Gestión de contraseñas

Con SEAM instalado, dispone de dos contraseñas: la contraseña regular de Solaris y una contraseña de Kerberos. Puede hacer que ambas contraseñas sean iguales o diferentes.

Habitualmente, los comandos no adaptados a Kerberos como login están configurados a través de PAM para autenticarse con Kerberos y UNIX. Si tiene contraseñas diferentes, debe proporcionar ambas para iniciar una sesión con la autenticación adecuada. Sin embargo, si las dos contraseñas son iguales, la primera contraseña que escriba para UNIX también la aceptará Kerberos.

Desafortunadamente, el uso de la misma contraseña para ambos puede poner en riesgo la seguridad. Es decir, si alguien descubre su contraseña de Kerberos, su contraseña de UNIX dejará de ser secreta. Sin embargo, el uso de las mismas contraseñas para UNIX y Kerberos sigue siendo más seguro que las sedes sin Kerberos, ya que las contraseñas del entorno Kerberos no se envían a través de la red. Habitualmente, su ubicación tendrá una norma para ayudarle a determinar sus opciones.

La contraseña de Kerberos es la única forma que tiene éste para verificar una identidad. Si alguien descubre la contraseña de Kerberos, la seguridad de Kerberos desaparece, ya que esa persona puede hacerse pasar por el propietario de la contraseña (enviar correo electrónico en "su" nombre, leer, editar o suprimir sus archivos o iniciar sesiones en otros sistemas) y nadie podrá notar la diferencia. Por este motivo, es de vital importancia la elección de una buena contraseña y la conservación del secreto. Si necesita dar acceso a su cuenta a otra persona, puede hacerlo mediante Kerberos sin revelar su contraseña (véase "Concesión de acceso a su cuenta"). Nunca debe revelar su contraseña a otra persona, ni siquiera al administrador de su sistema. Además, debe cambiar su contraseña frecuentemente, en particular siempre que crea que alguien la pueda haber descubierto.

Consejos para elegir una contraseña

Una contraseña puede incluir prácticamente cualquier carácter que pueda escribir (siendo las excepciones principales las teclas de control y la de retorno). Una buena contraseña ha de ser fácil de recordar pero difícil de adivinar. Los ejemplos de malas contraseñas incluyen:

• Palabras que se pueden encontrar en un diccionario

• Cualquier nombre común o popular

• El nombre de una persona o un personaje famoso

• Cualquier forma de su nombre o su nombre de usuario (por ejemplo: al revés, repetido dos veces, etcétera).

• El nombre de su esposa, hijos o animales domésticos

• Su fecha de nacimiento o la de un familiar

• El número de la Seguridad Social, de su carnet de conducir, de su pasaporte o un número de identificación similar

• Cualquier contraseña sencilla que aparezca en este manual o en otros

Las buenas contraseñas tienen ocho caracteres de longitud como mínimo. Además, deben incluir una mezcla de caracteres, como mayúsculas y minúsculas, números y signos de puntuación. Los ejemplos de contraseñas que serían buenas si no aparecieran en este manual serían:

• Siglas, como "Eppa2gy2r" (que recuerde "El perro persigue a dos gatos y dos ratones")

• Palabras sin significado fáciles de pronunciar, como "WumpaBun" o "WangDangdoodle!"

• Frases mal escritas a propósito, como "6enpunnto" o "zarzaparrrillla"

No utilice estos ejemplos. Las contraseñas que aparecen en los manuales son las primeras que probará un intruso.

Cambio de su contraseña

Puede cambiar su contraseña de Kerberos de dos formas:

• Con el comando passwd habitual de UNIX. Cuando está instalado SEAM, el comando passwd de Solaris también solicita automáticamente una nueva contraseña de Kerberos.

  La ventaja de utilizar passwd en lugar de kpasswd es que puede establecer ambas contraseñas (UNIX y Kerberos) al mismo tiempo. Sin embargo, generalmente no tiene que cambiar ambas contraseñas con passwd; a menudo, puede cambiar sólo su contraseña de UNIX y dejar la de Kerberos sin cambios o viceversa.

  ---

  Nota -

  El comportamiento de passwd depende de cómo esté configurado el módulo PAM. En algunas configuraciones es posible que se le pida que cambie ambas contraseñas; en otras debe cambiarse la contraseña de UNIX, mientras que unas terceras requieren que se cambie la de Kerberos.

