test

Sun Guía de Sun Enterprise Authentication Mechanism

Sincronización de relojes entre los KDC y los clientes SEAM

Todos los sistemas que integren el sistema de autenticación Kerberos deben tener sincronizados sus relojes respecto a una cantidad máxima de tiempo especificada (conocida como desviación de reloj), que proporciona otra comprobación de seguridad de Kerberos. Si se supera la desviación de reloj entre cualquiera de los sistemas participantes, se ignorarán las solicitudes de los clientes.

La desviación de reloj también determina cuánto tiempo deben conservar los servidores de aplicaciones todos los mensajes de protocolo de Kerberos, para poder reconocer y rechazar las solicitudes ya reproducidas. Así, cuanto mayor sea el valor de desviación de reloj, más información deberán recopilar los servidores de aplicaciones.

El valor predeterminado para la desviación de reloj es de 300 segundos (cinco minutos), que se puede cambiar en el apartado libdefaults del archivo krb5.conf.

Nota -

Por motivos de seguridad, no aumente la desviación de reloj a más de 300 segundos.

Como es importante mantener sincronizados los relojes entre los KDC y los clientes SEAM, se recomienda que utilice el software de Protocolo de hora de red (NTP). Este software de dominio público creado por la Universidad de Delaware se incluye en el software de Solaris a partir de la versión 2.6.

Nota -

Otra forma de sincronizar los relojes es utilizar el comando rdate y trabajos de cron, que puede ser un proceso menos complicado que utilizar NTP. Sin embargo, este apartado seguirá centrándose en el uso de NTP. Además, si utiliza la red para sincronizar los relojes, el protocolo de sincronización de los relojes propiamente dicho debe ser seguro.

NTP permite gestionar la sincronización precisa de la hora y/o el reloj de la red en un entorno de red. NTP básicamente es una implementación de cliente/servidor. Se selecciona un sistema para que sea el reloj maestro (servidor NTP) y luego se configura el resto de sistemas para que sincronicen sus relojes con el reloj maestro (clientes NTP). Esta operación se lleva a cabo mediante el daemon xntpd, que configura y mantiene la hora del día del sistema UNIX de acuerdo con los servidores de hora estándar de Internet. Figura 3-1 muestra un ejemplo del uso de la implementación de servidor/cliente NTP.

Figura 3-1 Sincronización de relojes mediante NTP

Graphic

Para garantizar que los KDC y los clientes SEAM mantengan sincronizados sus relojes, implemente los pasos siguientes:

  1. Configure un servidor NTP en su red (puede ser cualquier sistema excepto el KDC maestro). Véase "Configuración de un servidor NTP".

  2. Cuando configure los KDC y los clientes SEAM de la red, establézcalos para que sean clientes NTP del servidor NTP. Véase "Configuración de un cliente NTP".

Configuración de un servidor NTP

  1. Conviértase en superusuario en el sistema que será el servidor NTP.

  2. Cambie al principal /etc/inet.

  3. Copie el archivo ntp.server al archivo ntp.conf .


    # cp ntp.server ntp.conf

  4. Cambie al directorio /etc/init.d.

  5. Inicie el daemon xntpd.


    # ./xntpd start

Configuración de un cliente NTP

  1. Conviértase en superusuario en el sistema que será un cliente NTP.

  2. Cambie al directorio /etc/inet.

  3. Copie el archivo ntp.client al archivo ntp.conf .


    # cp ntp.client ntp.conf

  4. Cambie al directorio /etc/init.d.

  5. Inicie el daemon xntpd.


    # ./xntpd start