4. El servidor Kerberos responde con el ticket de servicio. Nota: hay que añadir un sujeto principal
de servicio del iSeries B al servidor Kerberos y además hay que configurar el servicio de
autenticación de red en el iSeries B.
5. La aplicación envía el ticket del servidor al servicio de iSeries para autenticar al usuario.
6. La aplicación del servidor valida el ticket llamando a las API del servicio de autenticación de red
y, opcionalmente, puede remitir una respuesta al cliente de cara a una autenticación mutua.
7. Mediante una asociación EIM, el sujeto principal Kerberos se correlaciona por último con el
perfil de usuario de i5/OS.
Protocolos del servicio de autenticación de red
El servicio de autenticación de red utiliza el protocolo Kerberos junto con las API de servicios de
seguridad genéricos (GSS) de autenticación para prestar servicios de autenticación y seguridad. En los
siguientes apartados se proporciona una descripción general de estos protocolos y se explica cómo se
utilizan en el iSeries. Para facilitar una información más completa sobre estos estándares, se han
proporcionado enlaces que llevan a las correspondientes peticiones de comentarios (RFC) y a otras
fuentes de información externas.
Protocolo Kerberos
El protocolo Kerberos proporciona autenticación de tercer interlocutor, en la que un usuario demuestra su
identidad ante un servidor centralizado, llamado servidor Kerberos o centro de distribución de claves
(KDC), el cual expide tickets para el usuario. Luego, el usuario puede utilizar los tickets para demostrar
su identidad en la red. El ticket evita la necesidad de iniciar múltiples sesiones en los distintos sistemas.
Las interfaces de programación de aplicaciones (API) del servicio de autenticación de red soportadas por
el iSeries tienen su originen en el Massachusetts Institute of Technology y se han convertido en el
estándar de hecho para utilizar el protocolo Kerberos.
Supuestos del entorno de seguridad
El protocolo Kerberos presupone todos los intercambios de datos se producen en un entorno en el
que los paquetes se pueden insertar, cambiar o interceptar a voluntad. Utilice Kerberos como una
capa de un plan de seguridad global. A pesar de que el protocolo Kerberos le permite autenticar a
los usuarios y las aplicaciones en la red, debe tener en cuenta ciertas limitaciones al definir sus
objetivos de seguridad de la red:
v El protocolo Kerberos no protege contra los ataques de denegación de servicio. Existen lugares en
estos protocolos donde un intruso puede impedir que una aplicación participe en los pasos de
autenticación correctos. Es preferible dejar la detección y la solución de estos ataques en manos de
administradores y usuarios humanos.
v El hecho de compartir claves o el robo de las claves puede permitir ataques de imitación. Si de
algún modo los intrusos logran robar la clave de un sujeto principal, podrán hacerse pasar por
dicho usuario o servicio. Para minimizar esta amenaza, prohíba a los usuarios compartir sus
claves e incluya esta política en sus normas de seguridad.
v El protocolo Kerberos no protege contra las vulnerabilidades típicas de las contraseñas, como la
de adivinar una contraseña. Si un usuario elige una contraseña sencilla, un pirata podría montar
con éxito un ataque de diccionario fuera de línea intentando repetidamente descifrar mensajes
que se han cifrado bajo una clave derivada a partir de la contraseña del usuario.
Fuentes de información de Kerberos
Las peticiones de comentarios (RFC) son definiciones escritas de los estándares de protocolos y
estándares propuestos que se utilizan para Internet. Las siguientes peticiones de comentarios (RFC)
le servirán de ayuda para comprender el protocolo Kerberos:
82
iSeries: Servicio de autenticación de red