UD6. GESTIÓN DE LOS RECURSOS DE UNA RED

Transcripción

1 UD6. GESTIÓN DE LOS RECURSOS DE UNA RED RA6. Opera con sistemas en rede, xestiona os seus recursos e identifica as restricións de seguridade existentes. CA6.1. Configurouse o acceso a recursos locais e de rede. CA6.2. Identificáronse os dereitos de usuario e as directivas de seguridade. CA6.3. Explotáronse servidores de ficheiros, de impresión e de aplicacións. CA6.4. Accedeuse aos servidores utilizando técnicas de conexión remota. CA6.5. Avaliouse a necesidade de protexer os recursos e o sistema. CA6.6. Instaláronse e avaliáronse utilidades de seguridade básica. CA6.7. Utilizouse o servizo de directorio como mecanismo de acreditación centralizada dos usuarios nunha rede. BC6. Xestión de recursos nunha rede Diferenzas entre permisos e dereitos: permisos de rede e permisos locais; herdanza; listas de control de acceso. Dereitos de usuarios. Requisitos de seguridade do sistema e dos datos. Servidores de ficheiros, de impresión e de aplicacións... Técnicas de conexión remota. Ferramentas de cifraxe. Tornalumes. Servizo de directorio: definición, elementos e nomenclatura. LDAP. Esquema do servizo de directorio. Instalación, configuración e personalización do servizo de directorio. Obxectos que administra un servizo de directorio: usuarios, grupos, equipamentos, etc. Ferramentas gráficas de administración do servizo de directorio 1

2 1. Diferencias entre permisos y derechos: permisos de red y permisos locales; herencia, listas de control de acceso. Sobre los recursos de un sistema operativo podemos establecer permisos y derechos. Así Cada recurso del sistema presenta una serie de permisos denegados o concedidos a algunos usuarios o grupos del sistema. Por otra parte el sistema puede garantizar derechos de realizar acciones a determinados usuarios o grupos, y que tienen prevalencia sobre los permisos. Para entenderlo asignar un derecho es darle al usuario la capacidad de poder adminsitrar un servidor web y nada más...por ejemplo; también puedes decir e le das permiso para adminsitrar un servidor web. Asignar permisos, también se conocen como derechos de acceso, es darle la capacidad sobre algún recurso para que el usuario pueda acceder y o usar. En Windows los derechos de usuario se asignan a cuentas de usuario y de grupo y se aplican mediante un GPO a sitios, dominios y OU. Mientras que los permisos están relacionados con objetos se asignan a cuentas de usuario y de grupo. Así un operador de copias tiene el derecho a realizar copias de seguridad del sistema mientras sobre una carpeta podremos dar permisos de acceso o no. Si deseamos que dicho operador de copia vuelque la realización de la misma (derecho) en una carpeta diferente a la predeterminada el administrador del sistema deberá habilitar el acceso a la misma (permiso) de dicho usuario. Permisos locales En versiones Windows 7 y superiores Los archivos los podemos compartir con otros usuarios que accedan al mismo equipo. Hay varios niveles de permisos; Control total: los usuarios pueden ver el contenido de un archivo o una carpeta, cambiar los archivos y las carpetas existentes, crear nuevos archivos y carpetas y ejecutar programas de una carpeta. Modificar: Los usuarios pueden cambiar los archivos y las carpetas existentes, pero no pueden crear archivos ni carpetas nuevos. Leer y ejecutar: los usuarios pueden ver el contenido de los archivos y las carpetas existentes y pueden ejecutar programas de una carpeta. Leer: los usuarios pueden ver el contenido de una carpeta y abrir archivos y carpeta. Escribir: los usuarios pueden crear nuevos archivos y carpetas, y realizar cambios en los archivos y carpetas existentes. Mostrar el contenido de la carpeta: este permiso es similar al de leer y ejecutar, pero existe una diferencia a la hora de heredar los permisos y es que en mostrar el contenido de la carpeta lo heredan las subcarpetas y no los archivos a diferencia de leer y ejecutar que si lo hace. En caso de que no coincidan los permisos locales con los de uso compartido siempre se aplicarán los más restrictivos. 2

3 En Linux los permisos vienen dados por el sistema UGO que vimos en su momento y que resumo en la figura siguiente: 3

4 Permisos de red Para acceder a la herramienta compartir una carpeta en red en Windows 7 o superior: Menú Inicio > Equipo > (Carpeta a compartir) > Botón derecho > Propiedades > Compartir En el botón Uso compartido avanzado será donde establezcamos el nombre del perfil de la regla, los usuarios que podrán acceder a la carpeta compartida y los permisos de gestión de ficheros que estos tendrán. Debemos cubrir tres parámetros, uso compartido, nombre del rescurso y los permisos que se establecen en el botón permisos: Los permisos sobre el recurso a compartir y a los usuarios que se indican serían los que se indican en la figura siguente: 4

5 En Linux los permisos son similares que en local. Para compartir recursos entre equipos Linux y además en una red con equipos Windows se utiliza la herramienta SAMBA. Esta herramienta la veremos sobre todo en prácticas y en apartados posteriores. Listas de control de acceso Un descriptor de seguridad guarda quién es el propietario del objeto y a qué grupo de usuarios pertenece, así como quién tiene acceso al objeto y qué tipo de permisos tiene de acceso. Estos permisos están guardados en unas tablas llamadas ACLs (en inglés, Access Control List) o Listas de Control de Acceso. En Windows la instrucción cacls permite modificar las listas de control de acceso a los ficheros. Para realizarlo, debemos ejecutar la instrucción cacls según sintaxis es: C:> cacls fichero /parámetros Los parámetros son los siguientes /t.- Cambia las ACLS de los archivos especificados en el directorio actual y en todos sus subdirectorios. /e.- Modifica la ACL en vez de reemplazarla. Este parámetro es muy importante, supongamos que queremos darle permisos al Usuario2 y no utilizamos este modificador; entonces se reemplaza la ACL antigua por la nueva, no permitiendo al Usuario1 acceder a su información. /c.- Fuerza la modificación aunque encuentre errores. /g usuario:permisos; R (lectura); E (escritura); C (cambiar), y F (control total). - Concede derechos de acceso al usuario. /R usuario.- Suspende los derechos al usuario. /p usuario:perm.-sustituye los derechos del usuario especificado. /d usuario.- Deniega el acceso al usuario especificado. 5

6 Xcacls es una herramienta por línea de comandos que puede mostrar información en pantalla que la herramienta sucedánea CACLS no puede mostrar. En Linux una de las características que se echan en falta especialmente en entornos corporativos, es la posibilidad de especificar los permisos de acceso a los ficheros con mayor granularidad, por encima del clásico sistema rwx para UGO. Para su uso debe estar instalado el paquete acl y configurado el fichero /etc/fstab para indicar que el sistema soporte acl. Lo veremos en las prácticas. Algunos ejemplos son: Para listar la ACL de un objeto se utiliza la herramienta getfacl: Para modificar la ACL de un objeto se debe utilizar la herramienta setfacl: La opción -R indica que se aplique recursivamente. La opción -m indica que se está modificando la ACL. Luego se indican los permisos utilizando la sintaxis group:[grupo]:[permisos]. Finalmente se indica el objeto Una vez modificada la ACL se verifica con getfacl: Si se listan los permisos del sistema de archivo se observa que el objeto posee un símbolo '+' al final, esto indica que el objeto posee una ACL personalizada, es decir posee permisos extendidos más allá de los permisos del sistema de archivos: 6

7 Con ACL Linux tiene un sistema equivalente a un sistema de archivos como el de los sistemas operativos Windows (a partir de NT con sistema de archivos NTFS) que utilice ACLs para manejar los permisos de forma granular. Esta granularidad permite restringir más los permisos y lograr mínimo privilegio en los accesos, lo cual es una gran mejora respecto a seguridad. 2. Derechos de usuarios Para hablar sobre derechos de usuarios nos referiremos a los sistemas Windows Server.. Cuando un usuario es autorizado a conectarse interactivamente a un sistema Windows Server 2008, el sistema construye para él una acreditación denominada Security Acces Token. (SAT) En concreto, el SAT contiene los siguientes atributos de protección: SID. El identificador único del usuario. SIDs de sus grupos. Lista de los SIDs de los grupos a los que pertenece el usuario. Derechos. Lista de derechos del usuario. Esta lista se construye mediante la inclusión de todos los derechos que el usuario tiene otorgados por sí mismo o por los grupos a los que pertenece. Un derecho es un atributo de un usuario o grupo de usuarios que le confiere la posibilidad de realizar una acción concreta sobre el sistema en conjunto (no sobre un recurso concreto, en este caso nos referirmos a los permisos) Windows Server 2008 distingue entre dos tipos de derechos: los derechos de conexión (logon rights) y los privilegios (privileges). Los primeros establecen las diferentes formas en que un usuario puede conectarse al sistema (de forma interactiva, a través de la red, etc.), mientras que los segundos hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema. Es importante hacer notar lo siguiente: cuando existe un conflicto entre lo que concede o deniega un permiso y lo que concede o deniega un derecho, este último tiene prioridad. Por ejemplo, un 7

8 Operador de copia de seguridad aunque no tenga permisos sobre el fichero destinado al backup, esto último podrá hacerlos porque el derecho prevalece sobre el permiso. En Windows Server 2008, los derechos son un tipo de directivas de seguridad local que entre otras directivas establecen los derechos y priviletgios de acceso a recursos, políticas de cuentas, claves públicas, etc Requisitos de seguridade do sistema e dos datos. En un sistema de archivos NTFS de Windows Server 2008, cada carpeta o archivo posee los siguientes atributos de protección: SID del propietario. Inicialmente, el propietario es siempre el usuario que hacreado el archivo o carpeta, aunque este atributo puede ser luego modificado 8

