Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
Cómo funciona el servicio Kerberos
Autenticación inicial: el ticket de otorgamiento de tickets
Autenticaciones Kerberos posteriores
Aplicaciones remotas de Kerberos
Servicios de seguridad de Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En varias de las versiones, se incluyen componentes del servicio Kerberos. Originalmente, el servicio Kerberos y los cambios realizados en el sistema operativo básico para que se admita el servicio Kerberos se lanzaron con el nombre de producto “Sun Enterprise Authentication Mechanism”, que se abrevió como SEAM. A medida que se fueron incluyendo más componentes del producto SEAM en el software de Oracle Solaris, los contenidos de la versión de SEAM fueron disminuyendo. A partir de la versión Oracle Solaris 10, se incluyen todos los componentes del producto SEAM, por lo que el producto SEAM ya no es necesario. El nombre del producto SEAM existe en la documentación por razones históricas.
En la tabla siguiente, se describen los componentes que se incluyen en cada versión. Las versiones de producto se enumeran en orden cronológico. En las secciones siguientes, se describen todos los componentes.
Tabla 19-1 Contenidos de las versiones de Kerberos
|
Para obtener más información sobre mejoras incluidas en la versión Oracle Solaris 10, consulte Componentes de Kerberos.
De manera similar a la distribución del producto Kerberos V5 del MIT, el servicio Kerberos en la versión de Oracle Solaris incluye lo siguiente:
Centro de distribución de claves (KDC):
Daemon de administración de bases de datos de Kerberos: kadmind.
Daemon de procesamiento de tickets de Kerberos: krb5kdc.
Programas de administración de bases de datos: kadmin (maestro solamente), kadmin.local y kdb5_util.
Software de propagación de bases de datos: kprop (esclavo solamente) y kpropd.
Programas de usuario para gestionar credenciales: kinit, klist y kdestroy.
Programa de usuario para cambiar la contraseña de Kerberos: kpasswd.
Aplicaciones remotas: ftp, rcp, rlogin, rsh, ssh y telnet.
Daemons de aplicaciones remotas: ftpd, rlogind, rshd, sshd y telnetd.
Utilidad de administración keytab: ktutil.
Generic Security Service Application Programming Interface (GSS-API): permite que las aplicaciones utilicen varios mecanismos de seguridad sin solicitarle que vuelva a compilar la aplicación cada vez que se agrega un mecanismo nuevo. GSS-API utiliza interfaces estándar que permiten que las aplicaciones puedan emplearse en varios sistemas operativos. GSS-API proporciona aplicaciones que pueden incluir servicios de seguridad de la integridad y la privacidad, y también autenticación. Tanto ftp como ssh utilizan GSS-API.
RPCSEC_GSS Application Programming Interface (API): permite que los servicios NFS usen la autenticación Kerberos. RPCSEC_GSS es un tipo de seguridad que proporciona servicios de seguridad que son independientes de los mecanismos que se utilizan. RPCSEC_GSS se sitúa en la parte superior de la capa de GSS-API. Cualquier mecanismo de seguridad basado en GSS_API que sea conectable puede utilizarse mediante las aplicaciones que usan RPCSEC_GSS.
Además, el servicio Kerberos en la versión de Oracle Solaris incluye lo siguiente:
Una herramienta basada en la interfaz gráfica de usuario de administración de Kerberos (gkadmin): permite administrar los principales y las políticas de los principales. Esta interfaz gráfica de usuario basada en la tecnología Java es una alternativa al comando kadmin.
Módulo de servicio Kerberos V5 para PAM: proporciona la autenticación y la gestión de cuentas, la gestión de sesiones y la gestión de contraseñas para el servicio Kerberos. Este módulo puede utilizarse para hacer que la autenticación Kerberos sea transparente para el usuario.
Módulos del núcleo: proporcionan implementaciones del servicio Kerberos basadas en el núcleo para que las utilice el servicio NFS a fin de mejorar considerablemente el rendimiento.
En esta sección figuran los cambios que están disponibles en la versión Oracle Solaris 11.
El software de Kerberos se ha sincronizado con la versión 1.8 del MIT. Se han incluido las siguientes funciones:
Los tipos de cifrado débil arcfour-hmac-md5-exp, des-cbc-md5 y des-cbc-crc no se permiten de manera predeterminada. La declaración allow_weak_crypto = true en el archivo /etc/krb5/krb5.conf se puede agregar para permitir el uso de algoritmos de cifrado más débiles.
