. Siga los pasos para instalar un KDC esclavo.

    Antes de realizar cualquier intercambio, este servidor debería funcionar al igual que cualquier otro KDC esclavo del ámbito. Véase "Configuración de un KDC esclavo" para obtener instrucciones. No instale el software de esclavo. Cuando se instale el software de maestro, se instalarán todos los archivos necesarios.

  4. Mueva los comandos del KDC maestro.

    Para evitar que se ejecuten los comandos del KDC maestro desde este esclavo, mueva kprop, kadmind y kadmin.local a un lugar reservado.


    kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  5. Inhabilite el inicio de kadmind en /etc/init.d/kdc.master.

    Para evitar que el esclavo maneje las solicitudes para cambiar la base de datos del KDC, convierta en comentario la línea que inicia kadmind en la secuencia:


    kdc4 # cat /etc/init.d/kdc.master

. 
. 
case "$1" in 
'start') 

if [ -f $KDC_CONF_DIR/kdc.conf ] 
then
#                $BINDIR/kadmind 
        fi 
;;

  6. Convierta en comentario la línea kprop del archivo crontab de root.

    Este paso evita que el esclavo propague su copia de la base de datos del KDC.


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */ 
# 
# El crontab de root se debe utilizar para realizar la recopilación de los 
# datos de contabilidad. 
# 
# El comando rtc se ejecuta para ajustar el reloj de tiempo real
# cuando cambie la hora de verano, en caso de que cambie.
# 
10 3 * * 0,4 /etc/cron.d/logchecker 
10 3 * * 0   /usr/lib/newsyslog 
15 3 * * 0 /usr/lib/fs/nfs/nfsfind 
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma

Intercambio de un KDC maestro y un esclavo

Este procedimiento requiere que se haya configurado el servidor KDC esclavo como un esclavo intercambiable (véase "Configuración de un KDC esclavo intercambiable"). En él, el servidor maestro que se intercambia tiene el nombre kdc1 y el esclavo que se convertirá en el nuevo maestro tiene el nombre kdc4.

  1. En el maestro antiguo: elimine el proceso kadmind.

    La eliminación del proceso kadmind evita que se haga algún cambio en la base de datos del KDC.


    kdc1 # /etc/init.d/kdc.master stop

  2. En el maestro antiguo: convierta en comentario la línea kprop del archivo crontab de root.

    Este paso evita que el maestro antiguo propague su copia de la base de datos de KDC.


    kdc1 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */ 
# 
# El crontab de root se debe utilizar para realizar la recopilación de los 
# datos de contabilidad. 
# 
# El comando rtc se ejecuta para ajustar el reloj de tiempo real
# cuando cambie la hora de verano, en caso de que cambie. 
# 
10 3 * * 0,4 /etc/cron.d/logchecker 
10 3 * * 0   /usr/lib/newsyslog 
15 3 * * 0 /usr/lib/fs/nfs/nfsfind 
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.sun.com #SUNWkr5ma

  3. En el maestro antiguo: Inhabilite el inicio de kadmind en /etc/init.d/kdc.master.

    Para evitar que el maestro reinicie kadmind si se reinicia el servidor, convierta en comentario la línea que inicia kadmind en la secuencia:


    kdc1 # cat /etc/init.d/kdc.master

. 
. 

case "$1" in 
'start') 

if [ -f $KDC_CONF_DIR/kdc.conf ] 
then
#                $BINDIR/kadmind 
        fi 
;;

  4. En el maestro antiguo: ejecute kprop_script para hacer una copia de la base de datos y propagarla.


    kdc1 # /usr/krb5/lib/kprop_script kdc4.acme.com
Propagación de base de datos a kdc4.acme.com: SATISFACTORIA

  5. En el maestro antiguo: mueva los comandos del KDC maestro.

    Para evitar que se ejecuten los comandos del KDC maestro, mueva kprop, kadmind y kadmin.local a un lugar reservado.


    kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  6. En el servidor de DNS: cambie los nombres de alias para el maestro.

