RED MAC TGR ASO 14/15. Sergio García Prego Pablo Bugia López Manuel Carpente Eiroa Javier Osa Perez Pablo Gómez Arena

Transcripción

1 RED MAC TGR ASO 14/15 Sergio García Prego Pablo Bugia López Manuel Carpente Eiroa Javier Osa Perez Pablo Gómez Arena

2 ÍNDICE 1. Redes TCP/IP en Mac Breve introducción 1.2 Beneficios de su implementación 1.3 Uso de las redes TCP/IP en Mac OS 1.4 Configuración básica 1.5 Lista de servicios 2. Usuarios y Grupos Locales Configuración Básica de Usuarios. Privilegios Administración cuentas de usuario Crear usuarios 4.2 Activar/Desactivar cuenta de root 4.3 Eliminar Usuarios 4.4 Tipos de contraseñas 4.5 Control parental 5. Acceso Remoto Compartir pantalla 5.2 Inicio sesión remoto 6.Open Directory Introducción 6.2 Dominios locales y compartidos 6.3 Tipos de cuentas 6.4 Administración 6.5 Comparativa Bibliografía.38 1

3 1. Redes TCP/IP en Mac: 1.1 Breve introducción Una de los sistemas operativos más populares, sobre todo entre diseñadores gráficos de diferentes especialidades implementa el protocolo de red TCP/IP que es el que se utiliza en internet y en la mayoría de las redes de LAN, WAN existentes. Actualmente, al menos según la documentación de Mac OS X no implementa ningún otro protocolo de capa de red. Es motivado a que este protocolo se utiliza en Internet, si se utilizase otro no se podría acceder a Internet aunque permitiría comunicar máquinas a través de Internet con un protocolo diferente de TCP/IP sin más que encapsular esos paquetes que no son TCI/IP en paquetes que si son TCP/IP. Se supone que por las razones vistas en el párrafo anterior y por más sin mencionar Mac OS X sólo implementa el protocolo de red utilizado en Internet. Hoy en día no se conciben máquinas que no se comuniquen con otras utilizando una red; Sólo determinadas máquinas de control industrial, procesos críticos se conciben sin conexión a ninguna red por temas de seguridad y eficiencia. 1.2 Beneficios de su implementación Acceso a la red de redes : El primer beneficio que salta a primera vista es poder comunicarse con otras máquinas que están in Internet pero a nivel de administrador de sistemas existen otras muchas posibilidades mucho más interesantes. Aquí se incluye también la posibilidad de compartir una única conexión a internet con múltiples equipos. Compartir ficheros sobre una red : Desde el punto de vista de un administrador permite establecer copias de seguridad, restringir su acceso frente a usuarios no autorizados, también se permite tener todos los datos almacenados por ejemplo en una cabina SAN con lo cual nos dará un gran rendimiento y bastante seguridad en el almacenamiento. Administración centralizada de usuarios y permisos frente a diversos recursos : Hoy en día no se conciben (salvo que sea un entorno de no más de 3 máquinas) que los usuarios sean locales a cada máquina, sino que cada uno de ellos pueda iniciar sesión y trabajar en al menos algunas de las máquinas de usuario final. Administración y despliegue de software en los equipos finales de usuario en una red. Desde hace unos pocos años no se conciben instalar una por una las diferentes máquinas de usuario final, por lo menos las que tengan el mismo hardware y software, pero hoy en día cualquier organización un poco seria tiene algún sistema que permita extender el software de una máquina a otras iguales prácticamente sin intervención humana y en un tiempo muy pequeño teniendo un cuenta si las hubiese que instalar todas una por una. Instalación de actualizaciones tantos del SO como de las diferentes aplicaciones. Esto se habría podido comentar en el apartado anterior, pero no es lo mismo instalar actualizaciones que instalar algo nuevo. Monitorización de red : Se pueden monitorizar los servidores, la red local, los equipos de usuarios finales lo cual ayudará a resolver posibles incidencias o problemas existentes o bien comprobar que funciona según lo previsto. En principio en nuestro entorno lo que más 2

4 nos interesará monitorizar son nuestros servidores y la red de área local, pero estas herramientas permiten mucho más. Diferentes aplicaciones de red : Utilizar aplicaciones distribuidas que funcionan entre varios equipos de una red sin nada más que disponer de una conexión de red y de los permisos necesarios. Hoy en día existen un sinfín de aplicaciones que dada su naturaleza distribuida necesitan de varias máquinas. Diferentes servicios de red que se puede prestar como son DHCP, DNS, servidor de ficheros, servidor de aplicaciones un sinfín de servicios de los cuales se depende mucho ya no sólo para usuarios finales sino también para los administradores de sistemas. Acceso seguro a sitios remotos ya sea mediante VPNs, o por algún protocolo particular que de seguridad. Es muy importante acceder de forma segura a ciertos sitios remoto, por ejemplo cuando un administrador de una máquina remota se conecta a ella no es conveniente que los demás ver lo que hace y menos aún es que puedan capturar su contraseña. Existen más beneficios que no se nombran pero que son igual de necesarios, pero con estos ya casi sirven para darse una idea de lo importante que es disponer de comunicación en red. También existe un pequeño inconveniente: Al estar una máquina expuesta a una red ofreciendo o usando servicios siempre estará más expuesta a ataques ya sean de ataques de DoS, poner en peligro integridad de los datos, Pero está claro que hay que buscar el equilibrio entre seguridad y prestar servicios, ya que los extremos de seguridad total (máquina sin conexión a la red) y prestar un montón de servicios sin ser de forma planificada son puntos que no aportan nada útil al desempeño de una organización algo seria. 1.3 Uso de las redes TCP/IP en Mac OS X Aunque Mac OS X es conocido sobre todo por los usuarios finales no menos importante es la parte de Apple dedicada a servidores con el complemento Mac OS X Server. A través de este complemento se puede poner en producción un sistema con máquinas de este tipo que presten diferentes servicios de red como son servidores de carga de trabajo, servidores de bases de datos, servidores de ficheros Tanto en clientes como en servidores se dispone del comando networksetup que permite configurar todos los parámetros de una red que permite el sistema. No se adjunta el manual porque la ayuda está disponible como en otros sistemas derivados de unix: man networksetup También se pueden configurar casi todo con el entorno gráfico, tal y como hablaremos aquí, puesto que en la documentación oficial prácticamente no se comenta nada utilizando comandos, a pesar de no ser muy lógico, probablemente sea porque este sistema operativo aún no es muy usado en servidores en producción. Además con el entorno gráfico se pueden efectuar prácticamente todas las configuraciones posibles. El comando que nos permite hacer lo posible con redes TCP/IP en cualquier equipo con sistema operativo MAC OS es networksetup. Otro comando que usaremos es systemsetup Permite hacer todo, incluso tareas que no se pueden efectuar desde el entorno de ventanas. Por ejemplo: Uso de alias de red que permiten que un mismo interfaz se pueda conectar a redes lógicas diferentes. 3

