Kerberos - Administracion de Sistemas Operativos en Red

Anuncio
Kerberos
Fabiola Martinez Peñaranda 1150123
Carlos Rincon Avila 1150101
Henry Alexander Peñaranda 1150111
Ingeniería de Sistemas
Universidad Francisco de Paula Santander
Cucuta
2012
Kerberos
Fabiola Martinez Peñaranda 1150123
Carlos Rincon Avila 1150101
Henry Alexander Peñaranda 1150111
Examen Final
Administración de Sistemas Operativos en red
Ing. Jean Polo Cequeda Olago
Ingeniería de Sistemas
Universidad Francisco de Paula Santander
Cucuta
2012
Kerberos
La seguridad e integridad del sistema dentro de una red puede ser complejo. Se peude
necesita varios administradores solo para poder conocer qué servicios son los que
están ejecutándose en una red, y la manera en que están siendo utilizados.
Es más, la autenticación de usuarios en los servicios de red puede ser peligrosa
cuando los métodos usados por el protocolo sean inseguros, como lo demuestran
los protocolos tradicionales FTP y Telnet, que transfieren contraseñas no encriptadas
sobre la red.
Kerberos es una forma de eliminar la necesidad de protocolos que permitan métodos
inseguros de autenticación, por lo que mejora la seguridad general de la red.
¿Qué es Kerberos?
Kerberos es un protocolo de autenticación de red creado por el MIT (Massachusetts
Institute of Technology), y utiliza una criptografía de llave simétrica para autenticar a los
usuarios de los servicios de red, lo que en pocas palabras significa que las contraseñas
nunca son enviadas a través de la red.
Una llave simétrica es un sistema donde tanto el cliente como el servidor comparten
una clave común que es utilizada para encriptar y desencriptar comunicaciones a
través de una red
Cuando los usuarios se autentican con servicios de red usando Kerberos, los usuarios
no autorizados que intenten averiguar las contraseñas monitoreando el tráfico de red
son efectivamente bloqueados.
Historia
Kerberos fué creado en el Massachusetts Institute of Technology (MIT) como una
solución a los problemas de seguridad de la red. El protocolo Kerberos utiliza
criptografía fuerte para que un cliente pueda demostrar su identidad en un servidor (y
viceversa) a través de una conexión de red insegura.
Kerberos es el nombre de un protocolo de autentificación vía red y un adjetivo para
describir programas que implementan el programa (Kerberos telnet, por ejemplo,
conocido también como el “telnet kerberizado”). La versión actual del protocolo es la 5,
descrita en RFC 1510.
Existen diversas implementaciones libres de este protocolo, cubriendo un amplio
rango de sistemas operativos. El MIT, donde Kerberos fué desarrollado, continúa
desarrollando su propio paqueteKerberos. Suele usarse en los EEUU como producto
criptográfico y como tal ha sufrido las regulaciones de exportación de los EEUU. El
Kerberos del MIT existe como un port en (security/krb5). Heimdal Kerberos es otra
implementación de la versión 5, y fué desarrollada de forma intencionada fuera de
los EEUU para sortear las regulaciones de exportación (y por eso puede incluirse en
versiones no comerciales de UNIX®). La distribución Heimdal Kerberos está en el port
(security/heimdal), y se incluye una instalación mínima en el sistema base de FreeBSD.
Para alcanzar la mayor audiencia estas instrucciones asumen el uso de la distribución
Heimdal incluída en FreeBSD.
Ventajas de Kerberos
La mayoría de los servicios convencionales de red utilizan esquemas de autenticación
basados en contraseñas. Estos esquemas piden que los usuarios se identifiquen en un
servidor de red determinado mediante su nombre y contraseña. Desafortunadamente,
la transmisión de los datos para la autenticación de muchos servicios no es encriptada.
Para que este tipo de esquemas sean seguros, la red tiene que permanecer inaccesible
a los usuarios extraños a ella, y todos los equipos y todos los usuarios pertenecientes a
ella deben ser considerados confiables.
Pero aun en este caso, una red que se encuentre conectada a Internet no puede ser
considerada como una red segura. Cualquier atacante que tenga acceso a la red
puede utilizar un simple analizador de paquetes, también conocido como "rastreador"
de paquetes, para interceptar nombres de usuario y contraseñas, comprometiendo las
cuentas de usuario y la integridad de toda la infraestructura de seguridad.
