Sun Guía de Sun Enterprise Authentication Mechanism

Gestión de cupones

Este apartado explica cómo obtener, ver y destruir cupones. Para obtener una introducción sobre los cupones, véase "Funcionamiento de SEAM".

¿Es necesario que se preocupe por los cupones?

Con SEAM instalado, Kerberos está incorporado en el comando login y los cupones se obtienen automáticamente al iniciar una sesión. Los comandos adaptados a Kerberos rsh, rcp, telnet y rlogin están configurados habitualmente para remitir copias de sus cupones a otras máquinas de forma que no sea necesario pedir cupones de forma explícita para obtener acceso a estas máquinas (es posible que su configuración de SEAM no incluya este reenvío automático, pero es el funcionamiento predeterminado). Véase "Visión general de los comandos adaptados a Kerberos" y "Reenvío de cupones con operaciones -f y -F" para obtener más información sobre el reenvío de cupones.

Además, la mayoría de comandos adaptados a Kerberos también destruyen sus cupones al salir. Sin embargo, quizás desee destruir sus cupones de Kerberos explícitamente con kdestroy cuando haya terminado con ellos, sólo para estar seguro. Véase "Destrucción de cupones" para más información sobre kdestroy.

Para obtener información sobre la vigencia de los cupones, véase "Vigencia del cupón".

Creación de un cupón

Normalmente, cuando inicia una sesión se crea automáticamente un cupón y no debe hacerse nada especial para obtener uno. Sin embargo, puede que necesite crear uno en los casos siguientes:

Su cupón caduca.
Necesita utilizar un principal distinto al predeterminado (por ejemplo, si utiliza rlogin -l para iniciar una sesión en una máquina como otro usuario).

Para crear un cupón, utilice el comando kinit.

% /usr/krb5/bin/kinit

kinit le solicita su contraseña. Para obtener la sintaxis completa del comando kinit, véase la página del comando man kinit(1).

Ejemplo: creación de un cupón

Este ejemplo muestra a un usuario, susana, creando un cupón en su sistema:

% kinit
Contraseña para susana@ING.ACME.COM:  <escriba la contraseña>

Aquí, el usuario david crea un cupón válido durante tres horas con la opción -l:

% kinit -l 3h david@ACME.ORG
Contraseña para david@ACME.ORG:  <Escriba la contraseña>

Este ejemplo muestra a david creando un cupón remitible (con la opción -f) para sí mismo. Con este cupón remitible, puede (por ejemplo) iniciar una sesión en un segundo sistema y luego hacer telnet a un tercero.

% kinit -f david@ACME.ORG
Contraseña para david@ACME.ORG:     <escriba la contraseña>

Para obtener más información sobre el funcionamiento de los cupones remitibles, véase "Reenvío de cupones con operaciones -f y -F" y "Tipos de cupones".

Visualización de los cupones

Todos los cupones no son iguales. Por ejemplo, un cupón puede ser remitible; otro con fecha futura, mientras que un tercero puede tener ambos atributos. Puede ver qué cupones tiene y cuáles son sus atributos mediante el comando klist con la opción -f:

% /usr/krb5/bin/klist -f

Los símbolos siguientes indican los atributos asociados con cada cupón, según los muestra klist:

F	Remitible
f	Remitido
P	Delegable
p	Delegado
D	Que permite fecha futura
d	Con fecha futura
R	Renovable
I	Inicial
i	No válido

"Tipos de cupones" describe los diversos atributos que puede tener un cupón.

Ejemplo: visualización de cupones

Este ejemplo muestra que el usuario susana tiene un cupón inicial, que es remitible (F) y con fecha futura (d), pero todavía no está validado (i):

% /usr/krb5/bin/klist -f
Antememoria de cupones: /tmp/krb5cc_74287 
Principal predeterminado: susana@ING.ACME.COM 

Válido a partir de   Caduca               Principal de servicio 
09 Mar 99 15:09:51   09 Mar 99 21:09:51   nfs/ACME.SUN.COM@ACME.SUN.COM 
renovación hasta el  10 Mar 99 15:12:51,  Indicadores: Fdi

El ejemplo siguiente muestra que el usuario david tiene dos cupones que se remitieron (f) a su sistema desde otro. Los cupones también son remitibles (F):

% klist -f
Antememoria de cupones: /tmp/krb5cc_74287 
Principal predeterminado: david@ACME.SUN.COM 

Válido a partir de   Caduca               Principal de servicio 
07 Mar 99 06:09:51   09 Mar 99 23:33:51   host/ACME.COM@ACME.COM 
renovación hasta el  10 Mar 99 17:09:51,  Indicadores: fF 

Válido a partir de   Caduca               Principal de servicio 
08 Mar 99 08:09:51   09 Mar 99 12:54:51   nfs/ACME.COM@ACME.COM 
renovación hasta el  10 Mar 99 15:22:51,  Indicadores: fF

Destrucción de cupones

Habitualmente, los cupones se destruyen automáticamente cuando finalizan los comandos que los crearon; sin embargo, puede que desee destruir sus cupones de Kerberos de forma explícita cuando haya terminado con ellos, para estar seguro. Los cupones se pueden robar y, si sucede esto, su poseedor los puede utilizar hasta que caduquen (aunque los cupones robados deben desencriptarse).

Para destruir sus cupones, utilice el comando kdestroy.

% /usr/krb5/bin/kdestroy

kdestroy destruye todos sus cupones. No puede utilizarlo para destruir un cupón determinado de forma selectiva.

Si no va a estar delante de su sistema y le preocupa que un intruso utilice sus permisos, debería utilizar kdestroy o un protector de pantalla que bloquee ésta.

Nota -

Para garantizar que se destruyan siempre los cupones puede agregar el comando kdestroy al archivo .logout de su directorio de inicio.

En los casos en que se haya configurado el módulo PAM (el caso predeterminado y habitual), los cupones se destruyen automáticamente al finalizar la sesión, de forma que no es necesario agregar una llamada a kdestroy en su archivo .logout. Sin embargo, si no se ha configurado el módulo PAM o si desconoce esta circunstancia, puede que desee agregar kdestroy a su archivo .login para asegurarse de que se destruyan los cupones cuando salga del sistema.