Servicios Kerberos (Manual de referencia de GNU Guix)

12.9.17 Servicios Kerberos

El módulo (gnu services kerberos) proporciona servicios relacionados con el protocolo de identificación Kerberos.

Servicio Krb5

Los programas que usan una biblioteca cliente de Kerberos habitualmente esperan un archivo de configuración en la ruta /etc/krb5.conf. Este servicio genera dicho archivo desde una definición proporcionada en la declaración de sistema operativo. Esto no causa el inicio de ningún daemon.

Este servicio no crea ningún archivo “keytab”—debe crearlos explícitamente usted. Se ha comprobado que este servicio funciona con la biblioteca de cliente mit-krb5 del MIT. No se han probado otras implementaciones.

Variable Scheme: krb5-service-type: Un tipo de servicio para clientes Kerberos 5.

Este es un ejemplo de su uso:

(service krb5-service-type
         (krb5-configuration
          (default-realm "EXAMPLE.COM")
          (allow-weak-crypto? #t)
          (realms (list
                   (krb5-realm
                    (name "EXAMPLE.COM")
                    (admin-server "groucho.example.com")
                    (kdc "karl.example.com"))
                   (krb5-realm
                    (name "ARGRX.EDU")
                    (admin-server "kerb-admin.argrx.edu")
                    (kdc "keys.argrx.edu"))))))

Este ejemplo proporciona una configuración de cliente Kerberos 5 que:

Reconoce dos dominios, sean: “EXAMPLE.COM” y “ARGRX.EDU”, los cuales tienen distintos servidores administrativos y centros de distribución de claves;
El valor predeterminado será “EXAMPLE.COM” si no se especifica el dominio explícitamente por parte del cliente.
Acepta servicios cuyos únicos tipos de cifrado implementados se sabe que son débiles.

Los tipos krb5-realm y krb5-configuration contienen muchos campos. Aquí se describen únicamente los más habitualmente usados. Para obtener una lista complete y una explicación detallada de cada campo, véase la documentación de krb5.conf.

Tipo de datos: krb5-realm

name: Este campo es una cadena que identifica el nombre del dominio. Una convención habitual es el uso del nombre completo de DNS de su organización, convertido a mayúsculas.
admin-server: Este campo es una cadena que identifica la máquina donde se ejecuta el servidor administrativo.
kdc: Este campo es una cadena que identifica el centro de distribución de claves para el dominio.

Tipo de datos: krb5-configuration

allow-weak-crypto? (predeterminado: #f): Si esta opción es #t se aceptarán los servicios que únicamente ofrezcan algoritmos de cifrado que se conozca que son débiles.
default-realm (predeterminado: #f): Este campo debe ser una cadena que identifique el dominio predeterminado de Kerberos para los clientes. Debería proporcionar el nombre de su dominio Kerberos. Si este valor es #f, el dominio debe especificarse en cada principal de Kerberos cuando se invoquen programas como kinit.
realms: Debe ser una lista no vacía de objetos krb5-realm, accesibles por los clientes. Normalmente, uno de ellos tendrá un campo name que corresponda con el campo default-realm.

Servicio krb5 de PAM

El servicio pam-krb5 le permite la identificación para el ingreso al sistema y la gestión de contraseñas mediante Kerberos. Este servicio es necesario si desea que aplicaciones que permiten PAM lleven a cabo la identificación de usuarias mediante el uso de Kerberos.

Variable Scheme: pam-krb5-service-type: Un tipo de servicio para el módulo PAM de Kerberos 5.

Tipo de datos: pam-krb5-configuration

Tipo de datos que representa la configuración del módulo PAM de Kerberos 5. Este tipo tiene los siguientes parámetros:

pam-krb5 (predeterminado: pam-krb5): El paquete pam-krb5 usado.
minimum-uid (predeterminado: 1000): El ID de usuaria mínimo con el que se permitirán los intentos de identificación con Kerberos. El proceso de identificación de las cuentas locales con valores menores fallará de manera silenciosa.