El objetivo primario del diseño de Kerberos es eliminar la transmisión de contraseñas
encriptadas en la red. Si se usa apropiadamente, Kerberos elimina efectivamente la
amenaza de los husmeadores (sniffers) de paquetes en la red.
Desventajas de Kerberos
Aunque Kerberos elimina una amenaza de seguridad común y severa, puede ser difícil
de implementar por una variedad de razones:
● Puede ser algo muy tedioso migrar las contraseñas de los usuarios de una base
de datos UNIX estándar, como ser por ejemplo /etc/passwd o /etc/shadow
hacia una base de datos para contraseñas Kerberos, ya que no hay ningún
mecanismo automatizado para realizar esta tarea.
● Kerberos sólo tiene compatibilidad parcial con el sistema PAM de módulos de
autenticación conectables, utilizado por la mayoría de los servidores Fedora.
● Kerberos presupone que cada usuario es confiable, pero que está utilizando un
equipo o una red que no lo es. Su objetivo principal es prevenir la transmisión en
la red de contraseñas no encriptadas. Sin embargo, si alguien más tiene acceso
al único equipo que envía los comprobantes utilizados para la autenticación —
denominado el centro de distribución de claves (KDC, por las siglas en inglés
de Key Distribution Center) —, además del usuario correspondiente, todo el
sistema de autenticación Kerberos está corre riesgo.
● Para que una aplicación utilice Kerberos, su origen debe ser modificado para
que pueda realizar las llamadas apropiadas a las bibliotecas de Kerberos. Las
aplicaciones modificadas de esta manera son consideradas como compatibles
con Kerberos, o kerberizadas. Para algunas, esto puede ser bastante
problemático debido al tamaño de la aplicación o debido a su diseño. Para otras
aplicaciones incompatibles, los cambios deben ser hechos de manera tal de
permitir que el cliente y el servidor puedan comunicarse. De nuevo, esto puede
necesitar una programación extensa. Las aplicaciones de código propietario que
no tienen soporte para Kerberos por defecto, son más difíciles de configurar.
● Kerberos es una herramienta de tipo "todo o nada". Si Kerberos es utilizado
en la red, cualquier contraseña no encriptada transferida a un servicio no
compatible con Kerberos (o no Kerberizado), se encuentra en riesgo. Por lo
tanto, la red no obtiene beneficio alguno al utilizarlo. Para asegurar una red con
Kerberos, se debe utilizar versiones kerberizadas de todas las aplicaciones de
tipo servidor/cliente que transmitan contraseñas no encriptadas, o que no utilicen
ninguna de este tipo de aplicaciones.
Terminología de Kerberos
Kerberos tiene su propia terminología para definir varios aspectos del servicio. Antes
de aprender cómo funciona Kerberos, es importante conocer algunos de los siguientes
términos:
● Servidor de autenticación (SA)
Un servidor que envía comprobantes (o tickets) para un servicio determinado,
comprobantes que en su momento serán enviados a los usuarios para
que puedan acceder a ese servicio. El AS responde con una petición a las
solicitudes de los clientes que, o no tienen o no han enviado sus credenciales
de autenticación. Generalmente, para tener acceso al servidor que emite
las garantías de los comprobantes (TGS, por las siglas en inglés de TicketGranting Server), se envía un comprobante de obtención de garantía de
comprobante (TGT, Ticket-Granting Ticket). Por último, el AS generalmente
se ejecuta en el mismo equipo que el centro de distribución de claves (KDC,
Key Distribution Center).
● ciphertext
Datos encriptados.
● cliente
Una entidad en la red (un usuario, equipo o aplicación) que puede recibir tickets
desde Kerberos.
● credenciales
Un conjunto de credenciales electrónicas temporales que verifican la
identidad de un cliente para un servicio particular. También llamado ticket.
● caché de credenciales o archivo de ticket
Un archivo que contiene las claves para encriptar las comunicaciones entre
un usuario y varios servicios de red. Kerberos 5 soporta un marco de trabajo
para el uso de otros tipos de cache, tales como memoria compartida, pero los
archivos son los más completamente soportados.
● hash de encriptado
Un hash de una vuelta se usa para autenticar los usuarios. Estos son más
seguros que usar datos no encriptados, pero todavía son relativamente
fáciles de desencriptar para craqueadores experimentados.
