| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
| Omitir V�nculos de navegaci�n | |
| Salir de la Vista de impresi�n | |
|
|
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
Configuración del servicio Kerberos (mapa de tareas)
Configuración de servicios Kerberos adicionales (mapa de tareas)
Configuración de servidores KDC
Cómo configurar automáticamente un KDC maestro
Cómo configurar interactivamente un KDC maestro
Cómo configurar manualmente un KDC maestro
Cómo configurar un KDC para utilizar un servidor de datos LDAP
Cómo configurar automáticamente un KDC esclavo
Cómo configurar interactivamente un KDC esclavo
Cómo configurar manualmente un KDC esclavo
Cómo refrescar las claves del servicio de otorgamiento de tickets en un servidor maestro
Configuración de autenticación entre dominios
Cómo establecer la autenticación entre dominios jerárquica
Cómo establecer la autenticación entre dominios directa
Configuración de servidores de aplicaciones de red de Kerberos
Cómo configurar un servidor de aplicaciones de red de Kerberos
Cómo utilizar el servicio de seguridad genérico con Kerberos al ejecutar FTP
Configuración de servidores NFS con Kerberos
Cómo configurar servidores NFS con Kerberos
Cómo crear una tabla de credenciales
Cómo agregar una única entrada a la tabla de credenciales
Cómo proporcionar asignación de credenciales entre dominios
Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos
Configuración de clientes Kerberos
Configuración de clientes Kerberos (mapa de tareas)
Cómo crear un perfil de instalación de cliente Kerberos
Cómo configurar automáticamente un cliente Kerberos
Cómo configurar interactivamente un cliente Kerberos
Cómo configurar un cliente Kerberos para un servidor de Active Directory
Cómo configurar manualmente un cliente Kerberos
Cómo deshabilitar la verificación del ticket de otorgamiento de tickets
Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root
Cómo configurar la migración automática de usuarios en un dominio Kerberos
Cómo configurar el bloqueo de cuenta
Sincronización de relojes entre clientes Kerberos y KDC
Intercambio de un KDC maestro y un KDC esclavo
Cómo configurar un KDC esclavo intercambiable
Cómo intercambiar un KDC maestro y un KDC esclavo
Administración de la base de datos de Kerberos
Copia de seguridad y propagación de la base de datos de Kerberos
Cómo realizar copias de seguridad de la base de datos de Kerberos
Cómo restaurar la base de datos de Kerberos
Cómo convertir una base de datos de Kerberos después de una actualización de servidor
Cómo reconfigurar un KDC maestro para utilizar la propagación incremental
Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental
Cómo configurar un KDC esclavo para utilizar la propagación completa
Cómo verificar que los servidores KDC estén sincronizados
Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos
Configuración de propagación en paralelo
Pasos de configuración para la propagación en paralelo
Administración del archivo intermedio
Cómo eliminar un archivo intermedio
Cómo emplear una nueva clave maestra
Gestión de un KDC en un servidor de directorios LDAP
Cómo destruir un dominio en un servidor de directorios LDAP
Aumento de la seguridad en servidores Kerberos
Cómo habilitar sólo aplicaciones Kerberizadas
Cómo restringir el acceso a servidores KDC
Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Los servidores de aplicaciones de red son hosts que proporcionan acceso mediante una o más de las siguientes aplicaciones de red: ftp, rcp, rlogin, rsh, ssh y telnet. Sólo se requieren unos pocos pasos para habilitar la versión de Kerberos de estos comandos en un servidor.
Este procedimiento utiliza los siguientes parámetros de configuración:
Servidor de aplicaciones = boston
Principal admin = kws/admin
Nombre de dominio DNS = example.com
Nombre de dominio = EXAMPLE.COM
Antes de empezar
Este procedimiento requiere que el KDC maestro se haya configurado. Para probar completamente el proceso, varios clientes Kerberos deben estar configurados.
Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener información sobre el NTP.
El siguiente comando informa la existencia del principal host:
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
Si el comando no devuelve un principal, cree nuevos principales mediante los siguientes pasos.
Si desea obtener información sobre cómo utilizar la herramienta de interfaz gráfica de usuario de administración de Kerberos para agregar un principal, consulte Cómo crear un nuevo principal de Kerberos. El ejemplo de los siguientes pasos muestra cómo agregar los principales necesarios mediante la línea de comandos. Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
El principal host se utiliza de las siguientes maneras:
Para autenticar el tráfico al utilizar los comandos remotos, como rsh y ssh.
Por pam_krb5 para evitar ataques de falsificación de KDC mediante el principal host a fin de verificar que la credencial de Kerberos de un usuario se haya obtenido de un KDC de confianza.
Para permitir que el usuario root adquiera automáticamente una credencial de Kerberos sin necesidad de que exista un principal root. Esto puede ser útil al realizar un montaje de NFS manual donde el recurso compartido requiere una credencial de Kerberos.
Este principal es necesario si el tráfico que utiliza la aplicación remota se va a autenticar mediante el servicio Kerberos. Si el servidor tiene varios nombres de host asociados con él, cree un principal para cada nombre de host utilizando el formato de FQDN del nombre de host.
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
Si el comando kadmin no se está ejecutando, reinícielo con un comando similar al siguiente: /usr/sbin/kadmin -p kws/admin
Si el servidor tiene varios nombres de host asociados con él, agregue un principal al archivo keytab para cada nombre de host.
kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:kadmin: quit
El servicio de seguridad genérico (GSS) se puede utilizar en aplicaciones para utilizar fácilmente Kerberos para autenticación, integridad y privacidad. Los pasos siguientes muestran cómo habilitar el servicio GSS para ProFTPD.
Estas medidas podrían no ser necesarias si los cambios se realizaron anteriormente.
ftpserver1 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
kadmin: addprinc -randkey host/ftpserver1.example.com
kadmin: ktadd host/ftpserver1.example.com
Realice los siguientes cambios en el archivo /etc/proftpd.conf.
# cat /etc/proftpd.conf #User ftp #Group ftp User root Group root UseIPv6 off LoadModule mod_gss.c GSSEngine on GSSKeytab /etc/krb5/krb5.keytab
# svcadm restart network/ftp
|