Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
Configuración del servicio Kerberos (mapa de tareas)
Configuración de servicios Kerberos adicionales (mapa de tareas)
Configuración de servidores KDC
Cómo configurar manualmente un KDC maestro
Cómo configurar un KDC para utilizar un servidor de datos LDAP
Cómo configurar manualmente un KDC esclavo
Cómo actualizar las claves del servicio de otorgamiento de tickets en un servidor maestro
Configuración de autenticación entre dominios
Cómo establecer la autenticación entre dominios jerárquica
Cómo establecer la autenticación entre dominios directa
Configuración de servidores de aplicaciones de red de Kerberos
Cómo configurar un servidor de aplicaciones de red de Kerberos
Configuración de servidores NFS con Kerberos
Cómo configurar servidores NFS con Kerberos
Cómo crear una tabla de credenciales
Cómo agregar una única entrada a la tabla de credenciales
Cómo proporcionar asignación de credenciales entre dominios
Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos
Configuración de clientes Kerberos
Configuración de clientes Kerberos (mapa de tareas)
Cómo crear un perfil de instalación de cliente Kerberos
Cómo configurar automáticamente un cliente Kerberos
Cómo configurar interactivamente un cliente Kerberos
Cómo configurar manualmente un cliente Kerberos
Cómo deshabilitar la verificación del ticket de otorgamiento de tickets (TGT)
Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root
Cómo configurar la migración automática de usuarios en un dominio Kerberos
Sincronización de relojes entre clientes Kerberos y KDC
Intercambio de un KDC maestro y un KDC esclavo
Cómo configurar un KDC esclavo intercambiable
Cómo intercambiar un KDC maestro y un KDC esclavo
Administración de la base de datos de Kerberos
Copia de seguridad y propagación de la base de datos de Kerberos
Cómo realizar copias de seguridad de la base de datos de Kerberos
Cómo restaurar la base de datos de Kerberos
Cómo convertir una base de datos de Kerberos después de una actualización de servidor
Cómo reconfigurar un KDC maestro para utilizar la propagación incremental
Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental
Cómo configurar un KDC esclavo para utilizar la propagación completa
Cómo verificar que los servidores KDC estén sincronizados
Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos
Configuración de propagación en paralelo
Pasos de configuración para la propagación en paralelo
Administración del archivo intermedio
Cómo eliminar un archivo intermedio
Gestión de un KDC en un servidor de directorios LDAP
Cómo destruir un dominio en un servidor de directorios LDAP
Aumento de la seguridad en servidores Kerberos
Cómo habilitar sólo aplicaciones Kerberizadas
Cómo restringir el acceso a servidores KDC
Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Siga estos pasos para aumentar la seguridad en servidores de aplicaciones Kerberos y en servidores KDC.
Tabla 23-4 Aumento de la seguridad en servidores Kerberos (mapa de tareas)
|
Este procedimiento restringe el acceso a la red al servidor que está ejecutando telnet, ftp, rcp, rsh y rlogin para usar sólo las transacciones autenticadas de Kerberos.
Agregue la opción -a user a la propiedad exec para telnet a fin de restringir el acceso a aquellos usuarios que pueden proporcionar información de autenticación válida.
# inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
Agregue la opción -a a la propiedad exec para ftp a fin de permitir sólo conexiones autenticadas de Kerberos.
# inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
El daemon in.rshd y el daemon in.rlogind deben estar deshabilitados.
# svcadm disable network/shell # svcadm disable network/login:rlogin
Tanto los servidores KDC maestros como los servidores KDC esclavos tienen copias de la base de datos del KDC almacenadas localmente. La restricción del acceso a estos servidores para que las bases de datos sean seguras es importante para la seguridad general de la instalación de Kerberos.
Para proporcionar un servidor KDC seguro, todos los servicios de red que no son esenciales se deben deshabilitar. En función de la configuración, es posible que algunos de estos servicios ya estén deshabilitados. Compruebe el estado del servicio con el comando svcs. En la mayoría de los casos, los únicos servicios que se deberían ejecutar son krb5kdc y kadmin si el KDC es un maestro. Además, los servicios que utilizan el bucle de retorno tli (ticlts, ticotsord y ticots) pueden dejarse habilitados.
# svcadm disable network/comsat # svcadm disable network/dtspc/tcp # svcadm disable network/finger # svcadm disable network/login:rlogin # svcadm disable network/rexec # svcadm disable network/shell # svcadm disable network/talk # svcadm disable network/tname # svcadm disable network/uucp # svcadm disable network/rpc_100068_2-5/rpc_udp
Para restringir el acceso físico, asegúrese de que el servidor KDC y su monitor se encuentren en una instalación segura. Los usuarios no deben poder acceder a este servidor de ninguna forma.
Realice copias de seguridad en cinta del KDC sólo si las cintas están almacenadas de manera segura. Siga la misma práctica para las copias de los archivos keytab. Sería mejor almacenar estos archivos en un sistema de archivos local que no esté compartido con otros sistemas. El sistema de archivos de almacenamiento puede estar en el servidor KDC maestro o en cualquier KDC esclavo.
Un archivo de diccionario puede ser utilizado por el servicio Kerberos para evitar que las palabras del diccionario se usen como contraseñas al crear nuevas credenciales. Impedir el uso de términos del diccionario como contraseñas hace que sea más difícil adivinar las contraseñas. De manera predeterminada, se utiliza el archivo /var/krb5/kadm5.dict, pero está vacío.
Necesita agregar una línea para indicar al servicio que utilice un archivo de diccionario. En este ejemplo, se utiliza el diccionario que se incluye con la utilidad spell. Consulte la página del comando man kdc.conf(4) para obtener una descripción completa del archivo de configuración.
kdc1 # cat /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal admin_keytab = /etc/krb5/kadm5.keytab acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 dict_file = /usr/share/lib/dict/words }
kdc1 # svcadm restart -r network/security/krb5kdc kdc1 # svcadm restart -r network/security/kadmin