9 Lista de control de acceso de protección. Esta lista incluye los permisos que losusuarios tienen sobre el archivo o carpeta. Windows Server 2008 permite definir multitud de niveles de acceso a cada objeto del sistema de archivos, cada uno de los cuales puede ser positivo (se otorga un permiso) o negativo (se deniega un permiso). Lista de control de acceso de seguridad. Esta segunda lista se utiliza para definir qué acciones sobre un archivo o carpeta tiene que auditar el sistema. El proceso de auditoría supone la anotación en el registro del sistema de las acciones que los usuarios realizan sobre archivos o carpetas. Pueden consultarse en el Visor de Sucesos. La asociación de permisos a archivos y carpetas sigue una serie de reglas: Cuando se crea un nuevo archivo o carpeta, éste no posee ningún permiso explícito y adquiere como permisos heredados los permisos heredados y explícitos de su carpeta padre. Si se desea añadir permisos sobre un archivo o carpeta, éstos se añaden siempre a la lista de permisos explícitos. De igual forma, sólo se puede modificar o eliminar individualmente un permiso si éste es explícito. El control sobre la herencia de permisos (i.e., qué recursos heredan y qué permisos se heredan) se puede realizar a dos niveles de forma independiente: Cada carpeta o archivo tiene la potestad de decidir si desea o no heredar los permisos de su carpeta padre (herencia "desde arriba"). Es decir, en cada recurso se puede desactivar la herencia, con lo que los permisos definidos por encima del recurso en la jerarquía de archivos no se le aplican a los de abajo. Cada permiso lleva asociada una regla que indica qué recursos van a poder heredarlo (herencia "hacia abajo"). Esta regla sólo interviene cuando se asocia un permiso a una carpeta, puesto que sólo las carpetas poseen recursos dentro de ellas (subcarpetas y archivos) que puedan heredar el permiso Copiar un archivo o carpeta a otra ubicación se considera una creación, y por tanto el archivo copiado recibe una lista de permisos explícitos vacía y se activa la herencia de la carpeta padre correspondiente a la nueva ubicación. Mover un archivo distingue dos casos: si movemos una carpeta o archivo a otra ubicación dentro del mismo volúmen (partición) NTFS, se desactiva la herencia y se mantienen los permisos que tuviera como explíticos en la nueva ubicación. Si el volúmen destino es distinto, entonces se actúa como en una copia (sólo se tienen los permisos heredados de la carpeta padre correspondiente a la nueva ubicación) Windows Server 2008 distingue entre los permisos estándar de carpetas y los de archivos. En la siguiente tabla vemos los permisos de ambos: 9

10 Como puede verse en ambas tablas, muchos de los permisos estándar se definen de forma incremental, de forma que unos incluyen y ofrece un nivel de acceso superior que los anteriores. La herencia de permisos se establece de forma natural: las carpetas heredan directamente los permisos estándar establecidos en la carpeta padre, mientras que los archivos heredan cualquier permiso excepto el de Listar (sólo definido para carpetas). Cuando la asignación de permisos que queremos realizar no se ajusta al comportamiento de ninguno de los permisos estándar, debemos entonces ir directamente a asignar permisos individuales que vemos en la tabla de la página siguiente. 10

11 En Linux los requisitos de seguridad vienen dados por el sistema UGO basado en lectura, escritura y ejecución y la granularidad que permite el sistema ACL o listas de control de acceso comentado en el apartado anterior. En resumen los requisitos que establece el administrador del sistema vendrán determinados por la política de la organización o negocio sobre los recursos e información del sistema. Los sistemas operativos actuales permiten en la mayoría o casi totalidad de los casos cubrir las expectativas de los usuarios. Aún así, políticas la seguridad nunca es completa ya que depende de factores tan disperes como la fiabilidad del hardware, la responsabilidad de los usuarios del sistema, la calidad del software instalado, instalaciones etc... Nunca y nadie puede garantizar la seguridad total de la información que se guarda en el sistema. 11

12 4. Servidores de ficheiros, de impresión e de aplicacións. La arquitectura Cliente/Servidor es el procesamiento cooperativo de la información por medio de un conjunto de procesadores, en el cual múltiples clientes, distribuidos geográficamente, solicitan requerimientos a uno o más servidores centrales. Un sistema Cliente/Servidor presenta las siguientes características: Servicio: el servidor los proporciona y el cliente los utiliza. Recursos compartidos: Muchos clientes utilizan los mismos servidores y, a través de ellos, comparten tanto recursos lógicos como físicos. Protocolos asimétricos: Los clientes inician conversaciones. Los servidores esperan su establecimiento pasivamente. Transparencia de localización física de los servidores y clientes: El cliente no tiene por qué saber dónde se encuentra situado el recurso que desea utilizar. Independencia de la plataforma HW y SW que se emplee. Sistemas débilmente acoplados. Interacción basada en envío de mensajes. Encapsulamiento de servicios. Los detalles de la implementación de un servicio son transparentes al cliente. Escalabilidad horizontal (añadir clientes) y vertical (ampliar potencia de los servidores). Integridad: Datos y programas centralizados en servidores facilitan su integridad y mantenimiento. 12

13 El esquema de funcionamiento de un Sistema Cliente/Servidor sería: 1. El cliente solicita una información al servidor. 2. El servidor recibe la petición del cliente. 3. El servidor procesa dicha solicitud. 4. El servidor envía el resultado obtenido al cliente. 5. El cliente recibe el resultado y lo procesa. Se deducen los tres elementos fundamentales sobre los cuales se desarrollan e implantan los sistemas Cliente/Servidor: el proceso cliente que es quien inicia el diálogo para solicitar un servicio al servidor el proceso servidor que pasivamente espera a que lleguen peticiones del servicio el middleware que corresponde a la interfaz que provee la conectividad entre el cliente y el servidor para poder intercambiar mensajes. Este modelo de descomposición en niveles, como se verá más adelante, permite introducir más claramente la discusión del desarrollo de aplicaciones en arquitecturas de hardware y software en planos. El término front-end a la herramienta(s que normalmente maneja todas las funciones relacionadas con la manipulación y despliegue de datos, por lo que están desarrollados sobre plataformas que permiten construir interfaces gráficas de usuario (GUI), además de acceder a los servicios distribuidos en cualquier parte de la red y dar formato a los resultados. El cliente se puede clasificar en: Cliente basado en aplicación de usuario. Si los datos son de baja interacción y están fuertemente relacionados con la actividad de los usuarios de esos clientes. Cliente basado en lógica de negocio. Toma datos suministrados por el usuario y/o la base de datos y los procesa según los requerimientos del usuario. Se conoce con el término back-end al servidor que maneja todas las funciones relacionadas con la mayoría de las reglas del negocio y los recursos y procesamientos de los datos. El middleware es un módulo intermedio que actúa como conductor entre sistemas permitiendo a cualquier usuario de sistemas de información comunicarse con varias fuentes de información que se encuentran conectadas por una red. El Network Operating System o Sistemas Operativos de Red es la parte central de toda la comunicación entre el cliente y el servidor. El NOS es el encargado de proporcionar una apariencia de sistema único a un sistema Cliente/Servidor. Se trata pues, de una extensión del Sistema Operativo. Los servicios que puede llegar a rendir son: Servicios de transporte comunicaciones Peer to Peer, Mensajes y Remote Procedure Call. 13

14 Servicios de aplicación del soporte de comunicaciones, servicios de Directorio Glogal, Directorios LDAP, espacios de nombres (namespaces)... Servicios de tiempo (fecha y hora) en los clientes... Servicios de seguridad, confidencialidad, autentificación de usuarios, cifrados de datos... Servidor de archivos, usan recursos compartidos sobre la red y son necesarios para crear repositorios de documentos, imágenes y archivos grandes sobre la red. Servidores de Bases de Datos asociada a la utilización de servidores de bases de datos relacionales SQL, y dependiendo de los requerimientos y restricciones se debe elegir entre una arquitectura dos o tres capas. Servidores de transacciones con un servidor de transacciones el proceso cliente llama a funciones, procedimientos o métodos que residen en el servidor, ya sea que se trate de un servidor de bases de datos o un servidor de aplicaciones.estas aplicaciones denominadas OLTP (On Line Transaction Proccesing) están orientadas a dar soporte a los procedimientos y reglas de los sistemas de misión crítica. En la actualidad muchas aplicaciones tienen la necesidad de ser desarrolladas con la ayuda de transacciones, véase el ejemplo de los cajeros automáticos. Servidores de Objetos con un servidor de objetos, las aplicaciones Cliente/Servidor son escritas como un conjunto de objetos que se comunican. Los objetos cliente se comunican con los objetos servidores usando un Object Request Broker (ORB). El cliente invoca un método de un objeto remoto. El ORB localiza el método del objeto en el servidor, y lo ejecuta para devolver el resultado al objeto cliente. Servidores Web La primera aplicación cliente servidor que cubre todo el planeta es el World Wide Web. Este nuevo modelo consiste en clientes simples que hablan con servidores Web. Un servidor Web devuelve documentos cuando el cliente pregunta por el nombre de los mismos. Los clientes y los servidores se comunican usando un protocolo basado en RPC, llamado HTTP. Este protocolo define un conjunto simple de comandos, los parámetros son pasados como cadenas y no provee tipos de datos. La Web y los objetos distribuidos están comenzando a crear un conjunto muy interactivo de computación Cliente/Servidor. Estos servidores realizan los siguientes servicios cuyos nos resultan más familiares. Estos términos suelen usarse para definir lo que hace un servidor. Por ejemplo, se suele llamar servidor web a aquél cuya actividad principal es enviar páginas web a los usuarios que las solicitan cuando se conectan a internet. Veamos los términos usados habitualmente cuando se habla de servidores: 14

