Más Allá de Linux From Scratch - Versión 5.1

Capítulo 4. Seguridad

Home

Heimdal-0.6.2

Introducción a Heimdal

Heimdal es una implementación libre de Kerberos 5, que dice ser compatible con MIT krb5 y krb4. Kerberos es un protocolo de autenticación de red. Básicamente, mantiene la integridad de las contraseñas en redes sin confianza (como Internet). Las apicaciones kerberizadas trabajan mano a mano con sitios que soportan Kerberos para asegurar que las contraseñas no sean dañadas. Una instalación Kerberos hará cambios en los mecanismos de autenticación de tu red y sobreescribirá varios programas y demonios de los paquetes Coreutils, Inetutils, Qpopper y Shadow.

Información sobre el paquete

Descargas adicionales

Dependencias de Heimdal

Requeridas

OpenSSL-0.9.7d y Berkeley DB-4.2.52.2

Opcionales

readline-4.3, Linux-PAM-0.77, OpenLDAP-2.1.30, X (X.org-6.7.0 o XFree86-4.4.0), cracklib-2.7 y krb4

[Nota]

Nota

Se necesita algún tipo de sincronización de la hora en tu sistema (como NTP-4.2.0) pues Kerberos no autenticará si la diferencia de tiempo entre el cliente kerberizado y el servidor KDC es mayor de 5 minutos.

Instalación de Heimdal

Antes de instalar el paquete, puede que quieras guardar el programa ftp del paquete Inetutils. Esto es debido a que la utilización del programa ftp de Heimdal para conectar con servidores ftp no kerberizados puede que no funcione correctamente. Te permitirá conectar (indicandote que la contraseña se envia en texto plano) pero tendrá problemas con los envios y recepciones. 

mv /usr/bin/ftp /usr/bin/ftpn

Si deseas que el paquete Heimdal se enlace contra la librería cracklib, debes aplicar un parche: 

patch -Np1 -i ../heimdal-0.6.2-cracklib-1.patch

Instala Heimdal ejecutando los siguientes comandos: 

patch -Np1 -i ../heimdal-0.6.2-fhs-compliance-1.patch &&
./configure --prefix=/usr --sysconfdir=/etc/heimdal \
    --datadir=/var/lib/heimdal --libexecdir=/usr/sbin \
    --sharedstatedir=/usr/share --localstatedir=/var/lib/heimdal \
    --enable-shared --with-openssl=/usr &&
make &&
make install &&
mv /bin/login /bin/login.shadow &&
mv /bin/su /bin/su.coreutils &&
mv /usr/bin/{login,su} /bin &&
ln -sf ../../bin/login /usr/bin &&
mv /usr/lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /lib &&
mv /usr/lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /lib &&
mv /usr/lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /lib &&
mv /usr/lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /lib &&
ln -sf ../../lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /usr/lib &&
ln -sf ../../lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /usr/lib &&
ln -sf ../../lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /usr/lib &&
ln -sf ../../lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /usr/lib &&
ldconfig

Explicación de los comandos

--libexecdir=/usr/sbin: Esta opción pone los programas demonio en /usr/sbin.

[Nota]

Nota

Si quieres mantener tu demonios existentes del paquete Inetutils, instala los demonios de Heimdal en /usr/sbin/heimdal (o donde prefieras). Puesto que estos programas son invocados desde (x)inetd o guiones rc, en realidad no importa donde residan mientras que se especifiquen correctamente en el fichero /etc/(x)inetd.conf y en los guiones rc Si eliges algo diferente a /usr/sbin, puede que quieras mover algunos de los programas de usuario (como kadmin) a /usr/sbin manuamente. 

mv /bin/login /bin/login.shadow
mv /bin/su /bin/su.coreutils
mv /usr/bin/{login,su} /bin
ln -sf ../../bin/login /usr/bin

Los programas login y su instalados por Heimdal pertenecen al directorio /bin. El programa login es enlazado porque Heimdal espera encontralo en /usr/bin. Guardamos los atiguos ejecutables antes de moverlos para asegurarnos en caso de que ocurra algún fallo. 

