Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Kerberos mantiene una base de Datos que contendr a todas estas claves.
Los servicios de Red que requieren Autenticacin, as como los usuarios que requieran estos servicios,
se deben registrar con Kerberos.
Kerberos, en Conocimiento de todas las claves privadas, crea mensajes para informar a un servidor de la
autenticidad de un usuario que requiere servicios de ste
Autenticacin
Prueba que el usuario es quien dice ser. Puede ser que la autenticidad se establezca al inicio de la
Conexin de red y luego se asuma que los siguientes mensajes de una Direccin de red determinada se
originan desde la parte autenticada.
Integridad de datos
Asegura que los datos no se modifican en trnsito. Se requiere autenticacin de cada mensaje, sin
importar el contenido del mismo. Esto se denomina mensaje seguros.
Privacidad de datos
Asegura que los datos no son ledos en trnsito. En este caso, no slo se autentica cada mensaje, sino
que tambin se cifra. stos mensajes son privados.
Arquitectura de Kerberos
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES
SISTEMAS OPERATIVOS DISTRIBUIDOS
Un servidor Kerberos se denomina KDC (Kerberos Distribution Center), y provee dos servicios
fundamentales: el de autenticacin (AS, Authentication Service) y el de tickets (TGS, Ticket Granting
Service). El primero tiene como Funcin autenticar inicialmente a los Clientes y proporcionarles un
ticket para comunicarse con el segundo, el servidor de tickets, que proporcionar a los clientes las
credenciales necesarias para comunicarse con un servidor final que es quien realmente ofrece un
servicio. Adems, el servidor posee una Base de datos de sus clientes (usuarios o Programas) con sus
respectivas claves privadas, conocidas nicamente por dicho servidor y por el Cliente que al que
pertenece. La arquitectura de Kerberos est basada en tres objetos de seguridad: Clave de Sesin, Ticket
y Autenticador.
La clave de sesin es una clave secreta generada por Kerberos y expedida a un cliente para uso con un
servidor durante una sesin de trabajo.
El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los
servicios de un servidor. El ticket garantiza que el cliente ha sido autenticado recientemente.
El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su Identidad y
la actualidad de la Comunicacin. Slo puede ser utilizado una vez.
Trminos Kerberos
3.TGS : (Ticket Granting Ticket) Para generar claves encriptadas y enviarlas al usuario.
4- Ticket Los clientes consigues los tickets del KDC y presentan est al Servicio de red para acceder.
Inicio de la prctica:
Para esta prctica ser necesario utilizar un servidor y un cliente kerberos.
Servidor Kerberos (KDC): 192.168.1.10 El servidor Linux que actuar como KDC y servidor de
tickets.
Cliente kerberos 192.168.1.11 El cliente linux que solicitara tickets desde el KDC.
logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
# EXAMPLE.COM = {
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
EXAMPLE.COM = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal
arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-
sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
4. Creacin de base de datos Kerberos con el comando kdb5_util. Se solicitar la clave que
actuar como clave master, esta es usada por el KDC para encriptar la base de datos por lo
cual es muy importante almacenar esta de forma segura.
kdb5_util create s
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES
SISTEMAS OPERATIVOS DISTRIBUIDOS
6. Configura el firewall para que otros sistemas se puedan comunicar con los
servicios de kerberos.
firewallcmd reload
kadmin.local
addprinc kuser
En este momento el KDC est listo para aceptar conexiones de los clientes y
proveer tickets para el principal kuser.
Cliente:
1. Para instalacin del cliente:
yum install -y krb5-workstation
authconfig-tui
Parmetros de configuracin:
User account database: LDAP
Authentication Method: Kerberos password
Realm:TUDOMINIO.COM
KDCs: 192.168.1.10
Admins Servers: 192.168.1.10
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS MATEMTICAS Y FSICAS
CARRERA DE INGENIERA EN SISTEMAS COMPUTACIONALES
SISTEMAS OPERATIVOS DISTRIBUIDOS