Buscar

1.4. Terminología de la IdM

download PDF
Bosque de Active Directory
Un bosque de Active Directory (AD) es un conjunto de uno o más árboles de dominio que comparten un catálogo global, un esquema de directorio, una estructura lógica y una configuración de directorio comunes. El bosque representa el límite de seguridad dentro del cual los usuarios, equipos, grupos y otros objetos son accesibles. Para más información, consulte el documento de Microsoft sobre Bosques.
Catálogo global de Active Directory
El catálogo global es una característica de Active Directory (AD) que permite a un controlador de dominio proporcionar información sobre cualquier objeto del bosque, independientemente de si el objeto es miembro del dominio del controlador de dominio. Los controladores de dominio con la función de catálogo global activada se denominan servidores de catálogo global. El catálogo global proporciona un catálogo con capacidad de búsqueda de todos los objetos de cada dominio en un Servicio de Dominio de Active Directory (AD DS) multidominio.
Identificador de seguridad de Active Directory
Un identificador de seguridad (SID) es un número de identificación único asignado a un objeto en Active Directory, como un usuario, grupo o host. Es el equivalente funcional de los UIDs y GIDs en Linux.
Juego de Ansible
Los plays de Ansible son los bloques de construcción de los playbooks de Ansible. El objetivo de un play es asignar un grupo de hosts a algunos roles bien definidos, representados por tareas Ansible.
Libro de jugadas de Ansible
Un playbook de Ansible es un archivo que contiene uno o más plays de Ansible. Para más información, consulte la documentación oficial de Ansible sobre los playbooks.
Tarea Ansible
Las tareas Ansible son unidades de acción en Ansible. Una obra de Ansible puede contener varias tareas. El objetivo de cada tarea es ejecutar un módulo, con argumentos muy específicos. Una tarea Ansible es un conjunto de instrucciones para lograr un estado definido, en sus términos generales, por un rol o módulo Ansible específico, y afinado por las variables de ese rol o módulo. Para más información, consulte la documentación oficial de las tareas de Ansible.
Certificado
Un certificado es un documento electrónico que sirve para identificar a una persona, un servidor, una empresa u otra entidad y para asociar esa identidad a una clave pública. Al igual que una licencia de conducir o un pasaporte, un certificado proporciona una prueba generalmente reconocida de la identidad de una persona. La criptografía de clave pública utiliza los certificados para resolver el problema de la suplantación de identidad.
Autoridades de certificación (CA) en IdM

Una entidad que emite certificados digitales. En Red Hat Identity Management, la CA principal es ipa, la CA de IdM. El certificado de la CA ipa es uno de los siguientes tipos:

  • Autofirmado. En este caso, la CA ipa es la CA raíz.
  • Firmado externamente. En este caso, la CA de ipa está subordinada a la CA externa.

En IdM, también se pueden crear múltiples sub-CAs. Las sub-CAs son CAs de IdM cuyos certificados son de uno de los siguientes tipos:

  • Firmado por el ipa CA.
  • Firmado por cualquiera de las CA intermedias entre ella y ipa CA. El certificado de una sub-CA no puede ser autofirmado.
Confianza transfronteriza

Una confianza establece una relación de acceso entre dos dominios de Kerberos, permitiendo a los usuarios y servicios de un dominio acceder a los recursos de otro dominio.

Con una confianza cruzada entre el dominio raíz de un bosque de Active Directory (AD) y un dominio de IdM, los usuarios de los dominios del bosque de AD pueden interactuar con los equipos y servicios Linux del dominio de IdM. Desde la perspectiva de AD, la gestión de identidades representa un bosque AD independiente con un único dominio AD. Para obtener más información, consulte Cómo funciona la confianza.

Registros PTR del DNS
Los registros de puntero DNS (PTR) resuelven una dirección IP de un host a un nombre de dominio o de host. Los registros PTR son lo contrario de los registros DNS A y AAAA, que resuelven nombres de host a direcciones IP. Los registros PTR del DNS permiten realizar búsquedas inversas en el DNS. Los registros PTR se almacenan en el servidor DNS.
Registros DNS SRV
Un registro de servicio DNS (SRV) define el nombre de host, el número de puerto, el protocolo de transporte, la prioridad y el peso de un servicio disponible en un dominio. Puede utilizar los registros SRV para localizar servidores y réplicas de IdM.
Controlador de dominio (DC)
Un controlador de dominio (DC) es un host que responde a las solicitudes de autenticación de seguridad dentro de un dominio y controla el acceso a los recursos de ese dominio. Los servidores IdM funcionan como DCs para el dominio IdM. Un DC autentifica a los usuarios, almacena la información de las cuentas de los usuarios y aplica la política de seguridad de un dominio. Cuando un usuario se conecta a un dominio, el DC autentica y valida sus credenciales y permite o deniega el acceso.
Nombre de dominio completo

