Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Verificación de la integridad de archivos mediante el uso de BART (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Uso de módulos de autenticación conectables
17. Uso de autenticación simple y capa de seguridad
18. Autenticación de servicios de red (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
Gestión de tickets de Kerberos
¿Debe preocuparse por los tickets?
Creación de un ticket de Kerberos
Gestión de contraseñas de Kerberos
Consejos para elegir una contraseña
Otorgamiento de acceso a su cuenta
Comandos de usuario de Kerberos
Descripción general de comandos Kerberizados
Reenvío de tickets de Kerberos
Uso de comandos Kerberizados (ejemplos)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
En esta sección, se explica cómo obtener, visualizar y destruir tickets. Para obtener una introducción a los tickets, consulte Cómo funciona el servicio Kerberos.
Con cualquiera de las versiones Oracle Solaris instalada, Kerberos se integra en el comando login. No obstante, para obtener los tickets de forma automática, debe configurar el servicio PAM servicios para los servicios de inicio de sesión aplicables. Para obtener más información, consulte la página del comando man pam_krb5(5). Los comandos Kerberizados rsh, rcp, telnet y rlogin, por lo general, están configurados para reenviar copias de los tickets a otros equipos, de modo que no es necesario solicitar explícitamente los tickets para obtener acceso a esos equipos. Es posible que su configuración no incluya este reenvío automático, ya que el sistema predeterminado no está configurado para que las credenciales se reenvíen. Consulte Descripción general de comandos Kerberizados y Reenvío de tickets de Kerberos para obtener más información sobre el reenvío de tickets.
Para obtener información sobre las duraciones de los tickets, consulte Duración de los tickets.
Normalmente, si el PAM se ha configurado correctamente, un ticket se crea automáticamente cuando inicia sesión, de modo que no tiene que hacer nada especial para obtener un ticket. Sin embargo, puede que necesite crear un ticket si su ticket caduca. Además, puede que necesite utilizar un principal diferente aparte del principal predeterminado, por ejemplo, si usa rlogin -l para iniciar sesión en un equipo como otro usuario.
Para crear un ticket, utilice el comando kinit.
% /usr/bin/kinit
El comando kinit le solicita la contraseña. Para conocer la sintaxis completa del comando kinit, consulte la página del comando man kinit(1).
Ejemplo 24-1 Creación de un ticket de Kerberos
En este ejemplo, se muestra a un usuario, jennifer, que crea un ticket en su propio sistema.
% kinit Password for jennifer@ENG.EXAMPLE.COM: <Type password>
Aquí, el usuario david crea un ticket que tiene una validez de tres horas, con la opción -l.
% kinit -l 3h david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
En este ejemplo se muestra cómo el usuario david crea un ticket reenviable (con la opción -f). Con este ticket reenviable, puede, por ejemplo, iniciar sesión en un segundo sistema y, a continuación, ejecutar el comando telnet para iniciar sesión en un tercer sistema.
% kinit -f david@EXAMPLE.ORG Password for david@EXAMPLE.ORG: <Type password>
Para obtener más información sobre el reenvío de tickets, consulte Reenvío de tickets de Kerberos y Tipos de tickets.
No todos los tickets son similares. Por ejemplo, un ticket puede ser reenviable. Otro ticket puede ser posfechado. Mientras que un tercer ticket puede ser reenviable y posfechado. Puede ver los tickets que tiene y sus atributos utilizando el comando klist con la opción -f:
% /usr/bin/klist -f
Los siguientes símbolos indican los atributos asociados con cada ticket, como se muestra por klist:
Preautenticado
Posfechable
Posfechado
Reenviable
Reenviado
Inicial
No válido
Que admite proxy
Proxy
Renovable
En la sección Tipos de tickets, se describen los diferentes atributos que un ticket puede tener.
Ejemplo 24-2 Visualización de tickets de Kerberos
En este ejemplo, se muestra que el usuario jennifer tiene un ticket inicial, que es reenviable (F) y posfechado (d), pero que aún no está validado (i).
% /usr/bin/klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: jennifer@EXAMPLE.COM Valid starting Expires Service principal 09 Mar 04 15:09:51 09 Mar 04 21:09:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 15:12:51, Flags: Fdi
El siguiente ejemplo muestra que el usuario david tiene dos tickets que fueron reenviados (f) al host desde otro host. Los tickets también son reenviables (F).
% klist -f Ticket cache: /tmp/krb5cc_74287 Default principal: david@EXAMPLE.COM Valid starting Expires Service principal 07 Mar 04 06:09:51 09 Mar 04 23:33:51 host/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 17:09:51, Flags: fF Valid starting Expires Service principal 08 Mar 04 08:09:51 09 Mar 04 12:54:51 nfs/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 15:22:51, Flags: fF
El ejemplo siguiente muestra cómo visualizar los tipos de cifrado de la clave de sesión y el ticket mediante la opción -e. La opción -a se utiliza para asignar la dirección de host a un nombre de host si el servicio de nombres puede realizar la conversión.
% klist -fea Ticket cache: /tmp/krb5cc_74287 Default principal: david@EXAMPLE.COM Valid starting Expires Service principal 07 Mar 04 06:09:51 09 Mar 04 23:33:51 krbtgt/EXAMPLE.COM@EXAMPLE.COM renew until 10 Mar 04 17:09:51, Flags: FRIA Etype(skey, tkt): DES cbc mode with RSA-MD5, DES cbc mode with CRC-32 Addresses: client.example.com
Si desea destruir todos los tickets de Kerberos adquiridos durante la sesión actual, utilice el comando kdestroy. El comando destruye la antememoria de credenciales, que destruye todas las credenciales y los tickets. Si bien esto no suele ser necesario, la ejecución de kdestroy reduce las posibilidades de que la antememoria de credenciales esté en riesgo en los momentos en los que no tiene ninguna sesión iniciada.
Para destruir los tickets, utilice el comando kdestroy.
% /usr/bin/kdestroy
El comando kdestroy destruye todos los tickets. No puede utilizar este comando para destruir de manera selectiva un determinado ticket.
Si no va a utilizar el sistema y le preocupa que un intruso use sus permisos, debe utilizar kdestroy o un protector de pantalla que bloquee la pantalla.