● GSS-API
La Interfaz del Programa de la Aplicación de Servicios Generales de
Seguridad (API, por las siglas en inglés de Generic Security Service
Application Program Interfaz), es un conjunto de funciones que proveen
servicios de seguridad, definida en RFC-2743, publicada por el Equipo de
Tareas de Ingeniería de Internet. La API es utilizada por servicios y clientes
para autenticarse mutuamente sin que sus programas posean conocimientos
específicos de los mecanismos subyacentes. Si un servicio de red (como por
ejemplo cyrus-IMAP) utiliza GSS-API, entonces puede autenticarse mediante
Kerberos.
● hash
También conocido como valor hash. Un valor generado por el paso de una
cadena a través de una función hash. Estos valores son típicamente usados
para asegurar que los datos transmitidos no fueron interceptados y modificados.
● llave
Los datos usados cuando se encriptan o desencriptan otros datos. Los datos
encriptados no pueden ser desencriptados sin una clave apropiada o una
extrema buena suerte de parte del craqueador.
● centro de distribución de claves (KDC)
Un servicio que emite tickets de Kerberos, y que usualmente corre en el
mismo equipo que el servidor de garantía de ticket (TGS).
● tabla de clave (keytab)
Un archivo que incluye una lista no encriptada de principales con sus
respectivas claves. Los servidores obtienen las claves que necesitan desde
los archivos keytab en lugar de utilizar kinit. El archivo keytab establecido
por defecto es /etc/krb5.keytab. El servidor que administra el KDC /usr/
kerberos/sbin/kadmind, es el único servicio que utiliza cualquier otro
archivo (utiliza /var/kerberos/krb5kdc/kadm5.keytab).
● kinit
El comando kinit permite a un principal que ya ingresó obtener y hacer caché
del ticket inicial de garantía de tickets (TGT). Vaya a la página man de kinit
para más información.
● principal (o nombre principal)
The principal is the unique name of a user or service allowed to authenticate
using Kerberos. A principal follows the form root[/instance]@REALM. For a
typical user, the root is the same as their login ID. The instance is optional.
If the principal has an instance, it is separated from the root with a forward
slash ("/"). An empty string ("") is considered a valid instance (which differs
from the default NULL instance), but using it can be confusing. All principals
in a realm have their own key, which for users is derived from a password or
is randomly set for services.
● reinado
Una red que use Kerberos, compuesta de uno o más servidores llamados
KDCs y un número potencialmente grande de clientes.
● servicio
Un programa accedido por la red.
● ticket
Un conjunto temporal de credenciales electrónicas que verifican la identidad
de un cliente para un servicio particular. También llamados credenciales o
comprobantes.
● servidor de garantías de tickets (TGS)
Un servidor que emite tickets para un servicio deseado que son a su vez
dados a los usuarios para acceder al servicio. El TGS corre normalmente en
el mismo equipo que el KDC.
● ticket de garantía de ticket (TGT)
Un ticket especial que permite al cliente obtener tickets adicionales sin aplicar
nuevamente en el KDC.
● contraseña no encriptada
Una contraseña en texto plano, legible al humano.
Como Funciona Kerberos
Kerberos se diferencia de los métodos de autenticación de nombre de usuario /
contraseña. En lugar de autenticar cada usuario en cada servicio de red, Kerberos
utiliza cifrado simétrico y un tercero de confianza (un KDC), para autenticar a los
usuarios de red. Cuando un usuario se autentica en el KDC, el KDC envía un ticket
específico para esa sesión de nuevo a la máquina del usuario y cualquier servicio
Kerberos-aware buscar el billete en la máquina del usuario, en lugar de requerir que el
usuario se autentique utilizando una contraseña.
Cuando un usuario kerberizado de una red se loguea en su estación de trabajo, su
principal es enviado al KDC como parte de un pedido para un TGT del servidor de
Autenticación. Este pedido puede ser enviado por el programa de logueo de modo que
sea transparente para el usuario, o puede ser enviado por el programa kinit luego que
el usuario se haya logueado.
El KDC entonces verifica el principal en su base de datos. Si lo encuentra, el KDC crea
un TGT, que se encripta usando las claves del usuario y devuelto al usuario.
El inicio de sesión o el programa kinit en el cliente descifra el TGT utilizando la clave
del usuario, que se analiza desde la contraseña del usuario. La clave de usuario se
utiliza sólo en la máquina cliente y no se transmite por la red.
El TGT, que caduca después de un cierto período de tiempo (generalmente de diez a
veinticuatro horas) y se almacena en la memoria caché del equipo cliente credenciales.