5 Según hemos consultado no hay evidencia de que Mac OS X implemente algún protocolo de red que no sea TCP/IP. La configuración de red se suele hacer desde el entorno de ventanas, pero si queremos a finar determinados aspectos no quedará otra forma que utilizar los comandos Los interfaces predeterminados de red son: FastEthernet, Thunderbolt, WIFI, Bluetooth PAN... Se pueden crear más, pero estos son los habituales. 1) FastEthernet no está presente en algunas máquinas portátiles actuales debido a las limitaciones de tamaño y al poco uso que suelen hacer los usuarios de éstos. Pero en los equipos que conciernen a un administrador de sistemas estará en todos puesto que será el dispositivo de red principal y hasta único en algunas ocasiones. 2) Thunderbolt se presenta como un interfaz propio de MAC que permite conectarse a diversos dispositivos tanto propietarios de MAC como no propietarios tales como tarjetas Gigabit Ethernet o incluso fiber channel. Presenta un ancho de banda de hasta 20 Gbps lo cual lo convierte en algo bastante interesante sobre todo a la hora de conectar tarjetas de red de fibra óptica que puede ser bastantes interesantes para determinados aspectos como conectar un servidor de un switch de fibra óptica. 3) Bluetooth se presenta una opción ampliamente utilizada para conectar dispositivos móbiles que no tienen dispositivo de red inalámbrica. Por otra parte también permite conectar un equipo MAC a una red (por ejemplo internet) utilizando la conexión que tenga el dispositivo móvil utilizado. Desde el punto de vista de un administrador no será un dispositivo que se use con frecuencia, no está pensado para uso en una red corporativa, sino para una PAN. 1.4 Configuración básica Tanto si se utiliza una red cableada o inalámbrica habrá que decidir aspectos comunes como son IP estática o dinámica. Si es dinámica no se necesita nada más, habrá un servidor DHCP que nos asigne IP, puerta de enlace predeterminada, servidores DNS, Wins, nombre del equipo. Si es estática es necesario al menos conocer la IP, máscara, puerta de enlace predeterminada y servidor DNS (puede haber más de uno, suele haber dos). Esto es lo mínimo necesario. Si la red es inalámbrica se suele necesitar autentificación y si es cableada también aunque de momento este último aspecto no está muy extendido. El tema de la autentificación es algo muy importante si le queremos dar cierto nivel de seguridad a la red, por ejemplo con autentificación aunque se disponga de red cableada no será suficiente con la conexión física de un equipo sino que serán necesarias las credenciales. Desde el punto de vista de un administrador nos centraremos en las redes cableadas puesto que prácticamente son las únicas que se utilizan para prestar diferentes servicios, aunque hay excepciones como puntos de acceso wifi corporativos, como son por ejemplo los de la udc. 4

6 Para la mayoría de las configuraciones de red se utilizará el panel de preferencias de Red para actualizar las configuraciones de la interfaz. Desde aquí se pueden realizar muchas tareas, podemos incluso combinar varias tarjetas de red para funcionar como una sola dando al mismo tiempo mayor rendimiento y seguridad. Mostraremos algunos ejemplos de utilización del interfaz gráfico disponible. Ejemplos de configuración de red No se adjuntarán todas las pantallas de configuración de red, pero si las más significativas. Es importante poner el nombre por el que está máquina será reconocida por el DNS, es decir el FQDN y el hostname. Luego aparece el asistente para usuarios y grupos (le daremos a Configurar Manualmente, no es objetivo ahora), Servicios de directorio (no lo configuraremos ahora), hasta que llegamos a la ventana mostrada en la página siguiente: 5

7 Toda esta información generada en vez de ponerla ya a funcionar se puede guardar y más tarde recuperarla para seguir configurando más aspectos. A esto se le denomina crear un perfil automático de servidor. Existen tres formas de crear esto: 1) Cuando se ejecuta Server Assistant en el propio servidor o de forma remota, en el panel de revisión, haga clic en Detalles. 2) Abrir Administración del Servidor, y en el menú Servidor, seleccione Crear perfil de configuración automática del servidor. 3) Server Assistant abierto de /System/Library/CoreServices, y luego seleccione Crear Auto Server. De cualquier manera que se guarde el perfil automático del servidor la información se guardará en formato XML en un fichero de extensión.plist en el que se indicará toda la configuración hecha. Es importante colocar este fichero en un directorio determinado (Auto Server Setup) puesto que cuando arranque el asistente lo buscará aquí de forma predeterminada. Este fichero se puede cifrar utilizando una frase para mayor seguridad. En cualquier caso para acceder a este fichero es necesario ser el root. Si se cifra pedirá la frase para poder acceder a él. 6

8 Esta es una ventana de configuración de un MAC OS X Server en la que se muestran opciones básicas de configuración. Se llega aquí mediante el icono Preferencias del Sistema, Preferencias compartidas. En esencia esta ventana es parecida el interfaz de Microsoft Windows 2012 Server correspondiente a Manage your Server que proporciona un interfaz gráfico que pretende facilitar las tareas de administración de cualquier tipo de servidor. Como Mac OS X implementa TCP/IP permite comunicarse con una amplia gama de máquinas que implementan este protocolo, tales como otros Mac OS X, Windows, Linux, unix, iphone IOS. También implementa varios servicios disponibles en la mayoría de sistemas operativos de tipo servidor disponibles en el mercado. Mac OS X es compatible con el sistema de autentificación Kerberos, si se utiliza, es muy importante tener el reloj de sistema sincronizado con un servidor de hora para evitar problemas derivados de esto. Kerberos es un protocolo de autenticación de redes de máquinas creado por el MIT que permite a dos ordenadores en una red insegura demostrar su identidad mutuamente de manera segura. Preferencias del servidor Vamos a Preferencias del servidor en donde elegimos el servidor a configurar (si tenemos más de uno) podemos configurar los siguientes servicios básicos: Compartir ficheros, Servicio de libreta de direcciones, servicios ical, ichat, mail, web, VPN, configuración de hora, firewall SI aquí creamos un nuevo usuario podemos concederle o denegarle acceso a determinados servicios. 7

