Administración de usuarios/seguridad: Configurar la funcionalidad de inicio de sesión PAM

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

En este tema se explica cómo configurar NetWitness Platform para usar módulos de autenticación con capacidad para conectarse (PAM) con el fin de autenticar nombres de inicio de sesión del usuario externos.

La funcionalidad de inicio de sesión PAM implica dos componentes por separado:

  • PAM para la autenticación de usuarios
  • NSS para la autorización de grupos

En conjunto, proporcionan a los usuarios externos la funcionalidad de iniciar de sesión en NetWitness Platform sin disponer de una cuenta interna de NetWitness Platform y de recibir permisos o funciones según el mapeo del grupo externo a una función de seguridad de NetWitness Platform. Se requieren ambos componentes para que un inicio de sesión se realice correctamente.

La autenticación externa es una configuración en el nivel del sistema. Antes de configurar PAM, revise cuidadosamente toda la información que se presenta aquí.

Pluggable Authentication Modules

PAM es una biblioteca que proporciona Linux, cuyo objetivo es autenticar usuarios en proveedores de autenticación, como RADIUS, Kerberos o LDAP. Para su implementación, cada proveedor de autenticación usa un módulo propio, el cual tiene la forma de un paquete del sistema operativo (SO), como pam_ldap. Para autenticar usuarios, NetWitness Platform usa la biblioteca de PAM que proporciona el SO y el módulo que la biblioteca de PAM está configurada para usar.

Nota: PAM proporciona únicamente la capacidad de autenticar.

Name Service Switch

NSS es una función de Linux que proporciona bases de datos que usan el SO y las aplicaciones para descubrir información, como nombres de host, y atributos de usuario, como el directorio principal, el grupo primario y el shell de inicio de sesión, y para enumerar a los usuarios que pertenecen a un determinado grupo. Similar a PAM, NSS se puede configurar y usa módulos para interactuar con distintos tipos de proveedores. NetWitness Platform usa funcionalidades de NSS que proporciona el SO para autorizar a usuarios externos de PAM, para lo cual consulta si NSS conoce a un usuario y después solicita a NSS los grupos de los cuales ese usuario es miembro. NetWitness Platform compara los resultados de la solicitud con el mapeo de grupo externo de NetWitness Platform y, si se encuentra un grupo coincidente, se otorga al usuario acceso para iniciar sesión en NetWitness Platform con el nivel de seguridad definido en el mapeo de grupo externo.

Nota: NSS no proporciona autenticación.

Combinación de PAM y NSS

Tanto PAM (autenticación) como NSS (autorización) deben ejecutarse correctamente para que un usuario externo reciba autorización para iniciar sesión en NetWitness Platform. El procedimiento para configurar y solucionar problemas de PAM es diferente del procedimiento para configurar y solucionar problemas de NSS. Los ejemplos de PAM de esta guía incluyen Kerberos, LDAP y Radius. Los ejemplos de NSS incluyen LDAP y UNIX. Las necesidades del sitio determinan la combinación de módulos PAM y NSS que se usa.

Descripción general del proceso

Para configurar la funcionalidad de inicio de sesión PAM, siga las instrucciones de este documento para realizar cada paso:

  1. Configurar y probar el módulo PAM.
  2. Configurar y probar el servicio NSS.
  3. Habilite PAM en el servidor de NetWitness.
  4. Cree mapeos de grupo en el servidor de NetWitness.

Requisitos previos

Antes de comenzar con la configuración de PAM, revise el procedimiento y recopile detalles del servidor de autenticación externa según el módulo PAM que desea implementar.

Antes de comenzar con la configuración de NSS, revise el procedimiento, identifique los nombres de grupo que usará en el mapeo de grupo externo y recopile detalles del servidor de autenticación externa según el servicio NSS que está en uso.

Antes de comenzar con la configuración de PAM en NetWitness Platform, identifique los nombres de grupo que usará en el mapeo de grupo externo. Cuando se mapean funciones, la función en NetWitness Platform debe coincidir con un nombre de grupo existente en el servidor de autenticación externa.

