• Like
  • Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this document? Why not share!

26 configuración de la autenticación

on

  • 851 views

 

Statistics

Views

Total Views
851
Views on SlideShare
851
Embed Views
0

Actions

Likes
0
Downloads
9
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    26  configuración de la autenticación 26 configuración de la autenticación Document Transcript

    • Configuración de la autenticación Cuando un us uario s e c onec ta a un sistema Red Hat Enterpris e Linux, se verifican el nombre de usuario y la c ontras eña, o en otras palabras se autentifican, como un usuario activo válido. Algunas veces la información para verificar el us uario es tá loc alizada en el s istema local, otras vec es el s istema delega la validación a una base de datos de usuarios en un sistema remoto. La Authentication Configuration Tool proporciona una interfaz gráfica para configurar NIS, LDAP y servidores Hesiod para recuperar información del usuario así como también para configurar LDAP, Kerberos y SMB como protocolos de autentic ac ión. Nota Si configuró un nivel de seguridad medio o alto durante la ins talac ión (o con la Security Level Configuration Tool) entonc es el cortafuegos no permitirá la autentic ac ión NIS (Servicio de Información de la Red). Este capítulo no explica cada uno de los diferentes tipos de autentic ac ión en detalle. En vez de eso explica cómo usar la Authentication Configuration Tool para configurarlos. To start the graphic al version of the Authentication Configuration Tool from the des ktop, s elect the System (on the panel) > Administration > Authe ntication or type the command system-config- authentication at a shell prompt (for example, in an XTerm or a GNOME terminal). Impo rtante Des pués de salir del programa de autentic ac ión, los cambios tendrán efecto de inmediato. 26.1. User Information La pestaña de Información del Usuario le permite configurar la manera en que los usuarios deben ser autentic ados y tiene varias opc iones. Para habilitar una opción, haga click en la casilla de verificación al lado de ella. Para inhabilitarla, haga click en la casilla para limpiarla. Luego haga click en OK para salir del programa y aplicar los cambios. 441
    • User Information Figura 26.1. User Information La lista siguiente explica lo que configura cada una de las opciones : NIS La opción Habilitar Soporte NIS configurar el sis tema para conec tars e a un servidor NIS (como un cliente NIS) para la autentificac ión de usuarios y c ontras eñas. Haga click en el botón Configurar NIS... para espec ific ar el dominio NIS y el servidor NIS. Si no se es pec ific a el servidor NIS, el demonio intentará buscarlo vía difusión (broadc ast). Debe tener el paquete ypbind instalado para que esta opción funcione. Si el soporte NIS está activado, los servic ios portmap y ypbind serán iniciados y también estarán habilitados para arranc ar en el momento de inicio del s istema. 442
    • User Information LDAP La opción Habilitar el soporte LDAP le ordena al s is tema que rec upere información del usuario a través de LDAP. Haga click en el botón Configurar LDAP... para espec ificar lo s iguiente: • DN de Base de Bús que da LDAP — Rec upera la información del usuario por medio de su nombre distinguido, Distinguis hed Name (DN). • Servidor LDAP — Espec ifique la dirección IP del servidor LDAP. • Use TLS para encriptar conexiones — Cuando s e encuentra habilidata, se utilizará la Seguridad de la Capa de Trans porte para encriptar las contras eñas enviadas al servidor LDAP. La opc ión Descargar Ce rtificado AC le permite espec ific ar una URL desde donde se podrá desc argar un Certificado AC (Autoridad de Certificación) válido. Un Certificado CA válido tiene que estar en formato PEM (del inglés Correo con Privac idad Mejorada). Debe tener instalado el paquete openldap-clients para que esta opción func ione. Hes iod La opción Habilitar soporte Hesiod configura el sistema para rec uperar información (inc luyendo información del usuario) des de una base de datos remota Hesiod. Haga clic en el botón Configurar Hesiod... para espec ific ar lo s iguiente: • Hes iod LHS — Es pec ific a el prefijo del dominio que se utiliza para consultas Hes iod. • Hes iod RHS — Espec ific a el dominio Hesiod predeterminado. El paquete hesi od debe es tar instalado para que esta opción funcione. Para obtener más información sobre Hes iod vaya a su página man utilizando el comando man hesi od. También s e puede referir a la página man man hesi od. (man hesiod.conf) para obtener más información sobre LHS y RHS. Winbind La opción Habilitar Soporte Winbind configura el sis tema para conectars e a un controlador de dominio Windows o Windows Active Directory. Se puede acc eder a la información de los usuarios y configurar las opciones de autentic ac ión del servidor. Haga click en el botón Configurar Winbind... para espec ific ar lo s iguiente: • Dominio Winbind — Es pec ific a el Windows Active Directory o el controlador de dominio al c ual conec tars e. • Modelo de Seguridad — le permite selecc ionar un modelo de seguridad, el cual configura la manera en que los clientes deben responder a Samba. La lista des plegable le permite selecc ionar cualquiera de los siguientes : • usuario — Este es el modo predeterminado. Con este nivel de seguridad, el cliente debe inic iar la s es ión con una nombre de us uario y una contras eña válidas. Este modo de seguridad también permite el uso de contras eñas encriptadas. • serve r — En este modo, Samba tratará de validar el nombre de usuario/c ontras eña autentic ándolos a través de otro servidor SMB (por ejemplo, un Servidor Windows NT). Si no tiene exito tendrá efecto el modo use r. 443