mv /usr/lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /lib
mv /usr/lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /lib
mv /usr/lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /lib
mv /usr/lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /lib
ln -sf ../../lib/lib{otp.so.0,otp.so.0.1.4,kafs.so.0,kafs.so.0.4.0} /usr/lib
ln -sf ../../lib/lib{krb5.so.17,krb5.so.17.3.0,asn1.so.6,asn1.so.6.0.2} /usr/lib
ln -sf ../../lib/lib{roken.so.16,roken.so.16.0.3,crypto.so.0.9.7} /usr/lib
ln -sf ../../lib/lib{com_err.so.2,com_err.so.2.1,db-4.1.so} /usr/lib

Los programas login y su instalados por Heimdal se enlazan contra las librerías de Heimdal así como las librerías crypto y db. Movemos estas librerías a /lib para cumplir el FHS y en caso de que /usr se encuentre en otra partición que no siempre esté montada

Configuración de Heimdal

Ficheros de configuración

/etc/heimdal/*

Información sobre la configuración

Configuración del servidor KDC maestro

Crea el fichero de configuración de Kerberos con el siguiente comando: 

install -d /etc/heimdal &&
cat > /etc/heimdal/krb5.conf << "EOF"
# Inicio de /etc/heimdal/krb5.conf
        
[libdefaults]
    default_realm = [LFS.ORG]
    encrypt = true

[realms]
    [LFS.ORG] = {
        kdc = [belgarath.lfs.org]
        admin_server = [belgarath.lfs.org]
        kpasswd_server = [belgarath.lfs.org]
    }

[domain_realm]
    .[lfs.org] = [LFS.ORG]

[logging]
    kdc = FILE:/var/log/kdc.log
    admin_server = FILE:/var/log/kadmin.log
    default = FILE:/var/log/krb.log

# Fin de /etc/heimdal/krb5.conf
EOF

Deberás sustituir belgarath y lfs.org por los nombres de tu dominio y tu máquina.

default_realm debe ser el nombre de tu dominio en MAYUSCULAS. Esto no es imprescindible, pero tanto Heimdal como MIT lo recomiendan.

encrypt = true proporciona encriptación de todo el tráfico entre clientes y servidores kerberizados. No es necesario y puede descartarse. Si lo descartas, puedes encriptar el trafico del cliente al servidor usando en su lugar una opción del programa cliente.

Los parámetros [realms] le indica al cliente donde buscar los servicios de autenticación KDC.

La sección [domain_realm] mapea un dominio a un reino.

Almacena la contraseña maestra en un fichero clave usando los siguientes comandos: 

install -d -m 755 /var/lib/heimdal &&
kstash

Crea la base de datos KDC: 

kadmin -l

Elige por ahora las opciones por defecto. Puedes volver más tarde para cambiarlas, deberías sentir la necesidad. En el indicador kadmin>, ejecuta la siguiente sentencia: 

init [LFS.ORG]

Ahora deberíamos poblar la base de datos con príncipes (usuarios). Por ahora, utiliza simplemente tu nombre de ingreso normal o root. 

add [nombre de ingreso]

El servidor KDC y cualquier máquina que esté ejecutando demonios servidor kerberizados debe tener instalada una clave de anfitrión: 

add --random-key host/[belgarath.lfs.org]

Tras elegir las opciones por defecto cuando se te pregunte, tendrás que exportar los datos a un fichero de tabla de claves: 

ext host/[belgarath.lfs.org]

Esto debería crear dos ficheros en /etc/heimdal; krb5.keytab (Kerberos 5) y srvtab (Kerberos 4). Ambos ficheros deben tener permiso 600 (lectura y escritura solo por root). Proteger los ficheros de tabla de claves del acceso público es crucial parapreservar la seguridad de la instalación de Kerberos.

Eventualmente, querrás añadir príncipes del demonio servidor a la base de datos y extraerlos al fichero de tabla de claves. Harás esto de la misma forma que creaste los príncipes del anfitrión. A continuación un ejemplo: 

add --random-key ftp/[belgarath.lfs.org]

(elige las opciones por defecto) 

ext ftp/[belgarath.lfs.org]

Sal del programa kadmin (utiliza quit o exit) y regresa al indicador del intérprete de comandos. Inicia manualmente el demonio KDC, sólo para comprobar la instalación: 

/usr/sbin/kdc &

Intenta conseguir un TGT (entrada de garantía de entrada) con el siguiente comando: 

kinit [nombre de ingreso]

Se te preguntará la contraseña que creaste. Tras conseguir tu entrada, deberías listarla con el siguiente comando: 

klist

En pantalla se montrará la información sobre la entrada.