15 Proxy: Es un programa u ordenador que hace de intermediario entre dos ordenadores. Supongamos que nosotros nos identificamos como juanito y queremos hacer una petición al servidor llamado pepito. Si la petición la hacemos directamente, pepito sabe que juanito le hizo una petición. En cambio, si usamos un proxy que sería un intermediario que por ejemplo podemos llamar manolito, la petición se la haríamos a manolito y éste se la haría a pepito. De esta manera, pepito no sabe que quien realmente ha hecho la petición es juanito. A su vez, el intermediario puede bloquear determinadas peticiones. Por ejemplo, si pedimos a un proxy que tiene bloqueadas las extensiones.xxx, que nos muestre la página web amanecer.xxx, dicha página web no se nos mostrará porque el proxy actúa bloqueándola. DNS: son las siglas de Domain Name System. Es un sistema por el que se asocia una información con un nombre de dominio. El ejemplo más claro es cuando introducimos una ruta url en nuestro navegador de internet del tipo Una vez hemos introducido esta ruta, dicha información es enviada a un servidor DNS que lo que hace es determinar en qué lugar se encuentra esa página web alojada y nos conecta con ella. WEB: el término web va asociado a internet, donde los usuarios utilizan sus navegadores web para visitar sitios web, que básicamente se componen de páginas web donde los usuarios pueden acceder a informaciones con texto, videos, imágenes, etc y navegan a través de enlaces o hipervínculos a otras webs. FTP: acrónimo de File Transfer Protocol o Protocolo de transferencia de archivos. Es un protocolo utilizado para la transferencia de archivos entre un cliente y un servidor, permitiendo al cliente descargar el archivo desde el servidor o al servidor recibir un archivo enviado desde un cliente. Por defecto FTP no lleva ningún tipo de encriptación permitiendo la máxima velocidad en la transferencia de los archivos, pero puede presentar problemas de seguridad, por lo que muchas veces se utiliza SFTP que permite un servicio de seguridad encriptada. Dedicación: normalmente al ser los servidores equipos más potentes y por tanto más caros, se suelen compartir entre varias personas o empresas, permitiéndoles a todos tener un servicio de gran calidad y a un mínimo precio. En este caso se dice que se trata de un servidor compartido. Pero en otros casos puede haber servidores dedicados exclusivamente a una sola persona o empresa si esta puede hacer frente al gasto económico que supone. En este caso se dice que el servidor es dedicado. POP3 y SMTP: hay servidores especializados en correos electrónicos o s. Estos utilizan los protocolos POP3 y SMTP para recibir los correos de nuestro servidor en nuestro cliente, o para enviar desde nuestro cliente un correo al servidor de otro cliente. Aunque hay diversos tipos de protocolos estos son los más utilizados. Un protocolo no es otra cosa que una forma de hacer algo. DHCP y TCP/IP: cuando un cliente se conecta a un servidor, éste tiene que identificar a 15

16 cada cliente y lo hace con una dirección IP. Es decir, cuando desde casa entramos en una página web estamos identificados por una serie de dígitos que son nuestra IP. Esta dirección ip son 4 pares de números y es única para cada cliente. Así el protocolo TCP/IP permite que cuando nos conectamos a internet se nos asigne una dirección IP que nos identifica. Cada ordenador conectado a internet tiene su dirección IP, aunque en el caso de usuarios de una empresa que da acceso a internet, varios usuarios de la empresa pueden tener la misma IP porque utilizan un mismo servidor para canalizar sus peticiones en internet. Por otro lado, DHCP es un protocolo de asignación dinámica de host que permite asignar una ip dinámicamente a cada cliente cuando este se conecta con el servidor que le da acceso a internet. Esto significa que si nos conectamos el lunes a internet, nuestra IP, que nos asigna nuestro Proveedor de Servicios de Internet (ISP), puede ser En cambio, si nos conectamos el jueves nuestra IP podría ser Por qué cambia nuestra IP? Porque la empresa que nos da conexión nos asigna una de sus IPs disponibles. En cambio, los servidores al ser máquinas más potentes e importantes suelen tener una IP fija. También se puede establecer un esquema de clasificación basado en los conceptos de Fat Client/Thin Server donde el peso de la aplicación es ejecutada en el cliente, y Fat Server/Thin Client, donde el peso de la aplicación es ejecutada en el servidor. También los podemos clasificar por la naturaleza del servicio. Modelo Cliente-Servidor de 2 capas Esta estructura se caracteriza por la conexión directa entre el proceso cliente y un administrador de bases de datos. Es muy simple y barato, aunque tiene el inconveniente que puede congestionar la red. 16

17 Modelo Cliente-Servidor 3 capas Esta estructura se caracteriza por elaborar la aplicación en base a dos capas principales de software, más la capa correspondiente al servidor de base de datos. Al igual que en la arquitectura dos capas, y según las decisiones de diseño que se tomen, se puede balancear la carga detrabajo entre el proceso cliente y el nuevo proceso correspondiente al servidor de aplicación. Los clientes son conectados vía LAN a un servidor de aplicaciones local, el cual a su vez se comunica con un servidor central de bases de datos. El servidor local tiene un comportamiento dual, dado que actúa como cliente o servidor en función de la dirección de la comunicación. 5. Técnicas de conexión remota. Los modernos entornos profesionales cuentan con varios equipos destinados cada uno de ellos a diferentes tareas. Sin embargo, no siempre tenemos por qué tenerlos delante de nosotros, con un monitor, teclado y ratón propios. El ejemplo más claro la encontramos en los administradores de red de muchas compañías. Estas personas generalmente tienen ubicados los distintos servidores de la compañía en un cuarto aparte, cerrado y protegido contra la entrada de personas no autorizadas o incluso en ciudades o países diferentes. Para ellos resulta imprescindible contar con un software de control remoto que les permita controlar, configurar, monitorizar o reiniciar la máquina siempre que sea necesario. Pero no sólo en los entornos empresariales podemos encontrar la aplicación. Uno de los protocolos más seguros para conexiones remotas es SSH. Permite a los usuarios registrarse en sistemas de host remotamente a través de la shell. Encripta la sesión de registro y no permite que alguien pueda obtener contraseñas no encriptadas. Reemplaza a métodos menos seguros como telnet, rsh y rcp. Los datos son enviados y recibidos encriptados con 128 bits y permite la posibilidad de enviar aplicaciones lanzadas desde el intérprete de comandos como por 17

18 ejemplo reenvío por X11 (entorno gráfico). Actúa a nivel de la capa de transperte. La versión actual es la v2. Openssh es la implementación libre del protoclo SSH. Otro protocolo importantes es las VPN Una red privada virtual, RPV, o VPN es una tecnología de red que permite una extensión segura de una LAN sobre una red pública (Internet). Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo un conexión virtual punto a punto mediante el uso de conexiones dedicadas, encriptación o la combinación de ambos métodos. Permite la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet p permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. La técnica más comuna es el tunneling que consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo unidades de datos de protocolo determinada dentro de otra con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia. De esta manera se encaminan los paquetes de datos sobre nodos intermedios que son incapaces de ver en claro el contenido de dichos paquetes. El túnel queda definido por los puntos extremos y el protocolo de comunicación empleado, que entre otros, podría ser SSH. El protocolo estándar de facto es el IPSEC, pero también están PPTP, L2F, L2TP, SSL/TLS, SSH, etc. Cada uno con sus ventajas y desventajas en cuanto a seguridad, facilidad, mantenimiento y tipos de clientes soportados. Otra herramienta interesante es la Administración Remota de Windows (Winrm). Su importancia 18

19 radica en que permite, al igual que Linux con SSH, la conexión vía terminal a otros equipos Windows yendo un paso más allá permitiendo la ejecucións de scripts de PowerShell una de las herramientas más novedosas y potentes que ha creado Windows en los últimos años. La última versión utiliza el puerto 5985 vía TCP/IP. Para finalizar muestro un listado de diferentes programas que permite conexión remota para la administración de equipos. Algunas utilizan VPN y otras SSH. TeamViewer : permite conexiones encriptadas de 256 bits y chat y videoo. Logmein: en su momento muy novedoso, pemite la gestión vía web lo que no se ve afectada por firewall o redes cerradas. Con una conexión a internet basta para administrar en remoto otro equipo. Existe una herramienta similar de Google llamada Chrome Remote Desktop. VNC: una de las herramientas más conocidas, facil de usar y disponible en varias plataformas. Advanced IP Scanner: permite ver que equipos están conectados. También apagarlos y encenderlos. Putty: es la herramienta para usar SSH. Fácil de usar y permite conexiones con X. Existe la variante WinSCP basada en el mismo protocolo que permite la transferencia de archivos entre diferentes equipos independiente de la plataforma. Comodo EasyVPN: permite conexiones cifradas en 128 bits. Existe versiones más complejas y profesional como Nagios o Cacti pero que se escapa de los objetivos de la materia. 6. Herramientas de cifrado A pesar de que el uso de las herramientas de cifrado es poco común cada día van apareciendo más soluciones sencillas que aportan mucha seguridad a los usuarios corrientes. En muchas ocasiones, el uso de herramientas de cifrado se hace recomendable. Por ejemplo, si contamos con un disco duro con contenido que no queremos que personas ajenas a la organización puedan acceder, podríamos tener ese disco cifrado y, aunque estuviera conectado a un ordenador compartido por empleados y solo ellos conozcan la clave podrían ver los datos. Para llevar lápices USB con datos confidenciales, enviar copias de datos sensibles o, simplemente. porque nos preocupa la confidencialidad de nuestra información, las herramientas de cifrado pueden ser interesantes. 19

20 Desde las versiones de Windows Vista y Windows 7, los sistemas operativos de Microsoft incorporan cifrado de serie que podemos aplicar en todas partes del sistema. Este cifrado conocido como Bitlocker, nos permite mantener cierto nivel de seguridad sobre nuestras carpetas, ficheros e, incluso, sobre todo el sistema operativo completo. Por otro lado, existen multitud de herramientas que permiten cifrar ficheros, discos enteros y que aportan soluciones en el correo electrónico para cifrar de forma rutinaria. Por ejemplo, PGP es una suite completa que incorpora todo tipo de herramientas de cifrado, desde discos duros a la solución global en el correo-e. Una versión completamente gratuita y de código abierto para el cifrado es GPG, desarrollada dentro del proyecto GNU como alternativa a PGP y tiene versiones para Windows y Linux. Otra herramienta es Truecrypt, una de las mejores soluciones de cifrado de discos duros y dispositivos USB; la pega de Truecrypt es que es una herramienta exclusiva para discos (no puede cifrar el envío de correo electrónico). Es gratuita, de código libre y multiplataforma (Windows, Linux, MACOSX...) que permite crear unidades virtuales cifradas para la protección de ficheros críticos. Permite el uso de varios algoritmos de cifrado, incluso una combinación de los mismos para mayor nivel de cifrado. 20

