441

Configuración de la autenticación Cuando un usuario se c onec ta a un sistema Red Hat Enterprise Linux, se verifican el nombre de

usuario y la c ontraseña, o en otras palabras se autentifican, como un usuario activo válido. Algunas

veces la información para verificar el usuario es tá loc alizada en el s istema local, otras vec es el

s istema delega la validación a una base de datos de usuarios en un sistema remoto.

La Authentication Configuration Tool proporciona una interfaz gráfica para configurar NIS, LDAP

y servidores Hesiod para recuperar información del usuario así como también para configurar LDAP,

Kerberos y SMB como protocolos de autentic ac ión.

Nota

Si configuró un nivel de seguridad medio o alto durante la ins talac ión (o con la

Security Level Configuration Tool) entonc es el cortafuegos no permitirá la

autentic ac ión NIS (Servicio de Información de la Red).

Este capítulo no explica cada uno de los diferentes tipos de autentic ac ión en detalle. En vez de eso

explica cómo usar la Authentication Configuration Tool para configurarlos.

To start the graphic al version of the Authentication Configuration Tool from the desktop, select the

System (on the panel) > Administration > Authe ntication or type the command system-config-

authentication at a shell prompt (for example, in an XTerm or a GNOME terminal).

Importante

Después de salir del programa de autentic ac ión, los cambios tendrán efecto de

inmediato.

26.1. User Information La pestaña de Información del Usuario le permite configurar la manera en que los usuarios deben

ser autentic ados y tiene varias opc iones. Para habilitar una opción, haga click en la casilla de

verificación al lado de ella. Para inhabilitar la, haga click en la casilla para limpiarla. Luego haga click

en OK para salir del programa y aplicar los cambios.

442

User Information

Figura 26.1. User Information

La lista siguiente explica lo que configura cada una de las opciones :

NIS

La opción Habilitar Soporte NIS configurar el sis tema para conec tarse a un servidor NIS (como un

cliente NIS) para la autentif icac ión de usuarios y c ontraseñas. Haga click en el botón Configurar

NIS... para espec if ic ar el dominio NIS y el servidor NIS. Si no se espec if ic a el servidor NIS, el

demonio intentará buscarlo vía difusión (broadc ast).

Debe tener el paquete ypbind instalado para que esta opción funcione. Si el soporte NIS está

activado, los servic ios portmap y ypbind serán iniciados y también estarán habilitados para arranc ar

en el momento de inicio del s istema.

443

User Information

LDAP

La opción Habilitar el soporte LDAP le ordena al s is tema que rec upere información del usuario a

través de LDAP. Haga click en el botón Configurar LDAP... para espec if icar lo s iguiente:

• DN de Base de Búsque da LDAP — Rec upera la información del usuario por medio de su nombre

distinguido, Distinguished Name (DN).

• Servidor LDAP — Espec if ique la dirección IP del servidor LDAP.

• Use TLS para encriptar conexiones — Cuando se encuentra habilidata, se utilizará la Seguridad

de la Capa de Transporte para encriptar las contraseñas enviadas al servidor LDAP. La opc ión

Descargar Ce rtificado AC le permite espec if ic ar una URL desde donde se podrá desc argar un

Certificado AC (Autoridad de Certificación) válido. Un Certif icado CA válido tiene que estar en

formato PEM (del inglés Correo con Privac idad Mejorada).

Debe tener instalado el paquete openldap-clients para que esta opción func ione.

Hes iod

La opción Habilitar soporte Hesiod configura el sistema para rec uperar información (inc luyendo

información del usuario) desde una base de datos remota Hesiod. Haga clic en el botón Configurar

Hesiod... para espec if ic ar lo s iguiente:

• Hesiod LHS — Espec if ic a el prefijo del dominio que se utiliza para consultas Hes iod.

• Hesiod RHS — Espec if ic a el dominio Hesiod predeterminado.

El paquete hesiod debe es tar instalado para que esta opción funcione.

Para obtener más información sobre Hes iod vaya a su página man utilizando el comando man

hesiod. También se puede referir a la página man man hesiod. (man hesiod.conf) para obtener

más información sobre LHS y RHS.

Winbind

La opción Habilitar Soporte Winbind configura el sis tema para conectarse a un controlador de

dominio Windows o Windows Active Directory. Se puede acc eder a la información de los usuarios y

configurar las opciones de autentic ac ión del servidor. Haga click en el botón Configurar Winbind...

para espec if ic ar lo s iguiente:

• Dominio Winbind — Espec if ic a el Windows Active Directory o el controlador de dominio al c ual

conec tarse.

• Modelo de Seguridad — le permite selecc ionar un modelo de seguridad, el cual configura la

manera en que los clientes deben responder a Samba. La lista desplegable le permite selecc ionar

cualquiera de los siguientes :

• usuario — Este es el modo predeterminado. Con este nivel de seguridad, el cliente debe inic iar

la ses ión con una nombre de usuario y una contraseña válidas. Este modo de seguridad también

permite el uso de contraseñas encriptadas.

