Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
Configuración del servicio Kerberos (mapa de tareas)
Configuración de servicios Kerberos adicionales (mapa de tareas)
Configuración de servidores KDC
Cómo configurar automáticamente un KDC maestro
Cómo configurar interactivamente un KDC maestro
Cómo configurar manualmente un KDC maestro
Cómo configurar un KDC para utilizar un servidor de datos LDAP
Cómo configurar automáticamente un KDC esclavo
Cómo configurar interactivamente un KDC esclavo
Cómo configurar manualmente un KDC esclavo
Cómo refrescar las claves del servicio de otorgamiento de tickets en un servidor maestro
Configuración de autenticación entre dominios
Cómo establecer la autenticación entre dominios jerárquica
Cómo establecer la autenticación entre dominios directa
Configuración de servidores de aplicaciones de red de Kerberos
Cómo configurar un servidor de aplicaciones de red de Kerberos
Cómo utilizar el servicio de seguridad genérico con Kerberos al ejecutar FTP
Configuración de servidores NFS con Kerberos
Cómo configurar servidores NFS con Kerberos
Cómo crear una tabla de credenciales
Cómo agregar una única entrada a la tabla de credenciales
Cómo proporcionar asignación de credenciales entre dominios
Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos
Configuración de clientes Kerberos
Configuración de clientes Kerberos (mapa de tareas)
Cómo crear un perfil de instalación de cliente Kerberos
Cómo configurar automáticamente un cliente Kerberos
Cómo configurar interactivamente un cliente Kerberos
Cómo configurar un cliente Kerberos para un servidor de Active Directory
Cómo configurar manualmente un cliente Kerberos
Cómo deshabilitar la verificación del ticket de otorgamiento de tickets
Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root
Cómo configurar la migración automática de usuarios en un dominio Kerberos
Cómo configurar el bloqueo de cuenta
Intercambio de un KDC maestro y un KDC esclavo
Cómo configurar un KDC esclavo intercambiable
Cómo intercambiar un KDC maestro y un KDC esclavo
Administración de la base de datos de Kerberos
Copia de seguridad y propagación de la base de datos de Kerberos
Cómo realizar copias de seguridad de la base de datos de Kerberos
Cómo restaurar la base de datos de Kerberos
Cómo convertir una base de datos de Kerberos después de una actualización de servidor
Cómo reconfigurar un KDC maestro para utilizar la propagación incremental
Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental
Cómo configurar un KDC esclavo para utilizar la propagación completa
Cómo verificar que los servidores KDC estén sincronizados
Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos
Configuración de propagación en paralelo
Pasos de configuración para la propagación en paralelo
Administración del archivo intermedio
Cómo eliminar un archivo intermedio
Cómo emplear una nueva clave maestra
Gestión de un KDC en un servidor de directorios LDAP
Cómo destruir un dominio en un servidor de directorios LDAP
Aumento de la seguridad en servidores Kerberos
Cómo habilitar sólo aplicaciones Kerberizadas
Cómo restringir el acceso a servidores KDC
Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Todos los hosts que participan en el sistema de autenticación Kerberos deben tener los relojes internos sincronizados dentro de una cantidad de tiempo máxima especificada (conocida como desfase de reloj). Este requisito proporciona otra comprobación de seguridad de Kerberos. Si el desfase del reloj se supera entre cualquiera de los hosts que participan, las solicitudes de los clientes se rechazan.
El desfase del reloj también determina el tiempo durante el cual los servidores de aplicaciones deben realizar un seguimiento de todos los mensajes del protocolo Kerberos a fin de reconocer y rechazar solicitudes reproducidas. Por lo tanto, cuanto más grande es el valor del desfase del reloj, más información tienen que recopilar los servidores de aplicaciones.
El valor predeterminado para el desfase máximo del reloj es de 300 s (5 min). Puede cambiar este valor predeterminado en la sección libdefaults del archivo krb5.conf.
Nota - Por motivos de seguridad, no aumente el desfase del reloj más allá de 300 s.
Debido a que mantener los relojes sincronizados entre los clientes Kerberos y los KDC es importante, debe utilizar el software de protocolo de hora de red (NTP) para sincronizarlos. El software de dominio público NTP de la Universidad de Delaware se incluye en el software Oracle Solaris.
Nota - Otra forma de sincronizar los relojes es utilizar el comando rdate y los trabajos cron, un proceso que puede ser menos involucrado que utilizar el NTP. Sin embargo, esta sección se centra en el uso del NTP. Y, si utiliza la red para sincronizar los relojes, el protocolo de sincronización de relojes debe ser seguro.
El NTP permite gestionar la sincronización de relojes de red o el tiempo preciso, o ambos, en un entorno de red. El NTP es, básicamente, una implementación de servidor y cliente. Elija un sistema para que sea el reloj maestro (el servidor NTP). A continuación, configure todos los otros sistemas (los clientes NTP) para sincronizar sus relojes con el reloj principal.
Para sincronizar los relojes, el NTP utiliza el daemon xntpd, que establece y mantiene una hora del día del sistema UNIX de acuerdo con los servidores de hora estándar de Internet. A continuación, se muestra un ejemplo de esta implementación de NTP de servidor y cliente.
Figura 21-1 Sincronización de relojes mediante el NTP
Asegurarse de que los clientes Kerberos y los KDC mantengan relojes sincronizados implica la implementación de los siguientes pasos:
Configure un servidor NTP en la red. Este servidor puede ser cualquier sistema, excepto el KDC maestro. Consulte Gestión del protocolo de hora de red (tareas) de Oracle Administración Solaris: Servicios de red para buscar la tarea del servidor NTP.
Al realizar la configuración de los clientes Kerberos y los KDC en la red, configúrelos para que sean clientes NTP del servidor NTP. Consulte Gestión del protocolo de hora de red (tareas) de Oracle Administración Solaris: Servicios de red para buscar la tarea del cliente NTP.