El documento explica las opciones de autenticación disponibles en la Herramienta de Configuración de Autenticación de Red Hat Enterprise Linux. La herramienta permite configurar métodos como NIS, LDAP, Kerberos, Winbind y SMB para autenticar usuarios de forma local o a través de servicios de red. También permite configurar opciones como contraseñas encriptadas, caché de información de usuario y más. La herramienta puede usarse tanto de forma gráfica como por línea de comandos.
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
26 configuración de la autenticación
1. 441
Configuración de la autenticación
Cuando un usuario se conecta a un sistema Red Hat Enterprise Linux, se verifican el nombre de
usuario y la contraseña, o en otras palabras se autentifican, como un usuario activo válido. Algunas
veces la información para verificar el usuario está localizada en el sistema local, otras veces el
sistema delega la validación a una base de datos de usuarios en un sistema remoto.
La Authentication Configuration Tool proporciona una interfaz gráfica para configurar NIS, LDAP
y servidores Hesiod para recuperar información del usuario así como también para configurar LDAP,
Kerberos y SMB como protocolos de autenticación.
Nota
Si configuró un nivel de seguridad medio o alto durante la instalación (o con la
Security Level Configuration Tool) entonces el cortafuegos no permitirá la
autenticación NIS (Servicio de Información de la Red).
Este capítulo no explica cada uno de los diferentes tipos de autenticación en detalle. En vez de eso
explica cómo usar la Authentication Configuration Tool para configurarlos.
To start the graphical version of the Authentication Configuration Tool from the desktop, select the
System (on the panel) > Administration > Authentication or type the command system-config-
authentication at a shell prompt (for example, in an XTerm or a GNOMEterminal).
Importante
Después de salir del programa de autenticación, los cambios tendrán efecto de
inmediato.
26.1. User Information
La pestaña de Información del Usuario le permite configurar la manera en que los usuarios deben
ser autenticados y tiene varias opciones. Para habilitar una opción, haga click en la casilla de
verificación al lado de ella. Para inhabilitarla, haga click en la casilla para limpiarla. Luego haga click
en OK para salir del programa y aplicar los cambios.
2. 442
User Information
Figura 26.1. User Information
La lista siguiente explica lo que configura cada una de las opciones:
NIS
La opción Habilitar Soporte NIS configurar el sistema para conectarse a un servidor NIS (como un
cliente NIS) para la autentificación de usuarios y contraseñas. Haga click en el botón Configurar
NIS... para especificar el dominio NIS y el servidor NIS. Si no se especificael servidor NIS, el
demonio intentará buscarlo vía difusión (broadcast).
Debe tener el paquete ypbind instalado para que esta opción funcione. Si el soporte NIS está
activado, los servicios portmap y ypbind serán iniciados y también estarán habilitados para arrancar
en el momento de inicio del sistema.
3. 443
User Information
LDAP
La opción Habilitar el soporte LDAP le ordena al sistema que recupere información del usuario a
través de LDAP. Haga click en el botón Configurar LDAP... para especificar lo siguiente:
• DN de Base de Búsqueda LDAP — Recupera la información del usuario por medio de su nombre
distinguido, Distinguished Name (DN).
• Servidor LDAP — Especifique la dirección IP del servidor LDAP.
• Use TLS para encriptar conexiones — Cuando se encuentra habilidata, se utilizará la Seguridad
de la Capa de Transporte para encriptar las contraseñas enviadas al servidor LDAP. La opción
Descargar Certificado AC le permite especificar una URL desde donde se podrá descargar un
Certificado AC (Autoridad de Certificación) válido. Un Certificado CA válido tiene que estar en
formato PEM (del inglés Correo con Privacidad Mejorada).
Debe tener instalado el paquete openldap-clients para que esta opción funcione.
Hesiod
La opción Habilitar soporte Hesiod configura el sistema para recuperar información (incluyendo
información del usuario) desde una base de datos remota Hesiod. Haga clic en el botón Configurar
Hesiod... para especificar lo siguiente:
• Hesiod LHS — Especifica el prefijo del dominio que se utiliza para consultas Hesiod.
• Hesiod RHS — Especifica el dominio Hesiod predeterminado.
El paquete hesiod debe estar instalado para que esta opción funcione.
Para obtener más información sobre Hesiod vaya a su página man utilizando el comando man
hesiod. También se puede referir a la página man man hesiod. (man hesiod.conf) para obtener
más información sobre LHS y RHS.
Winbind
La opción Habilitar Soporte Winbind configura el sistema para conectarse a un controlador de
dominio Windows o Windows Active Directory. Se puede acceder a la información de los usuarios y
configurar las opciones de autenticación del servidor. Haga click en el botón Configurar Winbind...
para especificar lo siguiente:
• Dominio Winbind — Especifica el Windows Active Directory o el controlador de dominio al cual
conectarse.
• Modelo de Seguridad — le permite seleccionar un modelo de seguridad, el cual configura la
manera en que los clientes deben responder a Samba. La lista desplegable le permite seleccionar
cualquiera de los siguientes:
• usuario — Este es el modo predeterminado. Con este nivel de seguridad, el cliente debe iniciar
la sesión con una nombre de usuario y una contraseña válidas. Este modo de seguridad también
permite el uso de contraseñas encriptadas.