• serve r — En este modo, Samba tratará de validar el nombre de usuario/c ontraseña

autentic ándolos a través de otro servidor SMB (por ejemplo, un Servidor Windows NT). Si no

tiene exito tendrá efecto el modo use r.

444

User Information

• domain — En este modo Samba intentará validar el nombre de usuario/c ontraseña

autentic ándolos a través de Windows NT Primary o un Controlador de Dominio de Respaldo

(Backup Domain Controller) de manera similar a lo que haría un Servidor Windows NT.

• ads — Este modo le ordena a Samba que se c omporte como un miembro de dominio en un

Active Directory Server (ADS). Para operar de este modo nec es ita tener instalado el paquete

krb5-server y Kerberos debe estar configurado apropiadamente.

• Winbind ADS Realm — cuando se selecc iona el Modelo de Seguridad ads, esto le permite

espec if ic ar el Dominio ADS en el que el servidor Samba debe desempeñarse como un miembro de

dominio.

• Template Shell — Cuando llene la información del usuario para un usuario de Windows NT, el

demonio winbindd utiliza el valor selecc ionado aquí para espec if ic ar el shell de registro para ese

usuario.

26.2. Authentication La pestaña de Aute nticación permite la configurac ión de los métodos de autentic ac ión de red. Para

activar una opción haga click sobre la casilla de verificación al lado de la misma. Para desac tivarla,

haga click nuevamente sobre la casilla para desmarc arla o limpiarla.

445

Authentic ation

Figura 26.2. Authentication

A continuac ión se explica lo que configura cada opc ión:

Ke rbe ros

La opción Habilitar el Soporte de Ke rberos habilita la autentic ac ión de Kerberos. Haga click en

Configurar Ke rbe ros... para abrir el diálogo Configuración de Ke rbe ros Settings para configurar:

• Entorno — Configure el entorno para el servidor de Kerberos. El entorno o reino es la red que

Kerberos utiliza, compues ta de uno o más KDCs y un número potenc ial de muchos c lientes.

• KDC — Define el Centro de Distribución de Claves, Key Distribution Center (KDC), el cual es el

servidor que emite los tickets de Kerberos.

• Se rvidores de Administración — Espec if ica el o los servidores de administrac ión ejec utando

kadmind.

446

Authentic ation

El diálogo Configuración de Ke rbe ros también le permite utilizar DNS para resolver hosts en

entornos y localizar KDCs para entornos.

LDAP

The Enable LDAP Support option instructs standard PAM-enabled applic ations to use LDAP for

authentic ation. The Configure LDAP... button allows you to configure LDAP support with options

identical to those present in Configure LDAP... under the User Information tab. For more information

about these options, refer to Sección 26.1, “User Information”.

Debe tener instalado el paquete openldap-clients para que esta opción func ione.

Smart Card

La opción Habilitar el soporte SMB habilita la autentic ac ión por medio de tar jetas inteligentes. Es to

permite que los usuarios inicien ses ión utilizando un certificado y una llave asoc iada ala mac enados

en una tarjeta inteligente. Haga click en el botón Configurar SMB para ver más opc iones.

SMB

La opción Habilitar el soporte SMB configura PAM para utilizar un servidor SMB para autentif icar a

los usuarios. SMB se refiere a un protocolo del servidor del cliente utilizado para la comunic ac ión

entre sis temas y Samba también lo utiliza para parec er como un servidor Windows para los clientes

Windows. Haga click en el botón Configurar SMB para espec if ic ar:

• Grupo de trabajo — Espec if ic a el grupo de trabajo SMB a utilizar.

• Controladores de Dominio — Espec if ic a los controladores de dominio SMB a utilizar.

Winbind

La opción Habilitar el soporte Winbind configura la conexión del s is tema con Windows Active

Directory o con un controlador de dominios de Windows. Se puede acc eder a la información de los

usuarios y configurar las opciones de autentic ac ión del servidor.

The Configure Winbind... options are identical to those in the Configure Winbind... button on the

User Information tab. Please refer to Winbind (under Sección 26.1, “User Information”) for more

information.

26.3. Options Esta pestaña contiene otras opc iones para configurac ión:

447

Options

Figura 26.3. Options

Cache User Information

Selecc ione esta opción para habilitar el demonio de cache de servicio de nombre (nscd) y

configurarlo para que se inicie al momento de arranque.

El paquete nscd debe estar ins talado para que esta opción funcione. Para obtener más detalles

sobre nscd vaya a su página man utilizando el c omando man nscd.

Use Shado w Passwords

Selecc ione esta opción para guardar las contraseñas en formato de contraseñas shadow en el

archivo /etc/shadow en vez de en /etc/passwd. Las contraseñas shadow son activadas por

defecto durante la ins talac ión y se rec omiendan para incrementar la seguridad del s istema.

448

Options

Use MD5 Passwords

Selecc ione esta opción para habilitar las contraseñas MD5, lo cual permite que las contraseñas

tengan has ta 256 en vez de 8 o menos. Esta opción es selecc ionada por defecto durante la

instalac ión y se rec omienda su uso para mayor seguridad.