Un tiempo de caducidad de manera que un TGT vulnerado, pueda ser utilizado por
un atacante sólo durante un corto período de tiempo. Después de que el TGT se ha
emitido, el usuario no tenga que volver a introducir su contraseña hasta que el TGT
caduque o hasta que finalice la sesión y volver a iniciar sesión.
Siempre que el usuario necesite acceso a un servicio de red, el software del cliente
utiliza el TGT para pedirle al TGS un nuevo comprobante específicamente para ese
servicio. El comprobante del servicio es entonces utilizado para autenticar de manera
transparente al usuario frente al servicio en cuestión.
Importante:
El sistema Kerberos puede ser vulnerado si un usuario en la red se autentica frente a
un servicio no kerberizado transmitiendo una contraseña con formato de texto simple.
La utilización de servicios no kerberizados es altamente desalentada. Entre tales
servicios se encuentra Telnet y FTP. Es preferible la utilización de otros protocolos
encriptados, como servicios asegurados mediante SSH o SSL, aunque no es lo ideal.
Configuración de servidores KDC
Después de instalar el software Kerberos, debe configurar los servidores KDC. La
configuración de un servidor KDC maestro y de, al menos, un servidor KDC esclavo
proporciona el servicio que emite credenciales. Estas credenciales son la base para el
servicio Kerberos, por lo que los KDC se deben instalar antes de intentar otras tareas.
La diferencia más importante entre un KDC maestro y un KDC esclavo es que sólo
el KDC maestro puede manejar solicitudes de administración de bases de datos.
Por ejemplo, el cambio de una contraseña o la adición de un nuevo principal se
deben realizar en el KDC maestro. Estos cambios, luego, se pueden propagar a los
KDC esclavos. Tanto el KDC esclavo como el KDC maestro generan credenciales.
Esta función proporciona redundancia en el caso de que el KDC maestro no pueda
responder.
Configuración de servidores KDC (mapa de tareas)
Tarea
Descripción
Configurar un
servidor KDC
maestro
Configura y genera el servidor KDC maestro y la
base de datos para un dominio mediante un proceso
manual, que se necesita para instalaciones más
complejas.
Configura y genera el servidor KDC maestro y la
base de datos para un dominio mediante un proceso
manual y un LDAP para el KDC.
Configurar un
servidor KDC
esclavo
Configura y genera un servidor KDC esclavo para
un dominio mediante un proceso manual, que se
necesita para instalaciones más complejas.
Actualizar las claves
del principal en un
servidor KDC
Actualiza la clave de la sesión en un servidor KDC
para utilizar nuevos tipos de cifrado.
Cómo configurar manualmente un KDC maestro
En este procedimiento, se configura la propagación incremental. Además, se utilizan
los siguientes parámetros de configuración:
●
●
●
●
●
Nombre de dominio = EXAMPLE.COM
Nombre de dominio DNS = example.com
KDC maestro = kdc1.example.com
Principal admin = kws/admin
URL de ayuda en pantalla = http://denver:8888/ab2/coll.384.1/SEAM/
@AB2PageView/6956
● Nota - Ajuste la dirección URL para que enlace a la sección "Herramienta gráfica
de administración de Kerberos", como se describe en URL de ayuda en pantalla
en la herramienta gráfica de administración de Kerberos.
Antes de empezar
Este procedimiento requiere que el host esté configurado para usar DNS. Para obtener
instrucciones específicas de nomenclatura si este maestro se va a intercambiar,
consulte Intercambio de un KDC maestro y un KDC esclavo.
1. Ingrese como usuario root para tener acceso a todas las opciones del
sistema.
2. Instale los paquetes krb5-libs, krb5-server y krb5-workstation en la máquina
dedicada que correrá KDC. Esta máquina necesita ser muy segura — si es
posible, no debe correr ningún otro servicio más que KDC.
3. Edite el archivo de configuración de Kerberos (krb5.conf).
Necesita cambiar los nombres de dominio y los nombres de los servidores.
Consulte la página del comando man krb5.conf(4) para obtener una descripción
completa de este archivo.
kdc1 # nano /etc/krb5/krb5.conf
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc1.example.com
admin_server = kdc1.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
#
# if the domain name and realm name are equivalent,
# this entry is not needed
#
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE:/var/krb5/kdc.log
[appdefaults]
gkadmin = {
help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956
}
En este ejemplo, se modificaron las líneas para las entradas default_realm, kdc,
admin_server y domain_realm. Además, se editó la línea que define help_url.
