test

Sun Guía de Sun Enterprise Authentication Mechanism

Glosario

ámbito

  1. La red lógica atendida por una única base de datos de SEAM y un conjunto de Centros de distribución de claves (KDC).

  2. La tercera parte del nombre de un principal. Para el nombre de principal juan/admin@ING.ACME.COM, el ámbito es ING.ACME.COM. Véase también nombre de principal.

antememoria de credenciales

Un espacio de almacenamiento (habitualmente un archivo) que contiene las credenciales recibidas del KDC

archivo de cupón

Véase antememoria de credenciales.

archivo de reserva

Un archivo de reserva contiene una copia encriptada de la clave maestra para el KDC, que se utiliza cuando se rearranca un servidor para autenticar automáticamente el KDC antes de iniciar los procesos kadmind y krb5kdc. Como este archivo incluye la clave maestra debe protegerse, así como cualquier copia de seguridad del archivo. Si se compromete la encriptación, podría utilizarse la clave para acceder o modificar la base de datos del KDC.

autenticación

El proceso de verificar la identidad afirmada por un principal.

autenticador

Los clientes pasan los autenticadores cuando solicitan cupones (a un KDC) y servicios (a un servidor). Contienen información, generada mediante una clave de sesión que sólo conocen el cliente y el servidor, que puede demostrarse que tiene un origen reciente, para indicar así que la transacción es segura. Cuando se utiliza con un cupón, se puede utilizar un autenticador para autenticar a un principal de usuario. Un autenticador incluye el nombre de principal del usuario, la dirección IP del sistema del usuario y una marca de tiempo. A diferencia de un cupón, un autenticador sólo se puede utilizar una vez, habitualmente cuando se solicita el acceso a un servicio. Los autenticadores están encriptados mediante la clave de sesión para ese cliente y ese servidor.

autorización

El proceso de determinar si un principal puede utilizar o no un servicio, a qué objetos puede acceder el principal y el tipo de acceso permitido para cada uno.

clave

  1. Una entrada (nombre de principal) de una tabla de claves. (Véase tabla de claves).

  2. Una clave de encriptación; hay tres tipos:

    1. Una clave privada. Una clave de encriptación compartida entre un principal y el KDC, distribuida fuera de los límites del sistema. Véase también clave privada.

    2. Una clave de servicio. Esta clave sirve la misma función que la clave privada, pero la utilizan los servidores y los servicios. Véase también clave de servicio.

    3. Una clave de sesión. Una clave de encriptación temporal utilizada entre dos principales, con una vigencia definida como la duración de una única sesión. Véase también clave de sesión.

clave de servicio

Una clave de codificación compartida por un principal de servicio y el KDC que se distribuye fuera de los límites del sistema. Véase también clave.

clave de sesión

Una clave generada por el servicio de autenticación o el servicio de obtención de cupones. La clave de sesión se genera para proporcionar transacciones seguras entre un cliente y un servicio. Su vigencia está limitada a una única sesión. Véase también clave.

clave privada

Se asigna una clave a cada principal de usuario, que sólo la conocen el usuario del principal y el KDC. Para los principales de usuario, la clave se basa en la contraseña del usuario. Véase también clave.

clave secreta

Véase clave privada.

cliente

  • En concreto, un proceso que utiliza un servicio de red en nombre de un usuario; por ejemplo, una aplicación que utiliza rlogin. En algunos casos, un servidor puede ser un cliente de otro servidor o servicio.

  • Más en general, un sistema que a) recibe una credencial de Kerberos y b) utiliza un servicio proporcionado por un servidor.

Informalmente, un principal que utiliza un servicio.

confidencialidad

Véase privacidad.

credencial

Un paquete de información que incluye un cupón y una clave de sesión concordante. Se utiliza para autenticar la identidad de un principal. Véase también cupón, clave de sesión.

cupón

Un paquete de información utilizado para pasar de forma segura la identidad de un usuario a un servidor o un servicio. Un cupón sólo es válido para un único cliente y un servicio determinado de un servidor concreto. Contiene el nombre de principal del servicio, el nombre de principal del usuario, la dirección IP del sistema del usuario, una marca de tiempo y un valor para definir la vigencia del cupón. Los cupones se crean con una clave de sesión aleatoria para que la utilicen el cliente y el servidor. Una vez creado un cupón, puede volverse a utilizar hasta que caduque. Los cupones solo sirven para autenticar un cliente cuando se presentan junto con un autenticador reciente. Véase también autenticador, credencial, servicio y clave de sesión.

