Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Sincronización de relojes entre clientes Kerberos y KDC

Todos los hosts que participan en el sistema de autenticación Kerberos deben tener los relojes internos sincronizados dentro de una cantidad de tiempo máxima especificada (conocida como desfase de reloj). Este requisito proporciona otra comprobación de seguridad de Kerberos. Si el desfase del reloj se supera entre cualquiera de los hosts que participan, las solicitudes de los clientes se rechazan.

El sesgo de reloj también determina el tiempo durante el cual los servidores de aplicaciones deben realizar un seguimiento de los mensajes del protocolo Kerberos a fin de reconocer y rechazar solicitudes reproducidas. Por lo tanto, cuanto más grande es el valor del desfase del reloj, más información tienen que recopilar los servidores de aplicaciones.

El valor predeterminado para el desfase máximo del reloj es de 300 s (5 min). Puede cambiar este valor predeterminado en la sección libdefaults del archivo krb5.conf.

Notas -  Por motivos de seguridad, no aumente el desfase del reloj más allá de 300 s.

Debido a que mantener los relojes sincronizados entre los clientes Kerberos y los KDC es importante, utilice el software de protocolo de hora de red (NTP) para sincronizarlos. El software de dominio público NTP de la Universidad de Delaware se incluye en el software Oracle Solaris. Encontrará documentación disponible en NTP Documentation.

El NTP permite gestionar la sincronización de relojes de red o el tiempo preciso, o ambos, en un entorno de red. NTP es un protocolo de servidor-cliente. Un sistema es el reloj maestro, el servidor NTP. Todos los demás sistemas son clientes NTP que sincronizar sus relojes con el reloj maestro. Para sincronizar los relojes, el NTP utiliza el daemon xntpd, que establece y mantiene una hora del día del sistema UNIX de acuerdo con los servidores de hora estándar de Internet. La siguiente imagen muestra un ejemplo de esta implementación de NTP de servidor y cliente.

Figura 4-1  Sincronización de relojes mediante el NTP

image:En el diagrama, se muestra un servidor NTP central como el reloj maestro para los clientes NTP y los clientes Kerberos que están ejecutando el daemon xntpd.

    Asegurarse de que los clientes Kerberos y los KDC mantengan relojes sincronizados implica la implementación de los siguientes pasos:

  1. Configure un servidor NTP en la red. Este servidor puede ser cualquier sistema, excepto el KDC maestro.

  2. Al realizar la configuración de los clientes Kerberos y los KDC en la red, configúrelos para que sean clientes NTP del servidor NTP. Vuelva al KDC maestro para configurarlo como cliente NTP.

  3. Active el servicio NTP en todos los sistemas.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente