Capítulo 6 Uso de SEAM

Este capítulo está destinado para cualquier usuario de un sistema que ya tenga instalado SEAM. Explica cómo utilizar los comandos "adaptados a Kerberos" que proporciona SEAM: ftp, rcp, rlogin, rsh y telnet. Antes de leer la información de estos comandos, ya debería estar familiarizado con ellos (en su versión no adaptada a Kerberos). Verá que las versiones, adaptadas y no adaptadas a Kerberos, son básicamente iguales. De hecho, en muchos casos puede utilizar estos comandos sin saber, ni preocuparse, si están adaptados a Kerberos. Las diferencias se encuentran en el uso de las funciones que aprovechan Kerberos (por ejemplo, reenviar un cupón cuando se utiliza rlogin).

Como este capítulo está destinado a los lectores en general, incluye información sobre los cupones: cómo obtenerlos, verlos y destruirlos. También incluye información sobre cómo elegir y cambiar una contraseña de Kerberos.

Para obtener una visión general de SEAM, véase Capítulo 1.

Ésta es una lista de los temas tratados en este capítulo:

• "¿Es necesario que se preocupe por los cupones?"

• "Creación de un cupón"

• "Visualización de los cupones"

• "Destrucción de cupones"

• "Cambio de su contraseña"

• "Consejos para elegir una contraseña"

• "Concesión de acceso a su cuenta"

• "Visión general de los comandos adaptados a Kerberos"

• "Ejemplos: uso de comandos adaptados a Kerberos"

Gestión de cupones

Este apartado explica cómo obtener, ver y destruir cupones. Para obtener una introducción sobre los cupones, véase "Funcionamiento de SEAM".

¿Es necesario que se preocupe por los cupones?

Con SEAM instalado, Kerberos está incorporado en el comando login y los cupones se obtienen automáticamente al iniciar una sesión. Los comandos adaptados a Kerberos rsh, rcp, telnet y rlogin están configurados habitualmente para remitir copias de sus cupones a otras máquinas de forma que no sea necesario pedir cupones de forma explícita para obtener acceso a estas máquinas (es posible que su configuración de SEAM no incluya este reenvío automático, pero es el funcionamiento predeterminado). Véase "Visión general de los comandos adaptados a Kerberos" y "Reenvío de cupones con operaciones -f y -F" para obtener más información sobre el reenvío de cupones.

Además, la mayoría de comandos adaptados a Kerberos también destruyen sus cupones al salir. Sin embargo, quizás desee destruir sus cupones de Kerberos explícitamente con kdestroy cuando haya terminado con ellos, sólo para estar seguro. Véase "Destrucción de cupones" para más información sobre kdestroy.

Para obtener información sobre la vigencia de los cupones, véase "Vigencia del cupón".

Creación de un cupón

Normalmente, cuando inicia una sesión se crea automáticamente un cupón y no debe hacerse nada especial para obtener uno. Sin embargo, puede que necesite crear uno en los casos siguientes:

• Su cupón caduca.

• Necesita utilizar un principal distinto al predeterminado (por ejemplo, si utiliza rlogin -l para iniciar una sesión en una máquina como otro usuario).

Para crear un cupón, utilice el comando kinit.

% /usr/krb5/bin/kinit 
 

kinit le solicita su contraseña. Para obtener la sintaxis completa del comando kinit, véase la página del comando man kinit(1).

Ejemplo: creación de un cupón

Este ejemplo muestra a un usuario, susana, creando un cupón en su sistema:

% kinit
Contraseña para susana@ING.ACME.COM:  <escriba la contraseña>
 

Aquí, el usuario david crea un cupón válido durante tres horas con la opción -l:

% kinit -l 3h david@ACME.ORG
Contraseña para david@ACME.ORG:  <Escriba la contraseña>
 

Este ejemplo muestra a david creando un cupón remitible (con la opción -f) para sí mismo. Con este cupón remitible, puede (por ejemplo) iniciar una sesión en un segundo sistema y luego hacer telnet a un tercero.

