JavaScript is required to for searching.
Omitir Vínculos de navegación
Salir de la Vista de impresión
Administración de Oracle Solaris 11.1: servicios de seguridad     Oracle Solaris 11.1 Information Library (Español)
search filter icon
search icon

Información del documento

Prefacio

Parte I Descripción general de la seguridad

1.  Servicios de seguridad (descripción general)

Parte II Seguridad de sistemas, archivos y dispositivos

2.  Gestión de seguridad de equipos (descripción general)

3.  Control de acceso a sistemas (tareas)

4.  Servicio de análisis de virus (tareas)

5.  Control de acceso a dispositivos (tareas)

6.  Verificación de la integridad de archivos mediante el uso de BART (tareas)

7.  Control de acceso a archivos (tareas)

Parte III Roles, perfiles de derechos y privilegios

8.  Uso de roles y privilegios (descripción general)

9.  Uso del control de acceso basado en roles (tareas)

10.  Atributos de seguridad en Oracle Solaris (referencia)

Parte IV Servicios criptográficos

11.  Estructura criptográfica (descripción general)

12.  Estructura criptográfica (tareas)

13.  Estructura de gestión de claves

Parte V Servicios de autenticación y comunicación segura

14.  Uso de módulos de autenticación conectables

15.  Uso de Secure Shell

16.  Secure Shell (referencia)

17.  Uso de autenticación simple y capa de seguridad

18.  Autenticación de servicios de red (tareas)

Parte VI Servicio Kerberos

19.  Introducción al servicio Kerberos

20.  Planificación del servicio Kerberos

21.  Configuración del servicio Kerberos (tareas)

22.  Mensajes de error y resolución de problemas de Kerberos

23.  Administración de las políticas y los principales de Kerberos (tareas)

Maneras de administrar las políticas y los principales de Kerberos

Herramienta SEAM

Equivalentes de línea de comandos de la herramienta SEAM

El único archivo modificado por la herramienta SEAM

Funciones de impresión y ayuda en pantalla de la herramienta SEAM

Trabajo con listas extensas en la herramienta SEAM

Cómo iniciar la herramienta SEAM

Administración de los principales de Kerberos

Administración de los principales de Kerberos (mapa de tareas)

Automatización de la creación de nuevos principales de Kerberos

Cómo ver la lista de los principales de Kerberos

Cómo ver los atributos de un principal de Kerberos

Cómo crear un nuevo principal de Kerberos

Cómo duplicar un principal de Kerberos

Cómo modificar un principal de Kerberos

Cómo suprimir un principal de Kerberos

Cómo configurar valores predeterminados para crear nuevos principales de Kerberos

Cómo modificar los privilegios de administración de Kerberos

Administración de las políticas de Kerberos

Administración de las políticas de Kerberos (mapa de tareas)

Cómo ver la lista de políticas de Kerberos

Cómo ver los atributos de una política de Kerberos

Cómo crear una nueva política de Kerberos

Cómo duplicar una política de Kerberos

Cómo modificar una política de Kerberos

Cómo suprimir una política de Kerberos

Referencia de la herramienta SEAM

Descripción de los paneles de la herramienta SEAM

Uso de la herramienta SEAM con privilegios de administración de Kerberos limitados

Administración de los archivos keytab

Administración de archivos keytab (mapa de tareas)

Cómo agregar un principal de servicio de Kerberos a un archivo keytab

Cómo eliminar un principal de servicio de un archivo keytab

Cómo visualizar la lista de claves (principales) en un archivo keytab

Cómo deshabilitar temporalmente la autenticación de un servicio en un host

24.  Uso de aplicaciones Kerberos (tareas)

25.  El servicio Kerberos (referencia)

Parte VII Auditoría en Oracle Solaris

26.  Auditoría (descripción general)

27.  Planificación de la auditoría

28.  Gestión de auditoría (tareas)

29.  Auditoría (referencia)

Glosario

Índice

Administración de los archivos keytab

Cada host que proporciona un servicio debe tener un archivo local, denominado keytab (la abreviatura en inglés de “tabla de claves”). El archivo keytab contiene el principal para el servicio adecuado, denominado clave de servicio. La clave de servicio es utilizada por un servicio para autenticarse a sí misma en el KDC, y sólo es conocida por Kerberos y el servicio. Por ejemplo, si tiene un servidor NFS Kerberizado, ese servidor debe tener un archivo keytab que contenga su principal de servicio nfs.

Para agregar una clave de servicio a un archivo keytab, agregue el principal de servicio correspondiente al archivo keytab de un host mediante el comando ktadd de kadmin. Como está agregando un principal de servicio a un archivo keytab, el principal ya debe existir en la base de datos de Kerberos para que kadmin pueda verificar su existencia. En los servidores de aplicaciones que proporcionan servicios Kerberizados, el archivo keytab se encuentra en /etc/krb5/krb5.keytab, de manera predeterminada.

