Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
Cómo funciona el servicio Kerberos
Autenticación inicial: el ticket de otorgamiento de tickets
Autenticaciones Kerberos posteriores
Aplicaciones remotas de Kerberos
Servicios de seguridad de Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En varias de las versiones, se incluyen componentes del servicio Kerberos. Originalmente, el servicio Kerberos y los cambios realizados en el sistema operativo básico para que se admita el servicio Kerberos se lanzaron con el nombre de producto “Sun Enterprise Authentication Mechanism”, que se abrevió como SEAM. A medida que se fueron incluyendo más componentes del producto SEAM en el software de Oracle Solaris, los contenidos de la versión de SEAM fueron disminuyendo. A partir de la versión Oracle Solaris 10, se incluyen todos los componentes del producto SEAM, por lo que el producto SEAM ya no es necesario. El nombre del producto SEAM existe en la documentación por razones históricas.
En la tabla siguiente, se describen los componentes que se incluyen en cada versión. Las versiones de producto se enumeran en orden cronológico. En las secciones siguientes, se describen todos los componentes.
Tabla 19-1 Contenidos de las versiones de Kerberos
|
Para obtener más información sobre las mejoras incluidas en la versión Oracle Solaris 10, consulte Kerberos Components de System Administration Guide: Security Services.
De manera similar a la distribución del producto Kerberos V5 del MIT, el servicio Kerberos en la versión de Oracle Solaris incluye lo siguiente:
Centro de distribución de claves (KDC):
Daemon de administración de bases de datos de Kerberos: kadmind.
Daemon de procesamiento de tickets de Kerberos: krb5kdc.
Programas de administración de bases de datos: kadmin (maestro solamente), kadmin.local y kdb5_util.
Software de propagación de bases de datos: kprop (esclavo solamente) y kpropd.
Programas de usuario para gestionar credenciales: kinit, klist y kdestroy.
Programa de usuario para cambiar la contraseña de Kerberos: kpasswd.
Aplicaciones remotas: ftp, rcp, rlogin, rsh, scp, sftp, ssh y telnet .
Daemons de aplicaciones remotas: ftpd, rlogind, rshd, sshd y telnetd.
Utilidad de administración keytab: ktutil.
Generic Security Service Application Programming Interface (GSS-API): permite que las aplicaciones utilicen varios mecanismos de seguridad sin solicitarle que vuelva a compilar la aplicación cada vez que se agrega un mecanismo nuevo. GSS-API utiliza interfaces estándar que permiten que las aplicaciones puedan emplearse en varios sistemas operativos. GSS-API proporciona aplicaciones que pueden incluir servicios de seguridad de la integridad y la privacidad, y también autenticación. Tanto ftp como ssh utilizan GSS-API.
RPCSEC_GSS Application Programming Interface (API): permite que los servicios NFS usen la autenticación Kerberos. RPCSEC_GSS es un tipo de seguridad que proporciona servicios de seguridad que son independientes de los mecanismos que se utilizan. RPCSEC_GSS se sitúa en la parte superior de la capa de GSS-API. Cualquier mecanismo de seguridad basado en GSS_API que sea conectable puede utilizarse mediante las aplicaciones que usan RPCSEC_GSS.
Además, el servicio Kerberos en la versión de Oracle Solaris incluye lo siguiente:
Una herramienta basada en la interfaz gráfica de usuario de administración de Kerberos (gkadmin): permite administrar los principales y las políticas de los principales. Esta interfaz gráfica de usuario basada en la tecnología Java es una alternativa al comando kadmin.
Módulo de servicio Kerberos V5 para PAM: proporciona la autenticación y la gestión de cuentas, la gestión de sesiones y la gestión de contraseñas para el servicio Kerberos. Este módulo puede utilizarse para hacer que la autenticación Kerberos sea transparente para el usuario.
Módulos del núcleo: proporcionan implementaciones del servicio Kerberos basadas en el núcleo para que las utilice el servicio NFS a fin de mejorar considerablemente el rendimiento.
En esta sección figuran los cambios que están disponibles en la versión Oracle Solaris 11.1.
El software de Kerberos se ha sincronizado con la versión 1.8 del MIT. Se han incluido las siguientes funciones:
Los tipos de cifrado débil arcfour-hmac-md5-exp, des-cbc-md5 y des-cbc-crc no se permiten de manera predeterminada. La declaración allow_weak_crypto = true en el archivo /etc/krb5/krb5.conf se puede agregar para permitir el uso de algoritmos de cifrado más débiles.
En el archivo /etc/krb5/krb5.conf, la relación permitted_enctypes puede tomar una palabra clave opcional DEFAULT con + o - enctyp_family para agregar o quitar un tipo de cifrado específico del conjunto predeterminado.
En la mayoría de los casos, puede eliminar la necesidad de la tabla de asignación domain_realm del lado del cliente implementando compatibilidad de referencia mínima en KDC y proporcionando información de asignación a clientes a través de ese protocolo. Los clientes pueden funcionar sin ninguna tabla de asignación domain_realm enviando solicitudes para el principal de servicio name service/canonical-fqdn@LOCAL.REALM al KDC local y solicitando referencias. Esta capacidad se puede limitar a nombres de principal de servicio con tipos de nombres específicos o en formas específicas. El KDC sólo pueden utilizar su tabla de asignación domain_realm. No se pueden presentar consultas de bloque para DNS
Puede crear alias para entradas principales si utiliza un LDAP secundario para la base de datos de Kerberos. La compatibilidad de alias principal es útil si se puede acceder a un servicio mediante nombres de host diferentes o si DNS no está disponible para poner en forma canónica el nombre de host, lo que significa que se utiliza la forma corta. Puede utilizar un alias para los distintos nombres de principal con los que se conoce un servicio y el sistema sólo necesita un conjunto de claves para el principal de servicio real en su archivo keytab.
Puede utilizar la utilidad kvno para diagnosticar problemas con claves de principal de servicio que se almacenan en /etc/krb5/krb5.keytab.
El comando kadmin ktadd admite la opción -norandkey que evita que el comando kadmind cree una nueva clave al azar. La opción -norandkey puede resultar útil cuando se desea crear una tabla de claves para un principal que tiene una clave derivada de una contraseña. Puede crear una tabla de claves que puede utilizarse para ejecutar el comando kinit sin necesidad de especificar una contraseña.
Los principales se pueden bloquear después de un determinado número de errores de autenticación previa dentro de un plazo determinado. Consulte Cómo configurar el bloqueo de cuenta para obtener más información.
El indicador OK_AS_DELEGATE permite al KDC comunicar la política de dominio local con un cliente respecto de si un servidor intermedio es de confianza para aceptar credenciales delegadas. Consulte Confianza de servicios para la delegación para obtener más información.
El servicio Kerberos se ha actualizado para proporcionarle capacidad a un cliente Solaris, para que realice actualizaciones en un entorno maestro de varios KDC. Consulte Ejemplo 21-15 para obtener más información.
El daemon ktkt_warnd se ha mejorado para registrar los elementos principales con las credenciales existentes y para permitir que se envíe correo a los usuarios sin necesidad de tener que especificar cada usuario. Además, el servicio ahora lo puede configurar el usuario. Consulte Cómo renovar automáticamente todos los tickets de otorgamiento de tickets (TGT) para obtener ejemplos de funcionamiento.