% kinit -f david@ACME.ORG
Contraseña para david@ACME.ORG:     <escriba la contraseña>
 

Para obtener más información sobre el funcionamiento de los cupones remitibles, véase "Reenvío de cupones con operaciones -f y -F" y "Tipos de cupones".

Visualización de los cupones

Todos los cupones no son iguales. Por ejemplo, un cupón puede ser remitible; otro con fecha futura, mientras que un tercero puede tener ambos atributos. Puede ver qué cupones tiene y cuáles son sus atributos mediante el comando klist con la opción -f:

% /usr/krb5/bin/klist -f

Los símbolos siguientes indican los atributos asociados con cada cupón, según los muestra klist:

"Tipos de cupones" describe los diversos atributos que puede tener un cupón.

Ejemplo: visualización de cupones

Este ejemplo muestra que el usuario susana tiene un cupón inicial, que es remitible (F) y con fecha futura (d), pero todavía no está validado (i):

% /usr/krb5/bin/klist -f
Antememoria de cupones: /tmp/krb5cc_74287 
Principal predeterminado: susana@ING.ACME.COM 

Válido a partir de   Caduca               Principal de servicio 
09 Mar 99 15:09:51   09 Mar 99 21:09:51   nfs/ACME.SUN.COM@ACME.SUN.COM 
renovación hasta el  10 Mar 99 15:12:51,  Indicadores: Fdi
 

El ejemplo siguiente muestra que el usuario david tiene dos cupones que se remitieron (f) a su sistema desde otro. Los cupones también son remitibles (F):

% klist -f
Antememoria de cupones: /tmp/krb5cc_74287 
Principal predeterminado: david@ACME.SUN.COM 

Válido a partir de   Caduca               Principal de servicio 
07 Mar 99 06:09:51   09 Mar 99 23:33:51   host/ACME.COM@ACME.COM 
renovación hasta el  10 Mar 99 17:09:51,  Indicadores: fF 

Válido a partir de   Caduca               Principal de servicio 
08 Mar 99 08:09:51   09 Mar 99 12:54:51   nfs/ACME.COM@ACME.COM 
renovación hasta el  10 Mar 99 15:22:51,  Indicadores: fF

Destrucción de cupones

Habitualmente, los cupones se destruyen automáticamente cuando finalizan los comandos que los crearon; sin embargo, puede que desee destruir sus cupones de Kerberos de forma explícita cuando haya terminado con ellos, para estar seguro. Los cupones se pueden robar y, si sucede esto, su poseedor los puede utilizar hasta que caduquen (aunque los cupones robados deben desencriptarse).

Para destruir sus cupones, utilice el comando kdestroy.

% /usr/krb5/bin/kdestroy

kdestroy destruye todos sus cupones. No puede utilizarlo para destruir un cupón determinado de forma selectiva.

Si no va a estar delante de su sistema y le preocupa que un intruso utilice sus permisos, debería utilizar kdestroy o un protector de pantalla que bloquee ésta.

Para garantizar que se destruyan siempre los cupones puede agregar el comando kdestroy al archivo .logout de su directorio de inicio.

En los casos en que se haya configurado el módulo PAM (el caso predeterminado y habitual), los cupones se destruyen automáticamente al finalizar la sesión, de forma que no es necesario agregar una llamada a kdestroy en su archivo .logout. Sin embargo, si no se ha configurado el módulo PAM o si desconoce esta circunstancia, puede que desee agregar kdestroy a su archivo .login para asegurarse de que se destruyan los cupones cuando salga del sistema.

Gestión de contraseñas

Con SEAM instalado, dispone de dos contraseñas: la contraseña regular de Solaris y una contraseña de Kerberos. Puede hacer que ambas contraseñas sean iguales o diferentes.

Habitualmente, los comandos no adaptados a Kerberos como login están configurados a través de PAM para autenticarse con Kerberos y UNIX. Si tiene contraseñas diferentes, debe proporcionar ambas para iniciar una sesión con la autenticación adecuada. Sin embargo, si las dos contraseñas son iguales, la primera contraseña que escriba para UNIX también la aceptará Kerberos.