    Para cambiar los servidores, edite el archivo de zona de acme.com y cambie la entrada para masterkdc.


    masterkdc IN CNAME kdc4

  7. En el servidor de DNS: reinicie el servidor de nombres de dominio de Internet.

    Ejecute el comando siguiente en ambos servidores para obtener la información de los alias nuevos:


    # pkill -1 in.named

  8. En el maestro nuevo: mueva los comandos del KDC maestro.


    kdc4 # mv /usr/krb5/lib/kprop.save /usr/krb5/lib/kprop
kdc4 # mv /usr/krb5/lib/kadmind.save /usr/krb5/lib/kadmind
kdc4 # mv /usr/krb5/sbin/kadmin.local.save /usr/krb5/sbin/kadmin.local

  9. En el maestro nuevo: cree un archivo de tabla de claves para kadmin mediante kadmin.local.

    Esta secuencia de comandos crea un archivo de tabla de claves especial con entradas de principal para admin y changepw. Estos principales son necesarios para el servicio kadmind. 


    kdc4 # /usr/krb5/sbin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc4.acme.com
Entrada para el principal kadmin/kdc4.acme.com con kvno 3, tipo de codificación DES-CBC-CRC 
agregado a la tabla de claves WRFILE:/etc/krb5/kadm5.keytab. 
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc4.acme.com
Entrada para el principal changepw/kdc4.acme.com con kvno 3, tipo de codificación DES-CBC-CRC
agregado a la tabla de claves WRFILE:/etc/krb5/kadm5.keytab. 
kadmin.local: quit

  10. En el maestro nuevo: habilite el inicio de kadmind en /etc/init.d/kdc.master.


    kdc4 # cat /etc/init.d/kdc.master

 .

. 

case "$1" in 
'start')

 if [ -f $KDC_CONF_DIR/kdc.conf ] then
                $BINDIR/kadmind 
        fi 
;;

  11. En el maestro nuevo: inicie kadmind.


    kdc4 # /etc/init.d/kdc.master start

  12. Habilite la línea de kprop en el archivo crontab de root.


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */ 
# 
# El crontab de root se debe utilizar para realizar la recopilación de los 
# datos de contabilidad. 
# 
# El comando rtc se ejecuta para ajustar el reloj de tiempo real
# cuando cambie la hora de verano, en caso de que cambie. 
# 
10 3 * * 0,4 /etc/cron.d/logchecker 
10 3 * * 0   /usr/lib/newsyslog 
15 3 * * 0 /usr/lib/fs/nfs/nfsfind 
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1 
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma

Administración de la base de datos de Kerberos

La base de datos de Kerberos es el nodo central del sistema y debe mantenerse adecuadamente. Este apartado presenta algunos de los procedimientos sobre cómo administrar la base de datos de Kerberos, por ejemplo, realizar una copia de seguridad y restaurar la base de datos, configurar la propagación paralela y la administración del archivo de reserva. En "Configuración de un KDC maestro" se pueden encontrar los pasos para configurar inicialmente la base de datos.

Copia de seguridad y propagación de la base de datos de Kerberos

La propagación de la base de datos de Kerberos desde el KDC maestro a los esclavos es una de las tareas de configuración más importantes. Si no se produce suficientemente a menudo, el KDC maestro y los esclavos no estarán sincronizados, de forma que si se desactiva el KDC maestro, los KDC esclavos no tendrán la información de base de datos más reciente. Además, si se ha configurado un KDC esclavo como un maestro para el equilibrio de cargas, los clientes que utilicen ese esclavo como un KDC maestro no tendrán la información más reciente. Por tanto, es importante asegurarse de que la propagación se produzca suficientemente a menudo, según la frecuencia de cambio de la base de datos de Kerberos.

Al tiempo que configura el KDC maestro, configura también kprop_script en un trabajo de cron para realizar una copia de seguridad automática de la base de datos de Kerberos en el archivo de volcado /var/krb5/slave_datatrans y para propagarlo a los KDC esclavos. Sin embargo, al igual que cualquier archivo, la base de datos de Kerberos puede corromperse. Si esto sucede en uno de los KDC esclavos, quizás nunca lo advierta, ya que la siguiente propagación automática de la base de datos instalará una copia reciente. Sin embargo, si sucede en el KDC maestro, se propagará la base de datos corrompida a todos los esclavos durante la propagación siguiente. Además, la base de datos corrompida sobrescribe el archivo de copia de seguridad anterior no corrompido del KDC maestro.

