Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
Mensajes de error de la herramienta SEAM
Mensajes de error comunes de Kerberos (A-M)
Mensajes de error comunes de Kerberos (N-Z)
Resolución de problemas de Kerberos
Problemas con el formato del archivo krb5.conf
Problemas al propagar la base de datos de Kerberos
Problemas al montar un sistema de archivos NFS Kerberizado
Problemas de autenticación como root
Observación de asignación de credenciales GSS a credenciales UNIX
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
En esta sección se proporciona información acerca de la resolución de problemas del software Kerberos.
Si el archivo krb5.conf no tiene el formato correcto, es posible que se muestre el siguiente mensaje de error en la terminal o el archivo de registro:
Improper format of Kerberos configuration file while initializing krb5 library
Si hay un problema con el formato del archivo krb5.conf, los servicios asociados podrían quedar vulnerables a ataques. Debe solucionar el problema antes de permitir que se utilicen funciones de Kerberos.
Si la propagación de la base de datos de Kerberos falla, pruebe /usr/bin/rlogin -x entre el KDC esclavo y KDC maestro, y del KDC maestro al servidor KDC esclavo.
Si los KDC se han configurado para restringir el acceso, rlogin está deshabilitado y no se puede utilizar para solucionar este problema. Para habilitar rlogin en un KDC, debe habilitar el servicio eklogin.
# svcadm enable svc:/network/login:eklogin
Una vez solucionado el problema, necesita deshabilitar el servicio eklogin.
Si rlogin no funciona, es posible que los problemas se deban a los archivos keytab en los KDC. Si rlogin funciona, el problema no se encuentra en el archivo keytab o el servicio de nombres, porque rlogin y el software de propagación utilizan el mismo principal host/nombre de host. En este caso, asegúrese de que el archivo kpropd.acl sea correcto.
Si el montaje de un sistema de archivos NFS Kerberizado falla, asegúrese de que el archivo /var/rcache/root exista en el servidor NFS. Si el sistema de archivos no es propiedad de root, elimínelo e intente el montaje nuevamente.
Si tiene un problema al acceder a un sistema de archivos NFS Kerberizado, asegúrese de que el servicio gssd esté habilitado en el sistema y el servidor NFS.
Si ve el mensaje de error invalid argument o bad directory cuando intenta acceder a un sistema de archivos NFS Kerberizado, posiblemente el problema sea que no utiliza un nombre DNS completo cuando intenta montar el sistema de archivos NFS. El host que se monta no es el mismo que el nombre de host parte del principal de servicio en el archivo keytab del servidor.
Este problema también puede ocurrir si el servidor tiene varias interfaces Ethernet y ha configurado DNS para que utilice un esquema "nombre por interfaz" en lugar de un esquema "varios registros de dirección por host". Para el servicio Kerberos, debe configurar varios registros de dirección por host como se indica a continuaciónKen Hornstein, “Kerberos FAQ,” [http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#kerbdns], se accedió el 10 de marzo de 2010.:
my.host.name. A 1.2.3.4 A 1.2.4.4 A 1.2.5.4 my-en0.host.name. A 1.2.3.4 my-en1.host.name. A 1.2.4.4 my-en2.host.name. A 1.2.5.4 4.3.2.1 PTR my.host.name. 4.4.2.1 PTR my.host.name. 4.5.2.1 PTR my.host.name.
En este ejemplo, la configuración permite una referencia a las diferentes interfaces y a un único principal de servicio en lugar de tres principales de servicio en el archivo keytab del servidor.
Si falla la autenticación cuando intenta convertirse en superusuario en el sistema y ya ha agregado el principal root al archivo keytab del host, hay dos posibles problemas que debe comprobar. En primer lugar, asegúrese de que el principal root en el archivo keytab tenga un nombre de host completo como su instancia. Si es así, compruebe el archivo /etc/resolv.conf para asegurarse de que el sistema esté correctamente configurado como un cliente DNS.
Para poder supervisar las asignaciones de credenciales, primero elimine el comentario de esta línea del archivo /etc/gss/gsscred.conf.
SYSLOG_UID_MAPPING=yes
Luego, indique al servicio gssd que obtenga información del archivo /etc/gss/gsscred.conf.
# pkill -HUP gssd
Ahora debería poder controlar las asignaciones de credenciales como gssd las solicita. Las asignaciones son registradas por syslogd si el archivo syslog.conf está configurado para la utilidad de sistema auth con el nivel de seguridad debug.