Procedimiento de autenticación kerberos, Categoría kerberosauthentication (autenticación de, Kerberos) (sólo windows) – HP Software HP System Management Homepage Manual del usuario
Página 46
2.
En el cuadro System Management Homepage (Página de inicio de administración de sistemas),
haga clic en el vínculo Security (Seguridad).
3.
Haga clic en el vínculo Trusted Management Servers (Servidores de administración de
confianza).
4.
En la zona Add Certificate From Server (Añadir certificado del servidor), haga clic en el botón
de opción Add Certificate From Server (Añadir certificado del servidor).
5.
En el cuadro de texto Server Name (Nombre del servidor), escriba la dirección IP o nombre
del servidor HP SIM.
6.
Haga clic en Add (Agregar).
Categoría KerberosAuthentication (Autenticación de Kerberos) (sólo Windows)
es un protocolo de autenticación de red de terceros de confianza para aplicaciones
cliente/servidor que utiliza una criptografía de clave secreta desarrollada en el
. Kerberos
permite que sistemas host y usuarios diferentes autentiquen y confirmen su identidad recíprocamente.
Uno de los principales usos de Kerberos es ofrecer la capacidad Single Sign-On (SSO) (Inicio de
sesión único) en redes seguras. Por lo general, en un entorno Kerberos, los usuarios sólo deben
iniciar la sesión una vez al comienzo de sus sesiones, tras lo cual adquieren las credenciales de
Kerberos que se utilizan de forma transparente para iniciar sesión en el resto de los servicios
disponibles, como SSH, FTP y sesiones de web autenticadas.
Un dominio Kerberos es un territorio y está expresado en mayúsculas. Por ejemplo, el territorio
de Kerberos para smhkerberos.com es SMHKERBEROS.COM.
Los
son usuarios y servicios/sistemas host que están presentes en un territorio Kerberos
y a los que se permite autenticarse recíprocamente. Un usuario tiene un nombre principal como
group@REALM
(por ejemplo, [email protected]), y un servicio tiene un nombre principal
como service/FQDN@REALM (por ejemplo, HTTP/[email protected]
o host/[email protected]).
Procedimiento de autenticación Kerberos
A continuación, se resume el proceso que permite a un usuario acceder a servicios seguros en un
territorio Kerberos.
El proceso sólo tiene lugar cuando el usuario inicia en un principio una sesión en un territorio
Kerberos e intenta realizar el primer acceso a un servicio con seguridad Kerberos.
1.
El usuario inicia una sesión en el sistema (cliente) utilizando el nombre de usuario y la
contraseña de su dominio.
2.
Se aplica un algoritmo hash a la contraseña del usuario y dicho valor hash se convierte en
la clave secreta del usuario.
3.
Cuando el usuario intenta tener acceso a un servicio, un mensaje informa al servidor AS de
que el usuario desea hacerlo.
4.
Si el usuario está en la base de datos del servidor AS, se vuelven a enviar dos mensajes al
cliente:
a.
Se cifra una clave de sesión de Cliente/Servidor TGS con la clave secreta del usuario,
que se utiliza en la comunicación con el servidor TGS.
b.
Se cifra un Ticket-Granting Ticket (TGT) con la clave secreta del servidor TGS. Se utiliza
un vale en Kerberos para demostrar la identidad del usuario. El vale TGT permite al
cliente obtener otros vales para la comunicación con los servicios de red.
5.
Al recibir estos dos mensajes, el cliente descifra el mensaje que contiene la clave de sesión
de Cliente/Servidor TGS.
El siguiente proceso tiene lugar siempre que un usuario desea autenticarse en un servicio:
1.
Cuando el usuario solicita un servicio, el cliente envía dos mensajes al servidor TGS:
•
Un mensaje compuesto del vale TGT y el servicio solicitado
46
La página Settings (Configuración)