Desafortunadamente, el uso de la misma contraseña para ambos puede poner en riesgo la seguridad. Es decir, si alguien descubre su contraseña de Kerberos, su contraseña de UNIX dejará de ser secreta. Sin embargo, el uso de las mismas contraseñas para UNIX y Kerberos sigue siendo más seguro que las sedes sin Kerberos, ya que las contraseñas del entorno Kerberos no se envían a través de la red. Habitualmente, su ubicación tendrá una norma para ayudarle a determinar sus opciones.

La contraseña de Kerberos es la única forma que tiene éste para verificar una identidad. Si alguien descubre la contraseña de Kerberos, la seguridad de Kerberos desaparece, ya que esa persona puede hacerse pasar por el propietario de la contraseña (enviar correo electrónico en "su" nombre, leer, editar o suprimir sus archivos o iniciar sesiones en otros sistemas) y nadie podrá notar la diferencia. Por este motivo, es de vital importancia la elección de una buena contraseña y la conservación del secreto. Si necesita dar acceso a su cuenta a otra persona, puede hacerlo mediante Kerberos sin revelar su contraseña (véase "Concesión de acceso a su cuenta"). Nunca debe revelar su contraseña a otra persona, ni siquiera al administrador de su sistema. Además, debe cambiar su contraseña frecuentemente, en particular siempre que crea que alguien la pueda haber descubierto.

Consejos para elegir una contraseña

Una contraseña puede incluir prácticamente cualquier carácter que pueda escribir (siendo las excepciones principales las teclas de control y la de retorno). Una buena contraseña ha de ser fácil de recordar pero difícil de adivinar. Los ejemplos de malas contraseñas incluyen:

• Palabras que se pueden encontrar en un diccionario

• Cualquier nombre común o popular

• El nombre de una persona o un personaje famoso

• Cualquier forma de su nombre o su nombre de usuario (por ejemplo: al revés, repetido dos veces, etcétera).

• El nombre de su esposa, hijos o animales domésticos

• Su fecha de nacimiento o la de un familiar

• El número de la Seguridad Social, de su carnet de conducir, de su pasaporte o un número de identificación similar

• Cualquier contraseña sencilla que aparezca en este manual o en otros

Las buenas contraseñas tienen ocho caracteres de longitud como mínimo. Además, deben incluir una mezcla de caracteres, como mayúsculas y minúsculas, números y signos de puntuación. Los ejemplos de contraseñas que serían buenas si no aparecieran en este manual serían:

• Siglas, como "Eppa2gy2r" (que recuerde "El perro persigue a dos gatos y dos ratones")

• Palabras sin significado fáciles de pronunciar, como "WumpaBun" o "WangDangdoodle!"

• Frases mal escritas a propósito, como "6enpunnto" o "zarzaparrrillla"

No utilice estos ejemplos. Las contraseñas que aparecen en los manuales son las primeras que probará un intruso.

Cambio de su contraseña

Puede cambiar su contraseña de Kerberos de dos formas:

• Con el comando passwd habitual de UNIX. Cuando está instalado SEAM, el comando passwd de Solaris también solicita automáticamente una nueva contraseña de Kerberos.

  La ventaja de utilizar passwd en lugar de kpasswd es que puede establecer ambas contraseñas (UNIX y Kerberos) al mismo tiempo. Sin embargo, generalmente no tiene que cambiar ambas contraseñas con passwd; a menudo, puede cambiar sólo su contraseña de UNIX y dejar la de Kerberos sin cambios o viceversa.

  ---

  Nota -

  El comportamiento de passwd depende de cómo esté configurado el módulo PAM. En algunas configuraciones es posible que se le pida que cambie ambas contraseñas; en otras debe cambiarse la contraseña de UNIX, mientras que unas terceras requieren que se cambie la de Kerberos.