Un archivo keytab es análogo a la contraseña de un usuario. De la misma manera que es importante que los usuarios protejan sus contraseñas, es importante que los servidores de aplicaciones protejan sus archivos keytab. Siempre debe guardar los archivos keytab en un disco local y permitir su lectura sólo al usuario root. Asimismo, nunca debe enviar un archivo keytab a través una red no segura.

También hay una instancia especial en la que se debe agregar un principal root al archivo keytab de un host. Si desea que un usuario del cliente Kerberos monte sistemas de archivos NFS Kerberizados que requieren acceso equivalente a root, debe agregar el principal root del cliente al archivo keytab del cliente. De lo contrario, los usuarios deberán utilizar el comando kinit como root para obtener credenciales para el principal root del cliente cuando deseen montar un sistema de archivos NFS Kerberizado con acceso root, incluso cuando estén utilizando el montador automático.

Otro comando que puede utilizar para administrar los archivos keytab es el comando ktutil. Este comando interactivo le permite gestionar el archivo keytab de un host local sin tener privilegios de administración de Kerberos, porque ktutil no interactúa con la base de datos de Kerberos como lo hace kadmin. Por lo tanto, después de agregar un principal a un archivo keytab, puede usar ktutil para ver la lista de claves en un archivo keytab o para deshabilitar temporalmente la autenticación de un servicio.


Nota - Al cambiar un principal en un archivo keytab mediante el comando ktadd en kadmin, se genera una clave nueva y esta se agrega al archivo keytab.


Administración de archivos keytab (mapa de tareas)

Tarea
Descripción
Para obtener instrucciones
Agregar un principal de servicio a un archivo keytab
Utilice el comando ktadd de kadmin para agregar un principal de servicio a un archivo keytab.
Eliminar un principal de servicio de un archivo keytab
Utilice el comando ktremove de kadmin para eliminar un servicio de un archivo keytab.
Mostrar la lista de claves (lista de principales) en un archivo keytab
Utilice el comando ktutil para mostrar la lista de claves en un archivo keytab.
Desactivar temporalmente la autenticación de un servicio en un host
Este procedimiento es una manera rápida de desactivar temporalmente la autenticación de un servicio en un host sin la necesidad de contar con privilegios kadmin.

Antes de utilizar ktutil para suprimir el principal de servicio del archivo keytab del servidor, copie el archivo keytab original en una ubicación temporal. Cuando desee habilitar el servicio nuevamente, vuelva a copiar el archivo keytab original en la ubicación correcta.

Cómo agregar un principal de servicio de Kerberos a un archivo keytab

  1. Asegúrese de que el principal ya exista en la base de datos de Kerberos.

    Para obtener más información, consulte Cómo ver la lista de los principales de Kerberos.

  2. Asuma el rol root en el host que requiere un principal agregado al archivo keytab.
  3. Inicie el comando kadmin.
    # /usr/sbin/kadmin
  4. Agregue un principal a un archivo keytab mediante el comando ktadd.
    kadmin: ktadd [-e enctype] [-k keytab] [-q] [principal | -glob principal-exp]
    -e tipo_cifrado

    Sustituye la lista de tipos de cifrado definida en el archivo krb5.conf.

    -k keytab

    Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.

    -q

    Muestra menos información detallada.

    principal

    Especifica el principal que se va a agregar al archivo keytab. Se pueden agregar los siguientes principales de servicio: host, root, nfs y ftp.

    -glob expresiones_principal

    Especifica las expresiones de principal. Todos los principales que coinciden con las expresiones_principal se agregan al archivo keytab. Las reglas de expresión de principal son las mismas que para el comando list_principals de kadmin.

  5. Salga del comando kadmin.
    kadmin: quit

Ejemplo 23-16 Adición de un principal de servicio a un archivo keytab

En el siguiente ejemplo, el principal del host de denver se agrega al archivo keytab de denver para que el KDC pueda autenticar los servicios de red de denver.

denver # /usr/sbin/kadmin
kadmin: ktadd host/denver.example.com
Entry for principal host/denver.example.com with kvno 3, encryption type AES-256 CTS
          mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type Triple DES cbc mode
          with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/denver.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Cómo eliminar un principal de servicio de un archivo keytab

  1. Asuma el rol root en el host con un principal de servicio que se debe eliminar de su archivo keytab.
  2. Inicie el comando kadmin.
    # /usr/sbin/kadmin
  3. (Opcional) Para mostrar la lista actual de principales (claves) del archivo keytab, utilice el comando ktutil.

    Para obtener instrucciones detalladas, consulte Cómo visualizar la lista de claves (principales) en un archivo keytab.

  4. Elimine un principal del archivo keytab con el comando ktremove.
    kadmin: ktremove [-k keytab] [-q] principal [kvno | all | old ]
    -k keytab

    Especifica el archivo keytab. De manera predeterminada, se utiliza /etc/krb5/krb5.keytab.

    -q

    Muestra menos información detallada.

    principal

    Especifica el principal que se va a eliminar del archivo keytab.

    kvno

    Elimina todas las entradas del principal especificado cuyo número de versión de clave coincida con kvno.

    all

    Elimina todas las entradas del principal especificado.

    old

    Elimina todas las entradas del principal especificado, excepto las de los principales con el número de versión más alto.

