Flashcards: 304.1 - Clientes De Autenticacion Linux
40 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Qué entrada en /etc/nsswitch.conf configura la resolución de usuarios a través de SSSD?
R: b) passwd: files sss. El módulo NSS de SSSD se llama sss (no sssd). El orden files sss asegura que los usuarios locales se resuelven primero (/etc/passwd), y luego se consulta SSSD para usuarios del dominio.
P: ¿Qué parámetro de sssd.conf genera automáticamente UIDs y GIDs a partir del SID de Windows sin necesidad de extensiones POSIX en AD?
R: b) ldap_id_mapping = true. ldap_id_mapping = true hace que SSSD genere automáticamente UIDs y GIDs basándose en el SID de Windows mediante un algoritmo determinista. Esto elimina la necesidad de configurar atributos POSIX (uidNumber, gidNumber) en Active Directory.
P: ¿Qué módulo PAM crea automáticamente el directorio home del usuario en su primer inicio de sesión?
R: c) pam_mkhomedir.so. pam_mkhomedir.so se configura en la pila de sesión PAM y crea automáticamente el directorio home del usuario la primera vez que inicia sesión, usando /etc/skel como plantilla.
P: ¿Cuál es el formato correcto del realm Kerberos en /etc/krb5.conf?
R: b) EMPRESA.LOCAL (mayúsculas). Por convención, el realm Kerberos siempre se escribe en MAYÚSCULAS en /etc/krb5.conf. El dominio DNS correspondiente se escribe en minúsculas, pero el realm siempre es mayúsculas.
P: ¿Qué comando se usa para unir una máquina Linux a un dominio AD utilizando SSSD/realmd?
R: b) realm join dominio -U admin. realm join es el comando recomendado para unir sistemas Linux a dominios AD cuando se usa SSSD. Automáticamente configura sssd.conf, krb5.conf y los archivos PAM/NSS necesarios. net ads join se usa con Winbind.
P: ¿Qué parámetro de Winbind en smb.conf permite que los usuarios inicien sesión como usuario en lugar de DOMINIO\usuario?
R: b) winbind use default domain = yes. winbind use default domain = yes permite omitir el prefijo de dominio al iniciar sesión. Los usuarios pueden autenticarse simplemente como usuario sin necesidad de escribir DOMINIO\usuario o usuario@dominio.
P: ¿Qué comando limpia toda la caché de SSSD?
R: b) sss_cache -E. sss_cache -E invalida todas las entradas de la caché de SSSD (usuarios, grupos, servicios). También se puede usar sss_cache -u usuario para limpiar la caché de un usuario específico.
P: ¿Qué diferencia principal tiene oddjob-mkhomedir respecto a pam_mkhomedir?
R: b) oddjob funciona mejor con SELinux al ejecutar como servicio privilegiado. oddjob-mkhomedir ejecuta la creación del directorio home a través del servicio oddjobd, que tiene los contextos SELinux apropiados. pam_mkhomedir crea el directorio en el contexto del proceso de login, lo que puede causar problemas con SELinux.
P: ¿Cuál de los siguientes es el archivo de configuración principal de SSSD y qué permisos requiere?
R: b) /etc/sssd/sssd.conf con permisos 0600. El archivo de configuración de SSSD está en /etc/sssd/sssd.conf y debe tener permisos 0600 (lectura/escritura solo para root). SSSD se negará a iniciar si los permisos son más permisivos, por seguridad.
P: Un administrador quiere que solo los miembros del grupo AD LinuxUsers puedan iniciar sesión en un servidor Linux con SSSD. ¿Qué parámetro de sssd.conf debe configurar?
R: b) access_provider = ad con ad_access_filter. Con access_provider = ad, SSSD utiliza las políticas de acceso de AD. Se puede combinar con ad_access_filter = memberOf=CN=LinuxUsers,OU=Groups,DC=empresa,DC=local para restringir el acceso solo a miembros de un grupo AD específico.
P: ¿Qué flag de control PAM indica que el módulo debe tener éxito para que la autenticación continúe, pero si falla, se siguen evaluando los demás módulos antes de denegar?
R: a) required. El flag required indica que el módulo debe tener éxito para que el resultado global sea exitoso, pero la evaluación continúa con los demás módulos de la pila. requisite deniega inmediatamente si falla. sufficient acepta inmediatamente si tiene éxito. optional no afecta al resultado global salvo que sea el único módulo.
P: ¿Qué parámetro de sssd.conf controla si los nombres de usuario se muestran en formato usuario@dominio o simplemente como usuario?
