JavaScript is required to for searching.
Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
Guía de administración del sistema: servicios de seguridad
Red de tecnolog�a de Oracle
Biblioteca
PDF
Vista de impresi�n
Comentarios
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Control de acceso a dispositivos (tareas)

5.  Uso de la herramienta básica de creación de informes de auditoría (tareas)

6.  Control de acceso a archivos (tareas)

7.  Uso de la herramienta automatizada de mejora de la seguridad (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Control de acceso basado en roles (referencia)

11.  Privilegios (tareas)

12.  Privilegios (referencia)

Parte IV Servicios criptográficos

13.  Estructura criptográfica de Oracle Solaris (descripción general)

14.  Estructura criptográfica de Oracle Solaris (tareas)

15.  Estructura de gestión de claves de Oracle Solaris

Parte V Servicios de autenticación y comunicación segura

16.  Uso de servicios de autenticación (tareas)

17.  Uso de PAM

18.  Uso de SASL

19.  Uso de Oracle Solaris Secure Shell (tareas)

20.  Oracle Solaris Secure Shell (referencia)

Parte VI Servicio Kerberos

21.  Introducción al servicio Kerberos

22.  Planificación del servicio Kerberos

23.  Configuración del servicio Kerberos (tareas)

24.  Mensajes de error y resolución de problemas de Kerberos

25.  Administración de las políticas y los principales de Kerberos (tareas)

Maneras de administrar las políticas y los principales de Kerberos

Herramienta SEAM

Equivalentes de línea de comandos de la herramienta SEAM

El único archivo modificado por la herramienta SEAM

Funciones de impresión y ayuda en pantalla de la herramienta SEAM

Trabajo con listas extensas en la herramienta SEAM

Cómo iniciar la herramienta SEAM

Administración de los principales de Kerberos

Administración de los principales de Kerberos (mapa de tareas)

Automatización de la creación de nuevos principales de Kerberos

Cómo ver la lista de los principales de Kerberos

Cómo ver los atributos de un principal de Kerberos

Cómo crear un nuevo principal de Kerberos

Cómo duplicar un principal de Kerberos

Cómo modificar un principal de Kerberos

Cómo suprimir un principal de Kerberos

Cómo configurar valores predeterminados para crear nuevos principales de Kerberos

Cómo modificar los privilegios de administración de Kerberos

Administración de las políticas de Kerberos

Administración de las políticas de Kerberos (mapa de tareas)

Cómo ver la lista de políticas de Kerberos

Cómo ver los atributos de una política de Kerberos

Cómo crear una nueva política de Kerberos

Cómo duplicar una política de Kerberos

Cómo modificar una política de Kerberos

Cómo suprimir una política de Kerberos

Referencia de la herramienta SEAM

Descripción de los paneles de la herramienta SEAM

Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados

Administración de los archivos keytab

Administración de archivos keytab (mapa de tareas)

Cómo agregar un principal de servicio de Kerberos a un archivo keytab

Cómo eliminar un principal de servicio de un archivo keytab

Cómo visualizar la lista de claves (principales) en un archivo keytab

Cómo deshabilitar temporalmente la autenticación de un servicio en un host

26.  Uso de aplicaciones Kerberos (tareas)

27.  El servicio Kerberos (referencia)

Parte VII Auditoría de Oracle Solaris

28.  Auditoría de Oracle Solaris (descripción general)

29.  Planificación de la auditoría de Oracle Solaris

30.  Gestión de la auditoría de Oracle Solaris (tareas)

31.  Auditoría de Oracle Solaris (referencia)

Glosario

Índice

Administración de los archivos keytab

Cada host que proporciona un servicio debe tener un archivo local, denominadokeytab (la abreviatura en inglés de “tabla de claves”). El archivo keytab contiene el principal para el servicio adecuado, denominado clave de servicio. La clave de servicio es utilizada por un servicio para autenticarse a sí misma en el KDC, y sólo es conocida por Kerberos y el servicio. Por ejemplo, si tiene un servidor NFS Kerberizado, ese servidor debe tener un archivo keytab que contenga su principal de servicio nfs.

Para agregar una clave de servicio a un archivo keytab, agregue el principal de servicio correspondiente al archivo keytab de un host mediante el comando ktadd de kadmin. Como está agregando un principal de servicio a un archivo keytab, el principal ya debe existir en la base de datos de Kerberos para que kadmin pueda verificar su existencia. En el KDC maestro, el archivo keytab es ubica en /etc/krb5/kadm5.keytab, de manera predeterminada. En los servidores de aplicaciones que proporcionan servicios Kerberizados, el archivo keytab se encuentra en /etc/krb5/krb5.keytab, de manera predeterminada.

Un archivo keytab es análogo a la contraseña de un usuario. De la misma manera que es importante que los usuarios protejan sus contraseñas, es importante que los servidores de aplicaciones protejan sus archivos keytab. Siempre debe guardar los archivos keytab en un disco local y permitir su lectura sólo al usuario root. Asimismo, nunca debe enviar un archivo keytab a través una red no segura.