9 Administrador de grupos de trabajo Aquí se puede administrar usuarios, grupos, máquinas, grupos de máquinas y administrar máquinas de usuarios finales. Si tenemos más de un servidor pondremos su FQDN, el usuario y la contraseña correspondiente al servidor en cuestión. Tipos de usuarios predeterminados en Mac OS X Server Existen dos usuarios predeterminados en un servidor Mac OS X Server: Cuenta de administrador local y Cuenta de administrador de Sistema. Ambos están activados por defecto y tienen la misma contraseña, pero si uno de ellos cambia la contraseña no se le cambiará al otro, es decir, no están sincronizados. Es recomendable que la Cuenta de administrador de Sistema no tenga la misma contraseña pues tiene todos los privilegios y alguien que sepa la contraseña de la Cuenta de Administrador local puede conseguir todo el control pudiendo deshacer todo. La cuenta de administrador del sistema puede tener acceso remoto mediante ssh o no, es configurable, y también es configurable si remotamente sólo se puede loguear o también administrar el sistema. Servicios significativos En caso de que tengamos un interfaz de fibra óptica de Apple podremos configurarlo como controlador Xsan. Si hay dos o más interfaces de red, se podrá establecer la máquina como pasarela de acceso a Internet, nos dará la opción de hacer esto, en este caso configurará automáticamente un servidor DHCP que proporcionará a los equipos cliente los parámetros necesarios para poder usar esta conexión, habilita el servicio NAT para compartir la conexión con el resto de los equipos del área local. En este caso asignará la IP a la interfaz interna, si queremos utilizar otra dirección de red interna es mejor no configurar esto en este paso aún. Ahora se pueden indicar el hostname y el FQDN. El hostname lo usan los equipos clientes para utilizar el protocolo AFP (Apple Filing Protocol) para compartir ficheros en red. El hostname puede contener espacios mientras que el FQDN no (será de tipo example1.nowhere.is). 8

10 1.5 Lista de servicios de red disponibles en un servidor Mac OS X Servicio Libreta de direcciones AFP DHCP DNS Firewall FTP ICal IChat Mail Función Servicio de compartir contactos Compartir ficheros de forma nativa para máquinas MAC OS Distribuye direcciones IP e información asociada Mapea direcciones IP a nombres Ayuda a prevenir ataques o minimizarlos en caso de que se produzcan Compartir ficheros entre máquinas de arquitecturas totalmente diferentes Servicio de calendario para usuarios y grupos Servicio de IChat para usuarios y grupos Servicio de correo Acceso Móvil Proporciona un proxy seguro para acceder a correo privado y servicios ICal sin requerir una VPN MySQL NAT Servicio para MySQL Network Address Translation NetBoot Arranque por red y servicios para instalación NFS Compartir ficheros para máquinas de tipo UNIX Open Directory Directorio compartido y servicio de autentificación Podcast Producer Automatiza y comparte el proceso de creación de podcast 9

11 Print Push notification Ofrece servicios de impresión Notifica a un cliente si ha recibido una invitación a un evento o un nuevo correo electrónico QuickTime Streamming Player Flujo de medios para acceder via webpage o QuickTIme RADIUS Autentificación estricta para acceso remoto a un servidor SMB Software Update VPN Web Compartir ficheros para Windows y para Macs Ofrece actualizaciones de software de Apple almacenadas localmente Servicio VPN Crea y almacena múltiples sitios web Xgrid Administra procesamiento de trabajos a través de un grid de Macs Algunos servicios de estos se comentarán en las páginas siguientes, se explicará algo de su uso y configuración. Compartir archivos en red. Diferentes protocolos implementados en Mac OS X La forma nativa de compartir es mediante el protocolo AFP (Apple Filing Protocol) que permite que se comuniquen en red diferentes equipos Mac OS. Si no hay equipos de otras arquitecturas diferentes es el más recomendable por motivos de rendimiento y seguridad. Con SMB (Server Message Block) se pueden compartir archivos entre diferentes máquinas de tipo Microsoft Windows. Es el que utiliza Windows de forma nativa. Con FTP (File Transfer Protocol) se pueden intercambiar ficheros entre máquinas de diferentes arquitecturas, es difícil encontrar una máquina en la cual no sea posible usar este protocolo. También esta implementado SFTP que básicamente es un servidor FTP seguro. Con NFS (Network File System) se pueden compartir archivos entre máquinas de tipo unix de forma nativa, así que será últil para tener una red con máquinas de tipo Mac OS y otras de tipo unix. Los protocolos más seguros en principio son AFP y SMB lo cual no quiere decir que configurándolos adecuadamente no lo sean también el resto. 10

12 2. Usuarios y Grupos Locales: Desde la versión 10 del sistema Mac OS (también conocida como OS X) el sistema operativo está basado en BSD y las tecnologías desarrolladas por la compañía NExT. Por lo cual es muy común encontrar una estructura de directorios similar y algunos archivos en común con la distribucion BSD. Algunos de estos archivos como /etc/passwd, /etc/master.passwd, /etc/groups son usados para almacenar información sobre los usuarios y grupos del sistema, pero en OSX estos archivos tienen un uso diferente. Si bien tienen información sobre usuarios y grupos, un banner al inicio de los archivos nos advierte de que estos archivos sólamente se consultan si el sistema cuando el sistema funciona en modo single user. Como se puede apreciar en la imagen superior, en osx el sistema obtiene la información sobre los usuarios y los grupos locales de Open Directory. El sistema utiliza el daemon opendirectoryd para acceder a servicios de directorios locales o remotos. Incluye módulos que permiten el acceso a servicios de directorio existentes como: Local Database, LDAP, Active Directory o NIS. Para obtener información de los servicios conectados existen dos principales utilidades. La primera Utilidad de Directorios, una utilidad que permite acceder a la información de manera gráfica, la segunda es el comando dscl para el terminal. Dos ejemplos sencillos del uso de este comando. El primero lista todos los usuarios del sistema y el segundo lista todos los grupos. 11

