Autenticación kerberos hp smh – HP Software HP System Management Homepage Manual del usuario
Página 47
•
Un autenticador compuesto de la identificación del cliente y de la marca de hora actual
cifrada con la clave de sesión de Cliente/Servidor TGS recibida previamente
Las marcas de hora se utilizan en Kerberos para evitar ataques de replicación. El desfase
entre los relojes de los equipos no puede rebasar un límite específico.
2.
El servidor TGS descifra el autenticador y vuelve a enviar dos mensajes nuevos al cliente:
•
El vale de cliente a servidor recibido del servidor TGS
•
Otro autenticador, compuesto de la identificación del cliente y de la marca de hora
actual, cifrado con la clave de sesión de cliente/servidor
3.
El servicio descifra el vale de cliente a servidor con su propia clave secreta y envía un mensaje
al cliente con la marca de hora recibida, más otro confirmando su auténtica identidad. Este
mensaje se cifra con la clave de sesión de cliente/servidor.
4.
El cliente descifra el mensaje y comprueba la marca de hora. Si es correcta, se pueden emitir
solicitudes al servicio y éste envía respuestas según lo previsto.
Autenticación Kerberos HP SMH
HP SMH proporciona Single Sign-On (SSO) (Inicio de sesión único) en Kerberos, lo que permite
a los usuarios de un territorio Kerberos iniciar una sesión sin escribir un nombre de usuario ni una
contraseña en la página Sign In (Iniciar sesión). Si un usuario autorizado tiene acceso a HP SMH
y tiene credenciales Kerberos válidas, la página Home (Inicio) se muestra dentro de HP SMH.
La autenticación Kerberos se realiza utilizando la dirección especial URL /proxy/Kerberos
en HP SMH. Al obtener acceso a la dirección URL, SMH busca credenciales Kerberos en la solicitud
y lleva a cabo la autenticación del usuario.
Si el usuario no tiene credenciales Kerberos válidas o si se produce un error durante el proceso
de autenticación, aparece la página Sign In (Iniciar sesión) mostrando un mensaje de error. Por
ejemplo, si el desfase entre los relojes de los equipos implicados en la autenticación es demasiado
grande, se obtiene un mensaje de error y se produce una derivación a la página Sign In (Iniciar
sesión).
La autenticación Kerberos no funciona en las siguientes situaciones de acceso local:
•
Acceso a HP SMH desde el equipo donde se ha instalado el centro KDC (AD)
•
Acceso a HP SMH desde el equipo donde se ha instalado HP SMH
Cuando se produce un error de autenticación, el administrador del sistema debe comprobar el
archivo de registro de errores del servidor SMH HTTP para obtener más información sobre el error.
Por ejemplo, cuando el desfase entre los relojes de los equipos es demasiado grande, se escribe
el siguiente mensaje de registro: Thu Jun 25 16:55:09 2009] [error] client
2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO
(QueryContextAttributes) failed; SSPI: The function requested is not
supported\r\n(-2146893054)
.
Se dispone de los siguientes niveles de autorizaciones de usuarios:
•
Administrator (Administrador)
Los usuarios con acceso de Administrator (Administrador) pueden ver toda la información
suministrada a través de HP SMH. El grupo de usuarios por defecto apropiado, Administrators
(Administradores) para sistemas operativos Windows y el usuario root en los sistemas
operativos Linux siempre tienen acceso administrativo.
•
Operator (Operador)
Los usuarios con acceso de Operator (Operador) pueden ver y configurar la mayor parte de
la información suministrada a través de HP SMH. Algunas aplicaciones Web limitan el acceso
a la información más crítica sólo a los administradores.
Cuadro System Management Homepage
47