Beruflich Dokumente
Kultur Dokumente
Aclaraciones
Todos los logotipos y nombres relacionados a Red Hat, Red Hat
Enterprise Linux, (logo Shadowman), JBoss, Red Hat OpenShift,
Fedora (el logo del infinito), Linux, y relacionados, son marcas
registradas de sus respectivos dueños.
Introducción
Con la liberación de Red Hat Enterprise Linux 8 (en adelante RHEL 8), se han introducido diversas
mejoras y características que hacen a este sistema operativo perfecto para ambientes virtualizados, on-
premise y por supuesto de nube.
Una de las características introducidas, tiene que ver con el manejo de la autenticación a través de
authselect, que para RHEL 8 ha sustituido a la conocida authconfig (además de todas las utilerías
relacionadas) como herramienta para la configuración de la autenticación de usuarios sobre este
sistema operativo
Con authselect, la configuración de la autenticación en RHEL 8 se simplifican, con authconfig, con la cual
se creaban y modifican varios y diferentes archivos de configuración para la autenticación del sistema,
por consiguiente, este proceso era enredoso y complejo en el caso de realizar troubleshooting, fuese
más complejo, ya que la resolución de un problema requeriría una mayor inversión de tiempo.
Beneficios
Esta nueva herramienta cuenta con los siguientes beneficios:
• Manejar el concepto de perfiles predefinidos que pueden ser universalmente utilizados con
modernos sistemas de autenticación existentes, algunos ejemplos de estos perfiles tenemos:
o SSSD
o Winbind
o NIS (Este existe por razones de compatibilidad con sistemas legacy).
Desventajas
Como nueva implementación en RHEL 8, está lejos de ser perfecta, cuenta con las siguientes
desventajas:
• Aunque ciertamente authselect cuenta con la habilidad para crear respaldos de la configuración
existente, no provee opción alguna para restaurarla automáticamente.
• Al no existir un proceso de restauración que pueda ser ejecutado con la herramienta, los
administradores de sistemas deben de copiar manualmente los archivos en orden de restaurar
la configuración, esto en caso de haber hecho un upgrade al sistema y a causa de eso, algo vaya
mal específicamente con el proceso de autenticación.
• Al momento de escribir este documento, se nos percatamos que no existen herramientas
gráficas disponibles que sirvan como apoyo para la modificación de los mecanismos de
autenticación mediante authselect.
Consideraciones
Para la implementación de authselect como mecanismo de autenticación en RHEL 8, tome en cuenta
los siguientes puntos:
• No utilizar authselect si el host es parte de Red Hat Enterprise Linux Identity Management o
Active Directory, ya que las configuraciones realizadas mediante la utilería ipa-client-install,
realiza modificaciones sobre la autenticación, si se utiliza las modificaciones tienen que
realizarse manualmente.
• En ambientes de contenedores, la configuración de los mecanismos de autenticación con la
utilería authselect, puede llegar a generar alertas SELinux, por lo que hay que estar atentos a las
bitácoras en busca de algún evento que derive en una negación de servicio.
• Asegurarse de que los archivos relevantes relacionados al proceso de autenticación no se
configuren a mano, de hacerlo, en caso de que esté mal configurado, los usuarios locales no
podrán ser capaces de autenticarse.
• En caso de modificar directamente el archivo /etc/nsswitch.conf, authselect debido a que hace
uso de perfiles personalizados, se pueden llegar a tener problemas.
• Asegúrese de que el servicio sssd este habilitado y esté funcionando para un reinicio del sistema.
• Cuando se implementa un perfil personalizado, este se aplica a cada usuario que se firme al host
en el cual se aplicaron los perfiles.
• Authselect modifica información y configuración sobre los directorios/archivos siguientes:
o /etc/nsswitch.conf – La modificación de este archivo va en relación con la
configuración de NSS (NSS, Name Service Switch), que es utilizado por la librería GNU
C y otras aplicaciones, para determinar las fuentes de donde se obtiene la información
de los usuarios relacionados a la base de datos o servicio en un rango de categorías. El
orden de la configuración de las fuentes y mecanismos de autenticación en este
archivo es importante.
Objetivo
Configurar los mecanismos autenticación de un sistema operativo RHEL 8 o CentOS 8 mediante el uso
de la utilería authselect.
Alcance
El procedimiento este conformado por las siguientes secciones:
Fuera de alcance
Queda fuera del alcance de este documento:
• Configuración de smartcards y fingerprint con authselect.
Procedimiento
~]#authselect current
~]#authselect current
ID del perfil: sssd
Características activas:
- with-fingerprint
- with-silent-lastlog
2. Ya teniendo en cuenta el perfil en aplicado por defecto, es conveniente saber los perfiles
disponibles en el sistema:
1
Se debe tomar en cuenta, que la elección debe ser con relación al proveedor de autenticación con el que la organización trabaje.