    • User Information • domain — En este modo Samba intentará validar el nombre de us uario/c ontras eña autentic ándolos a través de Windows NT Primary o un Controlador de Dominio de Respaldo (Backup Domain Controller) de maner a similar a lo que haría un Servidor Windows NT. • ads — Este modo le ordena a Samba que s e c omporte como un miembro de dominio en un Active Directory Server (ADS). Para operar de este modo nec es ita tener instalado el paquete krb5-server y Kerberos debe estar configurado apropiadamente. • Winbind ADS Realm — cuando s e s elecc iona el Modelo de Seguridad ads, esto le permite espec ific ar el Dominio ADS en el que el servidor Samba debe desempeñarse como un miembro de dominio. • Template Shell — Cuando llene la información del usuario para un usuario de Windows NT, el demonio winbindd utiliza el valor selecc ionado aquí para espec ific ar el shell de registro para ese usuario. 26.2. Authentication La pestaña de Aute nticación permite la configurac ión de los métodos de autentic ac ión de red. Para activar una opción haga click sobre la casilla de verificación al lado de la misma. Para des ac tivarla, haga click nuevamente s obre la casilla para des marc arla o limpiarla. 444
    • Authentic ation Figura 26.2. Authentication A continuac ión se explica lo que configura cada opc ión: Ke rbe ros La opción Habilitar el Soporte de Ke rberos habilita la autentic ac ión de Kerberos. Haga click en Configurar Ke rbe ros... para abrir el diálogo Configuración de Ke rbe ros Settings para configurar: • Entorno — Configure el entorno para el servidor de Kerberos. El entorno o reino es la red que Kerberos utiliza, compues ta de uno o más KDCs y un número potenc ial de muchos c lientes. • KDC — Define el Centro de Distribución de Claves, Key Distribution Center (KDC), el cual es el servidor que emite los tickets de Kerberos. • Se rvidores de Administración — Espec ifica el o los servidores de administrac ión ejec utando kadmind. 445
    • Authentic ation El diálogo Configuración de Ke rbe ros también le permite utilizar DNS para resolver hosts en entornos y localizar KDCs para entornos. LDAP The Enable LDAP Support option instructs standard PAM-enabled applic ations to use LDAP for authentic ation. The Configure LDAP... button allows you to configure LDAP support with options identical to thos e pres ent in Configure LDAP... under the User Information tab. For more information about these options, refer to Sección 26.1, “User Information”. Debe tener instalado el paquete openldap-clients para que esta opción func ione. Smart Card La opción Habilitar el soporte SMB habilita la autentic ac ión por medio de tarjetas inteligentes. Es to permite que los usuarios inicien s es ión utilizando un certificado y una llave as oc iada ala mac enados en una tarjeta inteligente. Haga click en el botón Configurar SMB para ver más opc iones. SMB La opción Habilitar el soporte SMB configura PAM para utilizar un servidor SMB para autentificar a los usuarios. SMB se refiere a un protocolo del servidor del cliente utilizado para la comunic ac ión entre sis temas y Samba también lo utiliza para parec er como un servidor Windows para los clientes Windows. Haga click en el botón Configurar SMB para espec ific ar: • Grupo de trabajo — Espec ific a el grupo de trabajo SMB a utilizar. • Controladores de Dominio — Espec ific a los controladores de dominio SMB a utilizar. Winbind La opción Habilitar el soporte Winbind configura la conexión del s is tema con Windows Active Directory o con un controlador de dominios de Windows. Se puede acc eder a la información de los us uarios y configurar las opciones de autentic ac ión del servidor. The Configure Winbind... options are identical to thos e in the Configure Winbind... button on the User Information tab. Please refer to Winbind (under Sección 26.1, “User Information”) for more information. 26.3. Options Esta pestaña contiene otras opc iones para configurac ión: 446
    • Options Figura 26.3. Options Cache User Information Selecc ione esta opción para habilitar el demonio de cache de servicio de nombre (ns cd) y configurarlo para que se inicie al momento de arranque. El paquete ns cd debe estar ins talado para que esta opción funcione. Para obtener más detalles sobre nscd vaya a su página man utilizando el c omando man nscd. Use Shado w Passwords Selecc ione esta opción para guardar las contras eñas en formato de contras eñas s hadow en el archivo /etc/ shadow en vez de en /etc/passwd. Las contras eñas s hadow son activadas por defecto durante la ins talac ión y s e rec omiendan para incrementar la s eguridad del s istema. 447