En el archivo /etc/krb5/krb5.conf, la relación permitted_enctypes puede tomar una palabra clave opcional DEFAULT con + o – enctyp_family para agregar o quitar un tipo de cifrado específico del conjunto predeterminado.
En la mayoría de los casos, puede eliminar la necesidad de la tabla de asignación domain_realm del lado del cliente implementando compatibilidad de referencia mínima en KDC y proporcionando información de asignación a clientes a través de ese protocolo. Los clientes pueden funcionar sin ninguna tabla de asignación domain_realm enviando solicitudes para el principal de servicio name service/canonical-fqdn@LOCAL.REALM al KDC local y solicitando referencias. Esta capacidad se puede limitar a nombres de principal de servicio con tipos de nombres específicos o en formas específicas. El KDC sólo pueden utilizar su tabla de asignación domain_realm. No se pueden presentar consultas de bloque para DNS
Puede crear alias para entradas principales si utiliza un LDAP secundario para la base de datos de Kerberos. La compatibilidad de alias principal es útil si se puede acceder a un servicio mediante nombres de host diferentes o si DNS no está disponible para poner en forma canónica el nombre de host, lo que significa que se utiliza la forma corta. Puede utilizar un alias para los distintos nombres de principal con los que se conoce un servicio y el sistema sólo necesita un conjunto de claves para el principal de servicio real en su archivo keytab.
Puede utilizar la utilidad kvno para diagnosticar problemas con claves de principal de servicio que se almacenan en /etc/krb5/krb5.keytab.
El comando kadmin ktadd admite la opción -norandkey que evita que el comando kadmind cree una nueva clave al azar. La opción -norandkey puede resultar útil cuando se desea crear una tabla de claves para un principal que tiene una clave derivada de una contraseña. Puede crear una tabla de claves que puede utilizarse para ejecutar el comando kinit sin necesidad de especificar una contraseña.
Los principales se pueden bloquear después de un determinado número de errores de autenticación previa dentro de un plazo determinado. Consulte Cómo configurar el bloqueo de cuenta para obtener más información.
El indicador OK_AS_DELEGATE permite al KDC comunicar la política de dominio local con un cliente respecto de si un servidor intermedio es de confianza para aceptar credenciales delegadas. Consulte Confianza de servicios para la delegación para obtener más información.
Se ha agregado un conjunto de puntos de seguimiento definidos estáticamente a nivel de usuario para Kerberos. Estos sondeos proporcionan una vista lógica en mensajes de protocolo de Kerberos. Consulte Uso de DTrace con el servicio Kerberos para ver un ejemplo.
La secuencia de comandos kclient se ha mejorado. La secuencia de comandos incluye la capacidad de unirse a servidores de Microsoft Active Directory. Para obtener instrucciones, consulte Cómo configurar interactivamente un cliente Kerberos y Cómo configurar un cliente Kerberos para un servidor de Active Directory. Además, la secuencia de comandos incluye una opción -T que se puede utilizar para identificar tipos de servidores KDC para el cliente. Todas las opciones para esta secuencia de comandos se tratan en la página del comando man kclient(1M).
El archivo /etc/krb5/kadm5.keytab ya no es necesario. Las claves que se almacenaron en este archivo ahora se leen directamente de la base de datos de Kerberos.
Se estableció la compatibilidad para acceder a registros de políticas y principales de Kerberos mediante LDAP desde un servidor de directorios. Este cambio simplifica la administración y puede proporcionar una mayor disponibilidad en función de la implementación de los KDC y los servidores de directorios. Consulte Gestión de un KDC en un servidor de directorios LDAP para obtener una lista de los procedimientos relacionados con LDAP.
El nuevo comando kdcmgr se puede utilizar para configurar automáticamente o interactivamente cualquier KDC. Este comando crea servidores KDC maestros y esclavos. Además, cuando se utiliza con la opción status, el comando kdcmgr muestra información sobre cualquier KDC que está instalado en el host local. Busque referencias a los procedimientos interactivos y automáticos en la Tabla 21-1.
En esta versión, se agregó compatibilidad con los clientes de Oracle Solaris que no requieren configuración adicional. Se realizaron cambios en el servicio Kerberos y en algunos valores predeterminados. Los clientes de Kerberos trabajan sin configuración del lado del cliente en entornos que están adecuadamente configurados. Consulte Opciones de configuración de cliente para obtener más información.