21 Recordemos que tanto con el DNI-e como con los certificados digitales que pueden darnos la Fábrica Nacional de Moneda y Timbre (FNMT) y otros Prestadores de Servicios de Certificación como ACCV, CatCert o Izenpe, podemos cifrar e incluso firmar digitalmente documentos o correos El DNI electrónico o DNI-e, exactamente igual al DNI tradicional con el añadido de un microchip de seguridad que almacena unas claves de cifrado y firma digital, nos permite identificarnos desde cualquier parte (que cuente con un lector de DNI-e) ante las administraciones. Contar con el DNI-e nos aporta un nivel adicional de seguridad en nuestras operaciones. Primero, contamos con un elemento de doble factor de verificación ya que, por un lado, tenemos la clave de uso del DNI-e y, por otro, contamos con el propio elemento físico que es el DNI, siendo indispensables ambos dos para poder operar. Basado, además, en tecnología de clave pública y privada que, sin extendernos mucho, quiere decir que tenemos dos claves, una que todo el mundo conoce que sirve para enviarnos datos cifrados a nosotros, y otra que nadie conoce ya que siempre permanece secreta (e imposible de extraer del DNI-e) que nos permite firmar trámites o descifrar nuestros datos. 7. Cortafuegos o Firewall Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinación de ambos Todos los mensajes que entren o salgan de la intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen los criterios de seguridad especificados. También es frecuente conectar al cortafuegos a una tercera red, llamada zona 21

22 desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ solo se permitan a la red externa -- los equipos hosts en la DMZ no pueden conectar con la red interna. En el caso de un enrutador de uso doméstico, el DMZ host se refiere a la dirección IP que tiene un equipo para la que un router deja todos los puertos abiertos, excepto aquellos que estén explícitamente definidos en la sección NAT del enrutador. Es configurable en varios enrutadores y se puede habilitar y deshabilitar. Los tipos de de cortafuegos son: Nivel de aplicación de pasarela: Aplica mecanismos de seguridad para aplicaciones específicas, tales como servidores FTP y Telnet. Esto es muy eficaz, pero puede imponer una degradación del rendimiento. Circuito a nivel de pasarela:aplica mecanismos de seguridad cuando una conexión TCP o UDP es establecida. Una vez que la conexión se ha hecho, los paquetes pueden fluir entre los anfitriones sin más control. Permite el establecimiento de una sesión que se origine desde una zona de mayor seguridad hacia una zona de menor seguridad. Cortafuegos de capa de red o de filtrado de paquetes: Funciona a nivel de red (capa 3 del modelo OSI, capa 2 del de protocolo TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (capa 3 TCP/IP, capa 4 Modelo OSI), como el puerto origen 22

23 y destino, o a nivel de enlace de datos (no existe en TCP/IP, capa 2 Modelo OSI) como la dirección MAC. Cortafuegos de capa de aplicación: Trabaja en la capa 7 del modelo OSI, de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si trata de tráfico HTTP, se pueden realizar filtrados según la URL a la que se está intentando acceder, e incluso puede aplicar reglas en función de los propios valores de los parámetros que aparezcan en un formulario web. Un cortafuegos a nivel 7 de tráfico HTTP suele denominarse proxy, y permite que los ordenadores de una organización entren a Internet de una forma controlada. Un proxy oculta de manera eficaz las verdaderas direcciones de red. Cortafuegos personal: Es un caso particular de cortafuegos que se instala como software en un ordenador, filtrando las comunicaciones entre dicho ordenador y el resto de la red. Se usa por tanto, a nivel personal. Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos. Un firewall no es lo mismo que un programa antivirus. Para ayudar a proteger un equipo, necesita tanto un firewall como un programa antivirus y antimalware. Como software comentar que Windows tiene su propia firewall. Además existen programas firewall como ZoneAlarm o Comodo. 8. Servizo de directorio: definición, elementos e nomenclatura. LDAP. El Directorio Activo (Active Directory) es la pieza clave del sistema operativo Windows Server a partir del El Servicio de Directorio Activo roporciona la capacidad de establecer un único inicio de sesión y un repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la administración de usuarios y equipos, proporcionando además la obtención de un acceso mejorado a los recursos en red. Active Directory está diseñado para funcionar perfectamente en una instalación de cualquier tamaño, desde sólo un servidor con algunos objetos, hasta múltiples servidores y millones de objetos. Active Directory Domain Services (AD DS), o Servicios de Dominio del Directo rio Activo, es el nombre que recibe el conjunto de elementos que globalmente consti tuyen el servicio directorio en dominios Windows Server En lo sucesio Active Directory (AD). A partir de la versión Windows 2000, Windows Server ha basado la implementación del Directorio 23

24 Activo, una serie de protocolos y estándares existentes, lo cual ha permitido obtener un servicio de directorio no sólo robusto y escalable, sino también interoperable con otros servicios de directorio. Entre estos estándares, podemos destacar los siguientes: DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica de ordenadores, que permite la administración desatendida de características de red. DNS (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación. Su relación con Windows 2008 Server es fundamental. Inclusive sin considerar dominios, Windows Server 2008 utiliza principalmente DNS para localizar a otros ordenadores en la red. Cada dominio Windows Server 2008 se identifica unívocamente mediante un nombre de dominio DNS (por ejemplo, miempresa.com). Por otro lado, cada ordenador basado en Windows Server que forma parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de dicho dominio (siguiendo con el ejemplo, un ordendor de dicho dominio podría denominarse pc0100.miempresa.com). La diferencia es que aunque comparten la misma estructura, almacenan información diferente: DNS almacena zonas y registros de recursos y el Directorio Activo almacena dominios y objetos de dominio. SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de sincronización de tiempo entre sistemas conectados por red. LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden para leer o modificar la información existente en la base de datos del directorio. Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas.. Certificados X.509. Estándar que permite distribuir información a través de la red de una forma segura. Las cuentas de usuarios que gestiona Active Directory son almacenadas en la base de datos SAM (Security Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que también mantiene información sobre servidores, estaciones de trabajo, recursos, aplicaciones, directivas de seguridad, etc., La estructura física de Active Directory controla dónde y cuándo se producen el tráfico de replicación y de inicio de sesión, con lo que una buena comprensión de los componentes físicos de Active Directory permite optimizar el tráfico de red y el proceso de inicio de sesión, así como solventar problemas de replicación. Sitios: Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad. Controladores de dominio : un controlador de dominio (Domain Controller, DC) es un 24

25 equipo donde se ejecuta Windows Server 2008 (o una versión previa) y que almacena una replica del directorio. Servidor de catálogo global : El catálogo global una partición de sólo lectura que almacena una copia parcial de las particiones de dominio de todos los dominios del bosque. El catálogo global incorpora la información necesaria para determinar la ubicación de cualquier objeto del directorio Un servidor de catálogo global es un controlador de dominio que almacena una copia del catálogo y procesa las consultas al mismo. En cada bosque debe existir al menos un DC configurado como servidor de catálogo global. Maestro de operaciones es un controlador de dominio al que se le ha asignado una o varias funciones de maestro único en un dominio o bosque de Active Directory. La estructura lógica del AD hace referencia a los siguientes elementos: Controlador de Dominio (DC). Es un equipo Windows Server con AD instalado que almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red. Nombre de Dominio. Son las denominaciones asignadas a los ordenadores de la red, hosts, y routers, que equivalen a su dirección IP. En nuestro caso llamaremos a nuestro dominio "MIEMPRESA.COM", que será el dominio raíz. Árbol de Dominio. Es el conjunto de dominios formado por el nombre de dominio raíz (MIEMPRESA.COM) y el resto de dominios cuyos nombres constituyen un espacio contiguo con el nombre raíz, VENTAS.MIEMPRESA.COM, y formaría un árbol de dominios con el dominio raíz. Bosque de Árboles de Dominios. Es el conjunto de árboles de dominio que no constituyen un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raíz de nombre "OTRAEMPRESA.COM", este nuevo dominio, junto con el anterior "MIEMPRESA.COM", formarían el bosque de árboles de dominios). NetBIOS. Es el interface utilizado para nombrar recursos de red en sistemas operativos Windows anteriores a Windows 2000 (Windows Millenium, Windows 98). Objetos. Son los componentes más básicos de la estructura lógica. Las clases de objetos son plantillas o planos técnicos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objetos se define mediante un grupo de atributos, que definen los posibles valores que se pueden asociar a un objeto. Cada objeto posee una única combinación de valores de atributos. Al crear un objeto nuevo, el controlador de dominio crea una nueva entidad principal de seguridad que representa el objeto y le asigna un único identificador de seguridad (SID, security identifier) Unidades organizativas. Se pueden utilizar estos objetos contenedores para estructurar otros objetos de modo que admitan los propósitos administrativos. Mediante la estructuración de los objetos por unidades organizativas, se facilita su localización y administración. También se puede delegar la autoridad para administrar una unidad 25

26 organizativa. Las unidades organizativas pueden estar anidadas en otras unidades organizativas, lo que simplifica la administración de objetos. Concretando en el capítulo de objetos: Usuarios globales: se pueden crear en cada sistema cuentas de usuario y de grupo, que sirven para: identificar y autenticar a las personas (usuarios) que deben poder acceder al sistema, administrar los permisos y derechos que permitirán aplicar el control de acceso adecuado a dichos usuarios en el sistema En un dominio Windows Server 2008, cualquier servidor que actúa como DC puede crear cuentas de usuario global, también denominadas cuentas de usuario del dominio. Las cuentas de usuario del dominio se almacenan en el Directorio Activo y por tanto son conocidas por todos los ordenadores del dominio; en realidad, por sus definición en el esquema, las cuentas de usuario son visibles en todos los ordenadores del bosque, es decir, de toda la organización. cada cuenta de usuario tiene un SID único en el bosque. Internamente, este SID consta de dos partes: un prefijo común a todas las cuentas del mismo dominio, y un identificador relativo (RID), que es único para las cuentas dentro de dicho dominio. Grupos: de forma análoga a los usuarios, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, 26