• server — En este modo, Samba tratará de validar el nombre de usuario/contraseña
autenticándolos a través de otro servidor SMB (por ejemplo, un Servidor Windows NT). Si no
tiene exito tendrá efecto el modo user.
4. 444
User Information
• domain — En este modo Samba intentará validar el nombre de usuario/contraseña
autenticándolos a través de Windows NT Primary o un Controlador de Dominio de Respaldo
(Backup Domain Controller) de manera similar a lo que haría un Servidor Windows NT.
• ads — Este modo le ordena a Samba que se comportecomo un miembro de dominio en un
Active Directory Server (ADS). Para operar de este modo necesita tener instalado el paquete
krb5-server y Kerberos debe estar configurado apropiadamente.
• Winbind ADS Realm — cuando se selecciona el Modelo de Seguridad ads, esto le permite
especificar el Dominio ADS en el que el servidor Samba debe desempeñarse como un miembro de
dominio.
• Template Shell — Cuando llene la información del usuario para un usuario de Windows NT, el
demonio winbindd utiliza el valor seleccionado aquí para especificar el shell de registro para ese
usuario.
26.2. Authentication
La pestaña de Autenticación permite la configuración de los métodos de autenticación de red. Para
activar una opción haga click sobre la casilla de verificación al lado de la misma. Para desactivarla,
haga click nuevamente sobre la casilla para desmarcarla o limpiarla.
5. 445
Authentication
Figura 26.2. Authentication
A continuación se explica lo que configura cada opción:
Ke rbe ros
La opción Habilitar el Soporte de Kerberos habilita la autenticación de Kerberos. Haga click en
Configurar Kerberos... para abrir el diálogo Configuración de Kerberos Settings para configurar:
• Entorno — Configure el entorno para el servidor de Kerberos. El entorno o reino es la red que
Kerberos utiliza, compuesta de uno o más KDCs y un número potencial de muchos clientes.
• KDC — Define el Centro de Distribución de Claves, Key Distribution Center (KDC), el cual es el
servidor que emite los tickets de Kerberos.
• Servidores de Administración — Especifica el o los servidores de administración ejecutando
kadmind.
6. 446
Authentication
El diálogo Configuración de Kerberos también le permite utilizar DNS para resolver hosts en
entornos y localizar KDCs para entornos.
LDAP
The Enable LDAP Support option instructs standard PAM-enabled applications to use LDAP for
authentication. The Configure LDAP... button allows you to configure LDAP support with options
identical to those present in Configure LDAP... under the User Information tab. For more information
about these options, refer to Sección 26.1, “User Information”.
Debe tener instalado el paquete openldap-clients para que esta opción funcione.
Smart Card
La opción Habilitar el soporte SMB habilita la autenticación por medio de tarjetas inteligentes. Esto
permite que los usuarios inicien sesión utilizando un certificado y una llave asociada alamacenados
en una tarjeta inteligente. Haga click en el botón Configurar SMB para ver más opciones.
SMB
La opción Habilitar el soporte SMB configura PAM para utilizar un servidor SMB para autentificar a
los usuarios. SMB se refiere a un protocolo del servidor del cliente utilizado para la comunicación
entre sistemas y Samba también lo utiliza para parecer como un servidor Windows para los clientes
Windows. Haga click en el botón Configurar SMB para especificar:
• Grupo de trabajo — Especifica el grupo de trabajo SMB a utilizar.
• Controladores de Dominio — Especifica los controladores de dominio SMB a utilizar.
Winbind
La opción Habilitar el soporte Winbind configura la conexión del sistema con Windows Active
Directory o con un controlador de dominios de Windows. Se puede acceder a la información de los
usuarios y configurar las opciones de autenticación del servidor.
The Configure Winbind... options are identical to those in the Configure Winbind... button on the
User Information tab. Please refer to Winbind (under Sección 26.1, “User Information”) for more
information.
26.3. Options
Esta pestaña contieneotras opciones para configuración:
7. 447
Options
Figura 26.3. Options
Cache User Information
Seleccione esta opción para habilitar el demonio de cache de servicio de nombre (nscd) y
configurarlo para que se inicie al momento de arranque.
El paquete nscd debe estar instalado para que esta opción funcione. Para obtener más detalles
sobre nscd vaya a su página man utilizando el comando man nscd.
Use Shado w Passwords
Seleccione esta opción para guardar las contraseñas en formato de contraseñas shadow en el
archivo /etc/shadow en vez de en /etc/passwd. Las contraseñas shadow son activadas por
defecto durante la instalación y se recomiendan para incrementar la seguridad del sistema.
8. 448
Options
Use MD5 Passwords
Seleccione esta opción para habilitar las contraseñas MD5, lo cual permite que las contraseñas
tengan hasta 256 en vez de 8 o menos. Esta opción es seleccionada por defecto durante la
instalación y se recomienda su uso para mayor seguridad.
