Siguiente: , Anterior: , Subir: Servicios   [Índice general][Índice]


10.8.16 Servicios Kerberos

El módulo (gnu services kerberos) proporciona servicios relacionados con el protocolo de identificación Kerberos.

Servicio Krb5

Los programas que usan una biblioteca cliente de Kerberos habitualmente esperan un archivo de configuración en la ruta /etc/krb5.conf. Este servicio genera dicho archivo desde una definición proporcionada en la declaración de sistema operativo. Esto no causa el inicio de ningún daemon.

Este servicio no crea ningún archivo “keytab”—debe crearlos explícitamente usted. Se ha comprobado que este servicio funciona con la biblioteca de cliente mit-krb5 del MIT. No se han probado otras implementaciones.

Variable Scheme: krb5-service-type

Un tipo de servicio para clientes Kerberos 5.

Este es un ejemplo de su uso:

(service krb5-service-type
         (krb5-configuration
          (default-realm "EXAMPLE.COM")
          (allow-weak-crypto? #t)
          (realms (list
                   (krb5-realm
                    (name "EXAMPLE.COM")
                    (admin-server "groucho.example.com")
                    (kdc "karl.example.com"))
                   (krb5-realm
                    (name "ARGRX.EDU")
                    (admin-server "kerb-admin.argrx.edu")
                    (kdc "keys.argrx.edu"))))))

Este ejemplo proporciona una configuración de cliente Kerberos 5 que:

Los tipos krb5-realm y krb5-configuration contienen muchos campos. Aquí se describen únicamente los más habitualmente usados. Para obtener una lista complete y una explicación detallada de cada campo, véase la documentación de krb5.conf.

Tipo de datos: krb5-realm
name

Este campo es una cadena que identifica el nombre del dominio. Una convención habitual es el uso del nombre completo de DNS de su organización, convertido a mayúsculas.

admin-server

Este campo es una cadena que identifica la máquina donde se ejecuta el servidor administrativo.

kdc

Este campo es una cadena que identifica el centro de distribución de claves para el dominio.

Tipo de datos: krb5-configuration
allow-weak-crypto? (predeterminado: #f)

Si esta opción es #t se aceptarán los servicios que únicamente ofrezcan algoritmos de cifrado que se conozca que son débiles.

default-realm (predeterminado: #f)

Este campo debe ser una cadena que identifique el dominio predeterminado de Kerberos para los clientes. Debería proporcionar el nombre de su dominio Kerberos. Si este valor es #f, el dominio debe especificarse en cada principal de Kerberos cuando se invoquen programas como kinit.

realms

Debe ser una lista no vacía de objetos krb5-realm, accesibles por los clientes. Normalmente, uno de ellos tendrá un campo name que corresponda con el campo default-realm.

Servicio krb5 de PAM

El servicio pam-krb5 le permite la identificación para el ingreso al sistema y la gestión de contraseñas mediante Kerberos. Este servicio es necesario si desea que aplicaciones que permiten PAM lleven a cabo la identificación de usuarias mediante el uso de Kerberos.

Variable Scheme: pam-krb5-service-type

Un tipo de servicio para el módulo PAM de Kerberos 5.

Tipo de datos: pam-krb5-configuration

Tipo de datos que representa la configuración del módulo PAM de Kerberos 5. Este tipo tiene los siguientes parámetros:

pam-krb5 (predeterminado: pam-krb5)

El paquete pam-krb5 usado.

minimum-uid (predeterminado: 1000)

El ID de usuaria mínimo con el que se permitirán los intentos de identificación con Kerberos. El proceso de identificación de las cuentas locales con valores menores fallará de manera silenciosa.


Siguiente: , Anterior: , Subir: Servicios   [Índice general][Índice]