Gestión de Kerberos y otros servicios de autenticación en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Cómo asignar una política del PAM modificada

En este procedimiento, debe configurar una política del PAM no predeterminada en todas las imágenes del sistema. Después de que se copian todos los archivos, puede asignar la política del PAM nueva o modificada a usuarios individuales o a todos los usuarios.

Antes de empezar

Ha modificado y ha probado los archivos de configuración del PAM que implementan la nueva política.

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Agregue los archivos del PAM no predeterminados a todas las imágenes del sistema.

    Debe agregar todos los nuevos módulos del PAM y los archivos de configuración del PAM nuevos y modificados a todas las imágenes del sistema.

    1. En primer lugar, agregue los nuevos módulos del PAM para cada imagen del sistema.
      1. Agregue el módulo del PAM de 32 bits al directorio de arquitectura adecuada.
      2. Agregue el módulo del PAM de 64 bits al directorio de arquitectura adecuada.

      Para obtener un ejemplo de configuración de directorio, consulte Step 1 in Cómo agregar un módulo PAM.

    2. A continuación, agregue nuevos archivos de configuración del PAM para cada imagen del sistema.

      Por ejemplo, agregue el archivo /opt/local_pam/ssh-telnet-conf a cada imagen del sistema.

    3. A continuación, copie cualquier archivos de configuración del PAM modificado a cada imagen del sistema.

      Por ejemplo, copie un archivo /etc/pam.conf modificado y cualquier /etc/pam.d/service-name-files a cada imagen del sistema.

  2. Asigne una política del PAM no predeterminada a todos los usuarios.
    1. Modifique el archivo policy.conf en una de las siguientes formas:
      • Agregue un archivo de configuración del PAM a la palabra clave PAM_POLICY en el archivo policy.conf. 
        # pfedit /etc/security/policy.conf
...
# PAM_POLICY=
PAM_POLICY=/opt/local_pam/ssh-telnet-conf
...
      • Agregue un perfil de derechos a la palabra clave PROFS_GRANTED en el archivo policy.conf.

        Por ejemplo, asigne la política del PAM por usuario de cualquier perfil de derechos desde Example 1–3.

        # pfedit /etc/security/policy.conf
...
AUTHS_GRANTED=
# PROFS_GRANTED=Basic Solaris User
PROFS_GRANTED=PAM Per-User Policy of Any,Basic Solaris User
...
    2. Copie el archivo policy.conf modificado a cada imagen del sistema.
  3. Para asignar una política del PAM no predeterminada a usuarios individuales, puede asignar la política directamente a un usuario o agregar la política al perfil de derecho que se asigna a los usuarios.
    • Asigne la política del PAM directamente a usuarios individuales. 
      # usermod -K pam_policy="/opt/local_pam/ssh-telnet-conf" jill
    • Incluya la política del PAM en un perfil de derechos y asigne el perfil a usuarios individuales.

      En este ejemplo, se utiliza la política del PAM ldap.

      # profiles -p "PAM Per-User Policy of LDAP" \
'set desc="Profile which sets pam_policy=ldap";
set pam_policy=ldap; exit;'

      Luego, asigne el perfil de derechos a un usuario.

      # usermod -P +"PAM Per-User Policy of LDAP" jill
Ejemplo 1-4  Límite de la pila del PAM ktelnet a usuarios seleccionados

El administrador desea permitir a un número limitado de los usuarios la capacidad de utilizar telnet en un dominio Kerberos. Por lo tanto, antes de activar el servicio telnet, el administrador cambia el archivo de configuración ktelnet predeterminado y coloca el archivo ktelnet predeterminado en el directorio pam_policy.

En primer lugar, el administrador configura un archivo ktelnet por usuario. 

# cp /etc/pam.d/ktelnet /etc/security/pam_policy/ktelnet-conf
# pfedit /etc/security/pam_policy/ktelnet-conf
...
# Kerberized telnet service
#
ktelnet  auth required           pam_unix_cred.so.1
ktelnet  auth required           pam_krb5.so.1

El comando protege el archivo con permisos de 444. 

# chmod 444 /etc/security/pam_policy/ktelnet-conf
# ls -l /etc/security/pam_policy/ktelnet-conf
-r--r--r--   1 root     root         228 Nov 27 15:04 ktelnet-conf

    Luego, el administrador modifica el archivo ktelnet en el directorio pam.d.

  • La primera entrada permite la asignación por usuario.

  • La segunda entrada deniega el uso de ktelnet a menos que el administrador le asigne pam_policy=ktelnet.

# cp /etc/pam.d/ktelnet /etc/pam.d/ktelnet.orig
                # pfedit /etc/pam.d/ktelnet
...
# Denied Kerberized telnet service
#
auth definitive         pam_user_policy.so.1
auth required           pam_deny.so.1

El administrador prueba la configuración con un usuario con privilegios, un usuario común y el rol root. Cuando la configuración pasa, el administrador activa el servicio telnet y asigna la política por usuario a los administradores de Kerberos.

# svcadm enable telnet
# rolemod -S ldap -K pam_policy=ktelnet-conf kerbadmin

El administrador copia los archivos modificados en todos los servidores Kerberos y activa telnet en esos servidores.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente