Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
¿Por qué planificar implementaciones Kerberos?
Planificación de dominios Kerberos
Asignación de nombres de host en dominios
Puertos para KDC y servicios de administración
Asignación de credenciales GSS a credenciales UNIX
Migración de usuario automática a dominio Kerberos
Qué sistema de propagación de base de datos se debe utilizar
Sincronización de reloj dentro de un dominio
Opciones de configuración de cliente
Mejora de seguridad de inicio de sesión de cliente
Opciones de configuración de KDC
URL de ayuda en pantalla en la herramienta gráfica de administración de Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Cuando se utiliza el servicio Kerberos, DNS debe estar habilitado en todos los hosts. Con DNS, el principal debe contener el nombre de dominio completo (FQDN) de cada host. Por ejemplo, si el nombre de host es boston, el nombre de dominio DNS es example.com y el nombre de dominio es EXAMPLE.COM, entonces el nombre de principal para el host debe ser host/boston.example.com@EXAMPLE.COM. Los ejemplos de este manual requieren que DNS esté configurado y el uso de FQDN para cada host.
El servicio Kerberos pone en forma canónica nombres de alias de host a través de DNS y utiliza la forma canónica (cname) al construir el principal de servicio para el servicio asociado. Por lo tanto al crear un principal de servicio, el componente de nombre de host de nombres de principal de servicio debe ser la forma canónica del nombre de host del sistema donde se aloja el servicio.
A continuación, se muestra un ejemplo de cómo el servicio Kerberos pone en forma canónica el nombre de host. Si un usuario ejecuta el comando "ssh alpha.example.com" donde alpha.example.com es un alias de host DNS para el cname beta.example.com. Cuando ssh llama a Kerberos y solicita un ticket de servicio de host para alpha.example.com, el servicio Kerberos pone en forma canónica alpha.example.com a beta.example.com y solicita un ticket para el principal de servicio “host/beta.example.com” desde el KDC.
Para los nombres de principal que incluyen el FQDN de un host, es importante hacer coincidir la cadena que describe el nombre de dominio DNS en el archivo /etc/resolv.conf. El servicio Kerberos requiere que el nombre de dominio DNS esté en letras minúsculas cuando se especifica el FQDN para un principal. El nombre de dominio DNS puede incluir letras mayúsculas y minúsculas, pero sólo utilice letras minúsculas cuando cree un principal de host. Por ejemplo, no importa si el nombre de dominio DNS es example.com, Example.COM o cualquier otra variación. El nombre de principal para el host seguiría siendo host/boston.example.com@EXAMPLE.COM.
Además, la utilidad de gestión de servicios se ha configurado de modo que muchos de los daemons o comandos no se inicien si el servicio de cliente DNS no está en ejecución. Los daemons kdb5_util, kadmind y kpropd, como también el comando kprop están todos configurados según el servicio DNS. Para utilizar completamente las funciones disponibles mediante el servicio Kerberos y SMF, debe habilitar el servicio de cliente DNS en todos los hosts.