27 en algunos casos, también de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución de correo electrónico, mientras que los segundos son principales de seguridad, y por tanto son los que se utilizan con fines administrativos. En concreto, en dominios Windows Server los grupos de seguridad pueden definirse en tres ámbitos distintos: Grupos locales de dominio, grupos globales y grupos universales. Grupos locales de dominio. Pueden contener cuentas de usuario de cualquier dominio del bosque, así como cuentas de grupos globales o universales de cualquier dominio del bosque, y otros grupos locales de dominio del mismo dominio (anidamiento). Sólo son visibles en el dominio en que se crean, y suelen utilizarse para administrar recursos (mediante la concesión de permisos y derechos) situados en cualquiera de los ordenadores del dominio. Grupos globales. Pueden contener usuarios del mismo dominio, así como otros grupos globales de dicho dominio (anidamiento). Son visibles en todos los dominios del bosque, y suelen utilizarse para agrupar a los usuarios de manera amplia, en función de las labores que realizan o los roles que juegan en el dominio. Grupos universales. Pueden contener cuentas de usuario y grupos globales, así omo otros grupos universales (anidamiento), de cualquier dominio del bosque. Son visibles en todo el bosque, y suelen utilizarse para administrar recursos mediante la concesión de permisos y derechos) situados en ordenadores de varios dominios del bosque. Existen numerosos grupos creados por defecto en Active Directory, tanto en el contenedor "Builtin" como en el contenedor "Users". En el primer caso, los grupos son los equivalentes a los que encontramos como grupos locales por defecto en cualquier sistema Windows independiente o miembro del domino: básicamente, los grupos que tienen concedidos ciertos accesos predeterminado en el propio sistema, tales como "Administradores", "Usuarios", "Operadores de Copia", etc. En el segundo caso, los grupos son propios del Directorio Activo, y su uso tiene relación con ciertas niveles de acceso preasignados en el directorio, aunque en la mayoría de casos, estos grupos están inicialmente vacíos. Entre estos grupos encontramos los siguientes: Admins. del domino. Tienen derechos administrativos sobre toda la base de datos del Directorio Activo del dominio, así como localmente en cada DC y cada miembro del dominio. Usuarios del domino. Los miembros de este grupo se consideran usuarios convencionales en el dominio. Cada vez que se añade un usuario al dominio, su cuenta se hace miembro de este grupo automáticamente. Administradores de empresas. Tienen derechos administrativos sobre toda la base de 27

28 datos del Directorio Activo del bosque. Propietarios del creador de directivas de grupo (Group Policy Creator Owners). Pueden crear nuevos objetos de directiva o política de grupo (GPO) en el dominio. En relación con esto, es importante saber que cuando un sistema Windows pasa a ser miembro de un dominio, el grupo global Admins. del dominio se incluye automáticamente en el grupo local Administradores de dicho sistema. Equipos: la base de datos de directorio recoge también una cuenta de equipo por cada uno de los ordenadores del dominio, tanto de los DCs como de los sistemas miembro. En particular, las cuentas de los DCs se ubican en la unidad organizativa denominada "DomainControllers", mientras que las del resto de ordenadores se ubican por defecto en el contenedor "Computers". la cuenta de equipo que cada ordenador posee en el dominio incluye los siguientes atributos: Nombre del equipo. Coincide con el nombre que el equipo tiene, sin contar con su sufijo DNS. Contraseña. Cada equipo posee una contraseña que el ordenador utiliza para acreditarse en el dominio, de forma análoga a los usuarios cuando inician sesión. Esta contraseña se genera automáticamente cuando se agrega el equipo al dominio, y se cambia automáticamente cada 30 días. SID. Cada equipo posee un SID, igual que ocurre con las cuentas de usuario y de grupo (por ello, los tres tipos de cuentas se denominan genéricamente "principales de seguridad") 28

29 Windows Server 2008 incorpora dos protocolos que implementan la autenticación de sistemas y usuarios en el proceso de acceso a los recursos en el dominio. Estos protocolos son NTLM y Kerberos V5. NTLM era el protocolo de autenticación nativo en dominios Windows NT4, y se mantiene básicamente por compatibilidad. Sin embargo, si todos los sistemas del dominio incorporan las versiones Windows 2000, Windows XP o versiones más modernas, la autenticación por defecto en el dominio utiliza el protocolo Kerberos. En Kerberos, la autentificación es mutua, con lo que en la interacción entre servidor y cliente, cada uno autentica al otro, y se garantiza que ninguno de ambos han sido suplantados. En Kerberos, el ordenador cliente (donde está trabajando el usuario) obtiene un tiquet del DC con el que puede acceder a múltiples servidores del dominio. En Kerberos, las confianzas son bidireccionales y transitivas, y se configuran automáticamente conforme se añaden dominios al bosque. Compartición de recursos Cuando un sistema Windows Server 2008 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores de la red. En este contexto, sólo vamos a considerar como recursos a compartir las carpetas que existen en los sistemas Windows del dominio. una vez se ha compartido físicamente una carpeta en la red (según el procedimiento descrito arriba), el Administrador del dominio puede además publicar este recurso en el directorio. Para ello debe crear un nuevo objeto, en la unidad organizativa adecuada, de tipo Recurso compartido. A este objeto se le debe asociar un nombre simbólico y el nombre de recurso de red que representa (de la forma \\equipo\recurso). Cuando un recurso es nombrado con el símbolo del $ al final de su nombre solo es accesible y visible por el administrador del dominio. La compartición de recursos en Windows Server puede realizarse en línea de órdenes utilizando los mandatos net share y net use. La sintaxis de ambos mandatos es la siguiente: net share: Crea, elimina o muestra recursos compartidos net share net share recurso_compartido net share recurso_compartido=unidad:ruta_de_acceso [/users:número /unlimited] [/remark:"texto"] net share recurso_compartido [/users:número unlimited] [/remark:"texto"] net share {recurso_compartido unidad:ruta_de_acceso} /delete Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo. También controla las conexiones de red persistentes. 29

30 net use [nombre_dispositivo] [\\nombre_equipo\recurso_compartido[\volumen]] [contraseña *]] [/user:[nombre_dominio\]nombre_usuario] [[/delete] [/persistent:{yes no}]] net use nombre_dispositivo [/home[contraseña *]] [/delete:{yes no}] net use [/persistent:{yes no}] Para delegar, total o parcialmente, la administración de una unidad organizativa existe un asistente (o wizard) que aparece cuando se selecciona la acción Delegar control... en el menú contextual de la unidad organizativa. Este asistente pregunta básicamente los dos aspectos propios de la delegación: a quién se delega y qué se delega. Administración de políticas de Grupo (GPO) Un GPO es un objeto que incluye como atributos cada una de las directivas o políticas que pueden aplicarse centralizadamente a equipos y a usuarios en sistemas Windows. La forma de utilizar GPOs es la siguiente: en primer lugar, creamos el GPO. Esto genera una plantilla que incorpora todas las posibles políticas que el GPO puede incluir. Inicialmente todas se encuentran en estado no configurado. En algunas ocasiones, es simplemente un valor binario, y en otras hay que incluir más opciones de configuración (por ejemplo, en el caso de un script de inicio de sesión, hay que proporcionar el propio script). Una vez creado y configurado, el GPO se vincula a algún contenedor del Directorio Activo. No todos los contenedores admiten esta vinculación, sólo los sitios, los dominios y las unidades organizativas. Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas. 30

31 Existen dos nodos principales que separan las configuraciones para equipos y para usuarios: La configuración del equipo agrupa todas las políticas, o parámetros de configuración, que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador ha-ya configurado se aplicarán al equipo cada vez que éste se inicie. La configuración de usuario agrupa todas las políticas, o parámetros de configuración, que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión (en cual-quier equipo del bosque). Por defecto, la reevaluación periódica se produce en los sistemas miembros del dominio cada 90 minutos (con un retraso aleatorio de hasta 30 minutos), y en los DCs cada 5 minutos. El administrador también puede forzar la aplicación inmediata de un GPO en un equipo ejecutando la orden gpupdate. Sin embargo, hay que tener en cuenta que algunas políticas, por sus características, sólo se pueden aplicar cuan-do el equipo reinicia o el usuario reinicia sesión. Por último, es interesante saber que en cada GPO se pueden deshabilitar selectivamente las políticas de equipo y/o las de usuario. Cuando deshabilitamos uno de ambos subárboles de un GPO, sus políticas dejan de aplicarse a partir de ese momento. Cada GPO se vincula a un contenedor del directorio activo (un sitio, un dominio o una unidad organizativa), afectando implícitamente a todos los objetos que residen en él, es decir, se heredan a los subcontenedores. De todas formas se puede bloquear la herencia. Puesto que cada GPO incorpora exactamente el mismo árbol de políticas, es posible que se 31

32 produzcan conflictos entre los distintos GPOs que afectan a un usuario/equipo, por ello el orden de prioridad es el siguiente: 1. Se aplica la política de grupo local del equipo (denominadalocal Group Policy Object, o LGPO). 2. Se aplican los GPOs vinculados a sitios. 3. Se aplican los GPOs vinculados a dominios. 4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc. Este orden de aplicación decide la prioridad entre los GPOs, puesto que una política que se aplica más tarde prevalece sobre otras establecidas anteriormente (las sobreescribe). Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). En general, estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de seguridad permite tanto filtrar el ámbito de aplicación de un GPO como delegar su administración. En el caso de filtrar la política afecta a todos los usuarios y equipos cuyas cuentas se ubiquen dentro del contenedor al que se vincula el GPO. Si este comportamiento no es el que se desea, se puede eliminar este permiso y concederlo a otro(s) grupo(s) más restringidos, o bien mantener este permiso y añadir permisos negativos a otros grupos. Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre un GPO puede administrarlo. Por defecto, en todos los GPOs que se crean en el dominio, este caso se encuentran: el grupo Administadores de Empresas, el grupo Admins. del Dominio, el creador del GPO (Creator Owner), y el propio sistema (SYSTEM). Con respecto a las directivas solo haremos un resumen muy general. Cada GPO consta de un árbol de políticas, subdividido en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. Internamente, cada uno de esos subárboles se subdivide de manera análoga, en dos nodos denominados "Directivas" y "Preferencias", que se resumen a continuación: 1. Directivas. Tanto en el caso de equipos como de usuarios, esta subárbol incluye a su vez tres nodos: Configuración de software. Contiene opciones de instalación automática de software. 32