  ---

• Con el comando kpasswd. kpasswd es muy similar a passwd. Una diferencia es que kpasswd únicamente cambia las contraseñas de Kerberos; si desea cambiar su contraseña de UNIX, debe utilizar passwd.

  Otra diferencia es que kpasswd puede cambiar una contraseña para un principal de Kerberos que no sea un usuario válido de UNIX. Por ejemplo, david/admin es un principal de Kerberos pero no un usuario real de UNIX, de forma que debe utilizar kpasswd en lugar de passwd.

Después de cambiar su contraseña, el cambio tarda algún tiempo en propagarse a través de un sistema (en especial a través de una red grande). Dependiendo de como esté configurado su sistema, puede tardar de varios minutos a una hora o más. Si necesita obtener nuevos cupones de Kerberos después de cambiar su contraseña, intente primero la contraseña nueva. Si ésta no funciona, inténtelo con la antigua.

Kerberos V5 permite a los administradores de sistemas definir criterios sobre las contraseñas válidas para cada usuario, que están definidos por la norma establecida para cada usuario (o por una norma predeterminada); véase "Administración de normas" para obtener más información sobre las normas. Por ejemplo, suponga que la norma de susana (con nombre polsusana) obliga a que las contraseñas tengan ocho caracteres de longitud como mínimo e incluyan una combinación de dos tipos de caracteres como mínimo. kpasswd rechazará por tanto el intento de utilizar "pereza" como contraseña:

% kpasswd
kpasswd: Cambiando contraseña para susana@ENG.ACME.COM. 
Contraseña antigua:   <susana escribe su contraseña existente>
kpasswd: la contraseña de susana@ING.ACME.COM está controlada 
por la norma polsusana, 
que requiere un mínimo de 8 caracteres de 2 clases 
(las cinco clases son minúsculas, mayúsculas, números, puntuación 
y el resto de caracteres). 
Nueva contraseña: <susana escribe 'pereza'>
Contraseña nueva (de nuevo):  <susana vuelve a escribir 'pereza'> 
kpasswd: La contraseña nueva es demasiado corta. 
Escriba una contraseña de 4 caracteres de longitud como mínimo. 

Aquí, susana utiliza como contraseña "pereza492". que cumple los criterios porque tiene más de ocho caracteres de longitud y contiene dos tipos de caracteres distintos (números y caracteres en minúsculas):

% kp*-asswd
kpasswd: Cambiando contraseña para susana@ENG.ACME.COM. 
Contraseña antigua:  <susana escribe su contraseña existente>
kpasswd: la contraseña de susana@ING.ACME.COM está controlada 
por la norma polsusana, 
que requiere un mínimo de 8 caracteres de 2 clases 
(las cinco clases son minúsculas, mayúsculas, números, puntuación 
y el resto de caracteres). 
Nueva contraseña:  <susana escribe 'pereza492'>
Contraseña nueva (de nuevo):  <susana vuelve a escribir 'pereza492'>
Contraseña de Kerberos cambiada.

Ejemplos: cambio de su contraseña

El ejemplo siguiente muestra a david cambiando sus contraseñas de UNIX y de Kerberos con passwd.

% passwd
	passwd: Cambiando contraseña para david 
Escriba contraseña de inicio de sesión (NIS+):   <escriba la contraseña de UNIX actual>
	Nueva contraseña:                  <escriba la nueva contraseña de UNIX>
	Vuelva a escribir la contraseña:             <confirme la nueva contraseña de UNIX>
	Contraseña antigua de KRB5:             <escriba la contraseña actual de Kerberos>
	Nueva contraseña de KRB5:             <escriba la nueva contraseña de Kerberos>
	Vuelva a escribir la nueva contraseña de KRB5:<confirme la nueva contraseña de Kerberos>

En el ejemplo anterior, passwd solicita la contraseña de UNIX y la de Kerberos; sin embargo, si está definido try_first_pass en el módulo PAM, se define automáticamente la contraseña de Kerberos para que sea la misma que la de UNIX (es la configuración predeterminada). En ese caso, david debe utilizar kpasswd para definir su contraseña de Kerberos a otro valor, como se muestra a continuación.

