Autenticación kerberos hp smh – HP Software HP System Management Homepage Manual del usuario
Página 47
4.
Si el usuario está en la base de datos del servidor AS, se vuelven a enviar dos mensajes al
cliente:
a.
Se cifra una clave de sesión de Cliente/Servidor TGS con la clave secreta del usuario,
que se utiliza en la comunicación con el servidor TGS.
b.
Se cifra un Ticket-Granting Ticket (TGT) con la clave secreta del servidor TGS. Se utiliza
un vale en Kerberos para demostrar la identidad del usuario. El vale TGT permite al
cliente obtener otros vales para la comunicación con los servicios de red.
5.
Al recibir estos dos mensajes, el cliente descifra el mensaje que contiene la clave de sesión
de Cliente/Servidor TGS.
El siguiente proceso tiene lugar siempre que un usuario desea autenticarse en un servicio:
1.
Cuando el usuario solicita un servicio, el cliente envía dos mensajes al servidor TGS:
•
Un mensaje compuesto del vale TGT y el servicio solicitado
•
Un autenticador compuesto de la identificación del cliente y de la marca de hora actual
cifrada con la clave de sesión de Cliente/Servidor TGS recibida previamente
Las marcas de hora se utilizan en Kerberos para evitar ataques de replicación. El desfase
entre los relojes de los equipos no puede rebasar un límite específico.
2.
El servidor TGS descifra el autenticador y vuelve a enviar dos mensajes nuevos al cliente:
•
El vale de cliente a servidor recibido del servidor TGS
•
Otro autenticador, compuesto de la identificación del cliente y de la marca de hora
actual, cifrado con la clave de sesión de cliente/servidor
3.
El servicio descifra el vale de cliente a servidor con su propia clave secreta y envía un mensaje
al cliente con la marca de hora recibida, más otro confirmando su auténtica identidad. Este
mensaje se cifra con la clave de sesión de cliente/servidor.
4.
El cliente descifra el mensaje y comprueba la marca de hora. Si es correcta, se pueden emitir
solicitudes al servicio y éste envía respuestas según lo previsto.
Autenticación Kerberos HP SMH
Cuando se usa Kerberos, HP SMH permite utilizar el Single Sign-On (SSO) (Inicio de sesión único),
con el que los usuarios de un territorio Kerberos pueden iniciar una sesión sin escribir un nombre
de usuario ni una contraseña en la página Sign In (Iniciar sesión). Si un usuario autorizado tiene
acceso a HP SMH y tiene credenciales Kerberos válidas, la página Home (Inicio) se muestra dentro
de HP SMH.
La autenticación Kerberos se realiza utilizando la dirección especial URL /proxy/Kerberos
en HP SMH. Al obtener acceso a la dirección URL, SMH busca credenciales Kerberos en la solicitud
y lleva a cabo la autenticación del usuario.
Si el usuario no tiene credenciales Kerberos válidas o si se produce un error durante el proceso
de autenticación, aparece la página Sign In (Iniciar sesión) mostrando un mensaje de error. Por
ejemplo, si el desfase entre los relojes de los equipos implicados en la autenticación es demasiado
grande, se obtiene un mensaje de error y se produce una derivación a la página Sign In (Iniciar
sesión).
La autenticación Kerberos no funciona en las siguientes situaciones de acceso local:
•
Acceso a HP SMH desde el equipo donde se ha instalado el centro KDC (AD)
•
Acceso a HP SMH desde el equipo donde se ha instalado HP SMH
Cuando se produce un error de autenticación, el administrador del sistema debe comprobar el
archivo de registro de errores del servidor SMH HTTP para obtener más información sobre el error.
Por ejemplo, cuando el desfase entre los relojes de los equipos es demasiado grande, se escribe
el siguiente mensaje de registro: Thu Jun 25 16:55:09 2009] [error] client
2001:db8:c18:1:b8ca:fcdf:d49d:b5c6] mod_spnego: Kerberos SSO
Cuadro System Management Homepage
47