| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
| Omitir Vínculos de navegación | |
| Salir de la Vista de impresión | |
|
|
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Protección de inicios de sesión y contraseñas (tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Cómo cambiar la contraseña root
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo desactivar temporalmente inicios de sesión de usuarios
Acerca de las conexiones fallidas
Cambio de algoritmo predeterminado para cifrado de contraseña (tareas)
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Supervisión y restricción del acceso root (tareas)
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de root
Control de acceso a hardware del sistema (tareas)
Cómo requerir una contraseña para el acceso al hardware de SPARC
Cómo desactivar una secuencia de interrupción del sistema
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
De manera predeterminada, las contraseñas de usuario se cifran con el algoritmo crypt_sha256. Si lo desea, puede cambiar el algoritmo predeterminado para interoperar en un entorno de red heterogéneo, por ejemplo, para iniciar sesión en sistemas antiguos que se utilizan frecuentemente en la red.
En este procedimiento, la versión de BSD-Linux del algoritmo MD5 es el algoritmo de cifrado predeterminado que se utiliza cuando los usuarios cambian sus contraseñas. Este algoritmo es adecuado para una red mixta de sistemas que ejecutan las versiones de Oracle Solaris, BSD y Linux de UNIX. Para obtener una lista de algoritmos de cifrado de contraseña e identificadores de algoritmo, consulte la Tabla 2-1.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Escriba el identificador como el valor de la variable CRYPT_DEFAULT en el archivo /etc/security/policy.conf.
Puede que desee comentar el archivo para explicar su elección.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 (5) that works with Linux and BSD systems. # Passwords previously encrypted with SHA256 (1) will be encrypted # with MD5 when users change their passwords. # # #CRYPT_DEFAULT=5 CRYPT_DEFAULT=1
En este ejemplo, la configuración de algoritmos garantiza que el algoritmo sha256 no se utiliza para cifrar una contraseña. Los usuarios cuyas contraseñas se cifraron con el módulo sha256 obtienen una contraseña cifrada con crypt_bsdmd5 cuando cambian sus contraseñas.
Para obtener más información sobre la configuración de opciones de algoritmos, consulte la página del comando man policy.conf(4).
Ejemplo 3-4 Restricción de algoritmos de cifrado de contraseña en un entorno heterogéneo
En este ejemplo, el administrador en una red que incluye los sistemas BSD y Linux configura las contraseñas para que se puedan usar en todos los sistemas. Debido a que algunas aplicaciones de red no pueden manejar cifrado SHA512, el administrador no incluye su identificador en la lista de algoritmos permitidos. El administrador conserva el algoritmo SHA256, 5 como valor para la variable CRYPT_DEFAULT. La variable CRYPT_ALGORITHMS_ALLOW contiene el identificador MD5, que es compatible con sistemas BSD y Linux, y el identificador Blowfish, que es compatible con sistemas BSD. Debido a que 5 es el algoritmo CRYPT_DEFAULT, no es necesario incluirlo en la lista CRYPT_ALGORITHMS_ALLOW. Sin embargo, con fines de mantenimiento, el administrador coloca 5 en la lista CRYPT_ALGORITHMS_ALLOW y los identificadores no utilizados en la lista CRYPT_ALGORITHMS_DEPRECATE.
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5
Cuando los usuarios en un dominio NIS cambian sus contraseñas, el cliente NIS consulta su configuración local de algoritmos en el archivo /etc/security/policy.conf. El sistema cliente NIS cifra la contraseña.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Cuando el cliente LDAP se ha configurado correctamente, el cliente LDAP puede utilizar los nuevos algoritmos de contraseña. El cliente LDAP se comporta igual que el cliente NIS.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Asegúrese de que un signo de comentario (#) preceda las entradas que incluyen pam_ldap.so.1. Además, no utilice la opción server_policy con el módulo pam_authtok_store.so.1.
Las entradas PAM en el archivo pam.conf del cliente permiten que la contraseña se cifre según la configuración local de algoritmos. Las entradas PAM también permiten que la contraseña se autentique.
Cuando los usuarios en el dominio LDAP cambian sus contraseñas, el cliente LDAP consulta su configuración local de algoritmos en el archivo /etc/security/policy.conf. El sistema cliente LDAP cifra la contraseña. A continuación, el cliente envía la contraseña cifrada, con una etiqueta {crypt}, al servidor. La etiqueta indica al servidor que la contraseña ya se ha cifrado. La contraseña se almacena, tal como está, en el servidor. Para la autenticación, el cliente recupera la contraseña almacenada desde el servidor. A continuación, el cliente compara la contraseña almacenada con la versión cifrada que el cliente acaba de generar a partir de la contraseña introducida del usuario.
Nota - Para aprovechar los controles de política de contraseña en el servidor LDAP, utilice la opción server_policy con las entradas pam_authtok_store en el archivo pam.conf. Las contraseñas se cifran en el servidor LDAP. Para conocer el procedimiento, consulte Capítulo 11, Configuración de Oracle Directory Server Enterprise Edition con clientes LDAP (tareas) de Trabajo con servicios de nombres y directorios en Oracle Solaris 11.1.
|