Un nombre de dominio completo (FQDN) es un nombre de dominio que especifica la ubicación exacta de un host dentro de la jerarquía del Sistema de Nombres de Dominio (DNS). Un dispositivo con el nombre de host myhost en el dominio principal example.com tiene el FQDN myhost.example.com. El FQDN distingue de forma exclusiva el dispositivo de cualquier otro host llamado myhost en otros dominios.

Si está instalando un cliente IdM en el host machine1 utilizando la detección automática de DNS y sus registros DNS están correctamente configurados, el FQDN de machine1 es todo lo que necesita. Para obtener más información, consulte Requisitos de nombre de host y DNS para IdM.

Réplica oculta

Una réplica oculta es una réplica de IdM que tiene todos los servicios en ejecución y disponibles, pero sus roles de servidor están deshabilitados, y los clientes no pueden descubrir la réplica porque no tiene registros SRV en DNS.

Las réplicas ocultas están diseñadas principalmente para servicios como copias de seguridad, importación y exportación masiva, o acciones que requieren el cierre de los servicios de IdM. Dado que ningún cliente utiliza una réplica oculta, los administradores pueden apagar temporalmente los servicios de este host sin afectar a ningún cliente. Para obtener más información, consulte El modo de réplica oculta.

Rangos de identificación

Un rango de ID es un rango de números de ID asignados a la topología de IdM o a una réplica específica. Puedes utilizar rangos de ID para especificar el rango válido de UIDs y GIDs para nuevos usuarios, hosts y grupos. Los rangos de ID se utilizan para evitar conflictos de números de ID. Hay dos tipos distintos de rangos de ID en IdM:

  • IdM ID range

    Utilice este rango de ID para definir los UID y GID de los usuarios y grupos en toda la topología de IdM. Al instalar el primer maestro de IdM se crea el rango de ID de IdM. No se puede modificar el rango de ID de IdM después de crearlo. Sin embargo, se puede crear un rango de IdM ID adicional, por ejemplo, cuando el original está a punto de agotarse.

  • Distributed Numeric Assignment (DNA) ID range

    Utilice este rango de ID para definir los UID y GID que utiliza una réplica al crear nuevos usuarios. Al agregar una nueva entrada de usuario o host a una réplica de IdM por primera vez, se asigna un rango de ID de ADN a dicha réplica. Un administrador puede modificar el rango de ID de ADN, pero la nueva definición debe ajustarse a un rango de ID de IdM existente.

    Tenga en cuenta que el rango de IdM y el rango de ADN coinciden, pero no están interconectados. Si cambia un rango, asegúrese de cambiar el otro para que coincida.

Para más información, consulte los rangos de ID.

Vistas de identificación

Las vistas de ID le permiten especificar nuevos valores para los atributos de usuario o grupo POSIX, y definir en qué host o hosts cliente se aplicarán los nuevos valores. Por ejemplo, puede utilizar las vistas de ID para:

  • Definir diferentes valores de atributos para diferentes entornos.
  • Reemplazar un valor de atributo generado previamente por un valor diferente.

En una configuración de confianza IdM-AD, el Default Trust View es una vista de ID aplicada a los usuarios y grupos de AD. Mediante Default Trust View, puede definir atributos POSIX personalizados para los usuarios y grupos de AD, anulando así los valores definidos en AD.

Para obtener más información, consulte Uso de una vista de ID para anular un valor de atributo de usuario en un cliente IdM.

Servidor IdM CA

Un servidor IdM en el que está instalado y en funcionamiento el servicio de autoridad de certificación (CA) IdM.

Nombres alternativos CA server

Implantación de IdM

Término que se refiere a la totalidad de su instalación de IdM. Puedes describir tu implementación de IdM respondiendo a las siguientes preguntas:

  • ¿Su implantación de IdM es de prueba o de producción?

    • ¿Cuántos servidores IdM tiene?
  • ¿Su implementación de IdM contiene una CA integrada?

    • Si lo hace, ¿la CA integrada está autofirmada o firmada externamente?
    • Si es así, ¿en qué servidores está disponible el rol de CA? ¿En qué servidores está disponible el rol KRA?
  • ¿Su implementación de IdM contiene un DNS integrado?

    • Si es así, ¿en qué servidores está disponible la función DNS?
  • ¿Está su implementación de IdM en un acuerdo de confianza con un bosque de AD?

Maestro y réplicas de IdM

El primer servidor instalado mediante el comando ipa-server-install, utilizado para crear el dominio IdM, se conoce como master server o IdM master.

Los administradores pueden utilizar el comando ipa-replica-install para instalar replicas además del maestro. Por defecto, la instalación de una réplica crea un acuerdo de replicación con el servidor IdM desde el que se creó, lo que permite recibir y enviar actualizaciones al resto de IdM.

No hay ninguna diferencia funcional entre un maestro y una réplica. Ambos son servidores IdM totalmente funcionales.

Nombres alternativos: master, master server, IdM master server

Servidor CA maestro de IdM

Si su topología de IdM contiene una autoridad de certificación (CA) integrada, un servidor tiene la función de maestro de generación de listas de revocación de certificados (CRL) y de maestro de renovación de CA. Este servidor es el master CA server. En una implementación sin CA integrada, no hay un servidor de CA maestro.

Nombres alternativos master CA

Importante

IdM master y master CA server son dos términos diferentes. Por ejemplo, en el siguiente escenario de despliegue, el primer servidor es el maestro de IdM y la réplica es el servidor maestro de CA:

  1. Instala el primer servidor IdM en su entorno sin CA integrada.
  2. Instalas una réplica.
  3. Se instala una CA en la réplica.

En este escenario, el primer servidor es el maestro de IdM y la réplica es el servidor maestro de CA.

Topología IdM
Término que se refiere a la estructura de su solución IdM, especialmente a los acuerdos de replicación entre y dentro de los centros de datos y clusters individuales.
Indicadores de autenticación Kerberos

Los indicadores de autenticación se adjuntan a los tickets de Kerberos y representan el método de autenticación inicial utilizado para adquirir un ticket:

  • otp para la autenticación de dos factores (contraseña de un solo uso)
  • radius para la autentificación del Servicio de Autentificación Remota de Usuarios (RADIUS) (comúnmente para la autentificación 802.1x)
  • pkinit para la criptografía de clave pública para la autenticación inicial en Kerberos (PKINIT), la tarjeta inteligente o la autenticación de certificados
  • hardened para contraseñas reforzadas contra intentos de fuerza bruta

Para más información, consulte los indicadores de autenticación de Kerberos.

Keytab de Kerberos

Mientras que una contraseña es el método de autenticación por defecto para un usuario, los keytabs son el método de autenticación por defecto para hosts y servicios. Un keytab de Kerberos es un archivo que contiene una lista de directores de Kerberos y sus claves de encriptación asociadas, para que un servicio pueda recuperar su propia clave de Kerberos y verificar la identidad de un usuario.

Por ejemplo, cada cliente IdM tiene un archivo /etc/krb5.keytab que almacena información sobre la entidad de seguridad host, que representa la máquina cliente en el ámbito de Kerberos.

Principal de Kerberos

Las entidades principales de Kerberos son únicas e identifican a cada usuario, servicio y host en un reino de Kerberos:

EntidadConvención de nombresEjemplo

Usuarios

identifier@REALM

admin@EXAMPLE.COM

Servicios

service/fully-qualified-hostname@REALM

http/master.example.com@EXAMPLE.COM

Anfitriones

host/fully-qualified-hostname@REALM

host/client.example.com@EXAMPLE.COM

Protocolo Kerberos
Kerberos es un protocolo de autenticación de red que proporciona una autenticación fuerte para las aplicaciones de cliente y servidor mediante el uso de criptografía de clave secreta. IdM y Active Directory utilizan Kerberos para autenticar usuarios, hosts y servicios.
Reino de Kerberos
Un reino Kerberos abarca todos los directores administrados por un Centro de Distribución de Claves Kerberos (KDC). En una implementación de IdM, el ámbito de Kerberos incluye todos los usuarios, hosts y servicios de IdM.
Políticas de tickets de Kerberos
El Centro de Distribución de Claves de Kerberos (KDC) aplica el control de acceso a los tickets mediante políticas de conexión, y gestiona la duración de los tickets de Kerberos mediante políticas de ciclo de vida de los tickets. Por ejemplo, la duración global predeterminada de los tickets es de un día, y la edad máxima de renovación global predeterminada es de una semana. Para obtener más información, consulte Tipos de políticas de tickets IdM Kerberos.
Centro de distribución de llaves (KDC)

El Centro de Distribución de Claves de Kerberos (KDC) es un servicio que actúa como autoridad central de confianza que gestiona la información de las credenciales de Kerberos. El KDC emite tickets Kerberos y garantiza la autenticidad de los datos que se originan en las entidades de la red IdM.