Configurar y probar el módulo PAM

Elija una de las siguientes secciones para configurar el componente PAM:

Kerberos en PAM

Puertos de comunicación Kerberos: TCP 88

Para configurar la autenticación PAM mediante Kerberos:

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete krb5-workstation esté instalado en su ambiente):
    yum install krb5-workstation pam_krb5  
  2. Edite las siguientes líneas del archivo de configuración de Kerberos /etc/krb5.conf. Reemplace las variables, delimitadas por <paréntesis angulares> por sus valores y omita los paréntesis angulares. Ponga atención al requisito de mayúsculas/minúsculas donde se indica.

    # Configuration snippets may be placed in this directory as well
    includedir /etc/krb5.conf.d/

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    dns_lookup_kdc = true
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = <DOMAIN.COM>
    default_ccache_name = KEYRING:persistent:%{uid}

    [realms]
    <DOMAIN.COM> = {
    kdc = <SERVER.DOMAIN.COM>
    admin_server = <SERVER.DOMAIN.COM>
    }

    [domain_realm]
    <domain.com> = <DOMAIN.COM>
    <.domain.com> = <DOMAIN.COM>
  3. Pruebe la configuración de Kerberos con el comando:
    kinit <user>@<DOMAIN.COM>
    Si no hay ninguna salida después de ingresar la contraseña, la operación se realizó correctamente.
  4. Edite el archivo de configuración de NetWitness Server PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_krb5.so no_user_check

Con esto finaliza la configuración de Kerberos en PAM. Ahora, vaya a la sección siguiente, Configurar y probar el servicio NSS.

RADIUS en PAM

Puertos de comunicación de Radius: UDP 1812 o UDP 1813

Para configurar la autenticación de PAM mediante Radius, debe agregar el servidor NetWitness Server a la lista de clientes del servidor de Radius y configurar una seña secreta compartida. Póngase en contacto con el administrador del servidor de Radius para este procedimiento.

Para configurar la autenticación de PAM mediante RADIUS:

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete pam_radius_auth esté instalado en su ambiente):
    yum install pam_radius_auth
  2. Edite el archivo de configuración de RADIUS, /etc/raddb/server, de la siguiente manera:
    # server[:port] shared_secret  timeout (s)
    server          secret         3
  3. Edite el archivo de configuración de NetWitness Server PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_radius_auth.so
  4. Ejecute el siguiente comando para copiar la biblioteca de RADIUS:
    cp /usr/lib/security/pam_radius_auth.so /usr/lib64/security/

Precaución: Para que RADIUS en PAM funcione, los archivos /etc/raddb/server deben tener permiso de escritura. El comando necesario para esto es el siguiente: chown netwitness:netwitness /etc/raddb/server.

Precaución: Debe reiniciar el servidor Jetty después de realizar los cambios anteriores para RADIUS en PAM. El comando necesario para esto es el siguiente:
systemctl restart jetty

Los módulos de PAM y los servicios asociados envían información como salida a /var/log/messages y /var/log/secure. Estas salidas se pueden usar para ayudar a solucionar problemas de configuración.

El siguiente procedimiento es un ejemplo de los pasos para configurar la autenticación de PAM para RADIUS mediante SecurID:

Nota: Los ejemplos de estas tareas usan RSA Authentication Manager como el servidor RADIUS.

  1. Ejecute el siguiente comando (pero primero, verifique que el paquete pam_radius_auth esté instalado en su ambiente):

    yum install pam_radius_auth

  2. Edite el archivo de configuración de RADIUS, /etc/raddb/server, y actualícelo con el nombre de host de instancia del Authentication Manager, la seña secreta compartida y el valor de tiempo de espera agotado:

    # server[:port] shared_secret timeout (s)

    111.222.33.44 secret 1

    #other-server other-secret 3

    192.168.12.200:6369 securid 10

    Nota: Debe comentar las líneas 127.0.0.1 y other-server, y agregar la dirección IP de la instancia primaria de Authentication Manager con el número de puerto de RADIUS (por ejemplo, 192.168.12.200:1812), la seña secreta compartida de RADIUS y un valor de tiempo de espera agotado de 10.