Nota - Si desea restringir los tipos de cifrado, puede definir las líneas
default_tkt_enctypes o default_tgs_enctypes. Consulte Uso de los tipos de cifrado de
Kerberos para obtener una descripción de los problemas relacionados con la restricción
de los tipos de cifrado.
4. Edite el archivo de configuración de KDC (kdc.conf).
Necesita cambiar el nombre de dominio. Consulte la página del comando man
kdc.conf(4) para obtener una descripción completa de este archivo.
nano /var/kerberos/kbr5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88,750
[realms]
EXAMPLE.COM = {
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
admin_keytab = /etc/krb5/kadm5.keytab
acl_file = /etc/krb5/kadm5.acl
kadmind_port = 749
max_life = 8h 0m 0s
max_renewable_life = 7d 0h 0m 0s
sunw_dbprop_enable = true
sunw_dbprop_master_ulogsize = 1000
}
En este ejemplo, se modificó la definición del nombre de dominio en la sección realms.
Además, en la sección realms, se agregaron líneas para permitir la propagación
incremental y para seleccionar el número de actualizaciones que el KDC maestro
mantiene en el registro.
Nota - Si desea restringir los tipos de cifrado, puede definir las líneas
permitted_enctypes, supported_enctypes o master_key_type. Consulte Uso de los tipos
de cifrado de Kerberos para obtener una descripción de los problemas relacionados
con la restricción de los tipos de cifrado.
5. Cree la base de datos KDC mediante el comando kdb5_util.
El comando kdb5_util crea la base de datos KDC. Además, cuando se utiliza con la
opción -s, este comando crea un archivo intermedio que se utiliza para autenticar el
KDC para él mismo antes de que los daemons kadmindy krb5kdc se inicien.
/usr/sbin/kdb5_util create -s
Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM'
master key name 'K/M@EXAMPLE.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: <Type the key>
Re-enter KDC database master key to verify: <Type it again>
6. Edite el archivo de la lista de control de acceso de Kerberos (kadm5.acl).
Una vez que se rellena, el archivo /var/kerberos/krb5kdc/kadm5.acl debe contener
todos los nombres de principales que tienen permitido administrar el KDC.
kws/admin@EXAMPLE.COM *
La entrada da al principal kws/admin en el dominio EXAMPLE.COM la capacidad
de modificar los principales o las políticas en el KDC. La instalación predeterminada
incluye un asterisco (*) para que concuerde con todos los principales admin. Este valor
predeterminado puede ser un riesgo de seguridad, por lo que es más seguro incluir una
lista de todos los principales admin. Consulte la página del comando man kadm5.acl(4)
para obtener más información.
7. Inicie el comando kadmin.local y agregue principales.
Los próximos pasos secundarios crean los principales que son utilizados por el servicio
Kerberos.
kdc1 # /usr/sbin/kadmin.local
kadmin.local:
a. Agregue principales de administración a la base de datos.
Puede agregar tantos principales admin como necesite. Debe agregar, al menos,
un principal admin para completar el proceso de configuración del KDC. Para
este ejemplo, se agrega un principal kws/admin. Puede sustituir un nombre de
principal adecuado en lugar de “kws”.
kadmin.local: addprinc kws/admin
Enter password for principal kws/admin@EXAMPLE.COM:<Type the password>
Re-enter password for principal kws/admin@EXAMPLE.COM: <Type it again>
Principal "kws/admin@EXAMPLE.COM" created.
kadmin.local:
b. Cree los principales kiprop.
Ingrese el comando siguiente kadmin.local en la terminal KDC para crear el
primer principal:
/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin"
La herramienta kadmin permite la comunicación con el servidor kadmind a través
de la red, y utiliza kerberos para manipular la autenticación. Consecuentemente, el
primer principal debe existir previamente antes de intentar conectarse con el servidor
a través de la red para administrarlo. Genere el primer principal con el comando
kadmin.local, que ha sido específicamente diseñado para ser utilizado en el mismo
equipo en el que funciona el KDC, y no utiliza Kerberos para su autenticación.
8. Inicie Kerberos usando los siguientes comandos:
● /sbin/service krb5kdc start
● /sbin/service kadmin start
● /sbin/service krb524 start
Agregue principales para los usuarios mediante el comando addprinc dentro de kadmin.
kadmin y kadmin.local son interfaces de líneas de comando al KDC. Como este,
existen disponibles otros comandos — como por ejemplo addprinc — luego de iniciar el
programa kadmin. Para obtener mas información, consulte la página de kadmin.