  ---

• Con el comando kpasswd. kpasswd es muy similar a passwd. Una diferencia es que kpasswd únicamente cambia las contraseñas de Kerberos; si desea cambiar su contraseña de UNIX, debe utilizar passwd.

  Otra diferencia es que kpasswd puede cambiar una contraseña para un principal de Kerberos que no sea un usuario válido de UNIX. Por ejemplo, david/admin es un principal de Kerberos pero no un usuario real de UNIX, de forma que debe utilizar kpasswd en lugar de passwd.

Después de cambiar su contraseña, el cambio tarda algún tiempo en propagarse a través de un sistema (en especial a través de una red grande). Dependiendo de como esté configurado su sistema, puede tardar de varios minutos a una hora o más. Si necesita obtener nuevos cupones de Kerberos después de cambiar su contraseña, intente primero la contraseña nueva. Si ésta no funciona, inténtelo con la antigua.

Kerberos V5 permite a los administradores de sistemas definir criterios sobre las contraseñas válidas para cada usuario, que están definidos por la norma establecida para cada usuario (o por una norma predeterminada); véase "Administración de normas" para obtener más información sobre las normas. Por ejemplo, suponga que la norma de susana (con nombre polsusana) obliga a que las contraseñas tengan ocho caracteres de longitud como mínimo e incluyan una combinación de dos tipos de caracteres como mínimo. kpasswd rechazará por tanto el intento de utilizar "pereza" como contraseña:

% kpasswd
kpasswd: Cambiando contraseña para susana@ENG.ACME.COM. 
Contraseña antigua:   <susana escribe su contraseña existente>
kpasswd: la contraseña de susana@ING.ACME.COM está controlada 
por la norma polsusana, 
que requiere un mínimo de 8 caracteres de 2 clases 
(las cinco clases son minúsculas, mayúsculas, números, puntuación 
y el resto de caracteres). 
Nueva contraseña: <susana escribe 'pereza'>
Contraseña nueva (de nuevo):  <susana vuelve a escribir 'pereza'> 
kpasswd: La contraseña nueva es demasiado corta. 
Escriba una contraseña de 4 caracteres de longitud como mínimo. 

Aquí, susana utiliza como contraseña "pereza492". que cumple los criterios porque tiene más de ocho caracteres de longitud y contiene dos tipos de caracteres distintos (números y caracteres en minúsculas):

% kp*-asswd
kpasswd: Cambiando contraseña para susana@ENG.ACME.COM. 
Contraseña antigua:  <susana escribe su contraseña existente>
kpasswd: la contraseña de susana@ING.ACME.COM está controlada 
por la norma polsusana, 
que requiere un mínimo de 8 caracteres de 2 clases 
(las cinco clases son minúsculas, mayúsculas, números, puntuación 
y el resto de caracteres). 
Nueva contraseña:  <susana escribe 'pereza492'>
Contraseña nueva (de nuevo):  <susana vuelve a escribir 'pereza492'>
Contraseña de Kerberos cambiada.

Ejemplos: cambio de su contraseña

El ejemplo siguiente muestra a david cambiando sus contraseñas de UNIX y de Kerberos con passwd.

% passwd
	passwd: Cambiando contraseña para david 
Escriba contraseña de inicio de sesión (NIS+):   <escriba la contraseña de UNIX actual>
	Nueva contraseña:                  <escriba la nueva contraseña de UNIX>
	Vuelva a escribir la contraseña:             <confirme la nueva contraseña de UNIX>
	Contraseña antigua de KRB5:             <escriba la contraseña actual de Kerberos>
	Nueva contraseña de KRB5:             <escriba la nueva contraseña de Kerberos>
	Vuelva a escribir la nueva contraseña de KRB5:<confirme la nueva contraseña de Kerberos>

En el ejemplo anterior, passwd solicita la contraseña de UNIX y la de Kerberos; sin embargo, si está definido try_first_pass en el módulo PAM, se define automáticamente la contraseña de Kerberos para que sea la misma que la de UNIX (es la configuración predeterminada). En ese caso, david debe utilizar kpasswd para definir su contraseña de Kerberos a otro valor, como se muestra a continuación.