33 Configuraciones de Windows, incluyendo entre otros aspectos de seguridad, ejecución de scripts y redirección de carpetas (para usuarios). Plantillas Administrativas, que incluyen aquellas políticas basadas en la modificación de valores del registro de Windows. 2. Preferencias. Este subárbol incluye numerosos aspectos de configuración que típicamente se realizaban mediante la ejecución de scripts en versiones previas de Windows. Tanto en el caso de equipos como en el de usuarios, este subárbol contiene a su vez dos nodos: Configuración de Windows. Incluye opciones de configuración como por ejemplo creación de variables de entorno, creación de accesos directos, mapeo de unidades de red, etc. Configuración del Panel de Control. Incluye opciones de configuración como por ejemplo la instalación de dispositivos y de impresoras, la configuración de opciones de energía, de tareas programadas, de servicios, etc. Es decir, en muchos casos, la misma política existe en ambos subárboles (equipo y usuario), aunque generalmente en cada caso con significados y parámetros distintos. En cuanto a las plantillas administrativas contiene todas las configuraciones de políticas basadas en el registro de Windows Server 2008, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas. El cambio principal que Windows Server 2008 ha incorporado en estas políticas es que se ha rediseñado el formato de los ficheros que las definen internamente, estando ahora basado en el estándar XML. En las Configuraciones de seguridad se encuentra la configuración de muchos de los aspectos de seguridad que pueden establecerse en un sistema Windows Server Políticas de Cuentas. Se pueden configurar todos los aspectos sobre el plan de cuentas tales como caducidad de contraseñas, bloqueo de cuentas, configuración de Kerberos, etc. Políticas Locales. Se encuentra la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad. Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos. En la Instalación de software se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio: Asignar una aplicación significa que los usuarios que la necesitan la tienen dis ponible en su escritorio sin necesidad de que un administrador la instale. La primera vez que el usuario ejecuta la aplicación, ésta es automáticamente instalada en el equipo cliente. 33

34 Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo (no se modifica el menú de inicio ni el registro). En los guiones o Scripts se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales: Inicio (equipo). Se ejecuta cada vez que el equipo arranca. Apagado (equipo). Se ejecuta cada vez que el equipo va a detenerse. Inicio de sesión (usuario). Se ejecuta cada vez que el usuario inicia una sesión interactiva (local) en un equipo. Cierre de sesión (usuario). Se ejecuta cada vez que el usuario se finaliza una sesión interactiva en un equipo. Finalmente está el redirección de carpetas este grupo de políticas permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red. Un ejemplo útil de redirección sería que la carpeta "Mis documentos" apuntara a un directorio personal de cada usuario en la red, como por ejemplo el recurso \\servidor\home\%username%. Para acabar todo administrador debería tener en cuenta una serie de reglas básicas o recomendaciones que permiten simplificar el diseño y la administración de las Políticas de Grupo. Al menos seguir las siguientes pautas. 34

35 Administración mediante GPOs. Un adecuado diseño de la administración y delegación de GPOs es crucial en empresas medianas y grandes. Separar usuarios y equipos en unidades organizativas diferentes. Organización homogénea de unidades organizativas. La organización de las unidades organizativas (primero geográfica y luego funcional, o al revés) debe partir de la organización de la empresa y debe ser consistente con ella. Miniminzar los GPOs asociados a usuarios o equipos. El tiempo de inicio de un equipo y el tiempo de inicio de sesión de un usuario se incrementan conforme más GPOs se aplican a dicho equipo o usuario. Minimizar el uso de "No reemplazar" y de "Bloquear la herencia". Evitar asignaciones de GPOs entre dominios. Aún siendo posibles ralentiza mucho los inicios y cierres de sesión. Utilizar el proceso Loopback sólo cuando sea necesario. En algunas ocasiones muy concretas, puede ser conveniente que ciertos equipos en un dominio que sólo se apliquen las políticas de equipo que les afecten, es decir, conseguir que nunca se apliquen las políticas de usuario, independientemente del usuario que inicie una sesión local en dichos equipos. Esto puede conseguirse mediante la denominada Política de Grupo "de bucle inverso" o Loopback. Aún siendo posible hacerlo suele estar lejos del funcionamiento habitual de las GPO's. Servidores más usuales en Windows Server Como dijimos anteriormente Windows Server permite la configuración de un gran número de servidores. Desde servidores DHCP, DNS, Correo, Ficheros, Web... Solo nos centraremos en los más habituales en las organizaciones. Por ejemplo, Windows Server como servidor Web tiene poca implantación frente al Apache de Linux, por eso no lo tocaremos. DHCP La función básica de este protocolo es evitar que el administrador tenga que configurar manualmente las características propias del protocolo TCP/IP en cada equipo. Para ello, existe en la red un sistema especial, denominado servidor DHCP, que es capaz de asignar la configuración TCP/IP al resto de máquinas presentes en la red, o clientes DHCP, cuando estos arrancan. De todas formas pueden convivir en la misma red equipos configurados manualmente con aquellos a los que se les asigna una IP. Entre los datos que más habitualmente proporciona el servidor a los clientes se incluyen: Una dirección IP por cada tarjeta de red o NIC (Network Interface Card) que posea el cliente. La máscara de subred. 35

36 La puerta de enlace o gateway. Otros parámetros adicionales, como el sufijo del dominio DNS, o la dirección IP del servidor DNS. Cuando un cliente arranca por primera vez, lanza por la red un mensaje de difusión (broadcast, solicitando una dirección IP. Si en la red existe un solo servidor DHCP, cuando este reciba el mensaje contestará al cliente asociándole una dirección IP junto con el resto de parámetros de configuración. En concreto, el servidor DHCP puede estar configurado para asignar al cliente una dirección IP cualquiera de las que tenga disponibles, o bien para asignarle una dirección en concreto (o dirección reservada), en función de la dirección física de la tarjeta ethernet del cliente. Si en la red hay más de un servidor DHCP, es posible que dos o más servidores escuchen la petición y la contesten. Entonces, el primer mensaje que recibe el cliente es aceptado y el resto son rechazados. Esta situación requiere un control por parte del administrador para ambos no asignen la misma IP ya que los servidores DHCP no se comunican entre ellos. Un cliente DHCP obtiene una concesión para una dirección IP de un servidor DHCP. Antes que se acabe el tiempo de la concesión, el servidor DHCP debe renovar la concesión al cliente o bien este deberá obtener una nueva concesión. Las concesiones se guardan en la base de datos del servidor DHCP aproximadamente un día después de que se agote su tiempo. En el contexto de DHCP, un ámbito (scope) se define como una agrupación adminis trativa de direcciones IP que posee una serie de parámetros de configuración comunes. El administrador debe establecer para dicho ámbito sus parámetros de configuración, tales como el rango de direcciones IP que puede asignar, las direcciones excluidas, la máscara de red, el límite de tiempo que los equipos pueden disfrutar de la concesión, etc. Algunos de los parámetros (no todos) que podemos configurar en el servidor DHCP son: Rango de IP's 36

37 Rango de IP's excluidas Reservas de IP por MAC 37

38 DNS El Domain Name System (DNS) o Sistema de Nombres de Dominio permite a los usuarios de una red TCP/IP utilizar nombres jerárquicos y descriptivos para localizar fácilmente ordenadores (hosts) y otros recursos en dicha red, evitando de esta manera tener que recordar la dirección IP de cada ordenador al que se desea acceder. Cuando se configura el AD al mismo tiempo se configura el servidor DNS porque la resolución de los equipos en el dominio se basa en un servidor DNS (name server). La base de datos distribuida de DNS está indexada por nombres de dominio. Cada nombre de dominio es esencialmente una trayectoria en un árbol invertido denominado espacio de nombres de dominio similar a la estructura de un sistema de ficheros. El nombre de dominio completo de cualquier nodo (host, equipo...) está formado por la secuencia de etiquetas que forman la trayectoria desde dicho nodo hasta la raíz, separando cada etiqueta de la siguiente mediante un punto. De esta forma, el nombre del nodo especifica de forma unívoca su localización en la jerarquía. A este nombre de dominio completo o absoluto se le conoce como nombre de dominio completamente cualificado o Fully Qualified Domain Name (FQDN) Es importante resaltar que el objetivo principal del diseño del sistema de nombres de dominio fue su administración descentralizada. Este objetivo se consigue a través de la delegación así cada servidor de nombres posee generalmente información completa sobre una parte contigua del espacio de nombres (generalmente un dominio, potencialmente dividido en subdominios). Dicha parte del espacio se denomina zona, y se dice que el servidor de nombres tiene autoridad sobre ella. Entender la diferencia entre una zona y un dominio es importante. Todos los do minios de primer nivel, y la mayoría de dominios de segundo nivel, se dividen en unidades más pequeñas y manejables gracias a la delegación. Estas unidades o zonas y contienen una serie de registros almacenados en un servidor. Sin embargo, las zonas no son dominios. Un dominio es un subárbol del espacio de nombres, mientras que una zona es una parte del espacio de nombres DNS que se almacena generalmente en un fichero y que puede contener informació sobre múltiples dominios. DNS define dos tipos de servidores de nombres que mantienen informacion sobre el espacio de nombres: primarios (maestros) y secundarios (esclavos). Un servidor de nombres primario para una zona lee los datos de la zona desde un fichero que él mantiene. Un servidor de nombres secundario para una zona obtiene los datos de la zona desde otro servidor de nombres que es autoritario para la zona, llamado servidor maestro. Cuando un servidor de nombres secundario se inicia, éste se pone en contacto con su servidor maestro y, si es necesario, inicia una transferencia de zona, es decir, una actualización de su 38