13 dscl. ls /Users dscl. ls /Groups En cuanto a los grupos locales más significativos encontramos el grupo wheel que tiene el gid igual a 0 y es el grupo al que pertenece el usuario root. Otro grupo importante es el grupo admin al que pertenecen todos los usuarios administradores del sistema. En cuanto al grupo staff contiene todos los usuarios que hemos creado en el sistema. Y por último los grupos everyone y nobody al que pertenecen todos los usuarios del sistema y ninguno, respectivamente. 12

14 3. Configuración Básica de Usuarios. Privilegios: En cuanto a la configuración básica de los usuarios mencionar el archivo /etc/sudoers que al igual que en los sistemas UNIX permite configurar la política de acceso al usuario root del sistema. En cuanto a la gestión de permisos, también está basada en los permisos estilo UNIX, con lectura, escritura y ejecución para dueño, grupo y resto de usuarios. También permite el uso de ACLs (Access Control List) para configurar los permisos de archivo/directorio, en el cuál nos centraremos en este apartado. En OS X las ACLs se configuran con el comando chmod. Existen tres grupos de permisos para configurar la seguridad en los elementos del sistema de ficheros, que serán aplicables a todos los objetos, sólo a objetos de tipo directorio o aplicables solo a ficheros. La configuración de un ACL se puede realizar bien mediante el comando chmod, o bien mediante la interfaz gráfica de finder aunque en este último sólo permite permisos generales, no permitiendo una granularidad completa a nivel de permisos concretos. Permisos aplicables a todos los objetos del sistema de ficheros: delete: Permite borrar el objeto. readattr: Permite leer los atributos del objeto. writeattr: Permite escribir los atributos del objeto. readattrext: Permite leer los atributos extendidos que se leen con xattr, como el de la URL de descarga. writeattrext: Permite escribir los atributos extendidos de un objeto. readsecurity: Permite leer la información de las ACL (con el modificador e de ls) writesecurity: Permite escribir la información de una ACL. chown: Permite cambiar el dueño de un objeto. Permisos aplicables sólo a directorios: list: Permite listar el contenido de un directorio. search: Permite buscar un fichero por nombre en un directorio. add_file: Permite añadir un fichero a un directorio. add_subdirectory: Permite añadir subdirectorios a un directorio. delete_child: Permite eliminar un objeto contenido en el directorio. (tiene preferencia sobre el delete aplicado a un objeto) Permisos aplicables sólo a ficheros: read: Permite ver el contenido de un fichero. write: Permite escribir en un fichero. append: Permite añadir contenido a un fichero sin sobrescribir el contenido anterior. execute: Permite ejecutar el fichero como un programa o script. 13

15 Los parámetros del comando chmod para utilizar ACLs son los siguientes: chmod +a: Añade una entrada en la ACL en la parte superior de la lista. chmod a: Elimina una entrada de la ACL. chmod +a#: Añade una entrada al ACL en la posicion #. chmod =a#: Reescribe la entrada # del ACL. Ejemplo: chmod +a admin allow delete proyecto.txt chmod +a staff deny delete proyecto.txt El archivo proyecto.txt solamente podrá ser borrado por un usuario del grupo admin. El operador N permite destruir una ACL. 14

16 4. ADMINISTRACIÓN DE CUENTAS: A lo largo de este apartado, nos centraremos en explicar cómo crear y borrar cuentas de usuario, así como los diferentes tipos que tenemos de usuarios y algunos aspectos más que podemos relacionar con la administración de cuentas. 4.1 Creación usuarios: Para empezar, no podemos explicar cómo crear una cuenta de usuario sin antes dar unas pequeñas pinceladas de los diferentes tipos de cuentas que conviven en este sistema operativo. Así pues, podemos diferenciar los siguientes tipos de cuentas: a. Cuentas de administrador: Este tipo de cuenta forma parte del grupo administradores y en consecuencia van a tener acceso completo a todas las aplicaciones, preferencias de sistema y archivos de sistema. En principio estos usuarios no tienen acceso a los archivos de sistema protegidos o a los archivos de otros usuarios fuera de las carpetas Pública y Web, esta limitación puede saltarse tanto en el entorno gráfico como desde la línea de comandos. Este es el tipo de cuenta que se crea por defecto cuando configuramos por primera vez nuestro Mac OS X (desde el Asistente de configuración). Todo sistema Mac OS X debería tener acceso a, por lo menos, una cuenta de administración y crear una cuenta estándar para el trabajo diario. b. Cuentas estándar: Este tipo de cuenta debería ser la que configuremos para un uso diario de nuestro MAC. Esta cuenta logra un equilibrio entre usabilidad y seguridad. Los usuarios estándar tienen acceso a la mayoría de los elementos, preferencias, aplicaciones, carpetas públicas. Las cuentas configuradas como usuario estándar, tan solo pueden llevar a cabo modificaciones en sus preferencias personales y a los elementos dentro de sus carpetas de inicio. Otro tipo de cambios que afecten a archivos del sistema u otro usuario no le son permitidos. c. Cuentas gestionadas por controles parentales: Los usuarios gestionados con controles parentales sólo pueden acceder a las aplicaciones y contenidos que especifique el administrador que gestione a estos usuarios. El administrador puede restringir los contactos y el acceso a sitios web del usuario y definir límites de tiempo para el uso del ordenador. Dada la similitud con una cuenta estándar, podemos hacer de una cuenta gestionada por controles parentales una estándar simplemente desactivando dichos controles parentales. 15

