Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 60. Uso de nombres de host DNS canonizados en IdM

La canonización del DNS está desactivada por defecto en los clientes de gestión de identidades (IdM) para evitar posibles riesgos de seguridad. Por ejemplo, si un atacante controla el servidor DNS y un host en el dominio, el atacante puede hacer que el nombre corto del host demo se resuelva en malicious.example.com. En este caso, el usuario se conecta a un servidor diferente al esperado.

Esta sección describe cómo utilizar los nombres de host canonizados en los clientes IdM.

60.1. Añadir un alias a una entidad de seguridad

Por defecto, los clientes de Gestión de Identidades (IdM) inscritos mediante el comando ipa-client-install no permiten utilizar nombres de host cortos en los principales del servicio. Por ejemplo, los usuarios pueden utilizar sólo host/demo.example.com@EXAMPLE.COM en lugar de host/demo@EXAMPLE.COM al acceder a un servicio.

Esta sección explica cómo añadir un alias a una entidad de seguridad de Kerberos. Tenga en cuenta que también puede activar la canonización de los nombres de host en el archivo /etc/krb5.conf. Para más detalles, consulte Sección 60.2, “Habilitación de la canonización de los nombres de host en los directores de servicio en los clientes”.

Requisitos previos

  • El cliente IdM está instalado.
  • El nombre del host es único en la red.

Procedimiento

  1. Autenticarse en el IdM como usuario de admin:

    $ kinit admin
  2. Añade el alias a la entidad de seguridad del host. Por ejemplo, para añadir el alias demo a la entidad de seguridad del host demo.examle.com:

    $ ipa host-add-principal demo.example.com --principal=demo