R: b) use_fully_qualified_names. Cuando use_fully_qualified_names = false, los usuarios se muestran y pueden iniciar sesión como usuario sin el sufijo de dominio. Con true, deben usar usuario@dominio. En entornos con un único dominio, se recomienda false para simplificar. Con múltiples dominios, true evita ambigüedades.
P: ¿Cuál es la diferencia entre pam_sss.so con use_first_pass y con try_first_pass?
R: b) use_first_pass falla si no hay contraseña previa; try_first_pass solicita una nueva si no hay. use_first_pass utiliza la contraseña proporcionada a un módulo anterior y falla si no se proporcionó ninguna. try_first_pass intenta usar la contraseña anterior, pero si no existe o falla, solicita una nueva al usuario. try_first_pass es más flexible en pilas PAM donde el primer módulo puede no solicitar contraseña.
P: ¿Qué parámetro de sssd.conf define cuántos días son válidas las credenciales en caché para inicio de sesión offline?
R: b) offline_credentials_expiration. El parámetro offline_credentials_expiration en la sección [pam] de sssd.conf define el número de días que las credenciales en caché permanecen válidas para autenticación offline. Por ejemplo, offline_credentials_expiration = 7 permite el login offline durante 7 días. Requiere cache_credentials = true en la sección del dominio.
P: ¿Qué ventaja tiene SSSD sobre Winbind para la integración con FreeIPA?
R: b) SSSD tiene soporte nativo para FreeIPA como backend; Winbind no lo soporta. SSSD soporta múltiples backends de identidad: AD, LDAP, Kerberos y FreeIPA (con id_provider = ipa). Winbind, al ser parte de Samba, está diseñado específicamente para interactuar con Active Directory y no tiene soporte nativo para FreeIPA. SSSD es la opción recomendada en entornos FreeIPA.
P: ¿Qué parámetro de krb5.conf permite que los tickets Kerberos se puedan delegar a otros servicios?
R: b) forwardable = true. El parámetro forwardable = true en la sección [libdefaults] de /etc/krb5.conf permite que los tickets TGT se puedan delegar a otros servicios. Esto es necesario para escenarios como SSO (Single Sign-On) donde un servicio necesita actuar en nombre del usuario para acceder a otros recursos.
P: En la configuración PAM, ¿cuál es el propósito del tipo de módulo account?
R: b) Verificar si la cuenta está autorizada para acceder (no expirada, restricciones de horario, etc.). El tipo account en PAM verifica la autorización de la cuenta: si la cuenta está expirada, bloqueada, si hay restricciones de horario o si el usuario tiene permitido el acceso al servicio. No verifica la contraseña (eso es auth) ni cambia credenciales (password). Es la segunda etapa después de auth.
P: ¿Cuál es la configuración correcta en /etc/sudoers para permitir que el grupo AD linuxadmins ejecute cualquier comando con sudo?
R: b) %linuxadmins ALL=(ALL) ALL. En la configuración de sudoers, los grupos se prefijan con %. La sintaxis %linuxadmins ALL=(ALL) ALL permite a todos los miembros del grupo linuxadmins ejecutar cualquier comando como cualquier usuario en cualquier host. Si SSSD usa use_fully_qualified_names = true, se debe usar %linuxadmins@dominio.
P: ¿Qué parámetro de Winbind en smb.conf permite la autenticación con credenciales en caché cuando el controlador de dominio no está disponible?
R: b) winbind offline logon = yes. winbind offline logon = yes permite que los usuarios inicien sesión utilizando credenciales almacenadas en caché local cuando el controlador de dominio no es alcanzable. Esto es especialmente útil para laptops y sistemas que pueden estar desconectados temporalmente de la red corporativa.
P: ¿Qué parámetro de sssd.conf se usa para especificar múltiples controladores de dominio AD como servidores de autenticación?
R: a) ad_server. El parámetro ad_server en sssd.conf acepta una lista de controladores de dominio separados por comas: ad_server = dc1.empresa.local, dc2.empresa.local. SSSD intentará conectar con el primero y, si falla, con los siguientes. También se puede usar _srv_ para autodescubrimiento vía DNS SRV records.
P: Escriba el comando para invalidar toda la caché de SSSD (usuarios, grupos y todos los servicios).
R: sss_cache -E. sss_cache -E invalida todas las entradas de la caché de SSSD, forzando que la próxima consulta obtenga datos frescos del servidor. Para invalidar solo un usuario específico se usa sss_cache -u usuario. Después de ejecutar este comando, es recomendable reiniciar SSSD con systemctl restart sssd.
