Protocolos del servicio de autenticación de red

El servicio de autenticación de red utiliza el protocolo Kerberos junto con las API de servicios de seguridad genéricos (GSS) de autenticación para prestar servicios de autenticación y seguridad.

Este tema proporciona una descripción general de los protocolos del servicio de autenticación de red y sobre cómo se utilizan en el entorno de IBM® i. Para facilitar una información más completa sobre estos estándares, se proporcionan enlaces que llevan a las correspondientes peticiones de comentarios (RFC) y a otras fuentes de información externas.

Protocolo Kerberos

El protocolo Kerberos proporciona autenticación de tercer interlocutor, en la que los usuarios demuestran su identidad ante un servidor centralizado, llamado servidor Kerberos o centro de distribución de claves (KDC), el cual expide tickets para los usuarios. Luego, los usuarios pueden utilizar los tickets para demostrar sus identidades en la red. El ticket evita la necesidad de iniciar múltiples sesiones en los distintos sistemas. Las API del servicio de autenticación de red soportadas por el IBM i tienen su originen en el Massachusetts Institute of Technology y se han convertido en el estándar de hecho para utilizar el protocolo Kerberos.

Supuestos del entorno de seguridad

El protocolo Kerberos presupone todos los intercambios de datos se producen en un entorno en el que los paquetes se pueden insertar, cambiar o interceptar a voluntad. Utilice Kerberos como una capa de un plan de seguridad global. A pesar de que el protocolo Kerberos le permite autenticar a los usuarios y las aplicaciones en la red, debe tener en cuenta ciertas limitaciones al definir sus objetivos de seguridad de la red:

El protocolo Kerberos no protege contra los ataques de denegación de servicio. Existen lugares en estos protocolos donde un intruso puede impedir que una aplicación participe en los pasos de autenticación correctos. Es preferible dejar la detección y la solución de estos ataques en manos de administradores y usuarios humanos.
El hecho de compartir claves o el robo de las claves puede permitir ataques de imitación. Si de algún modo los intrusos logran robar la clave de un sujeto principal, podrán hacerse pasar por dicho usuario o servicio. Para minimizar esta amenaza, prohíba a los usuarios compartir sus claves e incluya esta política en sus normas de seguridad.
El protocolo Kerberos no protege contra las vulnerabilidades típicas de las contraseñas, como la de adivinar una contraseña. Si un usuario elige una contraseña sencilla, un pirata podría montar con éxito un ataque de diccionario fuera de línea intentando repetidamente descifrar mensajes que se han cifrado bajo una clave derivada a partir de la contraseña del usuario.

Fuentes de información de Kerberos

Las peticiones de comentarios (RFC) son definiciones escritas de los estándares de protocolos y estándares propuestos que se utilizan para Internet. Las siguientes peticiones de comentarios (RFC) podrían servirle de ayuda para comprender el protocolo Kerberos:

RFC 1510: En la RFC 1510: Kerberos Network Authentication Service (V5), el equipo negociador de ingenieros de Internet (IETF) define formalmente el servicio de autenticación de red Kerberos (V5). RFC 4120 reemplaza esta RFC.
RFC 4120: En la RFC 4120: Kerberos Network Authentication Service (V5), expande y aclara el protocolo Kerberos.

Para ver la RFC mencionada anteriormente, visite el motor de búsqueda del índice de RFC que se encuentra en el sitio Web del editor de RFC Enlace fuera de Information Center . Busque el número de la RFC que desea ver. Los resultados del motor de búsqueda visualizan el correspondiente título de la RFC, su autor, la fecha y el estado.

Kerberos: Network Authentication Protocol (V5): La documentación oficial del Massachusetts Institute of Technology sobre el protocolo Kerberos proporciona información sobre programación y describe las características del protocolo.

Las API de servicios de seguridad genéricos (GSS)

Las interfaces de programación de aplicaciones (API) de los servicios de seguridad genéricos (GSS) proporcionan servicios de seguridad genéricos y están soportadas por una amplia gama de tecnologías de seguridad, como el protocolo Kerberos. Ello hace que las aplicaciones GSS sean transportables a diferentes entornos. Po este motivo, le recomendamos que utilice estas API en lugar de las API de Kerberos. Puede escribir aplicaciones que utilicen las API de GSS para comunicarse con otras aplicaciones y clientes de la misma red. Cada una de las aplicaciones que participan en la comunicación desempeña un papel en este intercambio. Con las API de GSS, las aplicaciones pueden realizar las siguientes operaciones:

Determinar la identificación de usuario de otra aplicación.
Delegar derechos de acceso a otra aplicación.
Aplicar servicios de seguridad (como la confidencialidad y la integridad) por cada mensaje.

Fuentes de información de las API de GSS

RFC 2743: En la RFC 2743: Generic Security Service Application Program Interface Versión 2, Actualización 1, el equipo negociador de ingenieros de Internet (IETF) define formalmente las API de GSS.
RFC 1509: En la RFC 1509: Generic Security Service API : C-bindings, el equipo negociador de ingenieros de Internet (IETF) define formalmente las API de GSS. RFC 2744 reemplaza esta RFC.
RFC 1964: En la RFC 1964, The Kerberos Version 5 GSS-API Mechanism, el equipo negociador de ingenieros de Internet (IETF) define las especificaciones de Kerberos Versión 5 y de las API de GSS.
RFC 4121: En RFC 4121, Kerberos Version 5 GSS-API Mechanism: Version 2 actualiza y realiza cambios en la RFC 1964.

Para ver las RFC mencionadas anteriormente, visite el motor de búsqueda del índice de RFC que se encuentra en el sitio Web del editor de RFC Enlace fuera de Information Center . Busque el número de la RFC que desea ver. Los resultados del motor de búsqueda visualizan el correspondiente título de la RFC, su autor, la fecha y el estado.