- Ordenadores
- Mac
- Sistemas Operativos
- Cómo funciona la autenticación de inicio de sesión único en Lion Server
Libro Relacionado
Por John Rizzo
La autenticación de inicio de sesión único de Mac OS X Kerberos es una forma segura e indolora de conectarse a un montón de servicios exclusivos y de amplio alcance de Lion cuando se configura como un maestro del Open Directory.
Si un usuario necesita conectarse a muchos servicios únicos, puede enviar un nombre de usuario y una contraseña a cada servicio, abriendo un camino para que un malhechor intercepte y descifre su contraseña. La alternativa más segura es utilizar la autenticación de inicio de sesión único de Kerberos, en la que el usuario introduce una contraseña una vez y tiene acceso a todos los servicios.
Con Kerberos activado, la contraseña nunca se transmite a través de la red. En su lugar, un sistema de tickets emite tokens cifrados llamados tickets y le autentica una vez (normalmente desde la ventana de inicio de sesión de Mac OS X), y los tickets subsiguientes permiten el acceso a otros servicios compartidos.
Piense en Kerberos como pasar el día visitando un parque de diversiones popular. Lo primero que se hace al llegar al parque es comprar un pase. Este pase es su ticket de concesión de Kerberos (TGT), emitido por el Kerberos Key Distribution Center (KDC) cuando inicia sesión en Mac OS X en un directorio compartido.
En el parque, se paga la entrada y se accede al recinto durante todo el día. Los usuarios se conectan una vez y tienen acceso a todo el parque. Sin embargo, el pase no significa automáticamente que usted puede saltar en cualquier paseo o que puede conseguir perritos calientes y palomitas de maíz. Usted todavía tiene que hacer cola para cada paseo y pagar por sus bocadillos.
En Kerberos, su TGT se presenta al acceder a un servicio, como el uso compartido de archivos o el correo electrónico. El centro de distribución de claves crea un nuevo vale de servicio que su cliente utiliza para autenticarse en el servicio. Pero al usuario no se le presenta una pantalla de inicio de sesión después del primer inicio de sesión.
Cuando el parque cierra, su pase no es bueno para el día siguiente. En Kerberos, al cerrar la sesión, se destruyen los tickets TGT y de servicio. Si alguien hubiera podido averiguar cómo entrar en el sistema de tickets, los TGTs son válidos sólo por un periodo de tiempo determinado: diez horas después del inicio de sesión en Mac OS X Server. Y los tickets de Kerberos se almacenan en RAM, no en el disco duro.
Mac OS X Server es fácil de configurar como KDC; cuando se configura como maestro del Open Directory, se configura automáticamente un KDC. Open Directory también puede utilizar otro centro de distribución de claves que se ejecute en otro servidor, como un controlador de dominio de Active Directory. En Mac OS X, puede ver, crear y destruir TGTs utilizando la aplicación Ticket Viewer que se encuentra en /System/Library/CoreServices.
Ver TGTs y tickets de servicio para el usuario actual tecleando klist en Terminal y presionando Return. He aquí un ejemplo de lo que podría ver:
client:~ lianabare$ klistDefault principal: lianabare@MASTER.EXAMPLE.COMValid Starting Expires Service Principal06/30/11 14:24:40 06/30/11 00:24:40 krbtgt/MASTER.EXAMPLE.COM@MASTER.EXAMPLE.COM renew until 06/30/11 14:24:3406/30/11 14:24:41 06/30/11 00:24:40 afpserver/fileserver.example.com@MASTER.EXAMPLE.COM renovar hasta el 30/06/11 14:24:3406/30/11 14:24:59 06/30/11 00:24:40 http/ical.example.com@MASTER.EXAMPLE.COM renovar hasta el 30/06/11 14:24:3406/30/11 14:26:27 06/30/11 00:24:40 xmpp/ichat.example.com@MASTER.EXAMPLE.COM renovar hasta el 30/06/11 14:24:34