Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
Mensajes de error de la herramienta SEAM
Mensajes de error comunes de Kerberos (A-M)
Mensajes de error comunes de Kerberos (N-Z)
Resolución de problemas de Kerberos
Cómo identificar problemas con números de versión de clave
Problemas con el formato del archivo krb5.conf
Problemas al propagar la base de datos de Kerberos
Problemas al montar un sistema de archivos NFS Kerberizado
Problemas de autenticación como usuario root
Observación de asignación de credenciales GSS a credenciales UNIX
Uso de DTrace con el servicio Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En esta sección se proporciona información acerca de la resolución de problemas del software Kerberos.
A veces, el número de versión de clave (KVNO) utilizado por el KDC y las claves de principal de servicio almacenadas en /etc/krb5/krb5.keytab para servicios alojados en el sistema no coinciden. El KVNO puede salir de sincronización cuando un nuevo conjunto de claves se crea en el KDC sin actualizar el archivo keytab con las nuevas claves. Este problema se puede diagnosticar mediante el siguiente procedimiento.
Tenga en cuenta que el KVNO para cada principal se incluye en la lista.
# klist -k Keytab name: FILE:/etc/krb5/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 host/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM 2 nfs/denver.example.com@EXAMPLE.COM
# kinit -k
# kvno nfs/denver.example.com nfs/denver.example.com@EXAMPLE.COM: kvno = 3
Tenga en cuenta que el KVNO que se muestran aquí es 3 en lugar de 2.
Si el archivo krb5.conf no tiene el formato correcto, es posible que se muestre el siguiente mensaje de error en una ventana de terminal o se registre en el archivo de registro:
Improper format of Kerberos configuration file while initializing krb5 library
Si hay un problema con el formato del archivo krb5.conf, los servicios asociados podrían quedar vulnerables a ataques. Debe solucionar el problema antes de permitir que se utilicen funciones de Kerberos.
Si la propagación de la base de datos de Kerberos falla, pruebe /usr/bin/rlogin -x entre el KDC esclavo y el KDC maestro, y del KDC maestro al servidor KDC esclavo.
Si los KDC se han configurado para restringir el acceso, rlogin está deshabilitado y no se puede utilizar para solucionar este problema. Para activar rlogin en un KDC, debe activar el servicio eklogin.
# svcadm enable svc:/network/login:eklogin
Una vez solucionado el problema, necesita desactivar el servicio eklogin.
Si rlogin no funciona, es posible que los problemas se deban a los archivos keytab en los KDC. Si rlogin funciona, el problema no está en el archivo keytab ni en el servicio de nombres, porque rlogin y el software de propagación utilizan el mismo principal host/host-name. En este caso, asegúrese de que el archivo kpropd.acl sea correcto.
Si el montaje de un sistema de archivos NFS Kerberizado falla, asegúrese de que el archivo /var/rcache/root exista en el servidor NFS. Si el sistema de archivos no es propiedad de root, elimínelo e intente el montaje nuevamente.
Si tiene un problema al acceder a un sistema de archivos NFS Kerberizado, asegúrese de que el servicio gssd esté habilitado en el sistema y el servidor NFS.
Si ve el mensaje de error invalid argument o bad directory cuando intenta acceder a un sistema de archivos NFS Kerberizado, posiblemente el problema sea que no utiliza un nombre DNS completo cuando intenta montar el sistema de archivos NFS. El host que se monta no es el mismo que el nombre de host parte del principal de servicio en el archivo keytab del servidor.
Este problema también puede ocurrir si el servidor tiene varias interfaces Ethernet y ha configurado DNS para que utilice un esquema "nombre por interfaz" en lugar de un esquema "varios registros de dirección por host". Para el servicio Kerberos, debe configurar varios registros de dirección por host como se indica a continuaciónKen Hornstein, “Kerberos FAQ,” [http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#kerbdns], se accedió el 10 de marzo de 2010.:
my.host.name. A 1.2.3.4 A 1.2.4.4 A 1.2.5.4 my-en0.host.name. A 1.2.3.4 my-en1.host.name. A 1.2.4.4 my-en2.host.name. A 1.2.5.4 4.3.2.1 PTR my.host.name. 4.4.2.1 PTR my.host.name. 4.5.2.1 PTR my.host.name.
En este ejemplo, la configuración permite una referencia a las diferentes interfaces y a un único principal de servicio en lugar de tres principales de servicio en el archivo keytab del servidor.
Si falla la autenticación cuando intenta convertirse en superusuario en el sistema y ya ha agregado el principal root al archivo keytab del host, hay dos posibles problemas que debe comprobar. En primer lugar, asegúrese de que el principal root en el archivo keytab tenga un nombre de host completo como su instancia. Si es así, compruebe el archivo /etc/resolv.conf para asegurarse de que el sistema esté correctamente configurado como un cliente DNS.
Para poder supervisar las asignaciones de credenciales, primero elimine el comentario de esta línea del archivo /etc/gss/gsscred.conf.
SYSLOG_UID_MAPPING=yes
Luego, indique al servicio gssd que obtenga información del archivo /etc/gss/gsscred.conf.
# pkill -HUP gssd
Ahora debería poder controlar las asignaciones de credenciales a medida que gssd las solicita. Las asignaciones son registradas por syslogd si el archivo syslog.conf está configurado para la utilidad de sistema auth con el nivel de gravedad debug.