Concesión de acceso a su cuenta

Si necesita dar acceso a otra persona para iniciar una sesión en su cuenta, puede hacerlo a través de Kerberos sin revelar su contraseña colocando un archivo .k5login en su directorio de inicio. El archivo .k5login es una lista de uno o varios principales de Kerberos que corresponden a cada persona a las que desee conceder acceso (cada principal debe estar en una línea aparte).

Suponga que el usuario david mantiene un archivo .k5login en su directorio de inicio que tiene el aspecto siguiente:

susana@ENG.ACME.COM 
juan@ACME.ORG  

Este archivo permite a los usuarios susana y juan que asuman la identidad de david, siempre que ya tengan cupones de Kerberos en sus ámbitos respectivos. Por ejemplo, susana puede hacer un rlogin en la máquina de david (madrid), como él sin tener que escribir su contraseña:

Figura 6-1 Uso del archivo .k5login

(En el caso en que el directorio de inicio de david esté montado por NFS mediante los protocolos de Kerberos V5 desde otra (tercera) máquina, susana debe tener un cupón remitible para poder acceder a su directorio de inicio. Véase "Creación de un cupón" para obtener un ejemplo del uso de un cupón remitible).

Si inicia sesiones en otras máquinas a través de una red, deseará incluir su propio principal de Kerberos en los archivos .k5login de esas máquinas.

Utilizar un archivo .k5login es mucho más seguro que dar su contraseña:

• Puede revocar el acceso en cualquier momento eliminando el principal o principales de su archivo .k5login.

• Aunque los usuarios que aparecen en el archivo .k5login de su directorio de inicio tienen acceso completo a su cuenta en esa máquina (o conjuntos de máquinas, si el archivo .k5login está compartido, por ejemplo, a través de NFS), no heredan sus privilegios de red; es decir, los servicios adaptados a Kerberos autorizarán el acceso según la identidad del usuario, no la suya. Así, susana puede iniciar una sesión en la máquina de juan y realizar tareas allí, pero si utiliza programas adaptados a Kerberos como ftp o rlogin lo hará como sí misma.

• Kerberos mantiene un registro de quién obtiene los cupones, de forma que un administrador del sistema puede averiguar, si fuera necesario, quién puede obtener su identidad de usuario en un momento dado.

Una forma habitual de utilizar el archivo .k5login es colocarlo en el directorio de inicio de root, para dar acceso de root para esa máquina a los principales de Kerberos de la lista. Esto permite a los administradores de sistemas convertirse en root localmente o iniciar una sesión remota como root sin tener que dar la contraseña del usuario root y sin que nadie tenga que escribir esta contraseña a través de la red.

Ejemplo: uso del archivo .k5login

Suponga que susana decide iniciar una sesión en la máquina madrid.acme.com como root. Como tiene una entrada para su nombre de principal en el archivo .k5login del directorio de inicio de root de madrid.acme.com no es necesario que escriba su contraseña:

% rlogin madrid.acme.com -l root -x
Esta sesión rlogin utiliza la encriptación DES para todas las transmisiones 
de datos. 
Último inicio de sesión: Jue 20 Jun 16:20:50 desde daffodil  
SunOS Release 5.7 (GENERIC) #2: Mar 14 Nov 18:09:31 EST 1998  
madrid[root]%