Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
Descripción general de RPC segura
Autenticación Diffie-Hellman y RPC segura
Implementación de autenticación Diffie-Hellman
Administración de autenticación con RPC segura (tareas)
Administración de RPC segura (mapa de tareas)
Cómo reiniciar el servidor de claves RPC segura
Cómo configurar una clave Diffie-Hellman para un host NIS
Cómo configurar una clave Diffie-Hellman para un usuario NIS
Cómo compartir archivos NFS con autenticación Diffie-Hellman
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Al requerir autenticación para el uso de sistemas de archivos NFS montados, aumenta la seguridad de la red.
El siguiente mapa de tareas indica los procedimientos que configuran RPC segura para NIS y NFS.
|
Antes de empezar
Debe tener el rol root.
# svcs \*keyserv\* STATE STIME FMRI disabled Dec_14 svc:/network/rpc/keyserv
# svcadm enable network/rpc/keyserv
Este procedimiento debe realizarse en cada host en el dominio NIS.
Antes de empezar
Debe tener el rol root.
# svccfg -s name-service/switch listprop config config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis"
Si el valor de config/default es nis, puede detenerse aquí.
# svccfg # svccfg -s name-service/switch setprop config/publickey = astring: "nis" # svccfg -s name-service/switch:default refresh
# svccfg # svccfg -s name-service/switch listprop config application config/value_authorization astring solaris.smf.value.name-service.switch config/default astring files config/host astring "files nis dns" config/printer astring "user files nis" config/publickey astring nis
En este sistema, el valor de publickey se muestra porque es diferente del predeterminado, files.
# newkey -h hostname
Donde nombre de host es el nombre del cliente.
Ejemplo 14-1 Configuración de una nueva clave para root en un cliente NIS
En el siguiente ejemplo, earth se configura como un cliente NIS seguro. Se asigna al administrador el perfil de derechos de seguridad del servicio de nombres.
# newkey -h earth Adding new key for unix.earth@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Este procedimiento debe realizarse para cada usuario en el dominio NIS.
Antes de empezar
Sólo los administradores del sistema, cuando inician sesión en el servidor maestro NIS, pueden generar una nueva clave para un usuario. Los administradores deben tener asignado el perfil de derechos de seguridad del servicio de nombres.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# newkey -u username
Done nombre de usuario es el nombre del usuario. El sistema solicita una contraseña. Puede escribir una contraseña genérica. La clave privada se almacena en formato cifrado mediante la contraseña genérica.
Este comando permite a los usuarios volver a cifrar sus claves privadas con una contraseña que sólo ellos conozcan.
Nota - El comando chkey se puede utilizar para crear un nuevo par de claves para un usuario.
Ejemplo 14-2 Configuración y cifrado de una nueva clave de usuario en NIS
En este ejemplo, el superusuario configura la clave.
# newkey -u jdoe Adding new key for unix.12345@example.com New Password: <Type password> Retype password:<Retype password> Please wait for the database to get updated... Your new key has been successfully stored away. #
Luego el usuario jdoe vuelve a cifrar la clave con una contraseña privada.
% chkey -p Updating nis publickey database. Reencrypting key for unix.12345@example.com Please enter the Secure-RPC password for jdoe:<Type password> Please enter the login password for jdoe: <Type password> Sending key change request to centralexample...
Este procedimiento protege los sistemas de archivos compartidos en un servidor NFS mediante la solicitud de autenticación para acceso.
Antes de empezar
La autenticación de clave pública Diffie-Hellman debe estar habilitada en la red. Para habilitar la autenticación en la red, complete Cómo configurar una clave Diffie-Hellman para un host NIS.
Se debe tener asignado el perfil de derechos de gestión del sistema para realizar esta tarea.
Para obtener más información, consulte Cómo obtener derechos administrativos.
# share -F nfs -o sec=dh /filesystem
Donde sistema de archivos es el sistema de archivos que se va a compartir.
La opción -o sec=dh significa que la autenticación AUTH_DH ahora es necesaria para acceder al sistema de archivos.
# mount -F nfs -o sec=dh server:filesystem mount-point
Es el nombre del sistema que comparte sistema de archivos
Es el nombre del sistema de archivos que se comparte, como opt
Es el nombre del punto de montaje, como /opt
La opción -o sec=dh monta el sistema de archivos con autenticación AUTH_DH.