Verifique que KDC está emitiendo tiques. Primero, corra kinit para obtener un tique
y guardarlo en un archivo cache de credencial. Luego, use klist para ver la lista de
credenciales en el caché y use kdestroy para destruir el caché y las credenciales que
contiene.
Configuración de un Cliente Kerberos 5
Configurar un cliente de Kerberos 5 es menos complicado que configurar un servidor.
Como mínimo, instale los paquetes del cliente y otórguele a cada cliente un archivo de
configuración krb5.conf válido. Mientras que ssh y slogin son los métodos preferidos
para loguearse remotamente en sistemas cliente, las versiones Kerberizadas de rsh
y rloginsiguen estando disponibles, aunque para habilitarlas es necesario realizar
algunos cambios adicionales en la configuración.
1. Asegúrese que la sincronización de tiempo entre el cliente Kerberos y KDC
exista y sea la adecuada. Diríjase aSección 2.6.5, “Configurando un servidor
Kerberos 5” para obtener mayors información. Además, verifique que el DNS
está funcionando apropiadamente en el cliente Kerberos antes de configurar con
los programas cliente de Kerberos.
2. Instale los paquetes krb5-libs y krb5-workstation en todas las máquinas clientes.
Provea un archivo /etc/krb5.conf válido para cada cliente (normalmente este
puede ser el mismo archivo krb5.conf usado por el KDC).
3. Antes de que una estación de trabajo de la red pueda utilizar Kerberos para
autenticar a los usuarios que se conectan mediante ssh o rsh o rlogin, debe
tener su propio host principal en la base de datos de Kerberos. El sshd, kshd, y
los programas de servidor klogind todos deben tener acceso a las claves para el
director del servicio de acogida. Además, con el fin de utilizar el rsh kerberizado
y servicios rlogin, esa estación de trabajo debe tener el paquete xinetd instalado.
4. Usando kadmin, añada un host principal para la estación de trabajo en el KDC.
El ejemplo en este caso es el nombre de la estación de trabajo. Utilice la opciónrandkey para el comando kadmin addprinc para crear el principal y asignarle una
clave aleatoria:
addprinc -randkey host/blah.example.com
5. Ahora que se ha creado el principal, las claves se pueden extraer para la
estación trabajo ejecutando kadmin en la misma estación de trabajo y usando el
comando ktadd dentro de kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com
6. Para usar otros servicios de red kerberizados, primero deben iniciarse. A
continuación mostramos una lista de los servicios kerberizados comunes y las
instrucciones acerca de cómo habilitarlos:
○ ssh — OpenSSH usa GSS-API para autenticar a los usuarios
a los servidores si el cliente y la configuración del servidor
GSSAPIAuthentication ambos han sido habilitadas. Si el cliente también
ha GSSAPIDelegateCredentials habilitado, las credenciales del usuario
están disponibles en el sistema remoto.
○ rsh y rlogin — Para usar las versiones kerberizadas de rsh y rlogin,
habilite klogin, eklogin y kshell.
○ Telnet — Para usar Telnet kerberizado, debe habilitar krb5-telnet.
○ FTP — Para proveer acceso FTP, crear y extraer una clave para el
principal con una raíz de ftp. Asegúrese de poner la instancia al nombre
de equipo completo del servidor FTP, luego habilite gssftp.
○ IMAP — Para utilizar un servidor kerberizado IMAP, el paquete cyrusimap utilizará Kerberos 5, si también se encuentra instalado el paquete
cyrus-sasl-gssapi. El paquete cyrus-sasl-gssapi contiene el complemento
Cyrus SASL que tiene soporte para autenticación GSS-API. Cyrus IMAP
debería funcionar correctamente con Kerberos siempre y cuando el
usuario cyrus sea capaz de encontrar la clave correspondiente en /etc/
krb5.keytab, y que la raíz para el principal esté definida para imap (creada
con kadmin).
○ Una alternativa a cyrus-imap se puede encontrar en el paquete dovecot,
que también se ofrece con Fedora. Este paquete contiene un servidor
IMAP pero por el momento no da soporte ni a GSS-API ni a Kerberos.
○ CVS — Para usar un servidor CVS kerberizado, gserver usa un principal
con una raíz de cvs y por lo demás es idéntico al servidor CVS pserver.
Descargar