Este ejemplo lo muestra cambiando únicamente su contraseña de Kerberos con kpasswd:

% kpasswd
kpasswd: Cambiando contraseña para david@ING.ACME.COM. 
Contraseña antigua:           <escriba la contraseña de Kerberos actual>
Nueva contraseña:           <escriba la nueva contraseña de Kerberos>
Nueva contraseña (de nuevo):   <confirme la nueva contraseña de Kerberos>
Contraseña de Kerberos cambiada.
 

En este ejemplo, david cambia la contraseña para el principal de Kerberos david/admin (que no es un usuario válido de UNIX). Para ello, debe utilizar kpasswd.

% kpasswd david/admin
kpasswd: Cambiando contraseña para david/admin. 
Contraseña antigua:		   	     <escriba la contraseña de Kerberos actual>
Nueva contraseña:			       <escriba la nueva contraseña de Kerberos>
Nueva contraseña (de nuevo):	   <confirme la nueva contraseña de Kerberos>
Contraseña de Kerberos cambiada. 
 

Concesión de acceso a su cuenta

Si necesita dar acceso a otra persona para iniciar una sesión en su cuenta, puede hacerlo a través de Kerberos sin revelar su contraseña colocando un archivo .k5login en su directorio de inicio. El archivo .k5login es una lista de uno o varios principales de Kerberos que corresponden a cada persona a las que desee conceder acceso (cada principal debe estar en una línea aparte).

Suponga que el usuario david mantiene un archivo .k5login en su directorio de inicio que tiene el aspecto siguiente:

susana@ENG.ACME.COM 
juan@ACME.ORG  

Este archivo permite a los usuarios susana y juan que asuman la identidad de david, siempre que ya tengan cupones de Kerberos en sus ámbitos respectivos. Por ejemplo, susana puede hacer un rlogin en la máquina de david (madrid), como él sin tener que escribir su contraseña:

Figura 6-1 Uso del archivo .k5login

(En el caso en que el directorio de inicio de david esté montado por NFS mediante los protocolos de Kerberos V5 desde otra (tercera) máquina, susana debe tener un cupón remitible para poder acceder a su directorio de inicio. Véase "Creación de un cupón" para obtener un ejemplo del uso de un cupón remitible).

Si inicia sesiones en otras máquinas a través de una red, deseará incluir su propio principal de Kerberos en los archivos .k5login de esas máquinas.

Utilizar un archivo .k5login es mucho más seguro que dar su contraseña:

• Puede revocar el acceso en cualquier momento eliminando el principal o principales de su archivo .k5login.

• Aunque los usuarios que aparecen en el archivo .k5login de su directorio de inicio tienen acceso completo a su cuenta en esa máquina (o conjuntos de máquinas, si el archivo .k5login está compartido, por ejemplo, a través de NFS), no heredan sus privilegios de red; es decir, los servicios adaptados a Kerberos autorizarán el acceso según la identidad del usuario, no la suya. Así, susana puede iniciar una sesión en la máquina de juan y realizar tareas allí, pero si utiliza programas adaptados a Kerberos como ftp o rlogin lo hará como sí misma.

• Kerberos mantiene un registro de quién obtiene los cupones, de forma que un administrador del sistema puede averiguar, si fuera necesario, quién puede obtener su identidad de usuario en un momento dado.

Una forma habitual de utilizar el archivo .k5login es colocarlo en el directorio de inicio de root, para dar acceso de root para esa máquina a los principales de Kerberos de la lista. Esto permite a los administradores de sistemas convertirse en root localmente o iniciar una sesión remota como root sin tener que dar la contraseña del usuario root y sin que nadie tenga que escribir esta contraseña a través de la red.

Ejemplo: uso del archivo .k5login

Suponga que susana decide iniciar una sesión en la máquina madrid.acme.com como root. Como tiene una entrada para su nombre de principal en el archivo .k5login del directorio de inicio de root de madrid.acme.com no es necesario que escriba su contraseña:

% rlogin madrid.acme.com -l root -x
Esta sesión rlogin utiliza la encriptación DES para todas las transmisiones 
de datos. 
Último inicio de sesión: Jue 20 Jun 16:20:50 desde daffodil  
SunOS Release 5.7 (GENERIC) #2: Mar 14 Nov 18:09:31 EST 1998  
madrid[root]% 

Comandos de SEAM

Kerberos V5 es un sistema de inicio de sesión único. Esto significa que sólo se debe escribir la contraseña una vez y los programas de Kerberos V5 se encargan de la autenticación (y la encriptación opcional) , ya que se ha incorporado Kerberos en un conjunto de programas de UNIX existentes y familiares. Las aplicaciones de Kerberos V5 son versiones de los programas de red de UNIX existentes con las funciones de Kerberos agregadas.

Por ejemplo, cuando utiliza un programa adaptado a Kerberos para conectar con un sistema remoto, el programa, el KDC y el sistema remoto llevan a cabo un conjunto de negociaciones rápidas. Cuando terminan éstas, su programa ha probado su identidad en nombre suyo al sistema remoto y éste le ha concedido acceso.

Tenga en cuenta que los comandos adaptados a Kerberos intentan autenticarse con Kerberos primero. Si esto falla, se produce un error o se intenta la autenticación de UNIX, dependiendo de qué opciones se utilizaron con el comando. Para obtener información más detallada, consulte el apartado Seguridad de Kerberos de las páginas del comando man Kerberos.

Visión general de los comandos adaptados a Kerberos

Los servicios de red adaptados a Kerberos son los programas que conectan con otra máquina situada en alguna parte de Internet. Estos programas están situados en /usr/krb5/bin; defina su variable PATH para que aparezcan antes de las versiones no Kerberos. Estos programas son:

• ftp

• rcp

• rlogin

• rsh

• telnet

Estos programas reúnen todas las funciones originales de sus equivalentes no Kerberos correspondientes. También tienen funciones adicionales que utilizan sus cupones de Kerberos de forma transparente para negociar la autenticación (y la encriptación opcional) con el sistema remoto. En la mayoría de casos, sólo verá que no hace falta que escriba su contraseña para utilizarlos, ya que Kerberos proporcionará por usted la prueba de su identidad.

Los programas de red de Kerberos V5 le permiten las opciones de:

• Remitir sus cupones al otro sistema (si obtuvo inicialmente cupones remitibles)

• Encriptación de los datos transmitidos entre usted y el sistema remoto

Este apartado asume que ya está familiarizado con las versiones no Kerberos de estos programas y destaca las funciones de Kerberos que agrega el paquete de Kerberos V5. Para obtener descripciones detalladas de los comandos aquí descritos, véase las páginas del comando man.

Se han agregado las opciones de Kerberos siguientes a ftp, rcp, rlogin, rsh y telnet:

-a

Intentar el inicio de sesión automático mediante los cupones existentes. Utiliza el nombre de usuario según lo devuelto por getlogin(), a menos que sea diferente al ID de usuario actual (véase la página del comando man telnet(1) para más detalles).

-f

Remite un cupón que no permite remisión a un sistema remoto. Esta opción es mutuamente exclusiva con -F (véase a continuación); no es posible utilizarlas conjuntamente en el mismo comando.

Puede que desee remitir un cupón si tiene motivos para pensar que necesitará autenticarse a otros servicios basados en Kerberos de un tercer sistema; por ejemplo, si desea hacer rlogin a otra máquina y luego hacer rlogin desde ella a una tercera máquina.

Si su directorio de inicio del sistema remoto está montado con NFS mediante Kerberos V5, definitivamente debería utilizar un cupón remitible; de lo contrario, no podrá acceder a su directorio de inicio. Suponga que inicia una sesión en el sistema 1. Desde éste hace rlogin en su máquina de inicio, Sistema 2, que monta su directorio de inicio desde Sistema 3. A menos que haya utilizado la opción -f o -F con rlogin, no podrá acceder a su directorio de inicio, porque no es posible reenviar su cupón al sistema 3.

De forma predeterminada, kinit obtiene cupones de obtención de cupones (TGT) remitibles; sin embargo, puede que su configuración de SEAM sea diferente en este aspecto.

Para más información sobre el reenvío de cupones, véase "Reenvío de cupones con operaciones -f y -F".

-F

Remitir una copia que admite su remisión de su cupón de obtención de cupones a un sistema remoto. Es similar a -f (véase más arriba), pero permite el acceso a una máquina posterior (la cuarta o quinta, por ejemplo). Por tanto, se puede considerar que la opción -F es un superconjunto de la opción -f . Aquélla es mutuamente exclusiva con ésta; no es posible utilizarlas conjuntamente en el mismo comando.

Para obtener más información sobre el reenvío de cupones, véase "Reenvío de cupones con operaciones -f y -F".

-k ámbito

Solicitar cupones para el sistema remoto en el ámbito especificado, en lugar de determinar el ámbito mediante el archivo krb5.conf.

-K

Utilizar sus cupones para autenticarse con el sistema remoto pero no iniciar una sesión automáticamente.

-m mecanismo

Especificar qué mecanismo de GSS-API se utilizará, según está enumerado en el archivo /etc/gss/mech. El valor predeterminado es kerberos_v5.

-x

Encriptar esta sesión.

-X tipo_aut

Inhabilitar el tipo de autenticación tipo_aut.

Tabla 6-1, muestra qué comandos tienen opciones específicas (una "X" indica que el comando tiene esa opción).

Además, ftp permite que se defina el nivel de protección de una sesión en su indicador:

nulo

Definir el nivel de protección como "nulo" (sin protección). Es el valor predeterminado.

privado

Definir el nivel de protección como "privado". La confidencialidad y la integridad de las transmisiones de datos están protegidas mediante la encriptación. Sin embargo, es posible que el servicio de privacidad no esté disponible para todos los usuarios de SEAM.

seguro

Definir el nivel de protección como "seguro". La integridad de las transmisiones de datos está protegida mediante la suma de comprobación criptográfica.

También puede definir el nivel de protección en el indicador de ftp introduciendo protect seguido de cualquiera de los niveles de protección mostrados anteriormente (nulo, privado o seguro).

Reenvío de cupones con operaciones -f y -F

Tal como se describe en "Visión general de los comandos adaptados a Kerberos", algunos comandos permiten remitir los cupones con la opción -f o -F. El reenvío de cupones permite "encadenar" sus transacciones de red; por ejemplo, puede hacer rlogin en una máquina y luego hacer rlogin desde ella a otra. La opción -f permite remitir un cupón, mientras que la opción -F permite volver a remitir un cupón remitido.

En Figura 6-2, el usuario david obtiene un cupón de obtención de cupones (TGT) no remitible mediante kinit (no es remitible porque no especificó la opción -f ). En la situación 1, puede hacer rlogin a la máquina B, pero no puede ir más allá. En la situación 2, el comando rlogin -f no es satisfactorio porque está intentando remitir un cupón que no es remitible.

Figura 6-2 Uso de cupones no remitibles

(De hecho, los archivos de configuración de SEAM están definidos para que kinit obtenga cupones remitibles de forma predeterminada. Sin embargo, su configuración puede ser diferente. Para esta explicación, hemos asumido que kinit no obtiene TGT remitibles a menos que se invoque como kinit -f. Por cierto, observe que kinit no tiene una opción -F ; los TGT son remitibles o no lo son).

En Figura 6-3, david obtiene TGT remitibles mediante kinit -f. En la situación 3, puede conectar con la máquina C porque utiliza un cupón remitible con rlogin. En la situación 4, el segundo rlogin no es satisfactorio porque no se puede volver a remitir el cupón. Al utilizar en su lugar la opción -F , como en la situación 5, el segundo rlogin es satisfactorio y se puede volver a remitir el cupón a la máquina D.

