Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Copia de seguridad y propagación de la base de datos de Kerberos

La propagación de la base de datos de Kerberos desde el KDC maestro hasta los KDC esclavos es una de las tareas de configuración más importantes. Si la propagación no ocurre con suficiente frecuencia, el KDC maestro y los KDC esclavos pierden la sincronización. Luego, si el KDC maestro deja de funcionar, los KDC esclavos no tendrán la información más reciente de la base de datos. Además, si un KDC esclavo se ha configurado como un KDC maestro con fines de equilibrio de carga, los clientes que utilicen ese KDC esclavo como KDC maestro no tendrán la información más reciente.

Asegúrese de que la propagación se produzca con suficiente frecuencia o configurar los servidores para la propagación incremental en función de la frecuencia con la que se cambia la base de datos de Kerberos. La propagación incremental se prefiere sobre el resto de los métodos de propagación. La propagación manual de la base de datos requiere más sobrecarga administrativa y la propagación completa es ineficaz.

Caution

Precaución  -  Para evitar la pérdida de datos, debe propagar manualmente la base de datos si agrega actualizaciones importantes a la base de datos de Kerberos antes de una propagación programada con regularidad.

Archivo kpropd.acl

El archivo kpropd.acl en un KDC esclavo proporciona una lista de nombres de principales host, un nombre por línea, que especifica los sistemas desde los cuales el KDC puede recibir una base de datos actualizada mediante la propagación. Si el KDC maestro se utiliza para propagar todos los KDC esclavos, el archivo kpropd.acl de cada esclavo necesita contener sólo el nombre del principal host del KDC maestro.

Sin embargo, la instalación de Kerberos y los pasos de configuración posteriores descritos en esta guía le indican que utilice el mismo archivo kpropd.acl en el KDC maestro y los KDC esclavos. Este archivo contiene todos los nombres de principales host del KDC. Esta configuración permite propagar desde cualquier KDC, en caso de que los KDC que se propagan no estén disponibles temporalmente. La copia idéntica en todos los KDC facilita el mantenimiento.

Comando kprop_script

El comando kprop_script usa el comando kprop para propagar la base de datos de Kerberos a otros KDC. Si el comando kprop_script se ejecuta en un KDC esclavo, propaga la copia del KDC esclavo de la base de datos de Kerberos a otros KDC. El comando kprop_script acepta una lista de nombres de host para argumentos, separados por espacios, que indican los KDC para propagar.

Cuando kprop_script se ejecuta, crea una copia de seguridad de la base de datos de Kerberos en el archivo /var/krb5/slave_datatrans y copia el archivo en los KDC especificados. La base de datos de Kerberos se bloquea hasta que la propagación se termina.

Copia de seguridad de la base de datos de Kerberos

Al configurar el KDC maestro, se configura el comando kprop_script en un trabajo cron para realizar automáticamente una copia de seguridad de la base de datos de Kerberos en el archivo de volcado /var/krb5/slave_datatrans y propagarlo a los KDC esclavos. No obstante, como con cualquier archivo, la base de datos de Kerberos puede dañarse. La corrupción de datos no es un problema en un KDC esclavo, porque la próxima propagación automática de la base de datos instala una copia nueva. Sin embargo, si se dañan los datos en el KDC maestro, la base de datos dañada se propaga a todos los KDC esclavos durante la siguiente propagación. La copia de seguridad dañada también sobrescribe el archivo de copia de seguridad anterior que no está dañado en el KDC maestro.

Para proteger en este escenario, configure un trabajo cron para copiar periódicamente el archivo de volcado slave_datatrans en otra ubicación o para crear otra copia de seguridad separada mediante el comando dump de kdb5_util. De este modo, si se daña su base de datos, puede restaurar la copia de seguridad más reciente en el KDC maestro mediante el comando load de kdb5_util.

Otra nota importante: debido a que el archivo de volcado de la base de datos contiene claves de principales, necesita proteger el archivo contra el acceso de usuarios no autorizados. De manera predeterminada, el archivo de volcado de la base de datos tiene permisos de lectura y escritura sólo como root. A fin de proteger contra el acceso no autorizado, propague el archivo de volcado de la base de datos con el comando kprop, porque este comando cifra los datos que se transfieren. Además, kprop propaga los datos sólo a los KDC esclavos, lo cual minimiza la posibilidad de enviar accidentalmente el archivo de volcado de la base de datos a hosts no autorizados.

Ejemplo 4-13  Copia de seguridad manual de la base de datos de Kerberos

Utiliza el comando dump del comando kdb5_util para realizar una copia de seguridad de la base de datos. Ejecute este comando en un directorio que sea propiedad de root.

# /usr/sbin/kdb5_util dump

En el siguiente ejemplo, se realiza una copia de seguridad de la base de datos de Kerberos en un archivo denominado dumpfile. Debido a que la opción –verbose está especificada, cada principal se imprime a medida que se le realiza una copia de seguridad. Dado que no se especifican principales, se realiza una copia de seguridad de toda la base de datos.

# kdb5_util dump -verbose /var/user/kadmin/dumpfile
kadmin/kdc1.corp.example.com@CORP.EXAMPLE.COM
krbtgt/CORP.EXAMPLE.COM@CORP.EXAMPLE.COM
kadmin/history@CORP.EXAMPLE.COM
pak/admin@CORP.EXAMPLE.COM
pak@CORP.EXAMPLE.COM
changepw/kdc1.corp.example.com@CORP.EXAMPLE.COM

En el ejemplo siguiente, el volcado contiene sólo los principales pak y pak/admin.

# kdb5_util dump -verbose pakfile pak/admin@CORP.EXAMPLE.COM pak@CORP.EXAMPLE.COM
pak/admin@CORP.EXAMPLE.COM
pak@CORP.EXAMPLE.COM

Para obtener más información, consulte la página del comando man kdb5_util(1M).

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente