¿Qué es Kerberos Linux?
Este protocolo le permite usar cualquier programa habilitado para Kerberos en el sistema operativo Linux sin conectar contraseñas cada vez. Kerberos también es compatible con otros sistemas operativos importantes como Apple Mac OS, Microsoft Windows y FreeBSD.
El objetivo principal de Kerberos Linux es proporcionar un medio para que los usuarios se autenticen de manera confiable y segura en los programas que usan dentro del sistema operativo. Por supuesto, los responsables de autorizar a los usuarios para acceder a esos sistemas o programas dentro de la plataforma. Kerberos puede interactuar fácilmente con sistemas de contabilidad seguros, asegurando que el protocolo complete eficientemente la tríada AAA al autenticar, autorizar y contabilidad sistemas."
Este artículo se centra solo en Kerberos Linux. Y aparte de la breve introducción, también aprenderá lo siguiente;
- Componentes del protocolo Kerberos
- Conceptos del protocolo Kerberos
- Variables ambientales que afectan la operación y el rendimiento de los programas habilitados para Kerberos
- Una lista de comandos comunes de Kerberos
Componentes del protocolo Kerberos
Mientras que la última versión se desarrolló para el Proyecto Athena en el MIT (Massachusetts Institute of Technology), el desarrollo de este protocolo intuitivo comenzó en la década de 1980 y se publicó por primera vez en 1983 en 1983. Deriva su nombre de Cerberos, mitología griega y presenta 3 componentes, incluidos;
- Un principal o principal es cualquier identificador único al que el protocolo puede asignar boletos. Un director puede ser un servicio de aplicación o un cliente/usuario. Por lo tanto, terminará con un director de servicio para servicios de aplicación o una identificación de usuario para usuarios. Nombres de usuario para la primaria para los usuarios, mientras que el nombre de un servicio es el principal para el servicio.
- Un recurso de la red Kerberos; es un sistema o aplicación que permite el acceso al recurso de red que requiere autenticación a través de un protocolo Kerberos. Estos servidores pueden incluir informática remota, emulación de terminal, correo electrónico y servicios de impresión e impresión.
- Un centro de distribución de clave o KDC es el servicio de autenticación confiable del protocolo, la base de datos y el servicio de devolución de boletos o TGS. Por lo tanto, un KDC tiene 3 funciones principales. Se enorgullece de la autenticación mutua y permite que los nodos demuestren su identidad adecuadamente entre sí. El confiable proceso de autenticación de Kerberos aprovecha una criptografía secreta compartida convencional para garantizar la seguridad de los paquetes de información. Esta característica hace que la información sea ilegible o inmutable en varias redes.
Los conceptos centrales del protocolo Kerberos
Kerberos proporciona una plataforma para que los servidores y los clientes desarrollen un circuito encriptado para garantizar que todas las comunicaciones dentro de la red sigan siendo privadas. Para lograr sus objetivos, los desarrolladores de Kerberos explicaron ciertos conceptos para guiar su uso y estructura, e incluyen;
- Nunca debe permitir la transmisión de contraseñas a través de una red, ya que los atacantes pueden acceder, espiar e interceptar identificaciones y contraseñas de usuario.
- No hay almacenamiento de contraseñas en texto sin formato en sistemas de clientes o en servidores de autenticación
- Los usuarios solo deben ingresar contraseñas una vez que cada sesión (SSO), y pueden aceptar todos los programas y sistemas a los que están autorizados para acceder.
- Un servidor central almacena y mantiene todas las credenciales de autenticación de cada usuario. Esto hace que proteger las credenciales de los usuarios sea muy fácil. Si bien los servidores de aplicaciones no almacenarán las credenciales de autenticación de ningún usuario, permite una variedad de aplicaciones. El administrador puede revocar el acceso de cualquier usuario a cualquier servidor de aplicaciones sin acceder a sus servidores. Un usuario puede enmendar o alterar sus contraseñas solo una vez, y aún podrá acceder a todos los servicios o programas a los que tienen autoridad para acceder.
- Los servidores Kerberos trabajan en Limited reinos. Los sistemas de nombres de dominio identifican los reinos, y el dominio del director es donde opera el servidor Kerberos.
- Tanto los usuarios como los servidores de aplicaciones tienen que autenticarse siempre que se soliciten.Si bien los usuarios deben autenticarse durante el inicio de sesión, los servicios de aplicación pueden necesitar autenticarse al cliente.
Variables de entorno de Kerberos
En particular, Kerberos trabaja bajo ciertas variables de entorno, con las variables que afectan directamente el funcionamiento de los programas bajo Kerberos. Las variables de entorno importantes incluyen krb5_ktname, krb5ccname, krb5_kdc_profile, krb5_trace, krb5rcachetype y krb5_config.
La variable KRB5_Config establece la ubicación de los archivos de pestaña de clave. Por lo general, un archivo de pestaña clave tomará el formulario de Tipo: residual. Y donde no existe ningún tipo, residual se convierte en el nombre de ruta del archivo. El KRB5CCCName define la ubicación de los caches de credenciales y existe en forma de Tipo: residual.
La variable KRB5_Config especifica la ubicación del archivo de configuración, y la KRB5_KDC_Profile establece la ubicación del archivo KDC con directivas de configuración adicionales. Por el contrario, la variable KRB5RCachetype especifica los tipos predeterminados de cachés de reproducción disponibles para los servidores. Finalmente, la variable KRB5_TRACE proporciona el nombre de archivo en el que escribir la salida de rastreo.
Un usuario o un director deberá deshabilitar algunas de estas variables de entorno para varios programas. Por ejemplo, setuid o los programas de inicio de sesión deben permanecer bastante seguros cuando se ejecutan a través de fuentes no confiables; Por lo tanto, las variables no necesitan estar activas.
Comandos comunes de Kerberos Linux
Esta lista consta de algunos de los comandos más vitales de Kerberos Linux en el producto. Por supuesto, los discutiremos extensamente en otras secciones de este sitio web.
| Dominio | Descripción |
|---|---|
| /usr/bin/kinit | Obtiene y almacena las credenciales iniciales de devolución de boletos para el director |
| /usr/bin/klist | Muestra boletos existentes de Kerberos |
| /usr/bin/ftp | Comando de protocolo de transferencia de archivos |
| /usr/bin/kdestroy | Programa de destrucción de entradas de Kerberos |
| /usr/bin/kpasswd | Cambia las contraseñas |
| /usr/bin/rdist | Distribuye archivos remotos |
| /usr/bin/rlogin | Un comando de inicio de sesión remoto |
| /usr/bin/ktutil | Administra archivos de pestaña de teclas |
| /usr/bin/rcp | Copia los archivos de forma remota |
| /usr/lib/krb5/kprop | Un programa de propagación de la base de datos |
| /usr/bin/telnet | Un programa de telnet |
| /usr/bin/rsh | Un programa de shell remoto |
| /usr/sbin/gsscred | Administra entradas de mesa GSSCRED |
| /usr/sbin/kdb5_ldap_uti | Crea contenedores LDAP para bases de datos en Kerberos |
| /usr/sbin/kgcmgr | Configura Master KDC y Slave KDC |
| /usr/sbin/kclient | Un script de instalación del cliente |
Conclusión
Kerberos en Linux se considera el protocolo de autenticación más seguro y ampliamente utilizado. Es maduro y seguro, por lo tanto, es ideal para autenticar a los usuarios en un entorno de Linux. Además, Kerberos puede copiar y ejecutar comandos sin ningún error inesperado. Utiliza un conjunto de criptografía fuerte para proteger la información y los datos confidenciales en varias redes no seguras.