39 información sobre la zona. Además, periódicamente el servidor secundario contacta con el servidor maestro para ver si los datos de zona han cambiado. Los clientes DNS utilizan bibliotecas llamadas "solucionadores" (resolvers) que efectúan las consultas DNS a los servidores en nombre del cliente. Los servidores de nombres no solamente responden los datos referentes a las zonas sobre los que tienen autoridad, sino que pueden también buscar información a través del espacio de nombres de dominio para encontrar datos sobre los que no son autoritarios. A este proceso se le denomina resolución de nombres. Ya que el espacio de nombres está estructurado como un árbol invertido, un servidor de nombres necesita únicamente los nombres de dominio y las direcciones de los servidores de nombres raíz para encontrar cualquier punto en el árbol. Los servidores raíz conocen dónde se encuentran los servidores de nombres con autoridad para los dominios de primer nivel. Cuando se solicita una consulta a cualquier nombre de dominio, los servidores raíz (los que resuelven los dominios raíz.com,.net,.org,.net...) pueden al menos proporcionar los nombres y direcciones de los servidores de nombres autoritarios para el dominio de primer nivel al que pertenece el nombre de dominio buscado. Y los servidores de nombres de primer nivel pueden proporcionar la lista de servidores de nombres autoritarios para el dominio de segundo nivel al que pertenece el nombre de dominio buscado. De esta forma, cada servidor de nombres consultado va proporcionando la información más próxima a la respuesta buscada, o proporciona la propia respuesta. Como conclusión hay que resaltar la importancia que tienen los servidores de nombres raíz en el proceso de resolución. Por esta razón, el sistema de nombres de dominio proporciona mecanismos de caché para ayudar a reducir la carga que supondría el proceso de resolución sobre los servidores raíz. Si todos los servidores raíz de Internet fallaran por un largo período de tiempo, toda la resolución en Internet fallaría. Para protegerse, Internet posee 13 servidores de nombres raíz repartidos por diferentes partes de la Red. Aunque distintas implementaciones de DNS difieren en cómo configurar las zonas, generalmente existe un fichero que indica sobre qué zonas tiene autoridad el servidor. En general, existen tres tipos distintos de zonas: zonas de búsqueda directa contienen la información necesaria para resolver nombres en el dominio DNS. zonas de búsqueda inversa contienen información necesaria para realizar las búsquedas inversas. La mayor parte de las consultas proporcionan un nombre y solicitan la dirección IP que corresponde a ese nombre. zona archivo de "sugerencias raíz" (root hint), denominado también archivo de sugerencias de caché, contiene la información de host necesaria para resolver nombres fuera de los dominios en los que el servidor posee autoridad. 39

40 Servicio DFS Es el último tipo de servidor de Windows Server que veremos. El Sistema de archivos distribuidos o DFS (Distributed File System) es un componente de red del servidor que facilita la forma de encontrar y manejar datos en la red. DFS agrupa ficheros que están en diferentes ordenadores en un espacio de nombres único. DFS facilita la construcción de una única vista jerárquica de múltiples servidores de archivos. En vez de ver una red física compuesta por decenas de servidores de ficheros, cada uno con una estructura de directorios separada, los usuarios verán unos pocos directorios lógicos que incluyen todos los servidores y carpetas compartidas. Cada carpeta compartida aparecerá en el lugar lógico que le corresponde en el directorio, sin importar en que servidor se encuentra. Se pueden configurar dos tipos de DFS: DFS independiente. Almacena la topología de DFS en el registro del equipo local donde se crea. No proporciona tolerancia a errores si se produce un error en el equipo donde se almacenan las carpetas compartidas o la topología DFS, puesto que se almacena en una sola máquina. DFS de dominio. Almacena la topología de DFS en Active Directory. Este tipo de DFS señala a varias carpetas compartidas idénticas, lo que proporciona tolerancia a errores. Además, admite el Sistema de nombres de dominio, varios niveles y la replicación de archivos. Windows 2008 acepta hasta 256 miembros de una replica del árbol DFS. Un recurso compartido de DFS utiliza una estructura de árbol. Para crear un recurso compartido DFS, primero debe crear una raíz DFS y que sirve de punto de inicio para alojar: Carpetas compartidas. Vínculos a recursos compartido, que se trata de una referencia a una carpeta compartida SMB, NetWare, NFS, NCP u otra raíz DFS. El acceso a una archivo o carpeta dentro del espacio de nombres de DFS se realiza del mismo modo que a un recurso UNC. Por tanto, los clientes NT 4.0 y Windows 9x pueden acceder a él de la forma: \\servidor\recurso siendo recurso el nombre del recurso compartido raíz del árbol DFS y servidor el nombre del ordenador que ofrece tal recurso. Desde clientes Windows 2008 o Windows anteriores actualizados con el software de acceso a DFS, se puede también acceder a los árboles DFS de dominio mediante el UNC: \\nombre_del_dominio\raiz_dfs La replicación de DFS consta de dos partes: a. Replicación de la topología DFS. Suele llevar más tiempo 40

41 b. Replicación del contenido DFS. Solo se cambian los bloques modificados lo que hace más rápida la replicación Al espacio de nombres de DFS no se pueden aplicar ACLs. Cuando un usuario accede a un vínculo en concreto del DFS, se aplicarán las ACLs definidas para ese recurso en el servidor. Un espacio de nombres DFS es básicamente un lugar donde se tendrá todos los enlaces a sus recursos compartidos de archivos. Los usuarios lo verán como una sola acción con muchas carpetas y no tendrán idea de que están navegando a través de un conjunto de servidores para llegar a las subcarpetas y archivos. Cuando se procede a la configuración de DFS, se tiene la opción de usar un espacio de nombres basado en dominio o independiente. Si ya dispone de Active Directory implementado, debe considerar el uso de un espacio de nombres basado en dominios. Para crear una raíz DFS independiente, en Herramientas administrativas abra la consola del Sistema de archivos distribuido e inicie el Asistente para crear nueva raíz DFS. Las opciones del asistente son las siguientes: Seleccionar el tipo de raíz DFS: en este caso, independiente. Especificar el servidor huésped para el espacio de nombres DFS: el punto de conexión inicial, o el servidor host, para todos los recursos contenidos en el árbol DFS. Se puede crear una raíz DFS en cualquier equipo que corra bajo Windows 2008 Server. Especificar el recurso compartido de raíz DFS: una carpeta compartida para albergar el espacio de nombres DFS. Nombre del espacio de nombres DFS: un nombre descriptivo para el espacio denombres DFS. Para crear una segunda raíz DFS de dominio, hay que abrir la consola del Sistema de archivos distribuidos, hacer clic con el botón secundario del ratón en el dominio y después hacer clic en "Nuevo miembro duplicado de raíz". Las únicas opciones que hay para crear una segunda raíz son "Especifique el servidor para albergar DFS" y "Seleccione el recurso compartido para el volumen del espacio de nombres DFS". Se pueden agregar recursos compartidos DFS en el espacio de nombres o en cualquier otro nodo de rama del árbol. Si el recurso en cuestión no es de Windows 2008, el recurso compartido se agregará como una hoja, que no puede tener un vínculo por debajo de ella. Una vez que haya creado una raíz DFS, puede crear vínculos DFS que señalen a las carpetas compartidas. Para crear un vínculo DFS, deben seguirse los pasos citados a continuación: En la consola Sistema de archivos distribuido, hacer clic en el espacio de nombres DFS a la que agregará un vínculo. En el menú Acción, hacer clic en Nuevo vínculo DFS. En el cuadro de diálogo Crear un nuevo vínculo DFS, se pueden configurar las opciones: 41

42 Nombre de vínculo: el nombre que los usuarios verán cuando se conecten a DFS. Enviar el usuario a esta carpeta compartida: el nombre UNC de la ubicación real de la carpeta compartida a la que se refiere el vínculo. Comentario. DFS-R (Distributed File System Replication). DFS-R se introdujo con Windows Server 2003 R2 (en sustitución del antiguo FRS con muchas ventajas). DFS-R se puede utilizar para ambos DFS basados en dominios e independientes. Para replicar archivos entre dos (o más) recursos compartidos, es necesario crear un grupo de replicación y especificar algunas cosas como los servidores que replican (miembros) y lo que van a replicar (replicado las carpetas). Gestión de Recursos Compartidos en Sistemas Linux Hasta la reciente aparición de SAMBA4 la gestión de recursos con autenticación en sistemas Linux se hacía con la combinación LDAP + SAMBA. Visión general de LDAP LDAP un protocolo a nivel de aplicación que permite el acceso a un directorio activo ordenado y distribuido para buscar diversa información en un entorno de red. Como sabemos un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. Para la autenticación se usa Openladp. OpenLDAP es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el 42

43 proyecto OpenLDAP. Los despliegues actuales de LDAP tienden a usar nombres de Sistema de Nombres de Dominio DNS para estructurar los niveles más altos de la jerarquía. Conforme se desciende en el directorio pueden aparecer entradas que representan personas, unidades organizacionales, impresoras, documentos, grupos de personas o cualquier cosa que representa una entrada dada en el árbol. Almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificado, etc). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red. Un cliente inicia una sesión de LDAP conectándose a un servidor LDAP, por defecto en el puerto TCP 389. Un método alternativo común para asegurar las comunicaciones LDAP es usar un túnel SSL. El puerto por defecto para LDAP sobre SSL es 636. El protocolo accede a directorios LDAP, que siguen la edición de 1993 del modelo X.500: Un directorio es un árbol de entradas de directorio. Una entrada consta de un conjunto de atributos. Un atributo tiene un nombre (un tipo de atributo o descripción de atributo) y uno o más valores. Los atributos son definidos en un esquema (ver figura). Cada entrada tiene un identificador único: su Nombre distinguido (Distinguished Name, DN). Este consta de su Relative Distinguished Name (RDN) construido por algunos atributos en la entrada, seguidos del DN de la entrada del padre. dn es el nombre de la entrada; no es un atributo ni tampoco parte de la entrada. "cn=john Doe" es el nombre distinguido relativo, y "dc=example,dc=com" es el nombre distinguido de la entrada del padre, donde dc indica domain component (componente de dominio). Las otras líneas presentan los atributos en la entrada. Los nombres de atributos son generalmente cadenas mnemotécnicas, como "cn" para common name (nombre común), "dc" para domain component 43