Authorization local es suficiente para usuarios locales
Cuano esta opción se encuentra habilitada, el sistema no verificará la autorización desde los servicios
de red (tal como LDAP o Kerberos) para las cuentas de usuarios mantenidas en su archivo /etc/
pass wd.
Autenticar cue ntas del sistema por me dio de servicios de red
Al habilitar esta opción se configura el sistema para permitir servicios de red (tal como LDAP o
Kerberos) para autenticar cuentas del sistema (incluído root) en la máquina.
26.4. Versión de línea de comandos
The Authentication Configuration Tool can also be run as a command line tool with no
interface. The command line version can be used in a configuration script or a kickstart script. The
authentication options are summarized in Tabla 26.1, “Opciones de línea de comandos”.
Tip
Estas opciones también se pueden encontrar en la página del manual de
authconfig o escribiendo authconfig --help en el intérprete de comandos.
Opción Descripción
--enableshadow Habilitar contraseñas shadow
--disableshadow Desactivar contraseñas shadow
--enablemd5 Habilitar contraseñas MD5
--disablemd5 Inhabilitar contraseñas MD5
--enablenis Habilitar NIS
--disablenis Inhabilitar NIS
--nisdomain=<domain> Especifica el dominio NIS
--nisserver=<server> Especifica el servidor NIS
--enableldap Habilitar LDAP para información del
usuario
--disableldap Inhabilitar LDAP para información del
usuario
--enableldaptls Habilitar el uso de TLS con LDAP
--disableldaptls Inhabilitar el uso de TLS con LDAP
--enableldapauth Habilitar LDAP para la autenticación
--disableldapauth Inhabilitar LDAP para la autenticación
--ldapserver=<server> Especifica un servidor LDAP
9. 449
Versión de línea de comandos
Opción Descripción
--ldapbasedn=<dn> Especifica un DN de base LDAP
--enablekrb5 Habilita Kerberos
--disablekrb5 Inhabilita Kerberos
--krb5kdc=<kdc> Especifica un KDC de Kerberos
--krb5adminserver=<server> Especifica un servidor de
administración Kerberos
--krb5realm=<realm> Especifica el entorno Kerberos
--enablekrb5kdcdns Habilitar el uso de DNS para encontrar
Kerberos KDCs
--disablekrb5kdcdns Deshabilitar el uso de DNS para
encontrar Kerberos KDCs
--enablekrb5realmdns Habilitar el uso de DNS para encontrar
Kerberos realms
--disablekrb5realmdns Deshabilitar el uso de DNS para
encontrar Kerberos realms
--enablesmbauth Habilita SMB
--disablesmbauth Inhabilita SMB
--smbworkgroup= <workgroup> Specify SMB workgroup
--smbservers=<server> Especifica servidores SMB
--enablewinbind Habilitar winbind para la información
del usuario por defecto
--disablewinbind Inhabilitar winbind para información
del usuario por defecto
--enablewinbindauth Habilitar winbindauth para la
autenticación por defecto
--disablewinbindauth Inhabilitar winbindauth para la
autenticación por defecto
--smbsecurity=<user|server|domain|ads> Modos de seguridad para usar Samba
y windbind
--smbrealm=<STRING> Campo por defecto para Samba y
winbind cuando security=ads
--smbidmapuid=<lowest-highest> Rango UID que winbind asigna al
dominio o usuario ADS
--smbidmapgid=<lowest-highest> Rango GID que winbind asigna al
dominio o usuario ADS
--winbindseparator=<> Caracter usado para separar la parte
del usuario y del dominio de los
nombres de usuario de winbind si
winbindusedefaultdomain no
está habilitado
10. 450
Versión de línea de comandos
Opción Descripción
--winbindtemplatehomedir=</home/%D/%U> Directorio de inicio de los
usuarios winbind
--winbindtemplateprimarygroup=<nobody> Grupo primario de los
usuarios winbind
--winbindtemplateshell=</bin/false> Shell por defecto de los
usuarios winbind
--enablewinbindusedefaultdomain Configurar winbind para asumir
que los usuarios sin dominio
en sus nombres de usuarios
son usuarios con dominio
--disablewinbindusedefaultdomain Configurar winbind para asumir
que los usuarios sin dominio
en sus nombres de usuarios
son usuarios sin dominio
--winbindjoin=<Administrator> Unir el dominio winbind o campo
ADS
como este administrador
--enablewins Habilitar WINS para la
resolución del nombre de
host
--disablewins Inhabilitar WINS para la
resolución del nombre de host
--enablehesiod Habilita Hesiod
--disablehesiod Inhabilita Hesiod
--hesiodlhs=<lhs> Especifica Hesiod LHS
--hesiodrhs=<rhs> Especifica Hesiod RHS
--enablecache Habilita nscd
--disablecache Inhabilita nscd
--nostart No arranca o detiene los
servicios portmap, ypbind o
nscd aún si ellos están
configurados
--kickstart No muestra la interfaz del
usuario
--probe Verifica y muestra las fallas de
red
Tabla 26.1. Opciones de línea de comandos