Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo configurar un servidor de aplicaciones de red de Kerberos

    Este procedimiento utiliza los siguientes parámetros de configuración:

  • Servidor de aplicaciones = boston

  • Principal admin = kws/admin

  • Nombre de dominio DNS = example.com

  • Nombre de dominio = EXAMPLE.COM

Antes de empezar

El KDC maestro está configurado. Los relojes se sincronizan, como se describe en Sincronización de relojes entre clientes Kerberos y KDC. Para probar completamente el proceso, necesita varios clientes.

Debe asumir el rol root en el servidor de aplicación. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Determine si un principal de host existe para el nuevo servidor.

    El siguiente comando informa la existencia del principal host:

    boston # klist -k | grep host
    4 host/boston.example.com@EXAMPLE.COM
    4 host/boston.example.com@EXAMPLE.COM
    4 host/boston.example.com@EXAMPLE.COM
    4 host/boston.example.com@EXAMPLE.COM

    Si el comando devuelve un principal, ha terminado. Si no devuelve un principal, cree nuevos principales mediante los siguientes pasos.

  2. Inicie sesión en el servidor con uno de los nombres de principales admin que creó cuando configuró el KDC maestro.
    boston # /usr/sbin/kadmin -p kws/admin
    Enter password: xxxxxxxx
    kadmin: 
  3. Cree el principal host del servidor.
    kadmin: addprinc -randkey host/boston.example.com
    Principal "host/boston.example.com" created.
    kadmin: 

      El principal host se utiliza de las siguientes maneras:

    • Para autenticar el tráfico al utilizar los comandos remotos, como rsh y ssh.

    • Por pam_krb5 para evitar ataques de falsificación de KDC mediante el principal host a fin de verificar que la credencial de Kerberos de un usuario se haya obtenido de un KDC de confianza.

    • Para permitir que el usuario root adquiera automáticamente una credencial de Kerberos sin necesidad de que exista un principal root. Esta capacidad puede ser útil al realizar un montaje de NFS manual donde el recurso compartido requiere una credencial de Kerberos.

    Este principal es necesario si el tráfico que utiliza la aplicación remota se va a autenticar mediante el servicio Kerberos. Si el servidor tiene varios nombres de host asociados con él, cree un principal para cada nombre de host mediante el formulario FQDN del nombre de host.

  4. Agregue el principal host del servidor al archivo keytab del servidor.

    Si el comando kadmin no se está ejecutando, reinícielo con un comando similar al siguiente: /usr/sbin/kadmin -p kws/admin

    Si el servidor tiene varios nombres de host asociados con él, agregue un principal al archivo keytab para cada nombre de host.

    kadmin: ktadd host/boston.example.com
    Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
    with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
    Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
    with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
    Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
    mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
    kadmin:
  5. Salga de kadmin.
    kadmin: quit