Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
Descripción general de RPC segura
Autenticación Diffie-Hellman y RPC segura
Implementación de autenticación Diffie-Hellman
Administración de RPC segura (mapa de tareas)
Administración de autenticación con RPC segura (tareas)
Cómo reiniciar el servidor de claves RPC segura
Cómo configurar una clave Diffie-Hellman para un host NIS+
Cómo configurar una clave Diffie-Hellman para un usuario NIS+
Cómo configurar una clave Diffie-Hellman para un host NIS
Cómo configurar una clave Diffie-Hellman para un usuario NIS
Cómo compartir archivos NFS con autenticación Diffie-Hellman
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Al requerir autenticación para el uso de sistemas de archivos NFS montados, aumenta la seguridad de la red.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
Este procedimiento debe realizarse en cada host en el dominio NIS+. Después de que root haya ejecutado el comando keylogin, el servidor tiene credenciales de aceptador GSS-API para mech_dh y el cliente tiene credenciales de iniciador GSS-API.
Para obtener una descripción detallada de seguridad NIS+, consulte la System Administration Guide: Naming and Directory Services (NIS+).
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Agregue la siguiente línea al archivo /etc/nsswitch.conf:
publickey: nisplus
# nisinit -cH hostname
Donde nombre de host es el nombre de un servidor NIS+ de confianza que contiene una entrada en sus tablas para el sistema cliente.
Escriba los comandos siguientes:
# nisaddcred local # nisaddcred des
Si se le solicita una contraseña, el procedimiento se ha realizado correctamente.
# keylogin Password:
Ejemplo 16-1 Configuración de una nueva clave para root en un cliente NIS+
El siguiente ejemplo utiliza el host pluto para configurar earth como un cliente NIS+. Puede ignorar las advertencias. El comando keylogin se acepta al verificar que earth está correctamente configurado como un cliente NIS+ seguro.
# nisinit -cH pluto NIS Server/Client setup utility. This system is in the example.com. directory. Setting up NIS+ client ... All done. # nisaddcred local # nisaddcred des DES principal name : unix.earth@example.com Adding new key for unix.earth@example.com (earth.example.com.) Network password:<Type password> Warning, password differs from login password. Retype password: <Retype password> # keylogin Password: <Type password> #
Este procedimiento debe realizarse en cada usuario en el dominio NIS+.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Escriba el siguiente comando:
# nisaddcred -p unix.UID@domain-name -P username.domain-name. des
Tenga en cuenta que, en este caso, el nombre de usuario.nombre de dominio debe finalizar con un punto (.).
Ejemplo 16-2 Configuración de una nueva clave para un usuario NIS+
En el siguiente ejemplo, una clave para autenticación Diffie-Hellman se proporciona al usuario jdoe.
# nisaddcred -p unix.1234@example.com -P jdoe.example.com. des DES principal name : unix.1234@example.com Adding new key for unix.1234@example.com (jdoe.example.com.) Password: <Type password> Retype password:<Retype password> # rlogin rootmaster -l jdoe % keylogin Password: <Type password> %
Este procedimiento debe realizarse en cada host en el dominio NIS.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Agregue la siguiente línea al archivo /etc/nsswitch.conf:
publickey: nis
# newkey -h hostname
Donde nombre de host es el nombre del cliente.
Ejemplo 16-3 Configuración de una nueva clave para root en un cliente NIS
En el siguiente ejemplo, earth se configura como un cliente NIS seguro.
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Este procedimiento debe realizarse para cada usuario en el dominio NIS.
Antes de empezar
Sólo los administradores del sistema, cuando inician sesión en el servidor maestro NIS, pueden generar una nueva clave para un usuario.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# newkey -u username
Done nombre de usuario es el nombre del usuario. El sistema solicita una contraseña. Puede escribir una contraseña genérica. La clave privada se almacena en formato cifrado mediante la contraseña genérica.
Este comando permite a los usuarios volver a cifrar sus claves privadas con una contraseña que sólo ellos conozcan.
Nota - El comando chkey se puede utilizar para crear un nuevo par de claves para un usuario.
Ejemplo 16-4 Configuración y cifrado de una nueva clave de usuario en NIS
En este ejemplo, el superusuario configura la clave.
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Luego el usuario jdoe vuelve a cifrar la clave con una contraseña privada.
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
Este procedimiento protege los sistemas de archivos compartidos en un servidor NFS mediante la solicitud de autenticación para acceso.
Antes de empezar
La autenticación de clave pública Diffie-Hellman debe estar habilitada en la red. Para habilitar la autenticación en la red, realice una de las siguientes acciones:
El rol de administrador del sistema incluye el perfil de gestión de sistemas de archivos. Para crear el rol y asignarlo a un usuario, consulte Configuración de RBAC (mapa de tareas).
# share -F nfs -o sec=dh /filesystem
Donde sistema de archivos es el sistema de archivos que se va a compartir.
La opción -o sec=dh significa que la autenticación AUTH_DH ahora es necesaria para acceder al sistema de archivos.
# mount -F nfs -o sec=dh server:filesystem mount-point
Es el nombre del sistema que comparte sistema de archivos
Es el nombre del sistema de archivos que se comparte, como opt
Es el nombre del punto de montaje, como /opt
La opción -o sec=dh monta el sistema de archivos con autenticación AUTH_DH.