Archivos de SEAM
Tabla 7-1 Archivos de SEAM|
Nombre de archivo |
Descripción |
|---|---|
|
~/.gkadmin |
Valores predeterminados para crear los principales nuevos en la herramienta de administración de SEAM |
|
~/.k5login |
Lista de principales a los que se concederá el acceso a una cuenta de Kerberos |
|
/etc/gss/gsscred.conf |
Tipos de archivo predeterminados para la tabla gsscred |
|
/etc/gss/mech |
Mecanismos para RPCSEC_GSS |
|
/etc/gss/qop |
Parámetros de Calidad de protección para RPCSEC_GSS |
|
/etc/init.d/kdc |
Secuencia de init para iniciar o parar krb5kdc |
|
/etc/init.d/kdc.master |
Secuencia de init para iniciar o parar kadmind |
|
/etc/krb5/kadm5.acl |
Archivo de lista de control de acceso de Kerberos; incluye los nombres de principal de los administradores del KDC y sus privilegios de administración de Kerberos |
|
/etc/krb5/kadm5.keytab |
Tabla de claves para el servicio kadmin del KDC maestro |
|
/etc/krb5/kdc.conf |
Archivo de configuración del KDC |
|
/etc/krb5/kpropd.acl |
Archivo de configuración de propagación de bases de datos de Kerberos |
|
/etc/krb5/krb5.conf |
Archivo de configuración de ámbitos de Kerberos |
|
/etc/krb5/krb5.keytab |
Tabla de claves para los servidores de aplicaciones de red |
|
/etc/krb5/warn.conf |
Archivo de configuración de advertencia de Kerberos |
|
/etc/pam.conf |
Archivo de configuración de PAM |
|
/tmp/krb5cc_uid |
Antememoria de credenciales predeterminadas (uid es el UID decimal del usuario) |
|
/tmp/ovsec_adm.xxxxxx |
Antememoria de credenciales temporal para la vigencia de la operación de cambio de contraseña (xxxxxx es una cadena aleatoria) |
|
/var/krb5/.k5.ÁMBITO |
Archivo de reserva del KDC; contiene una copia encriptada de la clave maestra del KDC |
|
/var/krb5/kadmin.log |
Archivo de registro para kadmind |
|
/var/krb5/kdc.log |
Archivo de registro para el KDC |
|
/var/krb5/principal.db |
Base de datos de principales de Kerberos |
|
/var/krb5/principal.kadm5 |
Base de datos administrativa de Kerberos; contiene información sobre las normas |
|
/var/krb5/principal.kadm5.lock |
Archivo de bloqueo de la base de datos administrativa de Kerberos |
|
/var/krb5/principal.ok |
Archivo de inicialización de la base de datos de principales de Kerberos; se crea cuando se inicializa satisfactoriamente la base de datos de Kerberos |
|
/var/krb5/slave_datatrans |
Archivo de copia de seguridad del KDC que utiliza kprop_script para la propagación |
Archivo de configuración de PAM
El archivo de configuración de PAM predeterminado que se proporciona con SEAM incluye entradas para manejar las nuevas aplicaciones adaptadas a Kerberos. El archivo nuevo contiene entradas para los módulos del servicio de autenticación, la gestión de cuentas, de sesiones y de contraseñas.
Para el módulo de autenticación, las nuevas entradas son para rlogin, login, dtlogin, krlogin, ktelnet y krsh. A continuación se muestra un ejemplo de estas entradas. Todos estos servicios utilizan la nueva biblioteca PAM, /usr/lib/security/pam_krb5.so.1, para proporcionar la autenticación Kerberos.
Las tres primeras entradas utilizan la opción try_first_pass, que solicitan la autenticación mediante la contraseña inicial del usuario. Utilizar la contraseña inicial significa que no se solicitará otra contraseña al usuario incluso si hay enumerados varios mecanismos.
Las tres entradas siguientes utilizan la opción acceptor para evitar que el módulo PAM realice el paso para obtener el cupón de obtención de cupones inicial. Para las aplicaciones de servidor adaptadas a Kerberos la aplicación ya realiza el intercambio, de forma que no es necesario hacer el paso mediante PAM. Además, se incluye una entrada other como la predeterminada para todas las entradas no especificadas que requieran autenticación.
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
Para la gestión de cuentas, dtlogin tiene una entrada nueva que utiliza la biblioteca de Kerberos, como se muestra a continuación. Se incluye una entrada other para proporcionar una regla predeterminada. Actualmente, la entrada other no realiza ninguna acción.
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
A continuación se muestran las dos últimas entradas del archivo /etc/pam.conf. La entrada other para la gestión de sesiones destruye las credenciales de usuario. La nueva entrada other para la gestión de contraseñas selecciona la biblioteca de Kerberos.
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates