Servicio de autenticación de red
El servicio de autenticación de red permite que el servidor iSeries y varios servicios del iSeries, como
iSeries Access para Windows, utilicen un ticket Kerberos como sustituto opcional del nombre y la
contraseña de un usuario de cara a la autenticación.El protocolo Kerberos, desarrollado por el
Massachusetts Institute of Technology, permite que un sujeto principal (un usuario o un servicio)
demuestre su identidad ante otro servicio en una red no segura. La autenticación de los sujetos
principales se lleva a cabo mediante un servidor centralizado conocido como servidor Kerberos o centro
de distribución de claves (KDC).
Nota: A lo largo de esta documentación, se emplea el término genérico "servidor Kerberos".
El usuario se autentica con un sujeto principal y una contraseña que se almacenan en el servidor
Kerberos. Una vez autenticado el sujeto principal, el servidor Kerberos emite un ticket de otorgamiento
de tickets (TGT) al usuario. Cuando un usuario necesita acceder a una aplicación o a un servicio de la
red, la aplicación de cliente Kerberos existente en el PC del usuario envía el TGT de nuevo al servidor
Kerberos con vistas a obtener un ticket de servicio para el servicio o la aplicación destino. Luego, la
aplicación de cliente Kerberos envía el ticket de servicio al servicio o a la aplicación de cara a la
autenticación. Una vez que el servicio o la aplicación acepta el ticket, se establece un contexto de
seguridad y entonces la aplicación del usuario puede intercambiar datos con un servicio destino. Las
aplicaciones pueden autenticar a un usuario y reenviar con seguridad su identidad a otros servicios de la
red. En cuanto se conoce a un usuario, se necesitan distintas funciones para verificar la autorización del
usuario para utilizar los recursos de la red.
El servicio de autenticación de red implementa las siguientes especificaciones:
v Protocolo Kerberos Versión 5 tal como se define en la petición de comentarios (RFC) 1510
v Muchas de las API del protocolo Kerberos estándar frecuentes en el sector de hoy en día
v Las API del servicio de seguridad genérico (GSS) tal como se definen en las peticiones de comentarios
(RFC) 1509, 1964 y 2743
La implementación en el i5/OS del servicio de autenticación de red funciona con los servicios de
autenticación, delegación y confidencialidad de datos en conformidad con estas peticiones de comentarios
(RFC) y las API de la interfaz de proveedor de servicios de seguridad (SSPI) de Microsoft Windows 2000.
Microsoft Windows Active Directory utiliza Kerberos como mecanismo de seguridad por omisión.
Cuando se añaden usuarios a Microsoft Windows Active Directory, su identificación de Windows es
equivalente a un sujeto principal Kerberos.El servicio de autenticación de red proporciona
interoperatividad con Microsoft Windows Active Directory y la correspondiente implementación del
protocolo Kerberos.
Importante: Puede que algunas de las interfaces de iSeries sigan utilizando el término "OS/400" en lugar
|
de "i5/OS".
|
Lea el tema "Información de exención de responsabilidad" en la página 2, donde encontrará información
legal importante.
Novedades de la V5R3
Aquí encontrará información sobre las mejoras de funcionamiento realizadas en el servicio de
autenticación de red en este release.
Imprimir este tema
Imprima las versiones PDF de esta información y de los temas relacionados, como la habilitación del
inicio de sesión único y la correlación de identidades de empresa (EIM).
© Copyright IBM Corp. 1998, 2005
1