Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
Configuración del servicio Kerberos (mapa de tareas)
Configuración de servicios Kerberos adicionales (mapa de tareas)
Configuración de servidores KDC
Cómo configurar manualmente un KDC maestro
Cómo configurar un KDC para utilizar un servidor de datos LDAP
Cómo configurar manualmente un KDC esclavo
Cómo actualizar las claves del servicio de otorgamiento de tickets en un servidor maestro
Configuración de autenticación entre dominios
Cómo establecer la autenticación entre dominios jerárquica
Cómo establecer la autenticación entre dominios directa
Configuración de servidores de aplicaciones de red de Kerberos
Cómo configurar un servidor de aplicaciones de red de Kerberos
Configuración de servidores NFS con Kerberos
Cómo configurar servidores NFS con Kerberos
Cómo crear una tabla de credenciales
Cómo agregar una única entrada a la tabla de credenciales
Cómo proporcionar asignación de credenciales entre dominios
Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos
Configuración de clientes Kerberos
Configuración de clientes Kerberos (mapa de tareas)
Cómo crear un perfil de instalación de cliente Kerberos
Cómo configurar automáticamente un cliente Kerberos
Cómo configurar interactivamente un cliente Kerberos
Cómo configurar manualmente un cliente Kerberos
Cómo deshabilitar la verificación del ticket de otorgamiento de tickets (TGT)
Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root
Cómo configurar la migración automática de usuarios en un dominio Kerberos
Sincronización de relojes entre clientes Kerberos y KDC
Intercambio de un KDC maestro y un KDC esclavo
Cómo configurar un KDC esclavo intercambiable
Cómo intercambiar un KDC maestro y un KDC esclavo
Administración de la base de datos de Kerberos
Copia de seguridad y propagación de la base de datos de Kerberos
Cómo realizar copias de seguridad de la base de datos de Kerberos
Cómo restaurar la base de datos de Kerberos
Cómo convertir una base de datos de Kerberos después de una actualización de servidor
Cómo reconfigurar un KDC maestro para utilizar la propagación incremental
Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental
Cómo configurar un KDC esclavo para utilizar la propagación completa
Cómo verificar que los servidores KDC estén sincronizados
Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos
Configuración de propagación en paralelo
Pasos de configuración para la propagación en paralelo
Administración del archivo intermedio
Cómo eliminar un archivo intermedio
Gestión de un KDC en un servidor de directorios LDAP
Cómo destruir un dominio en un servidor de directorios LDAP
Aumento de la seguridad en servidores Kerberos
Cómo habilitar sólo aplicaciones Kerberizadas
Cómo restringir el acceso a servidores KDC
Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Los servicios NFS utilizan ID de usuario (UID) de UNIX para identificar a un usuario y no pueden utilizar directamente credenciales GSS. Para traducir la credencial a un UID, es posible que se deba crear una tabla de credenciales que asigne credenciales de usuario a UID de UNIX. Consulte Asignación de credenciales GSS a credenciales UNIX para obtener más información sobre la asignación predeterminada de credenciales. Los procedimientos de esta sección se centran en las tareas que se necesitan para configurar un servidor NFS con Kerberos, administrar la tabla de credenciales e iniciar los modos de seguridad de Kerberos para sistemas de archivos montados en NFS. En el siguiente mapa de tareas, se describen las tareas que se tratan en esta sección.
Tabla 23-2 Configuración de servidores NFS con Kerberos (mapa de tareas)
|
En este procedimiento, se utilizan los siguientes parámetros de configuración:
Nombre de dominio = EXAMPLE.COM
Nombre de dominio DNS = example.com
Servidor NFS = denver.example.com
Principal admin = kws/admin
El KDC maestro debe estar configurado. Para probar completamente el proceso, necesita varios clientes.