  3. Edite el archivo de configuración de NetWitness Server PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:

    auth sufficient pam_radius_auth.so

    Nota: Puede agregar debug al final de la línea anterior en el archivo /etc/pam.d/securityanalytics para habilitar la depuración de PAM (por ejemplo, auth sufficient pam_radius_auth.so debug)

  4. Ejecute el siguiente comando para copiar la biblioteca de RADIUS:
    cp /usr/lib/security/pam_radius_auth.so /usr/lib64/security/

Los módulos de PAM y los servicios asociados envían información como salida a /var/log/messages y /var/log/secure. Estas salidas se pueden usar para ayudar a solucionar problemas de configuración.

Agregar un cliente de RADIUS y un agente asociado

Nota: Los ejemplos de estas tareas usan RSA Authentication Manager como el servidor RADIUS.
Debe usar las credenciales de cuenta administrativa para iniciar sesión en la consola de seguridad de RSA Authentication Manager.

Para agregar un cliente de RADIUS y un agente asociado:

  1. Inicie sesión en RSA Authentication Manager.
    Se muestra la consola de seguridad.
  2. En la Consola de seguridad, haga clic en RADIUS > Cliente de RADIUS > Agregar nuevo.
    Se muestra la página Agregar cliente de RADIUS.
    Image of RSA Security Console for Add RADIUS Client settings
  3. En Configuración del cliente de RADIUS, proporcione la siguiente información:
    1. En el campo Nombre de cliente, escriba el nombre del cliente; por ejemplo, NetWitness Platform.
    2. En el campo Dirección IPv4, ingrese la dirección IPv4 del cliente de RADIUS, por ejemplo, 192.168.12.108.
    3. En la lista desplegable Marca/modelo, seleccione el tipo de cliente de RADIUS, por ejemplo, Fortinet.
    4. En el campo Seña secreta compartida, ingrese la seña secreta compartida de autenticación.
  4. Haga clic en Guardar y crear agente de RSA asociado.
    Image of Add New Authentication Agent page.
  5. Haga clic en Guardar.

Si la instancia de Authentication Manager no puede encontrar el agente de autenticación en la red, se muestra una página de advertencia. Haga clic en Sí, guardar agente.

Para obtener más información, consulte el tema “Agregar un cliente de RADIUS” en la Guía del administrador de RSA Authentication Manager 8.2.

Con esto finaliza la configuración de RADIUS en PAM. Ahora, vaya a la sección siguiente, Configurar y probar el servicio NSS.

Agente PAM para SecurID

Puerto de comunicación de PAM: UDP 5500

Requisitos previos

El módulo PAM de RSA SecurID es compatible únicamente si se cumple la siguiente condición:

  • Las conexiones de confianza deben estar habilitadas y en funcionamiento entre NetWitness Platform y los servicios principales.

Descripción general del proceso 

Los pasos generales para configurar el módulo PAM de SecurID son:

  1. Configurar Authentication Manager:
    a. Agregar un agente de autenticación.
    b. Crear y descargar un archivo de configuración.
  2. Configurar NetWitness Server:
    a. Copiar el archivo de configuración desde Authentication Manager y personalizarlo.
    b. Instalar el módulo SecurID en PAM.
  3. Probar la conectividad y la autenticación.