Como en esta situación no hay ninguna copia de seguridad "segura", también debería configurar periódicamente un trabajo de cron para copiar el archivo de volcado slave_datatrans a otra posición o para crear otra copia de seguridad independiente mediante el comando dump de kdb5_util. Así, si se corrompe su base de datos, puede restaurar la copia de seguridad más reciente en el KDC maestro mediante el comando load de kdb5_util.

Otro aspecto importante es que, como el archivo de volcado de la base de datos contiene las claves de principal, debe protegerlo contra su acceso por usuarios no autorizados (de forma predeterminada, el archivo de volcado de la base de datos únicamente tiene permiso de lectura/escritura para root). Esto incluye utilizar solamente el comando kprop para propagar el archivo de volcado de la base de datos, que encripta los datos que se están transfiriendo. Además, kprop únicamente propaga los datos a los KDC esclavos, lo que minimiza la posibilidad de enviar accidentalmente el volcado de la base de datos a sistemas no autorizados.

Precaución - Precaución -

Si se actualiza la base de datos de Kerberos después de que se haya propagado y, si resulta corrompida a continuación antes de la siguiente propagación, los esclavos no contendrán las actualizaciones: éstas se perderán. Debido a esta situación, si agrega actualizaciones importantes a la base de datos antes de una propagación planificada regularmente, debería propagar la base de datos manualmente para evitar la pérdida de datos.

Archivo kpropd.acl

El archivo kpropd.acl de un KDC proporciona una lista de los nombres de principal de sistema, uno por línea, que especifica los sistemas desde los que el KDC puede recibir una base de datos actualizada a través del mecanismo de propagación. Si se utiliza el KDC maestro para propagar todos los KDC esclavos, el archivo kpropd.acl de cada esclavo únicamente necesita contener el nombre de principal de sistema del maestro.

Sin embargo, la instalación de SEAM y los pasos de configuración siguientes de esta guía le indican que agregue el mismo archivo kpropd.acl a los KDC maestros y esclavos. Este archivo contiene todos los nombres de principal de KDC. Tal configuración permite realizar la propagación desde cualquier KDC, en caso de que el KDC de propagación no esté disponible temporalmente. Además, conservar una copia idéntica en todos los KDC hace que sea fácil de mantener.

Comando kprop_script

El comando kprop_script utiliza kprop para propagar la base de datos de Kerberos a otros KDC (si se ejecuta kprop_script en un KDC esclavo, propaga la copia del esclavo de la base de datos de Kerberos a otros KDC). kprop_script acepta como argumentos una lista de nombres de sistema separados por espacios, que señalan los KDC que deben propagarse.

Cuando se ejecuta kprop_script, crea una copia de seguridad de la base de datos de Kerberos en el archivo /var/krb5/slave_datatrans y copia el archivo a los KDC especificados. La base de datos de Kerberos está bloqueada hasta que termine la propagación.

Realización de una copia de seguridad de la base de datos de Kerberos

  1. Conviértase en superusuario en el KDC maestro.

  2. Puede hacer una copia de seguridad de la base de datos de Kerberos mediante el comando dump de kdb5_util.


    # /usr/krb5/sbin/kdb5_util dump [-verbose] [-d nombre_bd] [nombre_archivo 
[principales...]]

    -verbose

    Imprime el nombre de cada principal y norma que se está copiando. 

    nombre_bd

    El nombre de la base de datos que se copiará. Tenga en cuenta que se anexará ".db" al nombre de la base de datos que se especifique, y que se puede establecer una ruta completa para el archivo. Si no se especifica la opción -d, el nombre de la base de datos predeterminada es /var/krb5/principal, que en realidad se convierte en /var/krb5/principal.db.

    nombre_archivo

    El archivo donde se copiará la base de datos. Puede especificarse una ruta completa para el archivo. Si no especifica un archivo, se volcará la base de datos en la salida estándar. 

    principal

    Una lista de uno o varios principales (separados por un espacio) que se copiarán. Debe utilizar los nombres de principal completos. Si no especifica los principales, se copiará la base de datos completa. 

