Red Hat Training
A Red Hat training course is available for RHEL 8
33.3. Indicadores de autenticación Kerberos
El Centro de Distribución de Claves Kerberos (KDC) adjunta authentication indicators a un ticket de concesión (TGT) en función del mecanismo de preautenticación que el cliente haya utilizado para demostrar su identidad:
otp
- autenticación de dos factores (contraseña de un solo uso)
radius
- Autenticación RADIUS (normalmente para la autenticación 802.1x)
pkinit
- Autenticación por PKINIT, tarjeta inteligente o certificado
hardened
- contraseñas reforzadas (SPAKE o FAST)[1]
A continuación, el KDC adjunta los indicadores de autenticación del TGT a cualquier solicitud de ticket de servicio que se derive de él. El centro de distribución de claves aplica políticas como el control de acceso a los servicios, la duración máxima de los tickets y la edad máxima renovable en función de los indicadores de autenticación.
33.3.1. Indicadores de autenticación y servicios IdM
Si se asocia un servicio o un host con un indicador de autenticación, sólo podrán acceder a él los clientes que hayan utilizado el mecanismo de autenticación correspondiente para obtener un vale de transporte. El KDC, y no la aplicación o el servicio, comprueba los indicadores de autenticación en las solicitudes de vales de servicio, y concede o deniega las solicitudes basándose en las políticas de conexión de Kerberos.
Por ejemplo, para requerir la autenticación de dos factores para conectarse al host secure.example.com
, asocie el indicador de autenticación otp
con la entidad de seguridad Kerberos host/secure.example.com@EXAMPLE.COM
. Sólo los usuarios que hayan utilizado una contraseña de un solo uso para obtener su TGT inicial del centro de distribución de claves podrán conectarse.
Si un servicio o un host no tiene asignados indicadores de autenticación, aceptará tickets autenticados por cualquier mecanismo.
Recursos adicionales
- Para asociar un servicio IdM con indicadores de autenticación, consulte Aplicación de indicadores de autenticación para un servicio IdM.