Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
Configuración del servicio Kerberos (mapa de tareas)
Configuración de servicios Kerberos adicionales (mapa de tareas)
Configuración de servidores KDC
Cómo configurar automáticamente un KDC maestro
Cómo configurar interactivamente un KDC maestro
Cómo configurar manualmente un KDC maestro
Cómo configurar un KDC para utilizar un servidor de datos LDAP
Cómo configurar automáticamente un KDC esclavo
Cómo configurar interactivamente un KDC esclavo
Cómo configurar manualmente un KDC esclavo
Cómo refrescar las claves del servicio de otorgamiento de tickets en un servidor maestro
Configuración de autenticación entre dominios
Configuración de servidores de aplicaciones de red de Kerberos
Cómo configurar un servidor de aplicaciones de red de Kerberos
Cómo utilizar el servicio de seguridad genérico con Kerberos al ejecutar FTP
Configuración de servidores NFS con Kerberos
Cómo configurar servidores NFS con Kerberos
Cómo crear una tabla de credenciales
Cómo agregar una única entrada a la tabla de credenciales
Cómo proporcionar asignación de credenciales entre dominios
Cómo configurar un entorno NFS seguro con varios modos de seguridad de Kerberos
Configuración de clientes Kerberos
Configuración de clientes Kerberos (mapa de tareas)
Cómo crear un perfil de instalación de cliente Kerberos
Cómo configurar automáticamente un cliente Kerberos
Cómo configurar interactivamente un cliente Kerberos
Cómo configurar un cliente Kerberos para un servidor de Active Directory
Cómo configurar manualmente un cliente Kerberos
Cómo desactivar la verificación del ticket de otorgamiento de tickets
Cómo acceder a un sistema de archivos NFS protegido con Kerberos como el usuario root
Cómo configurar la migración automática de usuarios en un dominio Kerberos
Cómo configurar el bloqueo de cuenta
Cómo renovar automáticamente todos los tickets de otorgamiento de tickets (TGT)
Sincronización de relojes entre clientes Kerberos y KDC
Intercambio de un KDC maestro y un KDC esclavo
Cómo configurar un KDC esclavo intercambiable
Cómo intercambiar un KDC maestro y un KDC esclavo
Administración de la base de datos de Kerberos
Copia de seguridad y propagación de la base de datos de Kerberos
Cómo realizar copias de seguridad de la base de datos de Kerberos
Cómo restaurar la base de datos de Kerberos
Cómo convertir una base de datos de Kerberos después de una actualización de servidor
Cómo reconfigurar un KDC maestro para utilizar la propagación incremental
Cómo reconfigurar un KDC esclavo para utilizar la propagación incremental
Cómo configurar un KDC esclavo para utilizar la propagación completa
Cómo verificar que los servidores KDC estén sincronizados
Cómo propagar manualmente la base de datos de Kerberos a los KDC esclavos
Configuración de propagación en paralelo
Pasos de configuración para la propagación en paralelo
Administración del archivo intermedio
Cómo eliminar un archivo intermedio
Cómo emplear una nueva clave maestra
Gestión de un KDC en un servidor de directorios LDAP
Cómo destruir un dominio en un servidor de directorios LDAP
Aumento de la seguridad en servidores Kerberos
Cómo restringir el acceso a servidores KDC
Cómo utilizar un archivo de diccionario para aumentar la seguridad de contraseñas
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Existen varias maneras de enlazar dominios para que los usuarios de un dominio se puedan autenticar en otro dominio. La autenticación entre dominios se lleva a cabo mediante el establecimiento de una clave secreta que se comparte entre dos dominios. La relación de los dominios puede ser jerárquica o direccional (consulte Jerarquía de dominios).
El ejemplo de este procedimiento utiliza dos dominios, ENG.EAST.EXAMPLE.COM y EAST.EXAMPLE.COM. La autenticación entre dominios se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos dominios.
Antes de empezar
El KDC maestro para cada dominio debe estar configurado. Para probar completamente el proceso de autenticación, varios clientes Kerberos deben estar configurados.
Debe asumir el rol root en ambos servidores KDC. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM: <Type password> kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type password> kadmin: quit
Nota - La contraseña que se ha especificado para cada principal de servicio debe ser idéntica en ambos KDC. Por lo tanto, la contraseña para el principal de servicio krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM debe ser la misma en ambos dominios.
# cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.example.com = ENG.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM
En este ejemplo, se definen nombres de dominio para los dominios ENG.EAST.EXAMPLE.COM y EAST.EXAMPLE.COM. Es importante incluir el subdominio en primer lugar, puesto que el archivo se busca de arriba abajo.
Para que la autenticación entre dominios funcione, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben tener instalada la nueva versión del archivo de configuración de Kerberos (/etc/krb5/krb5.conf).
El ejemplo de este procedimiento utiliza dos dominios, ENG.EAST.EXAMPLE.COM y SALES.WEST.EXAMPLE.COM. La autenticación entre dominios se establecerá en ambas direcciones. Este procedimiento debe realizarse en el KDC maestro de ambos dominios.
Antes de empezar
El KDC maestro para cada dominio debe estar configurado. Para probar completamente el proceso de autenticación, varios clientes Kerberos deben estar configurados.
Debe asumir el rol root en ambos servidores KDC. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.
Debe iniciar sesión con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
# /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM: <Type the password> kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <Type the password> kadmin: quit
Nota - La contraseña que se ha especificado para cada principal de servicio debe ser idéntica en ambos KDC. Por lo tanto, la contraseña para el principal de servicio krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM debe ser la misma en ambos dominios.
En este ejemplo, se muestran los clientes en el dominio ENG.EAST.EXAMPLE.COM. Debe intercambiar los nombres de dominio para obtener las definiciones adecuadas en el dominio SALES.WEST.EXAMPLE.COM.
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { ENG.EAST.EXAMPLE.COM = . }
Para que la autenticación entre dominios funcione, todos los sistemas (incluidos los KDC esclavos y otros servidores) deben tener instalada la nueva versión del archivo de configuración de Kerberos (/etc/krb5/krb5.conf).