El protocolo de Shell seguro admite autenticación de host/usuario de cliente y autenticación de host de servidor. Las claves criptográficas se cambian para la protección de sesiones de Shell seguro. Shell seguro proporciona varios métodos de autenticación e intercambio de claves. Algunos métodos son opcionales. Los mecanismos de autenticación de clientes se muestran en la Table 1–1. Los servidores se autentican con claves públicas de host conocidas.
Para la autenticación, Shell seguro admite la autenticación de usuario y la autenticación interactiva genérica, que generalmente involucra contraseñas. Shell seguro también admite la autenticación con claves públicas de usuario y con claves públicas de host de confianza. Las claves pueden ser RSA o DSA. Los intercambios de claves de sesión constan de intercambios de claves efímeras Diffie-Hellman que se firman en el paso de autenticación de servidor. Además, Shell seguro puede usar credenciales GSS para la autenticación.
A fin de utilizar la GSS-API para la autenticación en Shell seguro, el servidor debe tener credenciales de aceptador GSS-API y el cliente debe tener credenciales de iniciador GSS-API. Se admiten los mecanismos mech_dh y mech_krb5.
Para mech_dh, el servidor tiene credenciales de aceptador GSS-API si root ha ejecutado el comando keylogin.
Para mech_krb5, el servidor tiene credenciales de aceptador GSS-API cuando el principal host que corresponde al servidor tiene una entrada válida en /etc/krb5/krb5.keytab.
El cliente tiene credenciales de iniciador para mech_dh si se ha realizado una de las siguientes acciones:
El comando keylogin se ha ejecutado.
El módulo pam_dhkeys se utiliza en el archivo pam.conf.
El cliente tiene credenciales de iniciador para mech_krb5 si se ha realizado una de las siguientes acciones:
El comando kinit se ha ejecutado.
El módulo pam_krb5 se utiliza en el archivo pam.conf.
Para obtener más información acerca del uso de mech_dh en la llamada a procedimiento remoto (RPC) segura, consulte Capítulo 10, Configuración de autenticación de servicios de red de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 . Para obtener más información acerca del uso de mech_krb5, consulte Capítulo 2, Acerca del servicio Kerberos de Gestión de Kerberos y otros servicios de autenticación en Oracle Solaris 11.2 . Para obtener más información acerca de los mecanismos, consulte las páginas del comando man mech(4) y mech_spnego(5).