Como podemos ver, la ejecución de authselect con la selección del perfil NIS, la herramienta
realiza la modificación de varios mapas dentro de nsswitch.conf, que evidentemente si se decide
modificar a mano (no recomendable), se es propenso a cometer algún error.
5. De igual forma se puede revisar el contenido del archivo /etc/pam.d/system-auth (no modificar
este archivo manualmente), para verificar los cambios realizados en este:
• passwd
• group
• netgroup
• automount
• services
2
Los cambios no reconocidos se sobrescribirán por la configuración del perfil por defecto seleccionado.
passwd: sss files systemd
shadow: sss files
group: sss files systemd
d. Antes de aplicar los cambios con base a los cambios realizados, verificamos ahora el
contenido de /etc/nsswitch.conf:
Con authselect, se puede escoger un perfil para la autenticación del usuario, y también permite crear e
implementar perfiles personalizados y estos pueden estar basados en los perfiles existentes (sssd, nis
, o winbind).
A continuación, se realizan los pasos para llevar a cabo la creación de un perfil personalizado:
Opcion Detalle
Esta opción se integrada con la finalidad de utilizar templates
PAM existentes como enlaces simbólicos al perfil creado,
--symlink-pam
evitando así que se copien archivos al directorio creado por el
perfil que definimos.
De manera similar, esta opción lo que realiza es indicar que los
meta files, así como los archivos README y REQUIREMENTS
--symlink-meta
sean enlaces simbólicos a los archivos originales del perfil en
lugar hacer una copia.
NOTAS
• La inclusión de estas opciones asegura que en futuras actualizaciones a las plantillas del
directorio PAM y archivos meta relacionados al perfil se vean reflejadas en los perfiles
personalizados creados.
• La ejecución del comando crea una copia del archivo /etc/nsswitch.conf en el directorio
/etc/authselect/custom/user-hardening/.
~]# cd /etc/authselect/custom/user-hardening/
~]#cat nsswitch.conf
3. Seleccionamos el perfil personalizado ejecutando la herramienta authselect, de la siguiente
forma:
a. Seleccionando un perfil personalizado:
NOTA
• Para este ejemplo se realiza la instalación del paquete oddjob-mkhomedir para que en el primer
firmado del usuario, se le cree su directorio hogar.
• Debe contar con el servicio oddjobd, para la creación automática del directorio hogar, de otra
forma, el primer firmado del usuario, generará errores.
Vemos que tiene las características que indicamos y al firmarse el usuario, el directorio hogar se
ha creado.
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]
[session_recording]
Conclusiones
Sin duda, las mejoras realizadas a RHEL 8 buscan desde simplificar procesos de configuración hasta
muchas otras como la de brindar estabilidad, mejorar la funcionalidad de las aplicaciones provistas y de
seguridad, con authselect, contamos con la manera de modificar los mecanismos de autenticación
(ingreso al sistema operativo a través de la acción de proveer usuario/contraseña), sin tener que hacerlo
manualmente.
Con la provisión de herramientas para crear perfiles personalizados en relación con los mecanismos de
seguridad, se da la posibilidad de realizar las adaptaciones necesarias de acuerdo con las necesidades
de una organización lo que sin duda trae flexibilidad y practicidad en la administración del sistema. Por
otro lado, esperemos que en futuras versione se pueda agregar características como restauración de
los perfiles a partir de un respaldo o se extiendan funcionalidades para realizar la modificación de
servicios como el SSSD, sería genial.
Si cuenta con la oportunidad de experimentar la misma, verificara sus beneficios y será de gran utilidad
para un administrador de sistemas.
Recursos adicionales
Se puede consultar los siguientes recursos adicionales:
• Red Hat Inc (s.f.). Red Hat Enterprise Linux 8 Using authselect on a Red Hat Enterprise Linux host
- Understanding, selecting, modifying, and creating authselect profile. Consultado en octubre 21
del 2019. Recurso disponible en del proveedor en
https://access.redhat.com/documentation/en-
us/red_hat_enterprise_linux/8/pdf/using_authselect_on_a_red_hat_enterprise_linux_host/Re
d_Hat_Enterprise_Linux-8-Using_authselect_on_a_Red_Hat_Enterprise_Linux_host-en-
US.pdf
• Server World, (s.f.). Fedora 29 - OpenLDAP: Configure LDAP Client. Consultado en octubre 22
del 2019. Recurso disponible en del proveedor en https://www.server-
world.info/en/note?os=Fedora_29&p=openldap&f=3
• Git Hub. (s.f.). Select authentication and indentity profile to use on the system. Consultado en
octubre 22 del 2019. Recurso disponible en del proveedor en
https://github.com/pbrezina/authselect/tree/master/profiles/sssd