cupón con fecha futura

Los cupones con fecha futura son los que no se convierten en válidos hasta un tiempo especificado después de su creación. Estos cupones son útiles, por ejemplo, para los trabajos por lotes que están previstos que se ejecuten por la noche, ya que si se robara el cupón no se podría utilizar hasta que se fuera a ejecutar este trabajo. Un cupón con fecha futura se genera como no válido y permanece así hasta que a) pase su tiempo de inicio y b) el cliente solicite la validación al KDC. Normalmente, los cupones con fecha futura son válidos hasta la hora de caducidad del cupón de obtención de cupones; no obstante, si está marcado como renovable, normalmente se define su vigencia para que sea igual a la duración de la vida completa del cupón de obtención de cupones. Véase también cupón no válido, cupón renovable.

cupón delegable

Un cupón que puede utilizar un servicio en nombre de un cliente para llevar a cabo una operación para éste (por tanto, se dice que el servicio actúa como delegado del cliente). Con el cupón, el servicio puede asumir la identidad del cliente. El servicio puede utilizarla para obtener un cupón de servicio para otro servicio, pero no puede obtener un cupón de obtención de cupones. La diferencia entre un cupón delegable y un cupón remitible es que los cupones delegables sólo son válidos para una operación. Véase también cupón remitible.

cupón inicial

Un cupón que se genera directamente (es decir, que no se basa en un cupón de obtención de cupones existente). Algunos servicios, como las aplicaciones que cambian las contraseñas, pueden necesitar que los cupones estén marcados como iniciales para asegurarse de que el cliente pueda demostrar que conoce su clave secreta, ya que los cupones iniciales indican que el cliente se ha autenticado recientemente (en lugar de depender de un cupón de obtención de cupones, que puede haber estado presente durante mucho tiempo).

cupón no válido

Un cupón con fecha futura que todavía no se puede utilizar. Los servidores de aplicaciones lo rechazarán hasta que esté validado. Para ello, el cliente debe presentarlo al KDC en una solicitud de TGS, con el indicador VALIDATE definido, después de que haya pasado su tiempo inicial. Véase también cupón con fecha futura.

cupón remitible

Un cupón que puede utilizar un cliente para solicitar un cupón a un sistema remoto sin tener que llevar a cabo el proceso de autenticación completo en ese sistema. Por ejemplo, si el usuario david obtiene un cupón remitible mientras está en la máquina de susana, puede iniciar una sesión en su propia máquina sin tener que obtener un cupón nuevo (y tener que autenticarse de nuevo). Véase también cupón delegable.

cupón renovable

Como tener cupones con vidas largas es un riesgo de seguridad, pueden designarse los cupones como renovables. Éstos tienen dos horas de caducidad: la hora a la que caduca el ejemplar actual del cupón y la vigencia máxima para cualquier cupón. Si un cliente desea seguir utilizando un cupón, lo renueva antes de que se produzca la primera caducidad. por ejemplo, un cupón puede ser válido durante una hora y todos los cupones tienen una vigencia máxima de diez horas. Si el cliente que tiene el cupón desea conservarlo durante más de una hora, debe renovarlo. Cuando un cupón llega a su vigencia máxima, caduca automáticamente y no es posible renovarlo.

desviación de reloj

La cantidad de tiempo máxima en que se pueden diferenciar los relojes internos del sistema de todos los sistemas que forman parte del sistema de autenticación Kerberos. Si se supera la desviación de reloj entre cualquiera de los sistemas se rechazarán las solicitudes. La desviación del reloj se puede especificar en el archivo krb5.conf.

ejemplar

La segunda parte del nombre de un principal. Un ejemplar califica la parte primaria de un principal. En el caso de un principal de servicio, el ejemplar es necesario y se trata del nombre de dominio completo del sistema, como host/puebla.eng.acme.com. En los principales de usuario, el ejemplar es opcional; sin embargo, tenga en cuenta que juan y juan/admin son principales únicos. Véase también nombre de principal, principal de servicio y principal de usuario.

encriptación de clave privada

En la encriptación de clave privada, el remitente y el destinatario utilizan la misma clave para la encriptación. Véase también encriptación de clave pública.

encriptación de clave pública

Un sistema de encriptación en el que cada usuario tiene dos claves, una pública y una privada. En este sistema, el remitente utiliza la clave pública del destinatario para encriptar el mensaje y el destinatario utiliza una clave privada para desencriptarlo. SEAM es un sistema de clave privada. Véase también encriptación de clave privada.