También hay una instancia especial en la que se debe agregar un principal root al archivo keytab de un host. Si desea que un usuario del cliente Kerberos monte sistemas de archivos NFS Kerberizados que requieren acceso equivalente a root, debe agregar el principal root del cliente al archivo keytab del cliente. De lo contrario, los usuarios deberán utilizar el comando kinit como root para obtener credenciales para el principal root del cliente cuando deseen montar un sistema de archivos NFS Kerberizado con acceso root, incluso cuando estén utilizando el montador automático.

Nota - Al configurar un KDC maestro, deberá agregar los principales kadmind y changepw al archivo kadm5.keytab.

Otro comando que puede utilizar para administrar los archivos keytab es el comando ktutil. Este comando interactivo le permite gestionar el archivo keytab de un host local sin tener privilegios de administración de Kerberos, porque ktutil no interactúa con la base de datos de Kerberos como lo hace kadmin. Por lo tanto, después de agregar un principal a un archivo keytab, puede usar ktutil para ver la lista de claves en un archivo keytab o para deshabilitar temporalmente la autenticación de un servicio.

Nota - Al cambiar un principal en un archivo keytab mediante el comando ktadd en kadmin, se genera una clave nueva y ésta se agrega al archivo keytab.

Administración de archivos keytab (mapa de tareas)

Tarea
Descripción
Para obtener instrucciones
Agregar un principal de servicio a un archivo keytab
Utilice el comando ktadd de kadmin para agregar un principal de servicio a un archivo keytab.
Cómo agregar un principal de servicio de Kerberos a un archivo keytab
Eliminar un principal de servicio de un archivo keytab
Utilice el comando ktremove de kadmin para eliminar un servicio de un archivo keytab.
Cómo eliminar un principal de servicio de un archivo keytab
Mostrar la lista de claves (lista de principales) en un archivo keytab
Utilice el comando ktutil para mostrar la lista de claves en un archivo keytab.
Cómo visualizar la lista de claves (principales) en un archivo keytab
Deshabilitar temporalmente la autenticación de un servicio en un host
Este procedimiento es una manera rápida de deshabilitar temporalmente la autenticación de un servicio en un host sin la necesidad de contar con privilegios kadmin.

Antes de utilizar ktutil para suprimir el principal de servicio del archivo keytab del servidor, copie el archivo keytab original en una ubicación temporal. Cuando desee habilitar el servicio nuevamente, vuelva a copiar el archivo keytab original en la ubicación correcta.
Cómo deshabilitar temporalmente la autenticación de un servicio en un host

Cómo agregar un principal de servicio de Kerberos a un archivo keytab

  1. Asegúrese de que el principal ya exista en la base de datos de Kerberos.

    Para obtener más información, consulte Cómo ver la lista de los principales de Kerberos.

  2. Conviértase en superusuario en el host en el que necesita agregar un principal al archivo keytab.
  3. Inicie el comando kadmin. 
    # /usr/sbin/kadmin
  4. Agregue un principal a un archivo keytab mediante el comando ktadd.
    kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
    -e tipo_cifrado

    Sustituye la lista de tipos de cifrado definida en el archivo krb5.conf.

    -k keytab

    Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.

    -q

    Muestra menos información detallada.

    principal

    Especifica el principal que se va a agregar al archivo keytab. Se pueden agregar los siguientes principales de servicio: host, root, nfs y ftp.

    -glob expresiones_principal

    Especifica las expresiones de principal. Todos los principales que coinciden con las expresiones_principal se agregan al archivo keytab. Las reglas de expresión de principal son las mismas que para el comando list_principals de kadmin.

  5. Salga del comando kadmin.
    kadmin: quit

Ejemplo 25-16 Adición de un principal de servicio a un archivo keytab

En el ejemplo siguiente, se agregan los principales kadmin/kdc1.example.com y changepw/kdc1.example.com al archivo keytab de un KDC maestro. En este ejemplo, el archivo keytab debe ser el archivo que se especifica en el archivo kdc.conf.

kdc1 # /usr/sbin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.example.com changepw/kdc1.example.com
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-256 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-128 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: quit

En el siguiente ejemplo, el principal del host de denver se agrega al archivo keytab de denver para que el KDC pueda autenticar los servicios de red de denver.

denver # /usr/sbin/kadmin
kadmin: ktadd host/denver.example.com
Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode
          with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Cómo eliminar un principal de servicio de un archivo keytab

  1. Conviértase en superusuario en el host con un principal de servicio que se debe eliminar de su archivo keytab.
  2. Inicie el comando kadmin. 
    # /usr/sbin/kadmin
  3. (Opcional) Para mostrar la lista actual de principales (claves) del archivo keytab, utilice el comando ktutil.

