Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
Gestión de tickets de Kerberos
¿Debe preocuparse por los tickets?
Creación de un ticket de Kerberos
Gestión de contraseñas de Kerberos
Consejos para elegir una contraseña
Otorgamiento de acceso a su cuenta
Comandos de usuario de Kerberos
Descripción general de comandos Kerberizados
Reenvío de tickets de Kerberos
Uso de comandos Kerberizados (ejemplos)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
En esta sección, se explica cómo obtener, visualizar y destruir tickets. Para obtener una introducción a los tickets, consulte Cómo funciona el servicio Kerberos.
Con cualquiera de las versiones de SEAM o las versiones de Oracle Solaris instaladas, Kerberos está integrado en el comando login, de modo que usted obtendrá los tickets automáticamente al iniciar sesión. Los comandos Kerberizados rsh, rcp, rdist, telnet y rlogin, por lo general, están configurados para reenviar copias de los tickets a otros equipos, de modo que no es necesario solicitar explícitamente los tickets para obtener acceso a esos equipos. Es posible que la configuración no incluya este reenvío automático, pero es el comportamiento predeterminado. Consulte Descripción general de comandos Kerberizados y Reenvío de tickets de Kerberos para obtener más información sobre el reenvío de tickets.
Para obtener información sobre las duraciones de los tickets, consulte Duración de los tickets.
Normalmente, si el PAM se ha configurado correctamente, un ticket se crea automáticamente cuando inicia sesión, de modo que no tiene que hacer nada especial para obtener un ticket. Sin embargo, puede que necesite crear un ticket si su ticket caduca. Además, puede que necesite utilizar un principal diferente aparte del principal predeterminado, por ejemplo, si usa rlogin -l para iniciar sesión en un equipo como otro usuario.
Para crear un ticket, utilice el comando kinit.
% /usr/bin/kinit
El comando kinit le solicita la contraseña. Para conocer la sintaxis completa del comando kinit, consulte la página del comando man kinit(1).
Ejemplo 26-1 Creación de un ticket de Kerberos
En este ejemplo, se muestra a un usuario, jennifer, que crea un ticket en su propio sistema.
% kinit Password for jennifer@ENG.EXAMPLE.COM: <Type password>
Aquí, el usuario david crea un ticket que tiene una validez de tres horas, con la opción -l.
% kinit -l 3h david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
En este ejemplo, se muestra al usuario david, que crea un ticket reenviable (con la opción -f) para él. Con este ticket reenviable, puede, por ejemplo, iniciar sesión en un segundo sistema y, a continuación, ejecutar el comando telnet para iniciar sesión en un tercer sistema.
% kinit -f david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
Para obtener más información sobre el reenvío de tickets, consulte Reenvío de tickets de Kerberos y Tipos de tickets.
No todos los tickets son similares. Por ejemplo, un ticket puede ser reenviable. Otro ticket puede ser posfechado. Mientras que un tercer ticket puede ser reenviable y posfechado. Puede ver los tickets que tiene y sus atributos utilizando el comando klist con la opción -f:
% /usr/bin/klist -f
Los siguientes símbolos indican los atributos asociados con cada ticket, como se muestra por klist:
Preautenticado
Posfechable
Posfechado
Reenviable
Reenviado
Inicial
No válido
Que admite proxy
Proxy
Renovable
En la sección Tipos de tickets, se describen los diferentes atributos que un ticket puede tener.
Ejemplo 26-2 Visualización de tickets de Kerberos
En este ejemplo, se muestra que el usuario jennifer tiene un ticket inicial, que es reenviable (F) y posfechado (d), pero que aún no está validado (i).
% /usr/bin/klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: jennifer@EXAMPLE.COM Valid starting Expires Service principal 09 Mar 04 15:09:51 09 Mar 04 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 15:12:51, Flags: Fdi
El siguiente ejemplo muestra que el usuario david tiene dos tickets que fueron reenviados (f) al host desde otro host. Los tickets también son reenviables (F).
% klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: david@EXAMPLE.COM Valid starting Expires Service principal 07 Mar 04 06:09:51 09 Mar 04 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 17:09:51, Flags: fF Valid starting Expires Service principal 08 Mar 04 08:09:51 09 Mar 04 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 15:22:51, Flags: fF
El ejemplo siguiente muestra cómo visualizar los tipos de cifrado de la clave de sesión y el ticket mediante la opción -e. La opción -a se utiliza para asignar la dirección de host a un nombre de host si el servicio de nombres puede realizar la conversión.
% klist -fea Ticket cache: /tmp/krb5cc_74287 Default principal: david@EXAMPLE.COM Valid starting Expires Service principal 07 Mar 04 06:09:51 09 Mar 04 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 17:09:51, Flags: FRIA Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32 Addresses: client.example.com
Si desea destruir todos los tickets de Kerberos adquiridos durante la sesión actual, utilice el comando kdestroy. El comando destruye la antememoria de credenciales, que destruye todas las credenciales y los tickets. Si bien esto no suele ser necesario, la ejecución de kdestroy reduce las posibilidades de que la antememoria de credenciales esté en riesgo en los momentos en los que no tiene ninguna sesión iniciada.
Para destruir los tickets, utilice el comando kdestroy.
% /usr/bin/kdestroy
El comando kdestroy destruye todos los tickets. No puede utilizar este comando para destruir de manera selectiva un determinado ticket.
Si no va a utilizar el sistema y le preocupa que un intruso use sus permisos, debe utilizar kdestroy o un protector de pantalla que bloquea la pantalla.