44 (componente de dominio), "mail" para dirección de y "sn" para surname (apellido). Un servidor aloja un subárbol comenzando por una entrada específica, por ejemplo "dc=example,dc=com" y sus hijos. Los servidores también pueden almacenar referencias a otros servidores, con los cual un intento de acceso a "ou=department,dc=example,dc=com" puede retornar una referencia o continuación de referencia a un servidor que aloja esa parte del árbol de directorio. El cliente luego puede contactar al otro servidor. Algunos servidores también soportan encadenamiento (chaining), que implica que el servidor contacta al otro servidor y devuelve el resultado al cliente. Un formato URL de LDAP existe para descubrir qué clientes soportan en variedad de grados, y qué servidores retornan como referentes y referencias de continuación. Por ejemplo, "ldap://ldap.example.com/cn=john%20doe,dc=example,dc=com" refiere a todos los usuarios en la entrada de John Doe en ldap.example.com, mientras "ldap:///dc=example,dc=com??sub?(givenname=john)" busca por la entrada en el servidor por defecto (notar el triple slash, omitiendo el host, y la marca de doble pregunta, omitiendo los atributos). El directorio activo de Windows Server y Openldap para Linux se basan en este protocolo LDAP. Siguiendo con OpenLDAP mencionar que posee tres componentes principales: slapd - Dominio de servidor y herramientas Bibliotecas que implementan el protocolo LDAP Programas cliente: ldapsearch, ldapadd, ldapdelete, entre otros La arquitectura del servidor OpenLDAP (slapd, Standalone LDAP Daemon) fue dividida entre una sección frontal que maneja las conexiones de redes y el procesamiento del protocolo, y un base de datos dorsal o de segundo plano (backend) que trata únicamente con el almacenamiento de datos. Generalmente una petición LDAP es recibida por el frontend, decodificada y luego transferida a un backend para procesamiento. Cuando el backend completa la petición, devuelve un resultado al frontend, quien luego envía el resultado al cliente LDAP. Un overlay es una pieza de código que puede ser insertada entre el frontend y el backend. Los overlays proveen un medio simple para incrementar las funcionalidades de una base de datos sin requerir que un completo backend nuevo puede ser escrito, y permite añadir nuevas funcionalidades de manera compacta, fácilmente depurable y módulos mantenibles. Visión General de SAMBA Samba es la herramienta de Linux para la compartición de recursos, no solo entre equipos Linux sino también entre equipos Linux-Windows. 44

45 Samba es una implementación libre del protocolo de archivos compartidos de Microsoft (antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. Samba también permite validar usuarios haciendo de Controlador Principal de Dominio o controlador adicional. Samba configura directorios Unix y GNU/Linux (incluyendo sus subdirectorios) como recursos para compartir a través de la red. Además permite la compartición de dispositivos como impresoras. Para los usuarios de Windows, estos recursos aparecen como carpetas normales de red. Los usuarios de GNU/Linux pueden montar en sus sistemas de archivos estas unidades de red como si fueran dispositivos locales, o utilizar la orden smbclient para conectarse a ellas muy al estilo del cliente de la línea de órdenes ftp.. Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones del sistema de archivos que se esté usando en GNU/Linux. Por ejemplo, las carpetas /home pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno acceda a sus propios archivos; pero deberemos cambiar los permisos de los archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de escritura en el recurso no es suficiente. La configuración de Samba se logra editando un solo archivo, ubicado en /etc/smb.conf o en /etc/samba/smb.conf. Los parámetros a configurar son muy numerosos y se escapan del objetivo del presente documento. Sin embargo, he aquí un sencillo ejemplo bastante documentado. #Sección global, parámetros generales [global] # Seguridad por usuarios y controlador de dominio security = user domain logons=yes domain master = yes # Grupo de trabajo "Oficina" workgroup = Oficina # Las contraseñas se deberán enviar encriptadas encrypt passwords = yes # Samba será servidor wins wins support = yes # Nivel y longitud máxima del archivo de registro log level = 1 max log size = 1000 # Por defecto, lectura y escritura read only = no # Se comparten también las impresoras load printers = yes 45

46 # Sección homes, carpetas home de usuarios [homes] # Comentario comment = Carpetas home # No explorables browsable = no # Máscara de creación de archivos (rxw------) create mask = 0700 # Máscara de creación de carpetas directory mask = 0700 # Sección printers, impresoras [printers] path = /var/tmp printable = yes min print space = 2000 # Carpeta común archivos_compartidos [archivos_compartidos] # Ruta de la carpeta compartida path = /home/archivos_compartidos # Explorable y Lectura y escritura browsable = yes read only = no # Máscara de creación de archivos (rxwrxw---) create mask = 0770 # Máscara de creación de carpetas directory mask = 0770 # Carpeta común administracion [administracion] browsable = yes read only = no path = /home/archivos_compartidos/administracion # Se admiten invitados guest ok = yes path = /home/invitados # Parámetros impresora [HP_1010] path = /tmp # Se permite imprimir printable = yes Insisto estos son solo algunos de los parámetros a configurar. 46

47 Los comandos de SAMBA más habituales : Añadir usuario a la lista de usuarios de Samba (que se encuentra en el fichero /etc/samba/smbpasswd, con el comando (como root): # smbpasswd -a Nacx Le pondremos el mismo nombre y la misma contraseña que tiene el usuario en el sistema que en Windows Para verificar errores en el fichero de configuración /etc/samba/smb.conf #testparm Lanzando, parando o reiniciando el demonio samba #/etc/init.d/samba start/restart/stop Accediendo a los recursos compartidos Desde Windows podemos acceder a los recursos compartidos en la máquina Linux simplemente utilizando el Entorno de Red/Mis Sitios de Red y navegando por los recursos que encontremos. Desde Linux a Windows desde el navegador Nautilus o Konqueror en la barra de direcciones se escribe: smb://nombre_maquina_windows Desde la línea de comandos smbclient -L <host>: Nos muestra los recursos compartidos en el equipo <host>. Podemos especificar el usuario (la contraseña la preguntará) con smbclient -L <host> -U <usuario> smbmount //host/nombredelrecurso /mnt/samba: Nos montara el recurso compartido llamado nombredelrecurso en el directorio /mnt/samba. Antes de hacer esto, el directorio /mnt/samba debe existir. Una vez montado podremos navegar por /mnt/samba como si fuera el directorio compartido de windows. Para especificar el nombre de usuario usaremos: smbmount //host/nombredelrecurso /mnt/samba -o username=<usuario> smbumount /mnt/samba: Desmontara el recurso compartido que habíamos montado en /mnt/samba. Hay que hacerlo antes de apagar el ordenador windows, ya que si no saldrán mensajes de error. nmblookup <host> Nos devuelve la Ip del <host> presente en la red. 47

48 nbtscan <red/mascara> Nos escaneara la red en busca de equipos que comparten recursos. Por ejemplo: nbtscan /24 nos escanearía la red en busca de equipos. smbstatus: Nos permite ver quien está conectado al servidor Samba. Pero la aparición de SAMBA4 desde hace unos meses ha supuesto un cambio total a la hora de administrar un Active Directory por parte de Linux. Prácticamemte se rehizo el codigo de todas las rutinas de Samba. Para empezar tiene soporte para Active Directory de Windows a través de la implementación de una combinación de un servidor de directorio LDAP, un servidor de autenticación Heimdal Kerberos, un servicio de DNS Dinámico, y las llamadas a procedimiento remoto necesarias. Esto permite usar el Directorio Activo y su Controlador de Dominios con todas las versiones soportadas de Windows, incluido Windows 8. En Samba 4.0 encontramos además distintas posibilidades de administrar sistemas en un dominio Windows y de integrarnos con servidores Exchange y alternativas Open Source compatibles.1 Ampliaremos el conocimiento y uso de Samba4 con una práctica que llevaremos a cabo en el aula. Herramientas Gráficas de Administración de un AD (OpenLDAP + SAMBA) Nos centraremos solo en Linux ya que Windows Server trae su propia herramienta gráfica de administración integrada. En Linux podemos citar las siguientes: Webmin: es una herramienta de configuración de sistemas accesible vía web para OpenSolaris, GNU/Linux y otros sistemas Unix. Con él se pueden configurar aspectos internos de muchos sistemas operativos, como usuarios, cuotas de espacio, servicios, archivos de configuración, apagado del equipo, etcétera, así como modificar y controlar muchas aplicaciones libres, como el servidor web Apache, PHP, MySQL, DNS, Samba, DHCP, entre otros. Webmin está escrito en Perl ejecutándose como su propio proceso y servidor web. Por defecto se comunica mediantetcp a través del puerto 10000, y puede ser configurado para usar SSL Está construido a partir de módulos, los cuales tienen una interfaz a los archivos de configuración y el servidor Webmin. Esto hace fácil la adición de nuevas funcionalidades sin mucho esfuerzo. 1 Windows permitió al equipo de desarrroladores de SAMBA4 el acceso a documentación del Active Directory para facilitar la interoperatibilidad de ambos sistemas. 48

49 Swat:: (acrónimo de Samba Web Administration Tool, Herramienta de Administración Web de Samba) es una herramienta que permite la configuración gráfica de Samba. Se accede mediante el puerto

50 Jexplorer: es un cliente gratuito de código abierto para administrar los servidores de Lightweight Directory Access Protocol (LDAP) y formato de intercambio de datos LDAP (LDIF) archivos. Es liberado bajo una licencia Apache-equivalente. JXplorer está escrito en Java y es independiente de la plataforma. phpldapadmin: es una herramienta para la administración de servidores LDAP escrito en PHP, basado en interfaz Web. Trabaja en varias plataformas, pudiendo acceder al servidor LDAP desde cualquier lugar en Internet. Posee una vista jerárquica basada en árbol en donde se puede navegar por toda la estructura de directorio. Permite ver los esquemas LDAP, realizar búsquedas, crear, borrar, copiar y editar entradas LDAP, incluso copiar entradas entre servidores LDAP. 50

51 Para finalizar comentaremos la administración en red de las impresoras. En Windows el asistente nos permite la configuración de una impresora en red. En entornos corporativos es habitual que estas impresoras utilicen una interfaz de tarjeta de red y administrarla como un objeto más del AD. 51

52 En Linux tenemos la herramienta CUPS. Common Unix Printing System es un sistema de impresión modular para sistemas operativos de tipo Unix que permite que un equipo o la propia impresora, si su firmware lo permitiese, actúe como servidor de impresión. CUPS acepta tareas de impresión desde otros hosts clientes, los procesa y los envía al servidor de impresión apropiado. CUPS está compuesto por una cola de impresión con su planificador, un sistema de filtros que convierte datos para imprimir hacia formatos que la impresora conozca, y un sistema de soporte que envía los datos al dispositivo de impresión. CUPS utiliza el protocolo IPP (Internet Printing Protocol) como base para el manejo de tareas de impresión y de colas de impresión. También provee los comandos tradicionales de línea de comandos de impresión de los sistemas Unix, junto a un soporte limitado de operaciones bajo el protocolo server message block (SMB) que le permite interactuar con Windows. Los controladores de dipositivos de impresión que CUPS provee pueden ser configurados utilizando archivos de texto con formato PostScript Printer Description (PPD) de Adobe Systems. Cuenta con una interfaz como aplicación Web sobre el puerto