    Para obtener instrucciones detalladas, consulte Cómo visualizar la lista de claves (principales) en un archivo keytab.

  4. Elimine un principal del archivo keytab con el comando ktremove.
    kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
    -k keytab

    Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.

    -q

    Muestra menos información detallada.

    principal

    Especifica el principal que se va a eliminar del archivo keytab.

    kvno

    Elimina todas las entradas del principal especificado cuyo número de versión de clave coincida con kvno.

    all

    Elimina todas las entradas del principal especificado.

    old

    Elimina todas las entradas del principal especificado, excepto las de los principales con el número de versión más alto.

  5. Salga del comando kadmin.
    kadmin: quit

Ejemplo 25-17 Eliminación de un principal de servicio de un archivo keytab

En el siguiente ejemplo, el principal del host dedenver se elimina del archivo keytab de denver.

denver # /usr/sbin/kadmin
kadmin: ktremove host/denver.example.com@EXAMPLE.COM
kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3
  removed from keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Cómo visualizar la lista de claves (principales) en un archivo keytab

  1. Conviértase en superusuario en el host con el archivo keytab.

    Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.

  2. Inicie el comando ktutil.
    # /usr/bin/ktutil
  3. Lea el archivo keytab en la memoria intermedia de la lista de claves con el comando read_kt.
    ktutil: read_kt keytab
  4. Visualice la memoria intermedia de lista de claves con el comando list.
    ktutil: list

    Aparece la memoria intermedia de lista de claves actual.

  5. Salga del comando ktutil.
    ktutil: quit

Ejemplo 25-18 Visualización de la lista de claves (principales) en un archivo keytab

En el siguiente ejemplo, se muestra la lista de claves en el archivo /etc/krb5/krb5.keytab en el host denver.

denver # /usr/bin/ktutil
    ktutil: read_kt /etc/krb5/krb5.keytab
    ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------
   1    5 host/denver@EXAMPLE.COM
    ktutil: quit

Cómo deshabilitar temporalmente la autenticación de un servicio en un host

En algunas ocasiones, es posible que necesite deshabilitar temporalmente el mecanismo de autenticación de un servicio, como rlogin o ftp , en un servidor de aplicaciones de red. Por ejemplo, es posible que desee impedir que los usuarios inicien sesión en un sistema mientras usted está realizando tareas de mantenimiento. El comando ktutil le permite realizar esta tarea mediante la eliminación del principal de servicio del archivo keytab del servidor, sin necesidad de privilegios kadmin. Para volver a habilitar la autenticación, sólo necesita copiar el archivo keytab original que guardó nuevamente en su ubicación original.

Nota - De manera predeterminada, la mayoría de los servicios están configurados para requerir autenticación. Si un servicio no está configurado para requerir autenticación, el servicio sigue funcionando, aunque deshabilite la autenticación del servicio.

  1. Conviértase en superusuario en el host con el archivo keytab.

    Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.

  2. Guarde el archivo keytab actual en un archivo temporal.
  3. Inicie el comando ktutil.
    # /usr/bin/ktutil
  4. Lea el archivo keytab en la memoria intermedia de la lista de claves con el comando read_kt.
    ktutil: read_kt keytab
  5. Visualice la memoria intermedia de lista de claves con el comando list.
    ktutil: list

    Aparece la memoria intermedia de lista de claves actual. Anote el número de ranura para el servicio que desea deshabilitar.

  6. Para deshabilitar temporalmente un servicio de host, elimine el principal de servicio específico de la memoria intermedia de lista de claves con el comando delete_entry.
    ktutil: delete_entry slot-number

    Donde número_ranura especifica el número de ranura del principal de servicio que se va a suprimir, el cual se muestra mediante el comando list.

  7. Escriba la memoria intermedia de lista de claves en un nuevo archivo keytab mediante el comando write_kt.
    ktutil: write_kt new-keytab
  8. Salga del comando ktutil.
    ktutil: quit
  9. Mueva el nuevo archivo keytab.
    # mv new-keytab keytab
  10. Cuando desee volver a habilitar el servicio, copie el archivo keytab (original) temporal nuevamente en su ubicación original.

Ejemplo 25-19 Inhabilitación temporal de un servicio en un host

En el ejemplo siguiente, el servicio de host en el host denver está inhabilitado temporalmente. Para volver a habilitar el servicio de host en denver, copie el archivo krb5.keytab.temp en el archivo /etc/krb5/krb5.keytab.

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
   1    8 root/denver@EXAMPLE.COM
   2    5 host/denver@EXAMPLE.COM
    ktutil:delete_entry 2
    ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
   1    8 root/denver@EXAMPLE.COM
    ktutil:write_kt /etc/krb5/new.krb5.keytab
    ktutil: quit
denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab
Copyright © 2002, 2011, Oracle y/o sus subsidiarias. Todos los derechos reservados. Advertencia legal
Anterior Siguiente