Figura 6-3 Uso de cupones remitibles

Ejemplos: uso de comandos adaptados a Kerberos

Los ejemplos siguientes proporcionan una idea del funcionamiento de las opciones de los comandos adaptados a Kerberos.

Ejemplo: uso de las opciones -a, -fy -x con telnet

En este ejemplo, el usuario david ya ha iniciado una sesión y desea hacer telnet a la máquina puebla.acme.com. Utiliza la opción -f para remitir sus cupones existentes, la opción -x para encriptar la sesión y la opción -a para llevar a cabo el inicio de sesión automáticamente. Como no tiene pensado utilizar los servicios de un tercer sistema, puede utilizar -f en lugar de -F.

% telnet -a -f -x puebla.acme.com 
Intentando 128.0.0.5... 
Conectado con puebla.acme.com. El carácter de escape es '^]'. 
[ Kerberos V5 le acepta como "david@ing.acme.com" ] 
[ Kerberos V5 ha aceptado las credenciales remitidas ] 
SunOS 5.7: Mar 21 May 00:31:42 EDT 1998  Bienvenidos a SunOS 
%

Observe que la máquina de david ha utilizado Kerberos para autenticarlo en puebla.acme.com y ha iniciado una sesión automáticamente como sí mismo. Ha tenido una sesión encriptada, una copia de sus cupones esperándole y nunca ha tenido que escribir su contraseña. Si hubiera utilizado una versión no Kerberos de telnet, se le hubiera solicitado su contraseña y se habría enviado a través de la red sin encriptar; si un intruso estuviera controlando el tráfico de la red en ese momento, conocería la contraseña de david.

Si reenvía sus cupones de Kerberos, telnet (al igual que el resto de comandos tratados aquí) los destruye al salir.

Ejemplo: uso de rlogin con la opción -F

Aquí, el usuario susana desea iniciar una sesión en su propia máquina, madrid.acme.com. Remite sus cupones existentes con -F, y encripta la sesión con -x. Elige -F en lugar de -f porque después de iniciar la sesión en madrid, es posible que desee llevar a cabo otras transacciones de red que necesiten volver a remitir los cupones. Además, como está remitiendo sus cupones existentes, no es necesario que escriba su contraseña.

% rlogin madrid.acme.com -F -x
Esta sesión de rlogin utiliza la encriptación DES para todas las transmisiones. 
Último inicio de sesión Lun 19 May 15:19:49 desde daffodil 
SunOS Release 5.7 (GENERIC) #2 Mar 14 Nov 18:09:3 EST 1998 
%

Ejemplo: definición del nivel de protección en ftp

Suponga ahora que juan desea utilizar ftp para obtener su correo del directorio ~juan/MAIL desde la máquina puebla.acme.com, encriptando la sesión. El intercambio tendría el aspecto siguiente:

% ftp -f puebla.acme.com
Conectado con puebla.acme.com 
220 Servidor FTP puebla.acme.org (Versión 6.0) listo. 
334 Utilizando tipo de autenticación 
GSSAPI; ADAT debe seguir GSSAPI aceptado como tipo de autenticación autenticación 
GSSAPI satisfactoria Nombre (daffodil.acme.org:juan) 
232 GSSAPI usuario juan@MELPOMENE.ACME.COM autorizado como juan 
230 Usuario juan conectado. 
El tipo del sistema remoto es UNIX. 
Utilizando la modalidad BINARIA para transferir los archivos. 
ftp> protect privado
200 Nivel de protección establecido a Privado ftp> cd ~juan/MAIL
250 Comando CWD satisfactorio. 
ftp> get RMAIL
227 Entrando en modalidad pasiva (128,0,0,5,16,49) 
150 Abriendo conexión de datos en modalidad BINARIA para RMAIL (158336 bytes). 
226 Transferencia terminada. 158336 bytes recibidos en 1,9 segundos (1.4e+02 Kbytes/s) 
ftp> quit
% 

Para encriptar la sesión, juan define el nivel de protección como privado.