    • Options Use MD5 Passwords Selecc ione esta opción para habilitar las contras eñas MD5, lo cual permite que las contras eñas tengan has ta 256 en vez de 8 o menos. Esta opción es s elecc ionada por defecto durante la instalac ión y se rec omienda su uso para mayor seguridad. Authorization local es suficiente para us uarios locales Cuano esta opción s e encuentra habilitada, el s istema no verificará la autorizac ión desde los servic ios de red (tal como LDAP o Kerberos) para las cuentas de us uarios mantenidas en su archivo /etc/ pass wd. Autenticar cue ntas del sistema por me dio de servicios de red Al habilitar esta opción se configura el sistema para permitir servic ios de red (tal como LDAP o Kerberos) para autentic ar cuentas del s is tema (incluído root) en la máquina. 26.4. Versión de línea de comandos The Authentication Configuration Tool can also be run as a command line tool with no interfac e. The command line version can be used in a configuration script or a kickstart script. The authentic ation options are summarized in Tabla 26.1, “Opciones de línea de comandos”. Tip Estas opc iones también se pueden enc ontrar en la página del manual de authconfi g o escribiendo authconfig --help en el intérprete de comandos. Opción Des cripción --enableshadow Habilitar contras eñas s hadow --di sabl eshadow Des activar c ontras eñas shadow --enablem d5 Habilitar contras eñas MD5 --di sabl em d5 Inhabilitar contras eñas MD5 --enablenis Habilitar NIS --disablenis Inhabilitar NIS --nisdomain=<domain> Es pec ific a el dominio NIS --nisserver=<server> Es pec ific a el servidor NIS --enableldap Habilitar LDAP para información del usuario --disableldap Inhabilitar LDAP para información del usuario --enableldaptls Habilitar el uso de TLS con LDAP --disableldaptls Inhabilitar el uso de TLS con LDAP --enabl el dapauth Habilitar LDAP para la autentic ac ión --disableldapauth Inhabilitar LDAP para la autenticac ión --l daps erver =< serve r> Es pec ific a un servidor LDAP 448
    • Versión de línea de comandos Opción Des cripción --ldapbasedn=<dn> Es pec ific a un DN de base LDAP --enabl ekrb5 Habilita Kerberos --disablekrb5 Inhabilita Kerberos --krb5kdc=<kdc> Es pec ific a un KDC de Kerberos --krb5adminserver=<server> Es pec ific a un servidor de adminis trac ión Kerberos --krb5realm=<realm> Es pec ific a el entorno Kerberos --enablekrb5kdcdns Habilitar el uso de DNS para encontrar Kerberos KDCs --di sabl ekrb5kdcdns Des habilitar el uso de DNS para encontrar Kerberos KDCs --enablekrb5real m dns Habilitar el uso de DNS para encontrar Kerberos realms --di sabl ekrb5real m dns Des habilitar el uso de DNS para encontrar Kerberos realms --enabl esm bauth Habilita SMB --di sabl esm bauth Inhabilita SMB --s mbworkgroup= <workg roup> Specify SMB workgroup --sm bservers=<server> Espec ifica servidores SMB --enabl ewi nbi nd Habilitar winbind para la información del us uario por defecto --disablewinbind Inhabilitar winbind para informac ión del us uario por defecto --enabl ewi nbi ndauth Habilitar winbindauth para la autentic ac ión por defecto --di sabl ewi nbi ndauth Inhabilitar winbindauth para la autentic ac ión por defecto --smbsecurity=<user|server|domain|ads> Modos de seguridad para usar Samba y windbind --smbre alm=<ST RING> Campo por defecto para Samba y winbind cuando securi ty=ad s --sm bidm apui d=<lowest-highest> Rango UID que winbind as igna al dominio o usuario ADS --sm bidm apgi d=<lowest-highest> Rango GID que winbind asigna al dominio o usuario ADS --wi nbi ndseparator=<> Caracter us ado para separar la parte del us uario y del dominio de los nombres de usuario de winbind si winbindusedefaul tdomain no es tá habilitado 449
    • Versión de línea de comandos Opción Des cripción --winbindtemplatehomedir=</home/%D/%U> Directorio de inicio de los us uarios winbind --winbindtemplateprimarygroup=<nobody> Grupo primario de los us uarios winbind --winbindtemplateshell=</bin/false> Shell por defecto de los us uarios winbind --enabl ewi nbi ndusedefaul tdom ain Configurar winbind para asumir que los usuarios sin dominio en sus nombres de us uarios son usuarios c on dominio --di sabl ewi nbi ndusedefaul tdom ai n Configurar winbind para asumir que los usuarios sin dominio en sus nombres de us uarios son usuarios s in dominio --wi nbi ndjoi n=< Ad mi nistrator > Unir el dominio winbind o campo ADS como este adminis trador --enabl ewi ns Habilitar WINS para la resoluc ión del nombr e de host --disablewins Inhabilitar WINS para la resoluc ión del nombre de host --enablehesiod Habilita Hes iod --disablehesiod Inhabilita Hes iod --hesiodlhs=<lhs> Es pec ific a Hesiod LHS --hesi odrhs=<r hs> Es pec ific a Hesiod RHS --enabl ecach e Habilita nscd --disablecache Inhabilita nscd --nostart No arranc a o detiene los servic ios portmap, ypbind o nscd aún si ellos es tán configurados --kickstart No muestra la interfaz del usuario --probe Verifica y mues tra las fallas de red Tabla 26.1. Opc iones de línea de comandos 450