Visión general de los comandos adaptados a Kerberos
Los servicios de red adaptados a Kerberos son los programas que conectan con otra máquina situada en alguna parte de Internet. Estos programas están situados en /usr/krb5/bin; defina su variable PATH para que aparezcan antes de las versiones no Kerberos. Estos programas son:
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
Estos programas reúnen todas las funciones originales de sus equivalentes no Kerberos correspondientes. También tienen funciones adicionales que utilizan sus cupones de Kerberos de forma transparente para negociar la autenticación (y la encriptación opcional) con el sistema remoto. En la mayoría de casos, sólo verá que no hace falta que escriba su contraseña para utilizarlos, ya que Kerberos proporcionará por usted la prueba de su identidad.
Los programas de red de Kerberos V5 le permiten las opciones de:
-
Remitir sus cupones al otro sistema (si obtuvo inicialmente cupones remitibles)
-
Encriptación de los datos transmitidos entre usted y el sistema remoto
Nota -
Este apartado asume que ya está familiarizado con las versiones no Kerberos de estos programas y destaca las funciones de Kerberos que agrega el paquete de Kerberos V5. Para obtener descripciones detalladas de los comandos aquí descritos, véase las páginas del comando man.
Se han agregado las opciones de Kerberos siguientes a ftp, rcp, rlogin, rsh y telnet:
- -a
-
Intentar el inicio de sesión automático mediante los cupones existentes. Utiliza el nombre de usuario según lo devuelto por getlogin(), a menos que sea diferente al ID de usuario actual (véase la página del comando man telnet(1) para más detalles).
- -f
-
Remite un cupón que no permite remisión a un sistema remoto. Esta opción es mutuamente exclusiva con -F (véase a continuación); no es posible utilizarlas conjuntamente en el mismo comando.
Puede que desee remitir un cupón si tiene motivos para pensar que necesitará autenticarse a otros servicios basados en Kerberos de un tercer sistema; por ejemplo, si desea hacer rlogin a otra máquina y luego hacer rlogin desde ella a una tercera máquina.
Si su directorio de inicio del sistema remoto está montado con NFS mediante Kerberos V5, definitivamente debería utilizar un cupón remitible; de lo contrario, no podrá acceder a su directorio de inicio. Suponga que inicia una sesión en el sistema 1. Desde éste hace rlogin en su máquina de inicio, Sistema 2, que monta su directorio de inicio desde Sistema 3. A menos que haya utilizado la opción -f o -F con rlogin, no podrá acceder a su directorio de inicio, porque no es posible reenviar su cupón al sistema 3.
De forma predeterminada, kinit obtiene cupones de obtención de cupones (TGT) remitibles; sin embargo, puede que su configuración de SEAM sea diferente en este aspecto.
Para más información sobre el reenvío de cupones, véase "Reenvío de cupones con operaciones -f y -F".
- -F
-
Remitir una copia que admite su remisión de su cupón de obtención de cupones a un sistema remoto. Es similar a -f (véase más arriba), pero permite el acceso a una máquina posterior (la cuarta o quinta, por ejemplo). Por tanto, se puede considerar que la opción -F es un superconjunto de la opción -f . Aquélla es mutuamente exclusiva con ésta; no es posible utilizarlas conjuntamente en el mismo comando.
Para obtener más información sobre el reenvío de cupones, véase "Reenvío de cupones con operaciones -f y -F".
- -k ámbito
-
Solicitar cupones para el sistema remoto en el ámbito especificado, en lugar de determinar el ámbito mediante el archivo krb5.conf.
- -K
-
Utilizar sus cupones para autenticarse con el sistema remoto pero no iniciar una sesión automáticamente.
- -m mecanismo
-
Especificar qué mecanismo de GSS-API se utilizará, según está enumerado en el archivo /etc/gss/mech. El valor predeterminado es kerberos_v5.
- -x
-
Encriptar esta sesión.
- -X tipo_aut
-
Inhabilitar el tipo de autenticación tipo_aut.
Tabla 6-1, muestra qué comandos tienen opciones específicas (una "X" indica que el comando tiene esa opción).
Tabla 6-1 Opciones de Kerberos para los comandos de red|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
-a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
-X |
|
|
|
|
X |
Además, ftp permite que se defina el nivel de protección de una sesión en su indicador:
- nulo
-
Definir el nivel de protección como "nulo" (sin protección). Es el valor predeterminado.
- privado
-
Definir el nivel de protección como "privado". La confidencialidad y la integridad de las transmisiones de datos están protegidas mediante la encriptación. Sin embargo, es posible que el servicio de privacidad no esté disponible para todos los usuarios de SEAM.
- seguro
-
Definir el nivel de protección como "seguro". La integridad de las transmisiones de datos está protegida mediante la suma de comprobación criptográfica.
También puede definir el nivel de protección en el indicador de ftp introduciendo protect seguido de cualquiera de los niveles de protección mostrados anteriormente (nulo, privado o seguro).
- © 2010, Oracle Corporation and/or its affiliates