Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Administración de los archivos keytab

Cada host que proporciona un servicio debe tener un archivo local, denominado archivo keytab, que es la abreviatura en inglés de “tabla de claves”. El archivo keytab contiene el principal para el servicio adecuado, denominado clave de servicio. La clave de servicio es utilizada por un servicio para autenticarse a sí misma en el KDC, y sólo es conocida por Kerberos y el servicio. Por ejemplo, si tiene un servidor NFS Kerberizado, ese servidor debe tener un archivo keytab que contenga la clave de servicio para el principal de servicio nfs.

Para agregar una clave de servicio a un archivo keytab, agregue el principal de servicio correspondiente al archivo keytab de un host mediante el comando ktadd en un proceso kadmin. Como está agregando un principal de servicio a un archivo keytab, el principal ya debe existir en la base de datos de Kerberos. En los servidores de aplicaciones que proporcionan servicios Kerberizados, el archivo keytab es /etc/krb5/krb5.keytab de manera predeterminada.

Un archivo keytab es análogo a la contraseña de un usuario. Al igual que los usuarios deben proteger sus contraseñas, los servidores de aplicaciones deben proteger sus archivos keytab. Siempre debe guardar los archivos keytab en un disco local y permitir su lectura sólo al usuario root. Asimismo, nunca debe enviar un archivo keytab a través una red no segura.

Circunstancias especiales pueden requerir que agregue un principal root al archivo keytab de un host. Si desea que un usuario del cliente Kerberos monte sistemas de archivos NFS Kerberizados que requieren acceso equivalente a root, debe agregar el principal root del cliente al archivo keytab del cliente. De lo contrario, los usuarios deberán utilizar el comando kinit como root para obtener credenciales para el principal root del cliente cuando deseen montar un sistema de archivos NFS Kerberizado con acceso root, incluso cuando estén utilizando el montador automático.

Caution

Precaución  -  El montaje de los servidores NFS como root es un riesgo para la seguridad.

También puede utilizar el comando ktutil para administrar archivos keytab. Este comando interactivo le permite gestionar el archivo keytab de un host local sin tener privilegios de administración de Kerberos, porque este comando no interactúa con la base de datos de Kerberos como lo hace kadmin. Después de agregar un principal a un archivo keytab, puede usar ktutil para ver la lista de claves en un archivo keytab o para desactivar temporalmente la autenticación de un servicio.

Notas -  Al cambiar un principal en un archivo keytab mediante el comando ktadd en kadmin, se genera una clave nueva y esta se agrega al archivo keytab.
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente