Archivos asociados

RPCSEC_GSS utiliza determinados archivos para almacenar información.

La tabla gsscred

Cuando un servidor recupera las credenciales de un cliente asociadas con una solicitud, puede obtener el nombre de principal del cliente (en forma de un puntero a una estructura rpc_gss_principal_t) o las credenciales de UNIX locales (UID) para ese cliente. Los servicios como NFS necesitan una credencial de UNIX local para la comprobación del acceso, pero puede que otros no; por ejemplo, pueden almacenar el nombre de principal directamente en sus propias listas de control de acceso, como una estructura rpc_gss_principal_t.

La correspondencia entre la credencial de red de un cliente (su nombre de principal) y cualquier credencial de UNIX local no es automática; debe haber sido definida de forma explícita por el administrador de seguridad local.

El archivo gsscred contiene las credenciales de UNIX y de red (por ejemplo, las de Kerberos V5) del cliente (las segundas credenciales son la representación Hexadecimal-ASCII de la estructura rpc_gss_principal_t). Se accede a través de XFN; por tanto, esta tabla se puede implementar a través de files, NIS, NIS+ o cualquier servicio de nombres futuro que admita XFN. Esta tabla aparece en la jerarquía de XFN como esta_unidad_org/service/gsscred. La tabla gsscred se mantiene mediante la utilidad gsscred, que permite a los administradores agregar y suprimir usuarios y mecanismos.

/etc/gss/qop y /etc/gss/mech

Por comodidad, RPCSEC_GSS utiliza literales de cadena para representar a los parámetros de los mecanismos y la Calidad de protección (QOP). Sin embargo, los mecanismos subyacentes propiamente dichos, necesitan que los mecanismos estén representados por identificadores de objetos y QOP por enteros de 32 bits. Además, debe especificarse para cada mecanismo la biblioteca compartida que implementa sus servicios.

El archivo /etc/gss/mech almacena la información siguiente sobre todos los mecanismos instalados en un sistema: el nombre del mecanismo en ASCII; su OID; la biblioteca compartida que implementa los servicios que proporciona este mecanismo; y, opcionalmente, el módulo del núcleo que implementa el servicio. Una línea de ejemplo puede tener el aspecto siguiente:

kerberos_v5   1.2.840.113554.1.2.2    gl/mech_krb5.so gl_kmech_krb5

El archivo /etc/gss/qop almacena, para todos los mecanismos instalados, todas las QOP admitidas por cada mecanismo como una cadena ASCII y como su correspondiente entero de 32 bits.

Tanto /etc/gss/mech como /etc/gss/qop se crean cuando se instalan los mecanismos de seguridad por primera vez en un sistema dado.

Como muchas de las rutinas de RPC del núcleo utilizan valores de no cadena para representar el mecanismo y la QOP, las aplicaciones pueden utilizar las funciones rpc_gss_mech_to_oid() y rpc_gss_qop_to_num() para obtener los equivalentes de no cadena para estos parámetros, en caso que necesiten aprovechar estas rutinas del núcleo.