No es necesario instalar ni utilizar el protocolo de hora de red (NTP). Sin embargo, cada reloj debe estar sincronizado con la hora en el servidor KDC dentro de una diferencia máxima definida por la relación clockskew en el archivo krb5.conf para que la autenticación se realice con éxito. Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener información sobre el NTP.
Siga las instrucciones en Configuración de clientes Kerberos.
Si desea obtener información sobre cómo utilizar la herramienta gráfica de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. Para ello, debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro. Sin embargo, el siguiente ejemplo muestra cómo agregar los principales necesarios mediante la línea de comandos.
denver # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
Tenga en cuenta que cuando la instancia de principal es un nombre de host, el FQDN se debe especificar en letras minúsculas, independientemente de si el nombre de dominio está en mayúsculas o minúsculas, en el archivo /etc/resolv.conf.
Repita este paso para cada interfaz única en el sistema que pueda ser utilizada para acceder a datos de NFS. Si un host tiene varias interfaces con nombres únicos, cada nombre único debe tener su propio principal de servicio NFS.
kadmin: addprinc -randkey nfs/denver.example.com Principal "nfs/denver.example.com" created. kadmin:
Repita este paso para cada principal de servicio único creado en el Paso a.
kadmin: ktadd nfs/denver.example.com Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs denver.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal nfs/denver.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
Normalmente, el servicio Kerberos genera asignaciones adecuadas entre las credenciales GSS y los UID de UNIX. La asignación predeterminada se describe en Asignación de credenciales GSS a credenciales UNIX. Si la asignación predeterminada no es suficiente, consulte Cómo crear una tabla de credenciales para obtener más información.
Consulte Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos para obtener más información.
La tabla de credenciales gsscred es utilizada por un servidor NFS para asignar credenciales Kerberos a un UID. De manera predeterminada, la parte principal del nombre del principal se compara con un nombre de inicio de sesión de UNIX. Para que los clientes NFS monten sistemas de archivos de un servidor NFS con autenticación Kerberos, esta tabla se debe crear si la asignación predeterminada no es suficiente.
Cambie el mecanismo a files.
# gsscred -m kerberos_v5 -a
El comando gsscred recopila información de todos los orígenes que se muestran con la entrada passwd en el archivo /etc/nsswitch.conf. Es posible que necesite eliminar temporalmente la entrada files si no desea las entradas de contraseñas locales incluidas en la tabla de credenciales. Consulte la página del comando man gsscred(1M) para obtener más información.
Antes de empezar
Este procedimiento requiere que la tabla gsscred ya se haya creado en el servidor NFS. Consulte Cómo crear una tabla de credenciales para obtener instrucciones.
# gsscred -m mech [ -n name [ -u uid ]] -a
Define el mecanismo de seguridad que se va a utilizar.
Define el nombre de principal para el usuario, como se define en el KDC.
Define el UID para el usuario, como se define en la base de datos de contraseñas.
Agrega el UID a la asignación del nombre de principal.
Ejemplo 23-2 Adición de un principal de componente múltiple a la tabla de credenciales
En el siguiente ejemplo, se agrega una entrada para un principal denominado sandy/admin, que está asignado al UID 3736.
# gsscred -m kerberos_v5 -n sandy/admin -u 3736 -a
Ejemplo 23-3 Adición de un principal de un dominio diferente en la tabla de credenciales
En el siguiente ejemplo, se agrega una entrada para un principal denominado sandy/admin@EXAMPLE.COM, que está asignado al UID 3736.
# gsscred -m kerberos_v5 -n sandy/admin@EXAMPLE.COM -u 3736 -a
Este procedimiento proporciona una asignación de credenciales apropiada entre dominios que utilizan el mismo archivo de contraseña. En este ejemplo, los dominios CORP.EXAMPLE.COM y SALES.EXAMPLE.COM utilizan el mismo archivo de contraseña. Las credenciales para bob@CORP.EXAMPLE.COM y bob@SALES.EXAMPLE.COM están asignadas al mismo UID.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
Ejemplo 23-4 Asignación de credenciales entre dominios mediante el mismo archivo de contraseña
Este ejemplo proporciona una asignación de credenciales apropiada entre dominios que utilizan el mismo archivo de contraseña. En este ejemplo, los dominios CORP.EXAMPLE.COM y SALES.EXAMPLE.COM utilizan el mismo archivo de contraseña. Las credenciales para bob@CORP.EXAMPLE.COM y bob@SALES.EXAMPLE.COM están asignadas al mismo UID. En el sistema cliente, agregue entradas al archivo krb5.conf.