FQDN

Nombre de dominio completo. Por ejemplo, puebla.mtn.acme.com (a diferencia de simplemente puebla).

GSS-API

La interfaz de programación de aplicaciones de servicios de seguridad generales. Una capa de red que proporciona la admisión de varios servicios de seguridad modulares (incluido SEAM). GSS-API proporciona servicios de autenticación de seguridad, integridad y privacidad. Véase también autenticación, integridad y privacidad.

integridad

Un servicio de seguridad que, además de la autenticación de usuarios, proporciona la validez de los datos transmitidos mediante sumas de comprobación criptográficas. Véase también autenticación, privacidad.

KDC

(Key Distribution Center, Centro de distribución de claves) Una máquina que tiene tres componentes de Kerberos V5:

  • La base de datos de principales y claves

  • El servicio de autenticación

  • El servicio de obtención de cupones

Cada ámbito tiene un KDC maestro y debe tener uno o varios KDC esclavos.

KDC esclavo

Una copia de un KDC maestro, capaz de llevar a cabo la mayoría de funciones del maestro. Habitualmente, cada ámbito tiene varios KDC esclavos (y sólo un KDC maestro). Véase también KDC, KDC maestro.

KDC maestro

El KDC principal de cada ámbito, que incluye un servidor de administración de Kerberos kadmind, y un daemon de autenticación y concesión de cupones, krb5kdc. Cada ámbito debe tener un KDC maestro como mínimo y muchos KDC duplicados, o esclavos, que proporcionan servicios de autenticación a los clientes.

Kerberos

Un servicio de autenticación, el protocolo que utiliza este servicio o el código utilizado para implementar este servicio.

SEAM es una implementación de autenticación basada ampliamente en Kerberos V5.

Aunque técnicamente son diferentes, "SEAM" y "Kerberos" se utilizan a menudo de forma intercambiable en la documentación de SEAM; lo mismo es cierto para "Kerberos" y "Kerberos V5."

Kerberos (en español cancerbero) según la mitología griega era un mastín de tres cabezas que vigilaba las puertas del Hades.

kvno

Número de versión de clave. Un número de secuencia que sigue el orden de generación de una clave determinada. El kvno superior es la clave más reciente y actual.

mecanismo

Un paquete de software que especifica técnicas criptográficas para conseguir la autenticación o la confidencialidad de los datos. Ejemplos: Kerberos V5, clave pública Diffie-Hellman.

mecanismo de seguridad

Véase mecanismo.

nombre de principal

  1. El nombre de un principal, con el formato primario/ejemplar@ÁMBITO. Véase también ejemplar, primario y ámbito.

  2. (API RPCSEC_GSS) Véase principal de cliente, principal de servidor.

norma

Un conjunto de reglas, que se inicia cuando se instala o administra SEAM y regula el uso de los cupones. Las normas pueden regular los accesos de los principales o los parámetros de los cupones tales como la vigencia.

NTP

(Network Time Protocol) Software de la Universidad de Delaware que permite gestionar la hora precisa y/o la sincronización del reloj de red en un entorno de red. En un entorno Kerberos, puede utilizar NTP para mantener el desvío del reloj.

PAM

(Pluggable Authentication Module) Una estructura que permite el uso de varios mecanismos de autenticación sin tener que recompilar los servicios que los utilizan. PAM permite la inicialización de las sesiones de SEAM al inicio de sesión.

primario

La primera parte del nombre de un principal. Véase también ejemplar, nombre de principal y ámbito.

principal

  1. Un cliente/usuario o un ejemplar de servidor/servicio con nombre único que toma parte en una comunicación de red; las transacciones de Kerberos se componen de interacciones entre los principales (principales de servicio y principales de usuario) o entre los principales y los KDC. Dicho de otra forma, un principal es una entidad única a la que Kerberos le puede asignar cupones. Véase también nombre de principal, principal de servicio y principal de usuario.