Authorization local es suficiente para us uarios locales

Cuano esta opción se encuentra habilitada, el s istema no verif icará la autorizac ión desde los servic ios

de red (tal como LDAP o Kerberos) para las cuentas de usuarios mantenidas en su archivo /etc/

pass wd.

Autenticar cue ntas del sistema por me dio de servicios de red

Al habilitar esta opción se configura el sistema para permitir servic ios de red (tal como LDAP o

Kerberos) para autentic ar cuentas del s is tema (incluído root) en la máquina.

26.4. Versión de línea de comandos The Authentication Configuration Tool can also be run as a command line tool with no

interfac e. The command line version can be used in a configuration script or a kickstart script. The

authentic ation options are summarized in Tabla 26.1, “Opciones de línea de comandos”.

Tip

Estas opc iones también se pueden enc ontrar en la página del manual de

authconfig o escribiendo authconfig --help en el intérprete de comandos.

Opción Descripción

--enableshadow Habilitar contraseñas shadow

--disableshadow Desactivar c ontraseñas shadow

--enablemd5 Habilitar contraseñas MD5

--disablemd5 Inhabilitar contraseñas MD5

--enablenis Habilitar NIS

--disablenis Inhabilitar NIS

--nisdomain=<domain> Espec if ic a el dominio NIS

--nisserver=<server> Espec if ic a el servidor NIS

--enableldap Habilitar LDAP para información del

usuario

--disableldap Inhabilitar LDAP para información del

usuario

--enableldaptls Habilitar el uso de TLS con LDAP

--disableldaptls Inhabilitar el uso de TLS con LDAP

--enableldapauth Habilitar LDAP para la autentic ac ión

--disableldapauth Inhabilitar LDAP para la autenticac ión

--ldapserver=<server> Espec if ic a un servidor LDAP

449

Versión de línea de comandos

Opción Descripción

--ldapbasedn=<dn> Espec if ic a un DN de base LDAP

--enablekrb5 Habilita Kerberos

--disablekrb5 Inhabilita Kerberos

--krb5kdc=<kdc> Espec if ic a un KDC de Kerberos

--krb5adminserver=<server> Espec if ic a un servidor de

adminis trac ión Kerberos

--krb5realm=<realm> Espec if ic a el entorno Kerberos

--enablekrb5kdcdns Habilitar el uso de DNS para encontrar

Kerberos KDCs

--disablekrb5kdcdns Deshabilitar el uso de DNS para

encontrar Kerberos KDCs

--enablekrb5realmdns Habilitar el uso de DNS para encontrar

Kerberos realms

--disablekrb5realmdns Deshabilitar el uso de DNS para

encontrar Kerberos realms

--enablesmbauth Habilita SMB

--disablesmbauth Inhabilita SMB

--smbworkgroup= <workg roup> Specify SMB workgroup

--smbservers=<server> Espec if ica servidores SMB

--enablewinbind Habilitar winbind para la información

del usuario por defecto

--disablewinbind Inhabilitar winbind para informac ión

del usuario por defecto

--enablewinbindauth Habilitar winbindauth para la

autentic ac ión por defecto

--disablewinbindauth Inhabilitar winbindauth para la

autentic ac ión por defecto

--smbsecurity=<user|server|domain|ads> Modos de seguridad para usar Samba

y windbind

--smbre alm=<STRING> Campo por defecto para Samba y

winbind cuando security=ads

--smbidmapuid=<lowest-highest> Rango UID que winbind as igna al

dominio o usuario ADS

--smbidmapgid=<lowest-highest> Rango GID que winbind asigna al

dominio o usuario ADS

--winbindseparator=<\> Caracter usado para separar la parte

del usuario y del dominio de los

nombres de usuario de winbind si

winbindusedefaultdomain no

es tá habilitado

450

Versión de línea de comandos

Opción Descripción

--winbindtemplatehomedir=</home/%D/%U> Directorio de inicio de los

usuarios winbind

--winbindtemplateprimarygroup=<nobody> Grupo primario de los

usuarios winbind

--winbindtemplateshell=</bin/false> Shell por defecto de los

usuarios winbind

--enablewinbindusedefaultdomain Configurar winbind para asumir

que los usuarios sin dominio

en sus nombres de usuarios

son usuarios c on dominio

--disablewinbindusedefaultdomain Configurar winbind para asumir

que los usuarios sin dominio

en sus nombres de usuarios

son usuarios s in dominio

--winbindjoin=<Administrator> Unir el dominio winbind o campo

ADS

como este adminis trador

--enablewins Habilitar WINS para la

resoluc ión del nombre de

host

--disablewins Inhabilitar WINS para la

resoluc ión del nombre de host

--enablehesiod Habilita Hes iod

--disablehesiod Inhabilita Hes iod

--hesiodlhs=<lhs> Espec if ic a Hesiod LHS

--hesiodrhs=<rhs> Espec if ic a Hesiod RHS

--enablecache Habilita nscd

--disablecache Inhabilita nscd

--nostart No arranc a o detiene los

servic ios portmap, ypbind o

nscd aún si ellos es tán

configurados

--kickstart No muestra la interfaz del usuario

--probe Verifica y mues tra las fallas de

red

Tabla 26.1. Opc iones de línea de comandos