Este ejemplo lo muestra cambiando únicamente su contraseña de Kerberos con kpasswd:

% kpasswd
kpasswd: Cambiando contraseña para david@ING.ACME.COM. 
Contraseña antigua:           <escriba la contraseña de Kerberos actual>
Nueva contraseña:           <escriba la nueva contraseña de Kerberos>
Nueva contraseña (de nuevo):   <confirme la nueva contraseña de Kerberos>
Contraseña de Kerberos cambiada.
 

En este ejemplo, david cambia la contraseña para el principal de Kerberos david/admin (que no es un usuario válido de UNIX). Para ello, debe utilizar kpasswd.

% kpasswd david/admin
kpasswd: Cambiando contraseña para david/admin. 
Contraseña antigua:		   	     <escriba la contraseña de Kerberos actual>
Nueva contraseña:			       <escriba la nueva contraseña de Kerberos>
Nueva contraseña (de nuevo):	   <confirme la nueva contraseña de Kerberos>
Contraseña de Kerberos cambiada. 
 

Concesión de acceso a su cuenta

Si necesita dar acceso a otra persona para iniciar una sesión en su cuenta, puede hacerlo a través de Kerberos sin revelar su contraseña colocando un archivo .k5login en su directorio de inicio. El archivo .k5login es una lista de uno o varios principales de Kerberos que corresponden a cada persona a las que desee conceder acceso (cada principal debe estar en una línea aparte).

Suponga que el usuario david mantiene un archivo .k5login en su directorio de inicio que tiene el aspecto siguiente:

susana@ENG.ACME.COM 
juan@ACME.ORG  

Este archivo permite a los usuarios susana y juan que asuman la identidad de david, siempre que ya tengan cupones de Kerberos en sus ámbitos respectivos. Por ejemplo, susana puede hacer un rlogin en la máquina de david (madrid), como él sin tener que escribir su contraseña:

Figura 6-1 Uso del archivo .k5login

(En el caso en que el directorio de inicio de david esté montado por NFS mediante los protocolos de Kerberos V5 desde otra (tercera) máquina, susana debe tener un cupón remitible para poder acceder a su directorio de inicio. Véase "Creación de un cupón" para obtener un ejemplo del uso de un cupón remitible).

Si inicia sesiones en otras máquinas a través de una red, deseará incluir su propio principal de Kerberos en los archivos .k5login de esas máquinas.

Utilizar un archivo .k5login es mucho más seguro que dar su contraseña:

• Puede revocar el acceso en cualquier momento eliminando el principal o principales de su archivo .k5login.

• Aunque los usuarios que aparecen en el archivo .k5login de su directorio de inicio tienen acceso completo a su cuenta en esa máquina (o conjuntos de máquinas, si el archivo .k5login está compartido, por ejemplo, a través de NFS), no heredan sus privilegios de red; es decir, los servicios adaptados a Kerberos autorizarán el acceso según la identidad del usuario, no la suya. Así, susana puede iniciar una sesión en la máquina de juan y realizar tareas allí, pero si utiliza programas adaptados a Kerberos como ftp o rlogin lo hará como sí misma.

• Kerberos mantiene un registro de quién obtiene los cupones, de forma que un administrador del sistema puede averiguar, si fuera necesario, quién puede obtener su identidad de usuario en un momento dado.

Una forma habitual de utilizar el archivo .k5login es colocarlo en el directorio de inicio de root, para dar acceso de root para esa máquina a los principales de Kerberos de la lista. Esto permite a los administradores de sistemas convertirse en root localmente o iniciar una sesión remota como root sin tener que dar la contraseña del usuario root y sin que nadie tenga que escribir esta contraseña a través de la red.

Ejemplo: uso del archivo .k5login

Suponga que susana decide iniciar una sesión en la máquina madrid.acme.com como root. Como tiene una entrada para su nombre de principal en el archivo .k5login del directorio de inicio de root de madrid.acme.com no es necesario que escriba su contraseña:

% rlogin madrid.acme.com -l root -x
Esta sesión rlogin utiliza la encriptación DES para todas las transmisiones 
de datos. 
Último inicio de sesión: Jue 20 Jun 16:20:50 desde daffodil  
SunOS Release 5.7 (GENERIC) #2: Mar 14 Nov 18:09:31 EST 1998  
madrid[root]%