  5. Salga del comando kadmin.
    kadmin: quit

Ejemplo 23-17 Eliminación de un principal de servicio de un archivo keytab

En el siguiente ejemplo, el principal del host de denver se elimina del archivo keytab de denver.

denver # /usr/sbin/kadmin
kadmin: ktremove host/denver.example.com@EXAMPLE.COM
kadmin: Entry for principal host/denver.example.com@EXAMPLE.COM with kvno 3
  removed from keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin: quit

Cómo visualizar la lista de claves (principales) en un archivo keytab

  1. Asuma el rol root en el host con el archivo keytab.

    Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.


  2. Inicie el comando ktutil.
    # /usr/bin/ktutil
  3. Lea el archivo keytab en la memoria intermedia de la lista de claves con el comando read_kt.
    ktutil: read_kt keytab
  4. Visualice la memoria intermedia de lista de claves con el comando list.
    ktutil: list

    Aparece la memoria intermedia de lista de claves actual.

  5. Salga del comando ktutil.
    ktutil: quit

Ejemplo 23-18 Visualización de la lista de claves (principales) en un archivo keytab

En el siguiente ejemplo, se muestra la lista de claves en el archivo /etc/krb5/krb5.keytab en el host denver.

denver # /usr/bin/ktutil
    ktutil: read_kt /etc/krb5/krb5.keytab
    ktutil: list
slot KVNO Principal
---- ---- ---------------------------------------
   1    5 host/denver@EXAMPLE.COM
    ktutil: quit

Cómo deshabilitar temporalmente la autenticación de un servicio en un host

En algunas ocasiones, es posible que necesite desactivar temporalmente el mecanismo de autenticación de un servicio, como rlogin o ftp, en un servidor de aplicaciones de red. Por ejemplo, es posible que desee impedir que los usuarios inicien sesión en un sistema mientras usted está realizando tareas de mantenimiento. El comando ktutil le permite realizar esta tarea mediante la eliminación del principal de servicio del archivo keytab del servidor, sin necesidad de privilegios kadmin. Para volver a activar la autenticación, sólo necesita copiar el archivo keytab original que guardó nuevamente en su ubicación original.


Nota - De manera predeterminada, la mayoría de los servicios están configurados para requerir autenticación. Si un servicio no está configurado para requerir autenticación, el servicio sigue funcionando, aunque desactive la autenticación del servicio.


  1. Asuma el rol root en el host con el archivo keytab.

    Nota - Si bien puede crear archivos keytab que son propiedad de otros usuarios, para usar la ubicación predeterminada para el archivo keytab se requiere la propiedad de root.


  2. Guarde el archivo keytab actual en un archivo temporal.
  3. Inicie el comando ktutil.
    # /usr/bin/ktutil
  4. Lea el archivo keytab en la memoria intermedia de la lista de claves con el comando read_kt.
    ktutil: read_kt keytab
  5. Visualice la memoria intermedia de lista de claves con el comando list.
    ktutil: list

    Aparece la memoria intermedia de lista de claves actual. Anote el número de ranura para el servicio que desea deshabilitar.

  6. Para desactivar temporalmente un servicio de host, elimine el principal de servicio específico de la memoria intermedia de lista de claves con el comando delete_entry.
    ktutil: delete_entry slot-number

    Donde número_ranura especifica el número de ranura del principal de servicio que se va a suprimir, el cual se muestra mediante el comando list.

  7. Escriba la memoria intermedia de lista de claves en un nuevo archivo keytab mediante el comando write_kt.
    ktutil: write_kt new-keytab
  8. Salga del comando ktutil.
    ktutil: quit
  9. Mueva el nuevo archivo keytab.
    # mv new-keytab keytab
  10. Cuando desee volver a habilitar el servicio, copie el archivo keytab (original) temporal nuevamente en su ubicación original.

Ejemplo 23-19 Inhabilitación temporal de un servicio en un host

En el ejemplo siguiente, el servicio de host en el host denver está desactivado temporalmente. Para volver a activar el servicio de host en denver, copie el archivo krb5.keytab.temp en el archivo /etc/krb5/krb5.keytab.

denver # cp /etc/krb5/krb5.keytab /etc/krb5/krb5.keytab.temp
denver # /usr/bin/ktutil
    ktutil:read_kt /etc/krb5/krb5.keytab
    ktutil:list
slot KVNO Principal
---- ---- ---------------------------------------
   1    8 root/denver@EXAMPLE.COM
   2    5 host/denver@EXAMPLE.COM
    ktutil:delete_entry 2
    ktutil:list
slot KVNO Principal
---- ---- --------------------------------------
   1    8 root/denver@EXAMPLE.COM
    ktutil:write_kt /etc/krb5/new.krb5.keytab
    ktutil: quit
denver # cp /etc/krb5/new.krb5.keytab /etc/krb5/krb5.keytab