REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 In&esti'aci(n )ara sol*cionar la )rdida de credenciales Kerberos+ al accesar al Ser&idor AS$00 ,abla de contenido Antecedentes.-_______________________________________________2 Solucin Propuesta.-_________________________________________2 Descripcin de la solucin.-_________________________________3 Pol-ticas de Se'*ridad Kerberos.........................................../ Proceso a*tom0tico de 1o'on 2 1o'o3....................................4 Conclusin y tiempo de entrega.-__________________________9 Nota.-_________________________________________________________9 Pgina: 1 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
Antecedentes.- Existe un servicio de consulta de saldos de los clientes instalado en el servidor de aplicaciones, frmado con el usuario PIVR, el cual recupera la informacin desde el sistema de crdito del AS400 Para !ue este servicio pueda e"ecutarse de#e primero a*tenticarse en el reino $er#eros %implementado en &E R'PA( &ic)a autenticacin se reali*a autom+ticamente al momento de )acer el proceso de ,'-'. con el usuario PIVR, cuando est+ autenticado, se /enera un tic0et o credenciales de autentifcacin para su identifcacin en el reino $er#eros, con el cual se puede )acer re!uerimientos de informacin en el reino 1ada cierto tiempo no determinado %23 d4as( o por el reinicio peridico del servidor, se pierden las credenciales, por lo cual el administrador de#e necesariamente in/resar el lo/in 5 el pass6ord del usuario PIVR, para !ue la consulta vuelva a !uedar activa Se re!uiere implementar una solucin !ue permita, independientemente si se reinicia el servidor de aplicaciones o las credenciales se pierden lue/o de un n7mero de d4as no determinado, !ue las credenciales del usuario due8o del servicio de consulta )ermane5can acti&as, para !ue de esta manera el Administrador no ten/a !ue in/resar continuamente dic)o lo/in Solucin Propuesta.- Se modifcar+n las )ol-ticas de Se'*ridad de Kerberos, de tal manera !ue las credenciales /eneradas puedan ser utili*adas en el tiempo !ue se considere necesario Se implementar+ un )roceso a*tom0tico de lo'on 2 lo'o3 del usuario propietario del servicio En medio de este proceso se autenticar+ el usuario, se levantar+ el servicio de consulta, para fnalmente salir de la sesin, !uedando la consola del servidor lista sin nin/7n usuario activo &e esta manera, se soluciona la prdida de credenciales 5 se evita !ue el administrador ten/a !ue in/resar manualmente el lo/in del usuario
Pgina: 2 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 Descripcin de la solucin.- Polticas de Seguridad er!eros. Este cam#io se implementa en el servidor de Active &irector5, in/resando con el usuario Administrador Se in/resa en la ruta !ue especifca la si/uiente ima/en9 Pgina: 3 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 Verifco los valores por defecto de la pol4tica referida en las pol4ticas del Active &irector59 Pgina: 4 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 &e estos par+metros, procedo a cam#iar el referido Maximum Lifetime for user ticket renewal %Edad :+xima de renovacin de tic0ets(,o cual est+ indicado en la si/uiente ima/en9 &e ; a /6 d4as %puede variar de acuerdo a los re!uerimientos(, de tal manera !ue el tic0et %credencial <-<( se renovar+ constantemente dentro del per4odo especifcado Para aplicar el cam#io se reinicia el servidor= se verifca el nuevo per4odo de renovacin e"ecutando el comando $,IS< %fec)as de inicio de sesin 5 tiempo de renovacin(9 Pgina: 5 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 Esta modifcacin resuelve la prdida de credenciales, al ampliar el per4odo de tiempo durante el cual el tic0et <-< se mantendr+ activo Recomendamos !ue a#ar!ue el n7mero de d4as de la frecuencia de reinicio del servidor m+s cinco d4as Proceso autom"tico de #ogon y #ogo$. Para evitar !ue el administrador de Se/uridades ten/a !ue in/resar el proceso de lo/on 5 lo/o> del usuario propietario del servicio de consulta cada ve* !ue se reinicia el servidor de aplicaciones, se implementa lo si/uiente9 En el servidor de aplicaciones %o donde se considere pertinente( se procede a #a"ar e instalar el soft6are Autolo/onexe Este soft6are permite de manera sencilla conf/urar el usuario, contrase8a 5 dominio con el cual al momento de reiniciar o apa/ar el servidor, autom+ticamente su#ir+ con dic)o usuario En este caso ser+ el Pgina: 6 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 usuario PIVR ,ue/o de in/resar la informacin pertinente, se presiona el #otn E.A?,E 1a#e recalcar !ue el )assword 7*eda encri)tado9 Si en lo posterior se desea de"ar des)a#ilitada el Autolo/on, se vuelve a e"ecutar el pro/rama Autolo/onexe 5 se presiona el #otn &ISA?,E A)ora, lue/o !ue se reinicie autom+ticamente 5 se active el servicio de consultas de saldos, de#er+ autom+ticamente )acer el lo/o> del usuario por se/uridad Para esto implementamos lo si/uiente9 Pgina: 7 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 En la ruta S'@SASV',BCI.&'CSBSISV',Bs5svolB&ER'PA1':BS1RIP<S del servidor de Active &irector5, se crea el arc)ivo A*tolo'o3bat, el cual contendr+ el comando 1O8OFF9 ,os permisos por defecto de Read 5 ReadDExecute de este arc)ivo #at de#en asi/narse al usuario PIVR En la opcin Active &irector5 Esers and 1omputer %Roles( del servidor de Active &irector5, seleccionamos al usuario PIVR 5 en la pesta8a PR'FI,ES de PR'PIE&A&ES del usuario, escri#imos el nom#re del arc)ivo Autolo/o>#at Pgina: 8 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 &e esta manera, lue/o !ue se car/an los servicios frmados, autom+ticamente realice el proceso de lo/o> para !ue no se !uede conectado en la consola del servidor
Conclusin y tiempo de entrega.- 1on la modifcacin de los valores de la pol4tica de se/uridad $er#eros, solucionamos !ue las credenciales <-< del usuario se desactiven prematuramente antes del reinicio del servidor 1on la implementacin del lo/on 5 lo/o> autom+tico, solucionamos !ue el administrador de se/uridad de#a in/resar manualmente el id del usuario 5 la contrase8a, cada reinicio de servidor o prdida de credenciales Nota.- Este soft6are certifcado A*tolo'one9e %desarrollado por la empresa S5sInternals la cual fue ad!uirida por :icrosoft en el G00H(, permite conf/urar en el servidor !ue ten/a Cindo6s Server G00I o superiores, el usuario con el cual se )ar+ lo/on autom+tico al momento de iniciar el servidor Pgina: 9 Viamatica Networks Prdida Credenciales Kerberos REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011 ER, de la lista de )erramientas de se/uridad %Ver Autolo/on(9 )ttp9BBtec)netmicrosoftcomBenJ usBli#rar5Bcc;GG42HKGLCS20KGMaspxN?$:$@2 ER, para )acer la descar/a del pro/rama Autolo/onexe9 )ttp9BBtec)netmicrosoftcomBenJusBli#rar5B##MHIM03aspx Pgina: 10