Para más información, consulte La función del KDC de IdM.

Sub-CA ligero

En IdM, una sub-CA ligera es una autoridad de certificación (CA) cuyo certificado está firmado por una CA raíz de IdM o por una de las CA subordinadas a ella. Una sub-CA ligera emite certificados sólo para un propósito específico, por ejemplo para asegurar una conexión VPN o HTTP.

Para más información, consulte Restringir una aplicación para que confíe sólo en un subconjunto de certificados.

Política de contraseñas

Una política de contraseñas es un conjunto de condiciones que deben cumplir las contraseñas de un determinado grupo de usuarios de IdM. Las condiciones pueden incluir los siguientes parámetros:

  • La longitud de la contraseña
  • El número de clases de caracteres utilizados
  • La duración máxima de una contraseña.

Para más información, consulte Qué es una política de contraseñas.

Atributos POSIX

Los atributos POSIX son atributos de usuario para mantener la compatibilidad entre sistemas operativos.

En un entorno de Gestión de Identidades de Red Hat, los atributos POSIX para los usuarios incluyen:

  • cn, el nombre del usuario
  • uid, el nombre de la cuenta (login)
  • uidNumber, un número de usuario (UID)
  • gidNumber, el número de grupo primario (GID)
  • homeDirectory, el directorio principal del usuario

En un entorno de Gestión de Identidades de Red Hat, los atributos POSIX para los grupos incluyen:

  • cn, el nombre del grupo
  • gidNumber, el número de grupo (GID)

Estos atributos identifican a los usuarios y a los grupos como entidades separadas.

Acuerdo de réplica

Un acuerdo de replicación es un acuerdo entre dos servidores de IdM en el mismo despliegue de IdM. El acuerdo de replicación garantiza que los datos y la configuración se replican continuamente entre los dos servidores.

IdM utiliza dos tipos de acuerdos de replicación: los acuerdos domain replication, que replican la información de identidad, y los acuerdos certificate replication, que replican la información de los certificados.

Para más información, consulte:

Tarjeta inteligente
Una tarjeta inteligente es un dispositivo o tarjeta extraíble que se utiliza para controlar el acceso a un recurso. Pueden ser tarjetas de plástico del tamaño de una tarjeta de crédito con un chip de circuito integrado (IC) incrustado, pequeños dispositivos USB como un Yubikey, u otros dispositivos similares. Las tarjetas inteligentes pueden proporcionar autenticación permitiendo a los usuarios conectar una tarjeta inteligente a un ordenador central, y el software de ese ordenador central interactúa con el material clave almacenado en la tarjeta inteligente para autenticar al usuario.
SSSD
El demonio de servicios de seguridad del sistema (SSSD) es un servicio del sistema que gestiona la autenticación y autorización de usuarios en un host RHEL. SSSD mantiene opcionalmente una caché de identidades y credenciales de usuario recuperadas de proveedores remotos para la autenticación sin conexión. Para obtener más información, consulte Comprender SSSD y sus ventajas.
Backend SSSD
Un backend de SSSD, también llamado proveedor de datos, es un proceso hijo de SSSD que gestiona y crea la caché de SSSD. Este proceso se comunica con un servidor LDAP, realiza diferentes consultas de búsqueda y almacena los resultados en la caché. También realiza la autenticación en línea contra LDAP o Kerberos y aplica la política de acceso y contraseña al usuario que se está registrando.
Billete de transporte (TGT)

Tras autenticarse en un Centro de Distribución de Claves (KDC) de Kerberos, un usuario recibe un ticket de concesión (TGT), que es un conjunto temporal de credenciales que puede utilizarse para solicitar tickets de acceso a otros servicios, como sitios web y correo electrónico.

El uso de un TGT para solicitar más acceso proporciona al usuario una experiencia de inicio de sesión único, ya que el usuario sólo necesita autenticarse una vez para acceder a varios servicios. Los TGT son renovables, y las políticas de tickets de Kerberos determinan los límites de renovación de tickets y el control de acceso.

Para obtener más información, consulte Administración de las políticas de tickets de Kerberos.

Glosas adicionales

Si no encuentra un término de gestión de identidades en este glosario, consulte los glosarios del servidor de directorio y del sistema de certificados:

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.