Red Hat Training

A Red Hat training course is available for RHEL 8

33.3. Indicadores de autenticación Kerberos

El Centro de Distribución de Claves Kerberos (KDC) adjunta authentication indicators a un ticket de concesión (TGT) en función del mecanismo de preautenticación que el cliente haya utilizado para demostrar su identidad:

otp
autenticación de dos factores (contraseña de un solo uso)
radius
Autenticación RADIUS (normalmente para la autenticación 802.1x)
pkinit
Autenticación por PKINIT, tarjeta inteligente o certificado
hardened
contraseñas reforzadas (SPAKE o FAST)[1]

A continuación, el KDC adjunta los indicadores de autenticación del TGT a cualquier solicitud de ticket de servicio que se derive de él. El centro de distribución de claves aplica políticas como el control de acceso a los servicios, la duración máxima de los tickets y la edad máxima renovable en función de los indicadores de autenticación.

33.3.1. Indicadores de autenticación y servicios IdM

Si se asocia un servicio o un host con un indicador de autenticación, sólo podrán acceder a él los clientes que hayan utilizado el mecanismo de autenticación correspondiente para obtener un vale de transporte. El KDC, y no la aplicación o el servicio, comprueba los indicadores de autenticación en las solicitudes de vales de servicio, y concede o deniega las solicitudes basándose en las políticas de conexión de Kerberos.

Por ejemplo, para requerir la autenticación de dos factores para conectarse al host secure.example.com, asocie el indicador de autenticación otp con la entidad de seguridad Kerberos host/secure.example.com@EXAMPLE.COM. Sólo los usuarios que hayan utilizado una contraseña de un solo uso para obtener su TGT inicial del centro de distribución de claves podrán conectarse.

Si un servicio o un host no tiene asignados indicadores de autenticación, aceptará tickets autenticados por cualquier mecanismo.

Recursos adicionales


[1] Una contraseña reforzada está protegida contra los ataques de diccionario por fuerza bruta utilizando la preautenticación Single-Party Public-Key Authenticated Key Exchange (SPAKE) y/o el blindaje Flexible Authentication via Secure Tunneling (FAST).