17 d. Usuario invitado: Desde Mac OS X 10.5 (Leopard) tenemos la posibilidad de habilitar al usuario invitado para que pueda trabajar en el sistema como un usuario normal. Esta cuenta tiene una serie de restricciones por cuestiones de seguridad, entre estas restricciones está la de borrar la carpeta de inicio del usuario una vez que este cierra sesión, de forma que cuando alguien inicie en esta cuenta el sistema creará una nueva carpeta de inicio. Por último, destacar que esta cuenta se encuentra habilitada por defecto únicamente con acceso para compartir archivos. e. Usuarios sólo compartir: Este tipo de usuarios son creados para acceder a los archivos y carpetas compartidas. Los usuarios sólo compartir carecen de una carpeta de inicio y no pueden iniciar sesión desde la interfaz de Mac ni en la línea de comandos. Los usuarios sólo compartir comienzan con un acceso similar al del usuario invitado, accediendo únicamente a carpetas públicas de otros usuarios. f. Usuario root: Esta cuenta pertenece al administrador del sistema teniendo acceso ilimitado a todo nuestro Mac. El trabajo con este usuario es muy peligroso si no estamos seguros de lo que hacemos, por lo tanto para prevenir desastres Mac OS X tiene deshabilitado iniciar sesión con él, ya que por defecto no tiene definida una contraseña. Una vez que ya conocemos los tipos de cuentas que permite el Mac OS X, podemos continuar explicando cómo se crearía una cuenta pero debemos conocer los atributos que este sistema asigna a cada cuenta: Nombre: Se trata del nombre completo del usuario. Este nombre puede contener prácticamente cualquier carácter y ser muy largo. Lo podemos cambiar en cualquier momento. Nombre corto: Este nombre identifica la cuenta. Ninguna otra cuenta en el sistema puede tener el mismo nombre corto, y no puede contener caracteres especiales o espacios. Contraseña: Este atributo es opcional aunque es muy recomendable crear una contraseña para cada usuario que creemos en el sistema, esto mejora mucho la seguridad. A continuación, una vez entendidos estos aspectos podemos proceder a crear el nuevo usuario. Si deseamos crearlo desde la interfaz gráfica es muy sencillo, ya que basta con desplazarnos por los menús, completar principalmente los 3 apartados anteriores y darle siguiente. Ahora bien, si por cualquier motivo no tenemos interfaz gráfica y 16

18 necesitamos crear un usuario desde la terminal podemos hacerlo gracias al comando: dscl, para saber más acerca de este comando podemos teclear en la terminal, al igual que en Linux man dscl. A continuación veremos un ejemplo de cómo haríamos para crear un nuevo usuario. Ejemplo: Tal y como vemos en este ejemplo, para crear un usuario con este comando debemos ponerle un uid (comienza en 501 siguiendo secuencialmente conforme vamos añadiendo usuarios, para evitar problemas le ponemos un número distante de 501 como en este caso 701), gid, un Shell por defecto, y un directorio home. Además tal y como vemos se le establece el realname. Lo siguiente se podría evitar si ponemos un gid de un grupo que existe. En el caso de este ejemplo, tendría que hacerlo un administrador del sistema y usaría el comando sudo. También podríamos hacer esto en el caso de ser el usuario root, que explicaremos a continuación como activar esta cuenta, sin necesidad de poner la palabra sudo. 4.2 Activar/Desactivar la cuenta root: Para comenzar, debemos saber lo que realmente significa el concepto de cuenta root ya que como hemos dicho antes trabajar de esta forma nos proporciona un acceso COMPLETO a todo el sistema. Una vez entendido esto, si queremos activar la cuenta de root tenemos 2 formas de hacerlo: 1. Desde la interfaz gráfica à Para hacer esto vamos al menú de Apple y seleccionamos Preferencias del sistema ; en el menú Visualización seleccionamos Usuarios y grupos ; hacemos clic en Opciones inicio sesión ; hacemos clic en Editar o Acceder y hacemos clic en Abrir Utilidad de Directorios ; Introducimos un nombre de cuenta administrador y contraseña y aceptar; Seleccionamos Activar usuario root en el menú Edición e introducimos la contraseñas de root y aceptamos. 17

19 2. Desde la terminal: 2.1. Para activar la cuenta de root desde la terminal podemos hacerlo con el siguiente comando: dsenableroot u usuario, donde usuario debe ser uno con privilegios de administrador. Una vez realizado esto nos pide la contraseña de usuario y luego la de root y verificar la de root. De esta forma ya estaría habilitada la cuenta de root Para desactivar la cuenta de root desde la terminal podemos hacerlo con el siguiente comando: dsenableroot d. 4.3 Eliminación de usuarios: Otro punto interesante a tratar dentro de la administración de cuentas es como eliminar una, pues puede darse el caso que pasado un tiempo no necesitemos algunas de las creadas y necesitemos eliminarlas. Para ello podemos hacerlo de dos formas diferentes: 1. Desde interfaz gráfica: seleccionamos el nombre de la cuenta que deseamos borrar haciendo clic en el situado bajo la lista de cuentas en el panel de cuentas. Mac OS X nos preguntará que deseamos hacer con los archivos y configuraciones dándonos 3 opciones: 1.1. Guardar la carpeta de inicio en una imagen de disco: esta opción está pensada por si acaso necesitamos volver a configurar una cuenta para el usuario eliminado. El sistema operativo guarda todos los archivos en un almacén digital de forma que ocupa menos en el disco duro. En la carpeta Usuarios/Usuarios eliminados aparecerá un archivo de imagen de disco (.dmg) que si hacemos doble clic sobre él podremos navegar por los archivos. Si queremos recuperar esta cuenta, creamos una nueva primero y luego copiamos todos estos archivos y configuraciones en la nueva cuenta No cambiar la carpeta de inicio: en este caso se elimina la cuenta de usuario de forma que deja de aparecer en la lista de inicio de la sesión y en la lista del panel de cuentas en preferencias del sistema, pero conserva la carpeta de inicio Eliminar la carpeta de inicio: Al seleccionar esta opción, la cuenta y todos sus archivos y ajustes desaparecen inmediatamente. 2. Desde la terminal: si somos un usuario administrador, ponemos sudo dscl. delete /Usuarios/nombreUsuario. Lo que sucede con esto es que no podemos elegir que borrado hace, es decir, elimina la cuenta y todos sus archivos y ajustes inmediatamente. 18

