View
8
Download
2
Category
Preview:
DESCRIPTION
5 Autenticacion
Citation preview
mar-14
Herramientas de Gestión de Redes
Ing. Carlos Rojas Castro
Autenticación Centralizada
Introducción
• En el mundo actual, pero en especial las organizaciones actuales,los usuarios deben dar pruebas de quiénes son para así verificar sipueden acceder a cierto tipo de información de la compañía.
• Hay archivos, datos, documentos, gráficos y otros "secretosempresariales" que sólo ciertos empleados privilegiados puedenconocer.
• El problema radica en que, en la mayoría de los casos, losusuarios deben usar tantos mecanismos de autenticación comosistemas de información tiene la compañía, lo cual es bueno paramantener fuera a los invasores pero bastante incómodo ylaborioso para los autorizados.
El propósito de este artículo es sugerir una posible solución aeste inconveniente, con la cual se pretende minimizar lacantidad de claves que se deben utilizar sin minimizar laseguridad que se le brinda a los sistemas de información.
Autenticación
• Autenticación se refiere al proceso por medio delcual un usuario de una red adquiere el derecho ausar una identidad dentro de la dicha red.Hay maneras de autenticar un usuario, como el usode claves, Biométricos ,smart cards, certificadosdigitales. La ventaja es que la identidad del usuarioen la red no necesariamente tiene que ser igual alnombre de la persona. Una misma persona puedetener muchas identidades virtuales y vise versa.
• Existen tres tipos de autenticación:
– Autenticación por conocimiento específico: El nombrede mi mamá, la clave del cajero, una palabra clave, etc.
– Autenticación por posesión: Una tarjeta inteligente.
– Autenticación por identidad: La huella digital, la retina,la voz, u otras características físicas.
El reto
• El reto es lograr que elusuario tenga una única clave,la cual le sirva para ingresar atodos los servicios lograndouna mayor seguridad en lossistemas y aplicaciones; paralograr esto es necesarioacudir a una arquitectura deautenticación centralizada.
Autenticación Centralizada
• Existen dos modelos de autenticación unodescentralizado y otro centralizado.– En el modelo descentralizado, cada servicio de la red
maneja sus claves de forma independiente, por ejemplolos usuarios de Oracle, los usuarios de un firewall, losadministradores de un sitio Web; cada uno de estasaplicaciones maneja por separado sus claves y las mimasno son compartidas.
– En la autenticación centralizada los usuarios y sus clavesse ubican en un repositorio central, las diferentesaplicaciones se configuran para identificar este lugar yhacer la autenticación contra el repositorio.
Para nuestro caso las claves estarán ubicadas dentro de un servidor de directorioactivo, pero en general podrían estar almacenadas en un archivo de texto plano oen una base de datos relacional entre otros métodos de almacenamiento deinformación.
mar-14
Qué es Active Directory?
• Active Directory es el servicio de directorio de una redWindows.
• Este servicio de directorio es un servicio de red quealmacena información acerca de los recursos de la redy permite el acceso de los usuarios y las aplicaciones adichos recursos, de forma que se convierte en unmedio de organizar, controlar y administrarcentralizadamente el acceso a los recursos de la red.
• El servicio Active Directory proporciona la capacidadde establecer un único inicio de sesión y un repositoriocentral de información para toda su infraestructura.
• Active Directory almacena información acerca de los– Usuarios– Equipos– Recursos de red
• Permite el acceso a los recursos por parte de– Usuarios– aplicaciones
• Asimismo, proporciona una forma coherente de asignarnombres, describir, localizar, obtener acceso, administrar yproteger la información de estos recursos.
Una de las ventajas fundamentales de AD es que separa la estructura lógica de la organización (dominios)de la estructura física (topología
de la red). Ello permite independizar la estructuración de dominios de la organización, de la topología de la red que interconecta los sistemas.
Funciones
El control de recursos como servidores, Archivos compartidos, Impresoras
Sólo los usuarios autorizados pueden obtener acceso a los recursos
Centralizar el control de los
recursos de redLos administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicación central mediante una interfaz de administración coherente
Pueden distribuir tareas administrativas mediante la delegación del control de los recursos a otros administradores.
Centralizar y descentralizar
la administración
de recursos
Almacena todos los recursos como objetos en una estructura lógica, jerárquica y segura.
Almacenar objetos de
forma segura en una estructura
lógicaPermite utilizar el ancho de banda de red de forma más efectiva.
Por ejemplo, garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de autenticación más cercana a él lo autentique, reduciendo así la cantidad de tráfico de red.
Optimizar el tráfico de red
Estructura lógica de Active Directory • Objetos. – Son los componentes más básicos de la estructura
lógica.
– Las clases de objetos son plantillas o planos técnicospara los tipos de objetos que se pueden crear enActive Directory.
– Cada clase de objetos se define mediante un grupo deatributos, que definen los posibles valores que sepueden asociar a un objeto.
– Cada objeto posee una única combinación de valoresde atributos.
mar-14
• Unidades organizativas.