  2. (RPCSEC_GSS API) Véase principal de cliente, principal de servidor.

principal admin

Un principal de usuario con un nombre con formato nombreusuario/admin (como, por ejemplo, juan/admin). Los principales admin pueden tener más privilegios (por ejemplo, para cambiar las normas), que los principales de usuario normales. Véase también nombre de principal, principal de usuario.

principal de cliente

(API RPCSEC_GSS) Un cliente (un usuario o una aplicación) que utiliza los servicios de red protegidos por RPCSEC_GSS. Los nombres de los principales de cliente están almacenados en forma de estructuras rpc_gss_principal_t.

principal de servidor

(API RPCSEC_GSS) Un principal que proporciona un servicio. Se lmacena como una cadena ASCII en el formato servicio@sistema. Véase también principal de cliente.

principal de servicio

Un principal que proporciona la autentificación Kerberos para un servicio o servicios. Para los principales de servicio, el nombre primario es el nombre de un servicio, como ftp, y su ejemplar es el nombre de sistema completo del sistema que proporciona el servicio. Véase también principal de sistema y principal de usuario.

principal de sistema

Un ejemplar determinado de un principal de servicio en el que el principal (significado por el nombre primario host) está configurado para que proporcione un rango de servicios de red, como ftp, rcp o rlogin. host/puebla.eng.acme.com@ENG.ACME.COM es un ejemplo de principal de sistema. Véase también principal de servidor.

principal de usuario

Un principal asignado a un usuario determinado, cuyo nombre primario es un nombre de usuario y su ejemplar opcional es un nombre que se utiliza para describir el uso previsto de las credenciales correspondientes (por ejemplo, juan o juan/admin). Conocido también como ejemplar de usuario. Véase también principal de servicio.

privacidad

Un servicio de seguridad en el que se encriptan los datos transmitidos antes de que se envíen. La privacidad también incluye la integridad de los datos y la autenticación de los usuarios. Véase también autenticación, integridad y servicio.

QOP

(Quality of Protection, Calidad de protección) Un parámetro utilizado para seleccionar qué algoritmos criptográficos se utilizarán conjuntamente con el servicio de integridad o privacidad.

relación

Una variable de configuración o una relación definida en los archivos kdc.conf o krb5.conf.

SEAM

(Sun Enterprise Authentication Mechanism) Un sistema para autenticar a los usuarios a través de una red, basado en la tecnología Kerberos V5 desarrollada en el Massachusetts Institute of Technology.

"SEAM" y "Kerberos" se utilizan a menudo de forma intercambiable en la documentación de SEAM.

servicio

  1. Un recurso proporcionado a los clientes de red; a menudo proporcionado por más de un servidor. Por ejemplo, si hace un rlogin en la máquina madrid.ing.acme.com, ésta es el servidor que proporciona el servicio rlogin.

  2. Servicio de seguridad: de integridad o privacidad, que proporciona un nivel de protección adicional a la autenticación. Véase también integridad y privacidad.

servicio de seguridad

Véase servicio.

servidor

Un principal determinado que proporciona un recurso a los clientes de red. Por ejemplo, si hace un rlogin en la máquina madrid.ing.acme.com, ésta es el servidor que proporciona el servicio rlogin . Véase también principal de servicio.

servidor de aplicaciones

Véase servidor de aplicaciones de red.

servidor de aplicaciones de red

Un servidor que proporciona una aplicación de red, como ftp. Un ámbito puede contener varios servidores de aplicaciones de red.

sistema

Una máquina accesible a través de una red.

tabla de claves

Un archivo de tabla de claves que contiene una o varias claves (principales). Los sistemas o servicios utilizan un archivo tabla de claves de forma muy similar a como un usuario utiliza una contraseña.

TGS

(Ticket-Granting Service, Servicio de obtención de cupones) La parte del KDC responsable de generar los cupones.

TGT

(Ticket-Granting Ticket, Cupón de obtención de cupones) Un cupón generado por el KDC que permite que un cliente pueda solicitar cupones para otros servicios.

versión

Históricamente, una versión de seguridad y una versión de autenticación significaban lo mismo, ya que las versiones indicaban un tipo de autenticación (AUTH_UNIX, AUTH_DES, AUTH_KERB). RPCSEC_GSS también es una versión de seguridad, aunque proporciona servicios de integridad y privacidad además de la autenticación.

versión de seguridad

Véase versión.