Red Hat Training

A Red Hat training course is available for RHEL 8

38.3. Ventajas e inconvenientes del uso de certificados para autenticar a los usuarios en IdM

Las ventajas de utilizar certificados para autenticar a los usuarios en IdM incluyen los siguientes puntos:

  • Un PIN que protege la clave privada de una tarjeta inteligente suele ser menos complejo y más fácil de recordar que una contraseña normal.
  • Dependiendo del dispositivo, una clave privada almacenada en una tarjeta inteligente no puede ser exportada. Esto proporciona una seguridad adicional.
  • Las tarjetas inteligentes pueden hacer que el cierre de sesión sea automático: IdM puede configurarse para que los usuarios cierren la sesión cuando retiren la tarjeta inteligente del lector.
  • El robo de la clave privada requiere el acceso físico real a una tarjeta inteligente, lo que hace que las tarjetas inteligentes sean seguras contra los ataques de piratería.
  • La autenticación con tarjeta inteligente es un ejemplo de autenticación de dos factores: requiere tanto algo que tienes (la tarjeta) como algo que sabes (el PIN).
  • Las tarjetas inteligentes son más flexibles que las contraseñas porque proporcionan las claves que pueden utilizarse para otros fines, como el cifrado del correo electrónico.
  • El uso de tarjetas inteligentes en máquinas compartidas que son clientes de IdM no suele plantear problemas de configuración adicionales para los administradores de sistemas. De hecho, la autenticación con tarjeta inteligente es una opción ideal para las máquinas compartidas.

Las desventajas de usar certificados para autenticar usuarios en IdM incluyen los siguientes puntos:

  • Los usuarios pueden perder u olvidar traer su tarjeta inteligente o su certificado y quedar efectivamente bloqueados.
  • Si se escribe mal el PIN varias veces, la tarjeta puede quedar bloqueada.
  • Por lo general, hay un paso intermedio entre la solicitud y la autorización por parte de algún tipo de responsable de seguridad o aprobador. En IdM, el responsable de seguridad o el administrador debe ejecutar el comando ipa cert-request.
  • Las tarjetas inteligentes y los lectores tienden a ser específicos del proveedor y del controlador: aunque se pueden utilizar muchos lectores para diferentes tarjetas, una tarjeta inteligente de un proveedor específico podría no funcionar en el lector de otro proveedor o en el tipo de lector para el que no fue diseñada.
  • Los certificados y las tarjetas inteligentes tienen una empinada curva de aprendizaje para los administradores.