– Se pueden utilizar estos objetos contenedores paraestructurar otros objetos de modo que admitan lospropósitos administrativos.
– Mediante la estructuración de los objetos por unidadesorganizativas, se facilita su localización y administración.
– También se puede delegar la autoridad para administrar unaunidad organizativa.
– Las unidades organizativas pueden estar anidadas en otrasunidades organizativas, lo que simplifica la administración deobjetos.
• Dominios. – Se trata de las unidades funcionales centrales en la
estructura lógica de Active Directory que son un conjunto de objetos definidos de forma administrativa y que comparten:• una base de datos,
• directivas de seguridad y
• relaciones de confianza comunes con otros dominios.
– Los dominios proporcionan las siguientes tres funciones: • Un límite administrativo para objetos
• Un medio de administración de la seguridad para recursos compartidos
• Una unidad de replicación para objetos
UO
UO UO
• Árboles de dominios. – Los dominios que están agrupados en estructuras jerárquicas se
denominan árboles de dominios.– Al agregar un segundo dominio a un árbol, se convierte en secundario
del dominio raíz del árbol.– El dominio al que está adjunto un dominio secundario se denomina
dominio primario.– Un dominio secundario puede tener a su vez su propio dominio
secundario.– El nombre de un dominio secundario se combina con el nombre de su
dominio primario para formar su propio nombre único de Sistema denombres de dominio (DNS, Domain Name System), comocorp.nwtraders.msft.
– De esta forma, el árbol dispone de un a espacio de nombres contiguo.
• Bosques. – Un bosque es una instancia completa de Active Directory.– Consta de uno o varios árboles.– En un árbol de sólo dos niveles, que se recomienda para a mayoría de las
organizaciones, todos los dominios secundarios se convierten en secundarios deldominio raíz de bosque para formar un árbol contiguo.
– El primer dominio del bosque se denomina dominio raíz de bosque.– El nombre de ese dominio se refiere al bosque, como por ejemplo
nwtraders.msft.– De forma predeterminada, la información de Active Directory se comparte sólo
dentro del bosque. De este modo, el bosque es un límite de seguridad para lainformación contenida en la instancia de Active Directory.
Bosque
Estructura física de Active Directory
mar-14
• Capacidades de Active Directory• Esta información se almacena en
forma de valores de atributos.
• Se pueden buscar objetosbasándose en su clase, atributos,valores de atributos, ubicacióndentro de la estructura de ActiveDirectory o cualquier combinaciónde estos valores.
Permite a usuarios y aplicaciones obtener
acceso a información sobre
objetos
• De este modo, un usuario de una redpuede obtener acceso a cualquierrecurso, como una impresora, sinsaber el lugar donde se encuentra o elmodo en que está conectadofísicamente a la red.
Clarifica la topología de red física y los
protocolos.
• Puesto que se organiza en particiones, ActiveDirectory se puede ampliar a medida que laorganización crece.
• Por ejemplo, un directorio se puede ampliar deun solo servidor con varios cientos de objetos amiles de servidores y millones de objetos.
Permite el almacenamiento de un gran número de
objetos
• Active Directory en modo de aplicación (AD/AM)es una nueva capacidad de Microsoft ActiveDirectory que trata determinadas situaciones deimplementación relacionadas con aplicacioneshabilitadas para directorios.
• AD/AM se ejecuta como un servicio del sistema no operativo y, como tal, no requiere implementación en un controlador de dominio.
Se puede ejecutar como un servicio
del sistema no operativo
Instalación
Nombres asociados a las unidades organizativas
• Las referencias a objetos específicos de Active Directorypueden hacerse mediante distintos tipos de nombres quedescriben su ubicación.
• Active Directory crea un nombre completo relativo, unnombre completo y un nombre canónico para cada objeto, enfunción de la información suministrada por el administradoren el momento de crear o modificar el objeto.
Cómo crear una unidad organizativa
• Para crear una nueva unidad organizativa:– 1. Abra Usuarios y equipos de Active Directory.– 2. En el árbol de la consola, haga doble clic en el nodo de
dominio.– 3. Haga doble clic con el botón secundario del mouse(ratón) en el
nodo de dominio o en la carpeta en la que de desee agregar launidad organizativa seleccione Nuevo y, a continuación, haga clicen Unidad organizativa.
– 4. En el cuadro de diálogo Nuevo objeto - Unidad organizativa, enel cual Nombre, escriba el nombre de la unidad organizativa y, acontinuación, haga clic en Aceptar.
Cómo crear una cuenta de usuario
• Las cuentas de usuario de dominio permiten a losusuarios iniciar una sesión en un dominio y teneracceso a recursos de cualquier lugar de la red,mientras que las cuentas locales de usuariopermiten a los usuarios iniciar sesiones y teneracceso únicamente a los recursos del equipo en elque se ha creado la cuenta de usuario local. Comoadministrador de sistemas, debe crear cuentas deusuario locales y de dominio para administrar elentorno de red.
Recommended