20 4.4 Comprender los tipos de contraseñas: Si observamos los sistemas de seguridad de Mac OS X, descubriremos que hay multitud de contraseñas con distintos niveles usadas para que el ordenador sea seguro. La mayoría de los usuarios finales sólo están familiarizados con su contraseña de cuenta de inicio de sesión, pero el Mac también puede tener otras contraseñas cada una con un propósito específico. A continuación se explica las contraseñas que proporciona el Mac OS X y la función de cada una. Contraseña de cuenta: Cada cuenta de usuario tiene varios atributos que definen la cuenta. La contraseña de cuenta es el atributo usado para autenticar al usuario, de forma que pueda iniciar sesión. Por razones de seguridad, la contraseña de cuenta de usuario se almacena en un archivo separado del resto de atributos de la cuenta. Las contraseñas de usuario se almacenan como archivos encriptados en una carpeta a la que sólo tiene acceso el usuario root. Contraseña de firmware: Se utiliza esta contraseña para proteger el Mac durante el arranque. Por defecto, cualquiera puede alterar los ajustes de seguridad del sistema Mac OS X utilizando alguna de las comúnmente conocidas combinaciones del teclado para la interrupción del arranque. Al establecer la contraseña de firmware podremos evitar que usuarios no autorizados puedan utilizar cualquier método de abreviado para abreviar o interrumpir el inicio del sistema. Contraseña maestra: esta contraseña se utiliza para resetear las cuentas de usuario estándar, administrador y FileVault si el usuario ha olvidado su contraseña de cuenta. Contraseña de recursos: Se trata de un término genérico utilizado para describir una contraseña utilizada por prácticamente cualquier servicio que requiera que se autentique. Las contraseñas de recursos incluyen las contraseñas de correo electrónico, los sitios Web, los servidores de archivo, aplicaciones e imágenes de disco encriptadas. Muchas contraseñas de recursos se guardan automáticamente para el usuario por el sistema de llavero. Contraseña de llavero: Este sistema protege los activos de autenticación importantes del usuario fuera de la contraseña de cuenta en ficheros de llavero encriptados. Cada archivo de llavero se encripta con una contraseña de llavero. El sistema tratará de mantener las contraseñas de llavero sincronizadas con la contraseña de cuenta del usuario. Sin embargo, también puede mantener contraseñas llavero únicas, separadas de la contraseña de cuenta. 19

21 4.5 Controles parentales: Tal y como hemos hablado anteriormente, existen cuentas gestionadas por controles parentales de los cuales comentaremos a continuación una serie de características. Los controles parentales lo que permiten es restringir más a un usuario definiendo lo que puede o no hacer en el sistema. Apple ha añadido estas características bajo el alias de los controles parentales orientados al consumidor, aunque siguen siendo aplicables en entornos institucionales o de negocio. Ya que los controles parentales están diseñados para limitar aún más las cuentas de usuario estándar, no pueden aplicarse a los usuarios administradores. Las opciones de gestión disponibles mediante los controles parentales incluyen cosas como: Utilizar Finder Simple para simplificar el Finder de forma que muestre únicamente los elementos más importantes para el usuario que gestiona. Crear una lista que defina las aplicaciones que un usuario puede abrir. Los usuarios no podrán abrir ninguna aplicación o widget que no aparezca en la lista. Habilitar el filtrado de servicios Web de safari o gestionar manualmente una lista de sitios Web permitidos o una combinación de sitios Web permitidos manualmente y automáticamente. Limitar Mail e ichat para que solamente puedan interactuar con direcciones aprobadas. Definir límites de tiempo para uso entre semana y fines de semana. Restringir acceso a impresoras, cambios de contraseña, medios ópticos y al Dock. Ocultar los tacos del diccionario integrado. Mantener registros de uso de aplicaciones, Safari e ichat. Registran tanto accesos permitidos como intentos de accesos fallidos. Si queremos habilitar y configurar los controles parentales debemos hacer lo siguiente: 1 Abrir la preferencia Controles Parentales y autenticarse como usuario administrador para desbloquear ajustes. 2 Seleccionar el usuario que queremos gestionar con los controles parentales de la lista de cuentas y haga clic sobre Activar controles parentales. 3 Seleccionar el usuario que quiere gestionar dentro de la lista de cuentas y utilizar las fichas para navegar a través de todas las opciones. Si tenemos una cuenta controlada por controles parentales y por cualquier motivo queremos quitárselos, podemos hacerlo haciendo clic sobre el botón Acción en la parte inferior de la lista de usuarios y a continuación seleccionando Desactivar controles parentales dentro del menú emergente. 20

22 5. Acceso Remoto: Los servicios que vamos a ver a continuación permiten a los usuarios ejecutar remotamente o controlar las aplicaciones y los procesos en el Mac que está suministrando el servicio. 5.1 Compartir pantalla Cuando se trata de solucionar problemas o de administrar, nada mejor que ver realmente la pantalla del ordenador y controlar su ratón y teclado. Toda la compartición de pantallas en Apple está basada en una versión ligeramente modificada del protocolo VNC (Computación virtual de redes). La modificación principal es el uso de encriptación opcional tanto para visualizar como para controlar tráfico. Nota: VNC es un estándar para el control remoto por lo que, si se configura apropiadamente, la tecnología de compartición de pantallas de Mac OS X se integra bien con otros sistemas de terceros basados en VNC. Por tanto, su MAC puede controlar (o ser controlado por) por cualquier otro software basado en VNC, independiente del sistema operativo. Usar la compartición de pantalla Este servicio, como su nombre implica, permite que otros usuarios vean y controlen la interfaz gráfica de su Mac a través de una conexión de red. Obviamente, para poder acceder remotamente a un Mac a través de la compartición de pantalla, el Mac remoto primero debe tener activado este servicio. Activar el servicio Compartir Pantalla 1. Abra preferencia Compartir seleccionando Preferencias del Sistema en el menú Apple y haciendo clic en Compartir. 2. Marque la casilla de verificación Compartir Pantalla El proceso del control launchd escuchará las peticiones de servicio Compatir Pantalla en el puerto TCP y UDP 5900, e iniciará el proceso de segundo plano AppleVNCServer cuando sea necesario para gestionar todas las peticiones. Por defecto, las cuantas que no son de invitado tendrán permitido acceder a este servicio. 21