P: Escriba el comando para verificar que un usuario del dominio se resuelve correctamente a través de NSS.
R: getent passwd usuario. getent passwd usuario consulta NSS para resolver la información del usuario, incluyendo UID, GID, directorio home y shell. Si devuelve información, la integración NSS (ya sea vía winbind o sss) funciona correctamente. También se puede usar id usuario para ver UID, GID y grupos.
P: Escriba el comando realm para listar todos los dominios a los que está unido el sistema.
R: realm list. realm list muestra todos los dominios a los que el sistema está actualmente unido, incluyendo información como el tipo de dominio, el nombre del realm, los métodos de autenticación configurados y los permisos de acceso (qué usuarios pueden iniciar sesión).
P: Escriba el comando para verificar que el demonio winbind está respondiendo correctamente.
R: wbinfo -p. wbinfo -p envía un ping al demonio winbindd para verificar que está funcionando y respondiendo. Si el comando tiene éxito, muestra “Ping to winbindd succeeded”. Si falla, hay que verificar que el servicio está en ejecución con systemctl status winbind.
P: Escriba el comando para abandonar el dominio empresa.local usando la herramienta realm.
R: realm leave empresa.local. realm leave elimina la máquina del dominio, desactiva la configuración de SSSD y limpia los archivos de configuración que se crearon durante la unión. Si solo hay un dominio configurado, se puede omitir el nombre del dominio. Este comando es el inverso de realm join.
P: Tip de examen: pam_winbind.so y pam_sss.so son los módulos PAM para Winbind y SSSD respecti…
R: pam_winbind.so y pam_sss.so son los módulos PAM para Winbind y SSSD respectivamente. Ambos deben configurarse en los cuatro tipos de módulos PAM (auth, account, password, session).
P: Tip de examen: El orden en nsswitch.conf importa. files primero asegura que los usuarios loca…
R: El orden en nsswitch.conf importa. files primero asegura que los usuarios locales se resuelven antes que los del dominio. winbind y sss no deben usarse simultáneamente para el mismo servicio.
P: Tip de examen: winbind use default domain = yes permite que los usuarios inicien sesión como …
R: winbind use default domain = yes permite que los usuarios inicien sesión como usuario en lugar de DOMINIO\usuario. winbind offline logon = yes permite autenticación con credenciales en caché cuando el DC no está disponible.
P: Tip de examen: SSSD con id_provider = ad es la forma recomendada de integrar Linux con Active…
R: SSSD con id_provider = ad es la forma recomendada de integrar Linux con Active Directory. ldap_id_mapping = true genera automáticamente UIDs/GIDs a partir del SID de Windows, sin necesidad de extensiones POSIX en AD.
P: Tip de examen: El realm Kerberos siempre se escribe en MAYÚSCULAS. dns_lookup_kdc = true perm…
R: El realm Kerberos siempre se escribe en MAYÚSCULAS. dns_lookup_kdc = true permite descubrir automáticamente los controladores de dominio a través de registros DNS SRV.
P: Tip de examen: pam_mkhomedir y oddjob-mkhomedir crean directorios home automáticamente. `od…
R: pam_mkhomedir y oddjob-mkhomedir crean directorios home automáticamente. oddjob es preferido en Red Hat/CentOS porque funciona mejor con SELinux al ejecutar como servicio privilegiado.
P: Tip de examen: Para usar grupos AD en sudoers, se prefijan con %. Si `use_fully_qualified_nam…
R: Para usar grupos AD en sudoers, se prefijan con %. Si use_fully_qualified_names = true en SSSD, se debe usar el nombre completo %grupo@dominio.
P: Que hace el comando auth?
R: Verifica la identidad del usuario (contraseña)
P: Que hace el comando account?
R: Verifica si la cuenta está autorizada
P: Que hace el comando password?
R: Gestiona el cambio de contraseña
P: Que hace el comando session?
R: Acciones al inicio/fin de sesión
P: Que hace el comando files?
R: Archivos locales (/etc/passwd, /etc/group)
P: Que es/son Introducción?
R: En entornos mixtos, los sistemas Linux frecuentemente necesitan autenticar usuarios contra un dominio Active Directory (AD). Las dos soluciones principales son Winbind (parte de Samba) y SSSD (System S
P: Que es/son Comparativa Winbind vs SSSD?
R: | Característica | Winbind | SSSD |
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: