Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
¿Por qué planificar implementaciones Kerberos?
Asignación de nombres de host en dominios
Nombres de principal de servicio y cliente
Puertos para KDC y servicios de administración
Asignación de credenciales GSS a credenciales UNIX
Migración de usuario automática a dominio Kerberos
Qué sistema de propagación de base de datos se debe utilizar
Sincronización de reloj dentro de un dominio
Opciones de configuración de cliente
Mejora de seguridad de inicio de sesión de cliente
Opciones de configuración de KDC
Confianza de servicios para la delegación
URL de ayuda en pantalla en la herramienta gráfica de administración de Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Un dominio es una red lógica, que define un grupo de sistemas que están bajo el mismo KDC maestro. Al igual que al establecer un nombre de dominio DNS, cuestiones como el nombre de dominio, el número y el tamaño de cada dominio, y la relación de un dominio con otros para autenticación entre dominios deberían resolverse antes de configurar el servicio Kerberos.
Los nombres de dominio pueden constar de cualquier cadena ASCII. Normalmente, el nombre de dominio es el mismo que el nombre de dominio DNS, excepto que el nombre de dominio está en mayúscula. Esta convención puede ayudar a diferenciar problemas con el servicio Kerberos de problemas con el espacio de nombres DNS al tiempo que se utiliza un nombre que es familiar. Si no utiliza DNS o decide utilizar una cadena diferente, puede utilizar cualquier cadena. Sin embargo, el proceso de configuración requiere más trabajo. Se aconseja el uso de nombres de dominio que siguen la estructura de nombres de Internet estándar.
El número de dominios que su instalación requiere depende de varios factores:
El número de clientes que se deben admitir. Demasiados clientes en un dominio hacen que la administración sea más difícil y, finalmente, que sea necesario dividir el dominio. Los factores principales que determinan el número de clientes que se pueden admitir son los siguientes:
La cantidad de tráfico de Kerberos que cada cliente genera.
El ancho de banda de la red física.
La velocidad de los hosts.
Debido a que cada instalación tendrá diferentes limitaciones, no existe ninguna regla para determinar el número máximo de clientes.
Qué tan alejados están los clientes. La configuración de varios dominios pequeños podría tener sentido si los clientes estuvieran en diferentes regiones geográficas.
El número de hosts disponibles para ser instalados como KDC. Cada dominio debe tener, al menos, dos servidores KDC, un servidor maestro y un servidor esclavo.
Se recomienda la alineación de dominios Kerberos con dominios administrativos. Tenga en cuenta que un dominio Kerberos V puede abarcar varios subdominios del dominio DNS al que corresponde el dominio.
Cuando configura varios dominios para autenticación entre dominios, debe decidir cómo relacionar los dominios. Puede establecer una relación jerárquica entre los dominios, que proporciona rutas automáticas a los dominios relacionados. Por supuesto, todos los dominios en la cadena jerárquica deben estar correctamente configurados. La rutas automáticas pueden facilitar la carga de administración. Sin embargo, si hay muchos niveles de dominios, es posible que no desee utilizar la ruta predeterminada porque requiere demasiadas transacciones.
También puede decidir establecer la relación de confianza directamente. Una relación de confianza directa es más útil cuando existen demasiados niveles entre dos dominios jerárquicos o cuando no existe ninguna relación jerárquica. La conexión debe definirse en el archivo /etc/krb5/krb5.conf en todos los hosts que utilicen la conexión. Por lo tanto, se requiere trabajo adicional. La relación de confianza directa también se denomina como una relación transitiva. Para ver una introducción, consulte Dominios de Kerberos. Para conocer los procedimientos de configuración de varios dominios, consulte Configuración de autenticación entre dominios.