# cat /etc/krb5/krb5.conf [libdefaults] default_realm = CORP.EXAMPLE.COM . [realms] CORP.EXAMPLE.COM = { . auth_to_local_realm = SALES.EXAMPLE.COM . }
Errores más frecuentes
Consulte Observación de asignación de credenciales GSS a credenciales UNIX para obtener ayuda con el proceso de resolución de problemas de asignación de credenciales.
Este procedimiento permite que un servidor NFS proporcione acceso seguro al NFS mediante diferentes tipos o modos de seguridad. Cuando un cliente negocia un tipo de seguridad con el servidor NFS, se utiliza el primer tipo ofrecido por el servidor al cual el cliente tiene acceso. Este tipo se utiliza para todas las solicitudes de cliente posteriores del sistema de archivos compartidas por el servidor NFS.
El comando klist informa si hay un archivo keytab y muestra los principales. Si los resultados muestran que no existe ningún archivo keytab o que no existe ningún principal de servicio NFS, debe verificar que se hayan completado todos los pasos en Cómo configurar servidores NFS con Kerberos.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- --------------------------------------------------------- 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM 3 nfs/denver.example.com@EXAMPLE.COM
Edite el archivo /etc/nfssec.conf y elimine el símbolo “#” que se encuentra delante de los modos de seguridad de Kerberos.
# cat /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS krb5p 390005 kerberos_v5 default privacy # RPCSEC_GSS
share -F nfs -o sec=mode file-system
Especifica los modos de seguridad que se utilizarán al compartir el sistema de archivos. Cuando se utilizan varios modos de seguridad, el primero en la lista se utiliza de manera predeterminada.
Define la ruta al sistema de archivos que se va a compartir.
Todos los clientes que intentan acceder a los archivos desde el sistema de archivos especificado requieren autenticación Kerberos. Para acceder a los archivos, el principal de usuario en el cliente NFS debe autenticarse.
Si este comando es el primer comando share o conjunto de comandos share que ha iniciado, es posible que los daemons NFS no se estén ejecutando. El siguiente comando reinicia los daemons:
# svcadm restart network/nfs/server
No es necesario que siga este procedimiento si no está utilizando el montador automático para acceder al sistema de archivos o si la selección predeterminada para el modo de seguridad es aceptable.
file-system auto_home -nosuid,sec=mode
Como alternativa, puede utilizar el comando mount para especificar el modo de seguridad, pero esta alternativa no aprovecha el montador automático.
# mount -F nfs -o sec=mode file-system
Ejemplo 23-5 Uso compartido de un sistema de archivos con un modo de seguridad de Kerberos
En este ejemplo, la línea de archivo dfstab significa que la autenticación Kerberos debe completarse correctamente para poder acceder a los archivos mediante el servicio NFS.
# grep krb /etc/dfs/dfstab share -F nfs -o sec=krb5 /export/home
Ejemplo 23-6 Uso compartido de un sistema de archivos con varios modos de seguridad de Kerberos
En este ejemplo, los tres modos de seguridad de Kerberos se han seleccionado. El modo que se utiliza se negocia entre el cliente y el servidor NFS. Si falla el primer modo en el comando, se intenta con el siguiente. Consulte la página del comando man nfssec(5) para obtener más información.
# grep krb /etc/dfs/dfstab share -F nfs -o sec=krb5:krb5i:krb5p /export/home