23 Nota: launchd inicia, para y administra demonios, aplicaciones, procesos y scripts en OS X. Sustituye init, rc, init.d script, rc.d, SystemStarted, inetd / xinetd, crond, watchdogd. 3. De forma opcional, para limitar el acceso a la compartición de pantalla, seleccione el botón de opción Solo estos usuarios y, luego, haga clic en el icono con el signo más en la parte inferior de la lista de usuarios. En el cuadro de diálogo que aparecerá, seleccione los usuarios o bien grupos específicos a los cuales quiere permitir el acceso a la compartición de pantalla. Puede seleccionar usuarios o grupos existentes, o bien puede crear una nueva cuanta de usuario. 4. Si lo desea, para permitir que un rango amplio de usuarios acceda al servicio de compartición de pantalla de su Mac, haga clic en el botón Ajustes del ordenador. Permita el acceso de invitado y compartir pantalla VNC en el cuadro de diálogo que aparecerá a continuación, que puede ver en la figura. Al intentar acceder al servicio Compartir Pantalla de su Mac, el usuario que haya iniciado sesión deberá autorizarlo. De forma predeterminada, sólo a los usuarios locales y los grupos autorizados se les permite utilizar este tipo de servicio. Seleccione la primera opción si desea permitir que cualquier usuario ( de otro Mac ) pueda pedirle permiso para compartir pantalla. 22

24 Los visores estándar VNC de terceros no pueden autenticarse usando las cuentas de usuario estándar, por lo que deberá definir una contraseña para el acceso VNC. Recuerde que todo el tráfico estándar VNC no está encriptado. Otros no podrán utilizar las características que les permiten copiar y pegar, copiar archivos u otras funcionalidades del escritorio virtual. Controlar otro ordenador a través de la compartición de pantalla Puede conectarse a otro ordenador para compartir pantalla escribiendo manualmente su dirección de red en el cuadro de diálogo Conectarse al servidor. Este método también le permitirá conectarse y controlar cualquier host ofreciendo servicios estándar de VNC. Para controlar la interfaz gráfica de otro ordenador con Compartir pantalla, gestión remota ARD 3 o VNC activados: 1. Desde el Finder inicie una conexión al ordenador que quiera controlar usando lo siguiente: a. En el cuadro de diálogo Conectarse al servidor del Finder, escriba vnc:// seguido de la dirección IP del ordenador, nobre de host DNS o nombre de host local, como en el ejemplo de la figura. Luego, haga clic en el botón Conectar para continuar. El Mac abrirá automáticamente la aplicación /Sistema/Librería/CoreServices/Compartir Pantalla e iniciará una conexión al host especificado. 23

25 2. Aparecerá un cuadro de diálogo en el que debe escribir su información de autenticación. Opcionalmente, puede seleccionar la casilla de verificación que guardará esta información en su llavero de inicio de sesión. Haga clic en el botón Continuar para continuar. 3. Dependiendo del sistema remoto del ordenador y del usuario que con el que se esté autenticando, ocurrirá una de las siguientes tres situaciones: a. Si el ordenador remoto no es un Mac, conectará con la pantalla del ordenador remoto de forma instantánea. b. Si el ordenador remoto es un Mac en el que nadie ha iniciado sesión, o si se ha autenticado como el usuario actual, conectará con la pantalla actual de forma instantánea. c. Si el ordenador remoto es un Mac y se autentica utilizando un usuario diferente que el que está utilizando el Mac de destino en ese momento, verá un cuadro de diálogo que le permitirá elegir entre dicho usuario y un escritorio virtual para su propia cuenta. Si selecciona la primera opción, el usuario remoto verá un cuadro de diálogo con el que podrá permitirle el acceso. Si selecciona la segunda opción, se conectará instantáneamente a una nueva pantalla virtual en la que iniciará sesión con su propia cuenta. El otro usuario no sabrá que están utilizando su ordenador de forma remota. 4. Una vez conectado al ordenador virtual, se abrirá una nueva ventana cuyo título será el nombre del ordenador que está controlando, mostrándole una vista a tiempo real de la pantalla o pantallas del mismo. Siempre que esta ventana esté activa, todas las entradas de teclado y movimientos de ratón se enviarán al ordenador que está siendo controlado. Por ejemplo, si utiliza el método abreviado Comando Q, cerrará la aplicación activa en el ordenador de destino. Por lo tanto, para salir de la aplicación Compartir Pantalla, deberá hacer clic sobre el botón Cerrar (X) que está en la esquina superior izquierda de su ventana. 24

26 5. De forma opcional, elija Ver>Mostrar barra de herramientas para mostrar características adicionales para compartir la pantalla, incluyendo la capacidad de realizar capturas del Mac remoto y copiar y pegar entre ambos equipos. 6. También de forma opcional, si el ordenador remoto es un Mac, puede arrastrar archivos desde su Finder al escritorio del Mac remoto. Al hacerlo, abrirá un cuadro de diálogo de transferencia de archivos que le permitirá verificar el progreso de la transferencia o bien cancelarla. Al utilizar esta aplicación, deberá asegurarse de comprobar las opciones de sus preferencias eligiendo Compartir Pantalla>Preferencias desde la barra de menús. Utilice las opciones para ajustar el tamaño de pantalla, encriptación y otros ajustes referentes a la calidad. Tenga en cuenta que algunas conexiones de red como las inalámbricas abarrotadas o bien las conexiones de marcación son tan lentas que estas preferencias no importan demasiado y, simplemente, tendrá que esperar a que la pantalla se vuelva a dibujar. 5.2 Inicio de sesión remoto OS X incluye compatibilidad con el inicio de sesión remoto línea de comando mediante el protocolo SSH. La implementación de Apple del inicio de sesión remoto está basada en el popular proyecto OpenSSH. Para los principiantes, usar el inicio de sesión de forma remota es mucho más eficiente que compartir pantalla porque sólo se trasmite texto. Usar el inicio de sesión remoto SSH Este servicio, como su nombre indica, permite a los usuarios iniciar sesión en Mac desde la línea de comandos a través de una conexión de red SSH. Obviamente, para acceder a un Mac a través de éste, el Mac remoto debe primero tener el servicio de inicio de sesión remoto activarlo. Activar el servicio Sesión remota SSH Para activar el servicio de Sesión remota: 1. Abra la preferencia Compartir y autentíquese como un usuario administrador para desbloquearla. 2. Marque la casilla de verificación Sesión remota en la lista Servicio para activar el servicio de Sesión remota SSH. 25

27 El proceso de control launchd escuchará las peticiones del servicio de sesión remota en el puerta TCP 22 e iniciará el proceso de fondo sshd cuando sea necesario para gestionar cualquier petición. Por defecto, todas las cuentas de usuario estándar y administrador tendrán permitido el acceso a este servicio. 3. De forma opcional, para limitar el acceso a la sesión remota, seleccione Sólo estos usuarios y haga clic en el icono con el signo más. En el cuadro de diálogo que aparecerá, que ve en la figura, seleccione los usuarios estándar, administrador o grupos a los que quiere permitirles acceso. Nota: Al activar el servicio Sesión remota, también estará activando el servicio SFTP, una versión segura del protocolo FTP que permite el uso del comando de copia segura remota scp. 26