Posteriormente, siga los procedimientos restantes de las secciones que se indican a continuación:

Para configurar Authentication Manager:

  1. Inicie sesión en RSA Authentication Manager.
    Se muestra la Consola de seguridad.
    Image of the Authentication Manager Security Console
  2. En la Consola de seguridad, agregue un nuevo agente de autenticación.
    Haga clic en Acceso > Agentes de autenticación > Agregar nuevo.
    Se muestra la página Agregar nuevo agente de autenticación.
    Image of the Add New Authentication Agent page.
  3. En el campo Nombre de host, escriba el nombre de host del NetWitness Server.
  4. Haga clic en Resolver dirección IP.
    La dirección IP del NetWitness Server se muestra automáticamente en el campo Dirección IP.
  5. Conserve la configuración predeterminada y haga clic en Guardar.
  6. Genere un archivo de configuración.
    Vaya a Acceso > Agentes de autenticación > Generar archivo de configuración.
    Se muestra la página Generar archivo de configuración.
    Image of the Generate Configuration File page.
  7. Conserve los valores predeterminados y haga clic en Generar archivo de configuración.
    Esto crea AM_Config.zip, el cual contiene dos archivos.
  8. Haga clic en Descargar ahora.

Para instalar y configurar el módulo SecurID en PAM:

  1. En el NetWitness Server, cree el siguiente directorio:
    mkdir /var/ace
  2. En el NetWitness Server, copie sdconf.rec desde el archivo .zip a /var/ace.
  3. Cree el archivo de texto sdopts.rec en el directorio /var/ace.
  4. Inserte la siguiente línea:
    CLIENT_IP=<IP address of NetWitness Server>
  5. Instale el agente de autorización de SecurID para PAM, el cual está disponible en el repositorio YUM:
    yum install sid-pam-installer
  6. Ejecute el script de instalación:
    /opt/rsa/pam-agent-installer/install_pam.sh
  7. Siga los indicadores para aceptar o cambiar los valores predeterminados. 
  8. Edite el archivo de configuración de NetWitness Server PAM, /etc/pam.d/securityanalytics, para agregar la siguiente línea. Si el archivo no existe, créelo y agregue la siguiente línea:
    auth sufficient pam_securid.so

Con esto finaliza la instalación del módulo SecurID en PAM. A continuación, pruebe la conectividad y la autenticación. Posteriormente, siga los procedimientos que se indican en Configurar y probar el servicio NSS.

Nota: Si la configuración de PAM SecurID no está completa, puede bloquearse el servidor Jetty y la interfaz del usuario de NetWitness Platform no se mostrará. Debe esperar hasta que finalice la configuración de autenticación de PAM y, a continuación, reinicie el servidor Jetty.

Para probar la conectividad y la autenticación:

  1. Ejecute /opt/pam/bin/64bit/acetest e ingrese el nombre de usuario y el código de acceso
  2. (Opcional) Si acetest falla, active la depuración:
    vi/etc/sd_pam.conf
    RSATRACELEVEL=15
  3. Ejecute /opt/pam/bin/64bit/acestatus. La salida es la que se muestra a continuación.

RSA ACE/Server Limits
---------------------
Configuration Version : 15 Client Retries : 5 
Client Timeout : 5 DES Enabled : Yes 

RSA ACE/Static Information
--------------------------
Service : securid Protocol : udp Port Number : 5500 

RSA ACE/Dynamic Information
---------------------------
Server Release : 8.1.0.0 Communication : 5

RSA ACE/Server List
-------------------
Server Name :           auth81.netwitness.local
Server Address :        192.168.100.10
Server Active Address : 192.168.100.10
Master : Yes Slave : No Primary : Yes 
Usage : Available for Authentications

  1. (Opcional) Para solucionar problemas del servidor de Authentication Manager,
    vaya a Reporting > Monitores de actividad en tiempo real > Monitor de actividad de autenticación.
    A continuación, haga clic en Iniciar monitor.
  2. Si cambió la configuración, restablezca RSATRACELEVEL a 0:
    vi/etc/sd_pam.conf
    RSATRACELEVEL=0

Precaución: Después de la instalación, verifique que VAR_ACE en el archivo /etc/sd_pam.conf señale la ubicación correcta del archivo sdconf.rec. Esta es la ruta a los archivos de configuración. El comando necesario para esto es el siguiente: chown -R netwitness:netwitness /var/ace.

Con esto finaliza la configuración de Agente PAM para SecurID. Ahora, vaya a la sección siguiente, Configurar y probar el servicio NSS.

