test

SEAM: Notas sobre la instalación y la versión

Contenido de los paquetes de SEAM

El software de SEAM se puede instalar en un cliente, un servidor KDC esclavo o un servidor KDC maestro. El resto de servidores (como una aplicación de SEAM o un servidor NFS SEAM) se configuran una vez instalados los paquetes de software de cliente. Cada tipo de instalación agrega uno o varios paquetes; algunos de éstos cambian archivos importantes para la seguridad del sistema.

Paquetes de cliente SEAM

Los paquetes de cliente instalan las páginas del comando man de SEAM, las aplicaciones de Kerberos (como klist), las aplicaciones de administración (kadmin y gkadmin), así como los daemons y las utilidades adaptados a kerberos (por ejemplo, ftp y ftpd). Durante el proceso de instalación se editan los archivos siguientes: /etc/inetd.conf, /etc/services, /etc/pam.conf y /etc/krb5/krb5.conf. Si ha realizado modificaciones en estos archivos específicas para la sede, deberá comprobar su contenido después de la instalación.

Además, en los clientes Solaris 2.6 se instalan archivos que proporcionan la admisión de la estructura GSS_API y RPCSEC_GSS. Esto ya forma parte de la versión 7 de Solaris, en consecuencia únicamente se agregan a los clientes Solaris 2.6. Los archivos nuevos relacionados con la seguridad que se instalan incluyen /etc/gss/gsscred.conf, /etc/gss/mech, /etc/gss/qop y /etc/nfssec.conf. Además, se edita el archivo crontab para root y el archivo /etc/inetd.conf. De nuevo, si se han realizado modificaciones específicas para la sede en estos archivos, se debe comprobar el contenido después de la instalación.

Paquetes de KDC esclavo

El proceso de instalación de KDC esclavo instala todos los paquetes de cliente, así como un paquete adicional que incluye las utilidades que necesitan todos los servidores KDC. En /etc/init.d/kdc se instala una secuencia de inicio, que ejecuta los daemons de KDC esclavo. También se editan los archivos /etc/krb5/kdc.conf y /etc/inetd.conf.

Paquetes de KDC maestro

El proceso de instalación de KDC maestro instala todos los paquetes de cliente, el paquete de KDC esclavo y un paquete que incluye los archivos y utilidades que únicamente son necesarios en el servidor KDC maestro. El proceso edita el archivo crontab para root e instala una secuencia de inicio en /etc/init.d/kdc.master. También se agrega un archivo, /etc/krb5/kadm5.acl, para controlar el acceso al KDC y otro, /etc/krb5/kpropd.acl, para controlar la propagación de la base de datos del KDC. La protección de estos archivos es importante para la seguridad de la base de datos del KDC.

Modificaciones

Todas las modificaciones incluidas con la versión de SEAM son para los sistemas SolarisTM 2.6 SPARCTM e Intel. Algunas de ellas incorporan soluciones no relacionadas con SEAM, ya que tanto las modificaciones de SEAM como las que no lo son afectan al mismo binario; todas las modificaciones incluidas son oficiales.

Si desea utilizar la seguridad de Kerberos V5 con los sistemas de archivos y las exportaciones NFS, se requieren todas estas modificaciones. Si no utiliza SEAM para proteger el sistema de archivos NFS, las modificaciones no son necesarias.

Las modificaciones de Solaris tienen la numeración XXXXXX-VV, donde XXXXXX es el número de identificación base de la modificación y VV es el número de versión. Habitualmente, el número de identificación base de las modificaciones de i386 es igual al de SPARC aumentado en uno.

Sigue una lista de todas las modificaciones que se incluyen en la versión 1.0 de SEAM. Las identificaciones de modificación de SPARC se enumeran primero.

105472-04 / 105473-04: sin esta modificación, el montador automático se caerá cuando acceda a los sistemas de archivos NFS montados con la seguridad de Kerberos V5 (es decir, el servidor NFS comparte el sistema de archivos con sec= krb5, krb5i o krb5p).

105564-03 / 105565-03: sin esta modificación, el comando chgrp no funcionará en los sistemas de archivos NFS montados con la seguridad de Kerberos V5.

105615-04 / 105616-04: sin esta modificación, no podrá exportar los sistemas de archivos NFS de los servidores satisfactoriamente con un comando similar a este: share -o sec=krb5,rw=mpk16-labnets,ro=engineering /export/krb5. Los comandos menos complejos, como: share -o sec=krb5 /export/krb5, funcionarán con la modificación o sin ella.

106639-01 / 106640-01: esta modificación soluciona una pérdida de memoria que se produce al utilizar los sistemas de archivos NFS que utilizan la seguridad de Kerberos V5.

107228-01 / 107281-01: esta modificación soluciona XFN para adaptarlo a las tablas grandes adecuadas para su uso con el comando gsscred. Si opta por no utilizar XFN, no necesita esta modificación.