Viamatica Networks

Prdida Credenciales Kerberos

REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
In&esti'aci(n )ara sol*cionar la )rdida de credenciales
Kerberos+ al accesar al Ser&idor AS$00
,abla de contenido
Antecedentes.-_______________________________________________2
Solucin Propuesta.-_________________________________________2
Descripcin de la solucin.-_________________________________3
Pol-ticas de Se'*ridad Kerberos.........................................../
Proceso a*tom0tico de 1o'on 2 1o'o3....................................4
Conclusin y tiempo de entrega.-__________________________9
Nota.-_________________________________________________________9
Pgina: 1
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011

Antecedentes.-
Existe un servicio de consulta de saldos de los clientes instalado en el
servidor de aplicaciones, frmado con el usuario PIVR, el cual recupera la
informacin desde el sistema de crdito del AS400 Para !ue este servicio
pueda e"ecutarse de#e primero a*tenticarse en el reino $er#eros
%implementado en &E R'PA(
&ic)a autenticacin se reali*a autom+ticamente al momento de )acer el
proceso de ,'-'. con el usuario PIVR, cuando est+ autenticado, se
/enera un tic0et o credenciales de autentifcacin para su identifcacin en
el reino $er#eros, con el cual se puede )acer re!uerimientos de
informacin en el reino
1ada cierto tiempo no determinado %23 d4as( o por el reinicio peridico del
servidor, se pierden las credenciales, por lo cual el administrador de#e
necesariamente in/resar el lo/in 5 el pass6ord del usuario PIVR, para !ue
la consulta vuelva a !uedar activa
Se re!uiere implementar una solucin !ue permita, independientemente si
se reinicia el servidor de aplicaciones o las credenciales se pierden lue/o
de un n7mero de d4as no determinado, !ue las credenciales del usuario
due8o del servicio de consulta )ermane5can acti&as, para !ue de esta
manera el Administrador no ten/a !ue in/resar continuamente dic)o lo/in
Solucin Propuesta.-
Se modifcar+n las )ol-ticas de Se'*ridad de Kerberos, de tal manera
!ue las credenciales /eneradas puedan ser utili*adas en el tiempo !ue se
considere necesario
Se implementar+ un )roceso a*tom0tico de lo'on 2 lo'o3 del usuario
propietario del servicio En medio de este proceso se autenticar+ el
usuario, se levantar+ el servicio de consulta, para fnalmente salir de la
sesin, !uedando la consola del servidor lista sin nin/7n usuario activo
&e esta manera, se soluciona la prdida de credenciales 5 se evita !ue el
administrador ten/a !ue in/resar manualmente el lo/in del usuario

Pgina: 2
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
Descripcin de la solucin.-
Polticas de Seguridad er!eros.
Este cam#io se implementa en el servidor de Active &irector5, in/resando
con el usuario Administrador
Se in/resa en la ruta !ue especifca la si/uiente ima/en9
Pgina: 3
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
Verifco los valores por defecto de la pol4tica referida en las pol4ticas del
Active &irector59
Pgina: 4
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
&e estos par+metros, procedo a cam#iar el referido Maximum Lifetime for
user ticket renewal %Edad :+xima de renovacin de tic0ets(,o cual est+
indicado en la si/uiente ima/en9
&e ; a /6 d4as %puede variar de acuerdo a los re!uerimientos(, de tal
manera !ue el tic0et %credencial <-<( se renovar+ constantemente dentro
del per4odo especifcado
Para aplicar el cam#io se reinicia el servidor= se verifca el nuevo per4odo
de renovacin e"ecutando el comando $,IS< %fec)as de inicio de sesin 5
tiempo de renovacin(9
Pgina: 5
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
Esta modifcacin resuelve la prdida de credenciales, al ampliar el per4odo
de tiempo durante el cual el tic0et <-< se mantendr+ activo
Recomendamos !ue a#ar!ue el n7mero de d4as de la frecuencia de reinicio
del servidor m+s cinco d4as
Proceso autom"tico de #ogon y #ogo$.
Para evitar !ue el administrador de Se/uridades ten/a !ue in/resar el
proceso de lo/on 5 lo/o> del usuario propietario del servicio de consulta
cada ve* !ue se reinicia el servidor de aplicaciones, se implementa lo
si/uiente9
En el servidor de aplicaciones %o donde se considere pertinente( se
procede a #a"ar e instalar el soft6are Autolo/onexe Este soft6are
permite de manera sencilla conf/urar el usuario, contrase8a 5
dominio con el cual al momento de reiniciar o apa/ar el servidor,
autom+ticamente su#ir+ con dic)o usuario En este caso ser+ el
Pgina: 6
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
usuario PIVR
,ue/o de in/resar la informacin pertinente, se presiona el #otn
E.A?,E 1a#e recalcar !ue el )assword 7*eda encri)tado9
Si en lo posterior se desea de"ar des)a#ilitada el Autolo/on, se
vuelve a e"ecutar el pro/rama Autolo/onexe 5 se presiona el #otn
&ISA?,E
A)ora, lue/o !ue se reinicie autom+ticamente 5 se active el servicio
de consultas de saldos, de#er+ autom+ticamente )acer el lo/o> del
usuario por se/uridad Para esto implementamos lo si/uiente9
Pgina: 7
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
En la ruta
S'@SASV',BCI.&'CSBSISV',Bs5svolB&ER'PA1':BS1RIP<S del
servidor de Active &irector5, se crea el arc)ivo A*tolo'o3bat, el
cual contendr+ el comando 1O8OFF9
,os permisos por defecto de Read 5 ReadDExecute de este arc)ivo
#at de#en asi/narse al usuario PIVR
En la opcin Active &irector5 Esers and 1omputer %Roles( del
servidor de Active &irector5, seleccionamos al usuario PIVR 5 en la
pesta8a PR'FI,ES de PR'PIE&A&ES del usuario, escri#imos el
nom#re del arc)ivo Autolo/o>#at
Pgina: 8
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
&e esta manera, lue/o !ue se car/an los servicios frmados,
autom+ticamente realice el proceso de lo/o> para !ue no se !uede
conectado en la consola del servidor

Conclusin y tiempo de entrega.-
1on la modifcacin de los valores de la pol4tica de se/uridad $er#eros,
solucionamos !ue las credenciales <-< del usuario se desactiven
prematuramente antes del reinicio del servidor
1on la implementacin del lo/on 5 lo/o> autom+tico, solucionamos !ue el
administrador de se/uridad de#a in/resar manualmente el id del usuario 5
la contrase8a, cada reinicio de servidor o prdida de credenciales
Nota.-
Este soft6are certifcado A*tolo'one9e %desarrollado por la empresa
S5sInternals la cual fue ad!uirida por :icrosoft en el G00H(, permite
conf/urar en el servidor !ue ten/a Cindo6s Server G00I o superiores, el
usuario con el cual se )ar+ lo/on autom+tico al momento de iniciar el
servidor
Pgina: 9
Viamatica Networks
Prdida Credenciales Kerberos
REFERENCIA 001 VERSION 10 FEC!A" #$%11%#011
ER, de la lista de )erramientas de se/uridad %Ver Autolo/on(9
)ttp9BBtec)netmicrosoftcomBenJ
usBli#rar5Bcc;GG42HKGLCS20KGMaspxN?$:$@2
ER, para )acer la descar/a del pro/rama Autolo/onexe9
)ttp9BBtec)netmicrosoftcomBenJusBli#rar5B##MHIM03aspx
Pgina: 10