Configurar y probar el servicio NSS

UNIX en NSS

No se requiere configuración para habilitar el módulo UNIX en NSS; está habilitado de manera predeterminada en el sistema operativo del host. Para autorizar a un usuario para un grupo específico, agréguelo simplemente al sistema operativo y a un grupo:

  1. Cree el grupo del SO que usará y agregue el usuario externo con este comando:
    groupadd <groupname>
  2. Agregue el usuario externo al SO con este comando:
    adduser -G <groupname> -M -N <externalusername>

Nota: Esto NO permite ni autoriza el acceso a la consola del NetWitness Server.

Con esto finaliza la configuración de UNIX en NSS. A continuación, vaya a Probar la funcionalidad de NSS.

Probar la funcionalidad de NSS

Para probar si NSS está funcionando con cualquiera de los servicios NSS anteriores, use los siguientes comandos:

getent passwd <pamUser>
getent group <groupOfPamUser>

La salida debe ser similar a:

[root@~]# getent passwd myuser
myuser:*:10000:10000::/home/myuser:/bin/sh

[root@~]# getent group mygroup
mygroup:*:10000:myuser3

  • Si ninguno de los comandos produce salida, NSS no está funcionando correctamente para la autorización externa. Consulte la orientación sobre la solución de problemas correspondiente a su módulo NSS que se proporciona en este documento.
  • Si los comandos getent se ejecutan correctamente y la autenticación correcta se confirma en /var/log/secure, pero NetWitness Platform continúa sin permitir el inicio de sesión de usuarios externos:
    • ¿Se especificó el nombre de grupo correcto para el grupo NSS en el mapeo de grupo externo de NW? Consulte Habilitar PAM y Crear mapeos de grupo a continuación.
    • Es posible que la configuración de NSS haya cambiado y que NetWitness Platform no haya reconocido el cambio.  Un reinicio del host de NetWitness Platform hará que NetWitness Platform reconozca los cambios en la configuración de NSS. Un reinicio del servidor Jetty no es suficiente.

Continúe con la sección siguiente, Habilitar PAM en el servidor de NetWitness.

Habilitar PAM en el servidor de NetWitness

  1. En NetWitness Platform, vaya a ADMINISTRAR > Seguridad.
    La vista Admin > Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En Autenticación de PAM, seleccione Habilitar autenticación de PAM y haga clic en Aplicar.
    This is an example of the PAM Authentication section.

Probar la autenticación externa para PAM

  1. Vaya a ADMINISTRAR > Seguridad.
    La vista Seguridad se muestra con la pestaña Usuarios abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En Autenticación de PAM, seleccione Habilitar autenticación de PAM.
    Image of PAM Authentication and Active Directory Configurations portions of the Settings Tab
  4. En las opciones de Autenticación de PAM, haga clic en Probar.
    Se muestra el cuadro de diálogo Prueba de autenticación de PAM.
    Image of the PAM Authentication Test dialog, requesting a Username and Password
  5. Escriba un nombre de usuario y una contraseña para los que desee probar su autenticación mediante la configuración actual de PAM.
  6. Haga clic en Probar.
    Se prueba el método de autenticación externa para garantizar la conectividad.
  7. Si la prueba no se realiza correctamente, revise y edite la configuración.

PAM se habilita y las configuraciones de Active Directory también permanecen habilitadas. Las configuraciones de PAM se completan automáticamente en la pestaña Mapeo de grupo externo, de modo que pueda mapear las funciones de seguridad a cada grupo.

Crear mapeos de grupo en el servidor de NetWitness

Para configurar las funciones de seguridad que se usan para el acceso de PAM, consulte el Paso 5. (Opcional) Mapear funciones de usuario a grupos externos.

You are here
Table of Contents > Configurar la seguridad del sistema > Paso 4. (Opcional) Configurar la autenticación externa > Configurar la funcionalidad de inicio de sesión PAM

Attachments

    Outcomes