Para comprobar el funcionamiento del fichero de tabla de claves, ejecuta el siguiente comando: 

ktutil list

Esto debería volcar un listado de los príncipes del anfitrión, junto con los métodos de encriptación usados para acceder al príncipe.

En este punto, si todo a ido bien, puedes sentirte bastante seguro de la instalación y configuración del paquete.

Instala el gión de inicio /etc/rc.d/init.d/heimdal incluido en el paquete blfs-bootscripts-5.1. 

make install-heimdal
Utilización de programas cliente kerberizados

Para usar los programas cliente kerberizados (telnet, ftp, rsh, rxterm, rxtelnet, rcp, xnlock), primero debes obtener un TGT. Utiliza el programa kinit para obtener la entrada. Una vez que la hayas adquirido, puedes utilizar los programas kerberizados para conectarte a cualquier servidor kerberizado de la red. No se te preguntará la contraseña hasta que tu entrada expire (un día por defecto). a no ser que tu le especifiques un usuario diferente como argumento en la línea de comandos del programa.

Los programas kerberizados conectarán con demonios no kerberizados, advirtiendote que la autenticación no está encriptada. Como se mencionó antes. sólo el programa ftp tiene problemas conectandose con demonios no keberizados.

Para información adicional, consulta la receta de Heimdal, en la cual están basadas estas instrucciones.

Contenido

El paquete Heimdal contiene afslog, dump_log, ftp, ftpd, hprop, hpropd, ipropd-master, ipropd-slave, kadmin, kadmind, kauth, kdc, kdestroy, kf, kfd, kgetcred, kinit, klist, kpasswd, kpasswdd, krb5-config, kstash, ktutil, kx, kxd, login, mk_cmds, otp, otpprint, pagsh, pfrom, popper, push, rcp, replay_log, rsh, rshd, rxtelnet, rxterm, string2key, su, telnet, telnetd, tenletxr, truncate_log, verify_krb5_conf, xnlock, libasn1, libeditline, libgssapi, libhdb, libkadm5clnt, libkadm5srv, libkafs, libkrb5, libotp, libroken, libsl y libss.

Descripciones

afslog

afslog obtiene marcas AFS para un número de celdas.

hprop

hprop toma una base de datos principal en un formato especificado y lo convierte a un flujo de entradas de base de datos de Heimdal.

hpropd

hpropd recive una base de datos enviada por hprop y la escribe como base de datos local.

kadmin

kadmin es una utilidad para hacer modificaciones en la base de datos de Kerberos.

kadmind

kadmind es un servidor para acceso administrativo a la base de datos de Kerberos.

kauth, kinit

kauth y kinit se usan para autentificar el servidor Kerberos como principal y adquirir una entrada de garantía que puede usarse más tarde para obtener entradas de otros servicios.

kdc

kdc es un servidor Kerberos 5.

kdestroy

kdestroy elimina el grupo actual de entradas.

kf

kf es un programa que reenvia entradas a servidores remotos a través de un flujo autenticado y encriptado.

kfd

kfd recive entradas reenviadas.

kgetcred

kgetcred obtiene una entrada para un servicio.

klist

klist lee y muentra las entradas actuales en la caché de credenciales.

kpasswd

kpasswd es un programa para cambiar contraseñas Kerberos 5.

kpasswdd

kpasswdd es un servidor de cambio de contraseñas Kerberos 5.

krb5-config

krb5-config muestra información sobre cómo enlazar programas con las librerías de Heimdal.

kstash

kstash almacena la contrseña maestra KDC en un fichero.

ktutil

ktutil es un programa para administrar tablas de claves Kerberos.

kx

kx es un programa que renvia conexiones X de forma segura.

kxd

kxd es el demonio para kx.

otp

otp administra contraseña de un sólo uso.

otpprint

otpprint imprime listas de contraseñas de un sólo uso.

rxtelnet

rxtelnet inicia una ventana xterm con un telnet al anfitrión indicado y reenvia conexiones X.

rxterm

rxterm inicia una xterm remota de forma segura.

string2key

string2key mapea una contraseña a una clave.

tenletxr

tenletxr retorna reenvios de conexiones X.

verify_krb5_conf

verify_krb5_conf compueba errores óbvios en el fichero krb5.conf.

xnlock

xnlock es un programa que actúa como salvapantallas seguro en estaciones de trabajo que ejecutan X.

Up
Home