Ejemplo: copia de seguridad de la base de datos de Kerberos

El ejemplo siguiente hace una copia de seguridad de la base de datos de Kerberos en un archivo llamado volcado. Como se especifica la opción -verbose, se imprimirá cada principal a medida que se copia.


# kbd5_util dump -verbose volcado 
kadmin/kdc1.ing.acme.com@ING.ACME.COM 
krbtgt/ing.acme.com@ING.ACME.COM 
kadmin/history@ING.ACME.COM 
pak/admin@ING.ACME.COM 
pak@ING.ACME.COM 
changepw/kdc1.ing.acme.com@ING.ACME.COM 
#

El ejemplo siguiente copia los principales pak y pak/admin de la base de datos de Kerberos.


# kdb5_util dump -verbose volcado pak/admin@ING.ACME.COM pak@ING.ACME.COM
pak/admin@ING.ACME.COM 
pak@ING.ACME.COM #

Restauración de la base de datos de Kerberos

  1. Conviértase en superusuario en el KDC maestro.

  2. Puede restablecer la base de datos de Kerberos mediante el comando load de kdb_util.


    # /usr/krb5/sbin/kdb5_util load [-verbose] [-d nombre_bd] [-update] 
[nombre_archivo]

    -verbose

    Imprime el nombre de cada principal y norma que se está restaurando. 

    nombre_bd

    El nombre de la base de datos que se restaurará. Tenga en cuenta que se anexará ".db" al nombre de base de datos que se especifique, y que se puede establecer una ruta completa para el archivo. Si no se especifica la opción -d, el nombre de la base de datos predeterminada es /var/krb5/principal, que en realidad se convierte en /var/krb5/principal.db.

    -update

    Actualiza la base de datos; de lo contrario, se crea una base de datos nueva o se sobrescribe la base de datos. 

    nombre_archivo

    El archivo desde el que se restaurará la base de datos. Puede especificarse una ruta completa para el archivo.  

Ejemplo: restauración de la base de datos de Kerberos

El ejemplo siguiente restaura la base de datos llamada basedatos1.db en el directorio actual desde el archivo volcado. Como no se especifica la opción -update, la operación de restauración crea una base de datos nueva.


# kdb5_util load -d basedatos1 volcado

Propagación manual de la base de datos de Kerberos a los KDC esclavos

Este procedimiento muestra cómo propagar la base de datos de Kerberos mediante el comando kprop. Si desea sincronizar un KDC esclavo con el KDC maestro fuera del trabajo cron periódico, puede utilizar esta opción. Además, a diferencia de kprop_script, puede utilizar kprop para propagar la copia de seguridad de la base de datos actual sin hacer primero una nueva copia de seguridad de la base de datos.

  1. Conviértase en superusuario en el KDC maestro.

  2. (Opcional) Haga una copia de seguridad de la base de datos mediante el comando kdb5_util.


    # /usr/krb5/sbin/kdb5_util dump /var/krb5/slave_datatrans

  3. Propague la base de datos a un KDC esclavo mediante el comando kprop.


    # /usr/krb5/lib/kprop -f /var/krb5/slave_datatrans KDC_esclavo

Si desea hacer una copia de seguridad de la base de datos y propagarla a un KDC esclavo fuera del trabajo cron periódico, también puede utilizar el comando kprop_script de la forma siguiente:


# /usr/krb5/lib/kprop_script KDC_esclavo

Configuración de la propagación paralela

En la mayoría de casos, se utiliza exclusivamente el KDC maestro para propagar la base de datos a los KDC esclavos. Sin embargo, si su sede tiene muchos KDC esclavos, quizás piense en compartir la carga del proceso de propagación, conocido como propagación paralela.

La propagación paralela permite a determinados KDC esclavos compartir las tareas de propagación con el KDC maestro. Esto permite que la propagación se lleve a cabo más rápido y aligerar el trabajo del KDC maestro.

