Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
Maneras de administrar las políticas y los principales de Kerberos
Equivalentes de línea de comandos de la herramienta SEAM
El único archivo modificado por la herramienta SEAM
Funciones de impresión y ayuda en pantalla de la herramienta SEAM
Trabajo con listas extensas en la herramienta SEAM
Cómo iniciar la herramienta SEAM
Administración de los principales de Kerberos
Administración de los principales de Kerberos (mapa de tareas)
Automatización de la creación de nuevos principales de Kerberos
Cómo ver la lista de los principales de Kerberos
Cómo ver los atributos de un principal de Kerberos
Cómo crear un nuevo principal de Kerberos
Cómo duplicar un principal de Kerberos
Cómo modificar un principal de Kerberos
Cómo suprimir un principal de Kerberos
Cómo configurar valores predeterminados para crear nuevos principales de Kerberos
Cómo modificar los privilegios de administración de Kerberos
Administración de las políticas de Kerberos
Administración de las políticas de Kerberos (mapa de tareas)
Cómo ver la lista de políticas de Kerberos
Cómo ver los atributos de una política de Kerberos
Cómo crear una nueva política de Kerberos
Cómo duplicar una política de Kerberos
Cómo modificar una política de Kerberos
Cómo suprimir una política de Kerberos
Referencia de la herramienta SEAM
Descripción de los paneles de la herramienta SEAM
Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados
Administración de los archivos keytab
Administración de archivos keytab (mapa de tareas)
Cómo agregar un principal de servicio de Kerberos a un archivo keytab
Cómo eliminar un principal de servicio de un archivo keytab
Cómo visualizar la lista de claves (principales) en un archivo keytab
Cómo deshabilitar temporalmente la autenticación de un servicio en un host
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Cada host que proporciona un servicio debe tener un archivo local, denominadokeytab (la abreviatura en inglés de “tabla de claves”). El archivo keytab contiene el principal para el servicio adecuado, denominado clave de servicio. La clave de servicio es utilizada por un servicio para autenticarse a sí misma en el KDC, y sólo es conocida por Kerberos y el servicio. Por ejemplo, si tiene un servidor NFS Kerberizado, ese servidor debe tener un archivo keytab que contenga su principal de servicio nfs.
Para agregar una clave de servicio a un archivo keytab, agregue el principal de servicio correspondiente al archivo keytab de un host mediante el comando ktadd de kadmin. Como está agregando un principal de servicio a un archivo keytab, el principal ya debe existir en la base de datos de Kerberos para que kadmin pueda verificar su existencia. En el KDC maestro, el archivo keytab es ubica en /etc/krb5/kadm5.keytab, de manera predeterminada. En los servidores de aplicaciones que proporcionan servicios Kerberizados, el archivo keytab se encuentra en /etc/krb5/krb5.keytab, de manera predeterminada.
Un archivo keytab es análogo a la contraseña de un usuario. De la misma manera que es importante que los usuarios protejan sus contraseñas, es importante que los servidores de aplicaciones protejan sus archivos keytab. Siempre debe guardar los archivos keytab en un disco local y permitir su lectura sólo al usuario root. Asimismo, nunca debe enviar un archivo keytab a través una red no segura.
También hay una instancia especial en la que se debe agregar un principal root al archivo keytab de un host. Si desea que un usuario del cliente Kerberos monte sistemas de archivos NFS Kerberizados que requieren acceso equivalente a root, debe agregar el principal root del cliente al archivo keytab del cliente. De lo contrario, los usuarios deberán utilizar el comando kinit como root para obtener credenciales para el principal root del cliente cuando deseen montar un sistema de archivos NFS Kerberizado con acceso root, incluso cuando estén utilizando el montador automático.
Nota - Al configurar un KDC maestro, deberá agregar los principales kadmind y changepw al archivo kadm5.keytab.
Otro comando que puede utilizar para administrar los archivos keytab es el comando ktutil. Este comando interactivo le permite gestionar el archivo keytab de un host local sin tener privilegios de administración de Kerberos, porque ktutil no interactúa con la base de datos de Kerberos como lo hace kadmin. Por lo tanto, después de agregar un principal a un archivo keytab, puede usar ktutil para ver la lista de claves en un archivo keytab o para deshabilitar temporalmente la autenticación de un servicio.
Nota - Al cambiar un principal en un archivo keytab mediante el comando ktadd en kadmin, se genera una clave nueva y ésta se agrega al archivo keytab.
|
Para obtener más información, consulte Cómo ver la lista de los principales de Kerberos.
# /usr/sbin/kadmin
kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
Sustituye la lista de tipos de cifrado definida en el archivo krb5.conf.
Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.
Muestra menos información detallada.
Especifica el principal que se va a agregar al archivo keytab. Se pueden agregar los siguientes principales de servicio: host, root, nfs y ftp.
Especifica las expresiones de principal. Todos los principales que coinciden con las expresiones_principal se agregan al archivo keytab. Las reglas de expresión de principal son las mismas que para el comando list_principals de kadmin.
kadmin: quit
Ejemplo 25-16 Adición de un principal de servicio a un archivo keytab
En el ejemplo siguiente, se agregan los principales kadmin/kdc1.example.com y changepw/kdc1.example.com al archivo keytab de un KDC maestro. En este ejemplo, el archivo keytab debe ser el archivo que se especifica en el archivo kdc.conf.
kdc1 # /usr/sbin/kadmin.local kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.example.com changepw/kdc1.example.com Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. Entry for principal changepw/kdc1.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/kadm5.keytab. kadmin.local: quit
En el siguiente ejemplo, el principal del host de denver se agrega al archivo keytab de denver para que el KDC pueda autenticar los servicios de red de denver.
denver # /usr/sbin/kadmin kadmin: ktadd host/denver.example.com Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
# /usr/sbin/kadmin
Para obtener instrucciones detalladas, consulte Cómo visualizar la lista de claves (principales) en un archivo keytab.
kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.
Muestra menos información detallada.
Especifica el principal que se va a eliminar del archivo keytab.
Elimina todas las entradas del principal especificado cuyo número de versión de clave coincida con kvno.
Elimina todas las entradas del principal especificado.
Elimina todas las entradas del principal especificado, excepto las de los principales con el número de versión más alto.
kadmin: quit
Ejemplo 25-17 Eliminación de un principal de servicio de un archivo keytab
En el siguiente ejemplo, el principal del host dedenver se elimina del archivo keytab de denver.
denver # /usr/sbin/kadmin kadmin: ktremove host/denver.example.com@EXAMPLE.COM kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3 removed from keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit
Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Aparece la memoria intermedia de lista de claves actual.
ktutil: quit
Ejemplo 25-18 Visualización de la lista de claves (principales) en un archivo keytab
En el siguiente ejemplo, se muestra la lista de claves en el archivo /etc/krb5/krb5.keytab en el host denver.
denver # /usr/bin/ktutil ktutil: read_kt /etc/krb5/krb5.keytab ktutil: list slot KVNO Principal ---- ---- --------------------------------------- 1 5 host/denver@EXAMPLE.COM ktutil: quit
En algunas ocasiones, es posible que necesite deshabilitar temporalmente el mecanismo de autenticación de un servicio, como rlogin o ftp , en un servidor de aplicaciones de red. Por ejemplo, es posible que desee impedir que los usuarios inicien sesión en un sistema mientras usted está realizando tareas de mantenimiento. El comando ktutil le permite realizar esta tarea mediante la eliminación del principal de servicio del archivo keytab del servidor, sin necesidad de privilegios kadmin. Para volver a habilitar la autenticación, sólo necesita copiar el archivo keytab original que guardó nuevamente en su ubicación original.
Nota - De manera predeterminada, la mayoría de los servicios están configurados para requerir autenticación. Si un servicio no está configurado para requerir autenticación, el servicio sigue funcionando, aunque deshabilite la autenticación del servicio.
Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.
# /usr/bin/ktutil
ktutil: read_kt keytab
ktutil: list
Aparece la memoria intermedia de lista de claves actual. Anote el número de ranura para el servicio que desea deshabilitar.
ktutil: delete_entry slot-number
Donde número_ranura especifica el número de ranura del principal de servicio que se va a suprimir, el cual se muestra mediante el comando list.
ktutil: write_kt new-keytab
ktutil: quit
# mv new-keytab keytab
Ejemplo 25-19 Inhabilitación temporal de un servicio en un host
En el ejemplo siguiente, el servicio de host en el host denver está inhabilitado temporalmente. Para volver a habilitar el servicio de host en denver, copie el archivo krb5.keytab.temp en el archivo /etc/krb5/krb5.keytab.
denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp denver # /usr/bin/ktutil ktutil:read_kt /etc/krb5/krb5.keytab ktutil:list slot KVNO Principal ---- ---- --------------------------------------- 1 8 root/denver@EXAMPLE.COM 2 5 host/denver@EXAMPLE.COM ktutil:delete_entry 2 ktutil:list slot KVNO Principal ---- ---- -------------------------------------- 1 8 root/denver@EXAMPLE.COM ktutil:write_kt /etc/krb5/new.krb5.keytab ktutil: quit denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab