Next: Servicios LDAP, Previous: Servicios de monitorización, Up: Servicios [Contents][Index]
El módulo (gnu services kerberos)
proporciona servicios relacionados
con el protocolo de identificación Kerberos.
Los programas que usan una biblioteca cliente de Kerberos habitualmente esperan un archivo de configuración en la ruta /etc/krb5.conf. Este servicio genera dicho archivo desde una definición proporcionada en la declaración de sistema operativo. Esto no causa el inicio de ningún daemon.
Este servicio no crea ningún archivo “keytab”—debe crearlos
explícitamente usted. Se ha comprobado que este servicio funciona con la
biblioteca de cliente mit-krb5
del MIT. No se han probado otras
implementaciones.
Un tipo de servicio para clientes Kerberos 5.
Este es un ejemplo de su uso:
(service krb5-service-type
(krb5-configuration
(default-realm "EXAMPLE.COM")
(allow-weak-crypto? #t)
(realms (list
(krb5-realm
(name "EXAMPLE.COM")
(admin-server "groucho.example.com")
(kdc "karl.example.com"))
(krb5-realm
(name "ARGRX.EDU")
(admin-server "kerb-admin.argrx.edu")
(kdc "keys.argrx.edu"))))))
Este ejemplo proporciona una configuración de cliente Kerberos 5 que:
Los tipos krb5-realm
y krb5-configuration
contienen muchos
campos. Aquí se describen únicamente los más habitualmente usados. Para
obtener una lista complete y una explicación detallada de cada campo, véase
la documentación de
krb5.conf.
name
Este campo es una cadena que identifica el nombre del dominio. Una convención habitual es el uso del nombre completo de DNS de su organización, convertido a mayúsculas.
admin-server
Este campo es una cadena que identifica la máquina donde se ejecuta el servidor administrativo.
kdc
Este campo es una cadena que identifica el centro de distribución de claves para el dominio.
allow-weak-crypto?
(predeterminado: #f
)Si esta opción es #t
se aceptarán los servicios que únicamente
ofrezcan algoritmos de cifrado que se conozca que son débiles.
default-realm
(predeterminado: #f
)Este campo debe ser una cadena que identifique el dominio predeterminado de
Kerberos para los clientes. Debería proporcionar el nombre de su dominio
Kerberos. Si este valor es #f
, el dominio debe especificarse en cada
principal de Kerberos cuando se invoquen programas como kinit
.
realms
Debe ser una lista no vacía de objetos krb5-realm
, accesibles por los
clientes. Normalmente, uno de ellos tendrá un campo name
que
corresponda con el campo default-realm
.
El servicio pam-krb5
le permite la identificación para el ingreso al
sistema y la gestión de contraseñas mediante Kerberos. Este servicio es
necesario si desea que aplicaciones que permiten PAM lleven a cabo la
identificación de usuarias mediante el uso de Kerberos.
Un tipo de servicio para el módulo PAM de Kerberos 5.
Tipo de datos que representa la configuración del módulo PAM de Kerberos 5. Este tipo tiene los siguientes parámetros:
pam-krb5
(predeterminado: pam-krb5
)El paquete pam-krb5 usado.
minimum-uid
(predeterminado: 1000
)El ID de usuaria mínimo con el que se permitirán los intentos de identificación con Kerberos. El proceso de identificación de las cuentas locales con valores menores fallará de manera silenciosa.
Next: Servicios LDAP, Previous: Servicios de monitorización, Up: Servicios [Contents][Index]