Por ejemplo, suponga que su sede tiene un maestro y seis esclavos (como aparece en Figura 3-2), donde esclavo-1 a esclavo-3 componen una agrupación lógica y esclavo-4 a esclavo-6 forman otra. Para configurar la propagación paralela, podría hacer que el KDC maestro propague la base de datos de esclavo-1 a esclavo-4 y éstos, a su vez, podrían propagarla a los de su grupo.

Figura 3-2 Ejemplo de configuración de propagación paralela

Graphic

Configuración de la propagación paralela

Este procedimiento no es detallado ni paso a paso, sino una lista de alto nivel de los pasos de configuración para habilitar la propagación paralela.

  1. En el KDC maestro, cambie la entrada kprop_script en su propio trabajo cron para que incluya argumentos sólo para los esclavos que llevarán a cabo la propagación siguiente (esclavos de propagación).

  2. En cada esclavo de propagación, agregue una entrada kprop_script a su trabajo de cron, que debe incluir argumentos para los esclavos que se propagarán. Para propagar en paralelo satisfactoriamente, debe configurarse el trabajo cron para que se ejecute después de que el esclavo de propagación se actualice con la base de datos nueva.

    Nota -

    Determinar la duración de la propagación de un esclavo de propagación depende de factores como el ancho de banda de red y del tamaño de la base de datos.

  3. Configure los permisos apropiados para propagar en cada KDC esclavo. Esto se lleva a cabo agregando el nombre del principal de sistema de su KDC de propagación a su archivo kpropd.acl.

Ejemplo: configuración de la propagación paralela

Si utiliza el ejemplo de Figura 3-2, la entrada kprop_script del KDC maestro tendría un aspecto similar a: 

10 3 * * * /usr/krb5/lib/kprop_script esclavo-1.acme.com esclavo-4.acme.com

La entrada kprop_script de esclavo-1 tendría un aspecto similar al siguiente (tenga en cuenta que la propagación del esclavo comienza una hora más tarde de que esté propagada por el maestro):

10 4 * * * /usr/krb5/lib/kprop_script esclavo-2.acme.com esclavo-3.acme.com

El archivo kpropd.acl de los esclavos de propagación debería contener la entrada siguiente:

host/master.acme.com@ACME.COM

El archivo kpropd.acl de los esclavos que están siendo propagados por esclavo-1 debería contener la entrada siguiente:

host/esclavo-1.acme.com@ACME.COM

Administración del archivo de reserva

El archivo de reserva contiene la clave maestra para la base de datos de Kerberos, que se crea automáticamente al construir una base de datos de Kerberos. Si se corrompe el archivo de reserva, puede utilizar el comando stash de kdb5_util(1M) para sustituirlo. La única vez en que puede ser necesario eliminar un archivo de reserva es después de suprimir la base de datos de Kerberos con el comando destroy de kdb5_util. Como el archivo de reserva no se elimina automáticamente con la base de datos, debe suprimirlo para terminar la reorganización.

Eliminación de un archivo de reserva

  1. Conviértase en superusuario en el KDC que contiene el archivo de reserva.

  2. Elimine el archivo de reserva.


    # rm archivo_reserva

    archivo_reserva

    La ruta al archivo de reserva. De forma predeterminada, se encuentra en /var/krb5/.k5.ámbito.

Si necesita volver a crear el archivo de reserva, puede utilizar la opción -f del comando kdb5_util.

Aumento de la seguridad

Estos procedimientos enumeran los pasos que puede utilizar para aumentar la seguridad de los servidores de aplicaciones SEAM y los servidores KDC.

Habilitación de sólo las aplicaciones adaptadas a Kerberos

Este procedimiento restringe el acceso de red al servidor que utilice telnet, ftp, rcp, rsh y rlogin a sólo las transacciones autenticadas por Kerberos.

  1. Edite la entrada telnet de /etc/inetd.conf.

    Agregue la opción -a user de la entrada telnet para restringir el acceso a los usuarios que puedan proporcionar la información de autenticación válida.


    telnet stream  tcp     nowait  root    /usr/krb5/lib/telnetd  telnetd -a user

  2. Edite la entrada ftp de /etc/inetd.conf.

    Agregue la opción -a a la entrada ftp para permitir únicamente las conexiones autenticadas por Kerberos.


    ftp stream  tcp     nowait  root    /usr/krb5/lib/ftpd    ftpd -a

  3. Inhabilite las entradas de Solaris para otros servicios en /etc/inetd.conf.

    Las entradas para shell y login se deben convertir en comentario o eliminarse.


    # shell   stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
# login   stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind

Restricción del acceso a los servidores KDC

Tanto los servidores KDC maestros como los esclavos tienen copias de la base de datos del KDC almacenadas localmente. La restricción del acceso a estos servidores para que sean seguras las bases de datos es importante para la seguridad global de la instalación de SEAM.

  1. Inhabilite los servicios remotos en /etc/inetd.conf.

    Para proporcionar un servidor KDC seguro, deben inhabilitarse todos los servicios de red no esenciales convirtiendo en comentario la entrada que los inicia en /etc/inetd.conf. En la mayoría de circunstancias, los únicos servicios que deben ejecutarse son time y krdb5_kprop. Además, se puede dejar habilitado cualquier servicio que utilice tli de bucle (ticlts, ticotsord y ticots). Después de la edición, el archivo debe tener un aspecto similar a éste (para acortar el ejemplo, se han eliminado muchos comentarios):


    kdc1 # cat /etc/inetd.conf
# #ident  "@(#)inetd.conf 1.33    98/06/02 SMI"   /* SVr4.0 1.5   */ . .
#name     dgram   udp     wait    root    /usr/sbin/in.tnamed     in.tnamed 
#
#shell    stream  tcp     nowait  root    /usr/sbin/in.rshd       in.rshd
#login    stream  tcp     nowait  root    /usr/sbin/in.rlogind    in.rlogind
#exec     stream  tcp     nowait  root    /usr/sbin/in.rexecd     in.rexecd
#comsat   dgram   udp     wait    root    /usr/sbin/in.comsat     in.comsat
#talk     dgram   udp     wait    root    /usr/sbin/in.talkd      in.talkd 
#
#uucp     stream  tcp     nowait  root    /usr/sbin/in.uucpd      in.uucpd 
#
#finger   stream  tcp     nowait  nobody  /usr/sbin/in.fingerd    in.fingerd 
# 
# El servicio de hora se utiliza para la sincronización de los relojes. 
# 
time      stream  tcp     nowait  root    internal 
time      dgram   udp     wait    root    internal 
# 
. 
. 
# 
100234/1  tli rpc/ticotsord wait  root    /usr/lib/gss/gssd     gssd 
#dtspc    stream  tcp     nowait  root    /usr/dt/bin/dtspcd      /usr/dt/bin/dtspcd
#100068/2-5 dgram rpc/udp wait    root    /usr/dt/bin/rpc.cmsd    rpc.cmsd 
100134/1 tli rpc/ticotsord wait   root    /usr/krb5/lib/ktkt_warnd kwarnd
#klogin   stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k
#eklogin  stream  tcp     nowait  root    /usr/krb5/lib/rlogind   rlogind -k -e
#telnet   stream  tcp     nowait  root    /usr/krb5/lib/telnetd   telnetd
#ftp      stream  tcp     nowait  root    /usr/krb5/lib/ftpd     ftpd
#kshell   stream  tcp     nowait  root    /usr/krb5/lib/rshd      rshd -k -c -A 
krb5_prop stream  tcp     nowait  root    /usr/krb5/lib/kpropd  kpropd

    Reinicie el servidor después de hacer los cambios.

  2. Restrinja el acceso al hardware que admite el KDC.

    Para poder restringir el acceso físico, asegúrese de que el servidor y su monitor están situados en un lugar seguro. Los usuarios normales no deben poder acceder a este servidor de ningún modo.

  3. Almacene las copias de seguridad de las bases de datos de KDC en discos locales o en los esclavos.

    Sólo deben realizarse copias de seguridad en cinta de su KDC si se almacenan las cintas de forma segura. Esto también es aplicable para las copias de los archivos de tabla de claves. Es preferible almacenar estos archivos en un sistema de archivos local que no esté compartido con otros sistemas. El sistema de archivos de almacenamiento puede estar en el servidor KDC maestro o en cualquiera de los esclavos.