28 Controlar otro host a través de SSH La interfaz principal para SSH es el comando ssh. La sintaxis para iniciar una conexión de inicio de sesión remota usando SSH es ssh seguido del nombre del usuario con el que iniciará sesión, luego el y, por último, la dirección o el nombre del host del ordenador en el que quiere iniciar sesión. Activar Gestión remota ARD El servicio Gestión remota ARD (Apple Remote Desktop) es un software del lado del cliente que permite que la herramienta de administración ARD acceda a su Mac. ARD es la mejor herramienta de gestión remota de ordenadores MAC OS X. Además de compartir pantalla, ARD permite que los administradores accedan de forma remota a la información del sistema y a las estadísticas de uso, que cambien ajustes, añadan o bien eliminen archivos y software, envíen comandos UNIX o realicen prácticamente cualquier otra tarea de gestión en la que pueda pensar. El poder real de ARD es que puede ejecutar todas estas tareas simultáneamente en docenas de Mac con sólo unos pocos clics de ratón. Para activar el servicio Sesión remota ARD: 1. Abra la preferencia Compartir y autentíquese como un usuario administrador para desbloquear sus opciones. 2. Marque la casilla de verificación Gestión remota en la lista Servicio (véase figura) para activar ambos servicio del lado del cliente ARD y compartir pantalla. 27

29 El proceso de control launchd, inicia el proceso de segundo plano ARDAgent, que escucha las peticiones de administración entrantes en el puerto UDP 3283, y también inicia AppleVNCServer, que escucha peticiones para compartir pantalla en el puerto TCP Si es la primera vez que activa la gestión remota, verá un cuadro de diálogo como el de la figura 7.62 que le permitirá seleccionar las opciones ARD que quiere permitir para los usuarios locales no invitados. Puede seleccionar opciones individualmente o mantener pulsada la tecla Opción y, luego, seleccionar cualquier casilla de verificación para activar todas las opciones. Haga clic en Aceptar cuando haya terminado de realizar su selección. 28

30 6. Open Directory: 1. Que es Open Directory? Open Directory de Apple es el servicio de directorios LDAP implementado por Apple Inc. Un servicio de directorio es software que almacena y organiza, de una manera centralizada, información sobre una red de usuarios y recursos y que permite a los administradores de red gestionar a estos usuarios, recursos y demás relaciones entre sí. Almacenar los datos de esta manera nos proporciones diferentes ventajas. Eficiencia en la entrada de datos. Consistencia de la información. Simplifica la administración de usuarios y recursos. Proporciona un medio de identificación y autorización de acceso a recursos en red. Un servicio de directorio como Open Directory es útil en entornos empresariales o educativos de un número moderado de usuarios, pues es un forma sencilla de llevar un mantenimiento eficiente. Los administradores pueden administrar centralizadamente toda la información, tanto los nombres, contraseñas, etc sobre todos los usuarios como el mantener control sobre recursos como impresoras, equipos y otros dispositivos de la red. Gracias a este control superior se reduce la carga de trabajo para el administrador.además cualquier usuario puede acceder a su cuenta desde cualquier equipo perteneciente a la red mientras tenga los permisos de acceso requeridos. Como ya deberíamos saber, con un servicio así, desde el punto de vista del usuario, siempre que se inicia una sesión, el usuario obtiene la misma carpeta de inicio, escritorio personal y configuraciones individuales. El usuario siempre tiene acceso a sus archivos en red y puede utilizar los recursos de red autorizados de una manera sencilla. Veamos ahora el tema desde un punto de vista más técnico. Un servicio de directorio actúa como intermediario entre las apps y procesos, que necesitan información sobre usuarios y recursos, y los dominios que almacenan la información. 29

31 Open Directory puede acceder a información de uno o vario dominios. Estos dominios de directorio almacena información en una base de datos optimizada y enfocada a poder soportar una gran cantidad de peticiones de información, y responder a estas de una manera rápida y eficiente. Los procesos que se ejecutan en ordenadores Mac pueden usar Open Directory para almacenar información en los dominios de directorio. Por ejemplo al crear un usuario, esa información queda almacenada y es accesible. En el sentido contrario, otras apps y procesos pueden usar la información almacenada, por ejemplo en en un proceso de login. A continuación se muestran varias tareas en la que Mac OS Server usa el Open Directory: Login: Puedes crear usuarios y guardarlos en un dominio de directorio y esos datos usarlos para ingresar en tu cuenta de Mac. Cuando un usuario escribe sus datos de login, nombre y usuario, el proceso pregunta a Open Directory si existe ese usuario y si existe recupera otro dato para comprobar si el pass es correcto. Accesos a archivos y carpetas: OS X usa datos de la información de usuario para determinar los privilegios de este usuario. Carpeta personal: Cada usuario almacena su carpeta de usuario. Aquí es donde el usuario guarda archivos, carpetas y configuraciones personales. Administración de grupos y usuarios: El administrador podrá editar las configuraciones de los usuarios y grupos. Cabe destacar que la configuración de un grupo afecta a todos sus integrantes y que las configuraciones que un 30

32 administrador imponga a un usuario sobreescribe la configuración personal de ese usuario. Correo, recursos en red.. Open Directory puede acceder a dominios de directorio para los siguientes tipos de servicios de directorio: Lightweight Directory Access Protocol (LDAP), un estándar abierto común en entornos mixtos de ordenadores Mac, UNIX y Windows. LDAP es el servicio de directorio nativo para los directorios compartidos en OS X Server. Dominio de directorio local, el servicio de directorio local para OS X v10.6 y OS X Server o posterior. Active Directory, el servicio de directorio de Microsoft Windows 2000 y 2003 servers y posteriores. Network Information System (NIS), el servicio de directorio de muchos servidores UNIX. 2. Dominios locales y compartidos Todos los ordenadores Mac tienen un dominio de directorio local, donde se almacenan datos que son visibles a las apps del ordenador dueño de ese dominio. Es el primer lugar donde se busca datos en un proceso de login o cuando se requiere información almacenada en un dominio de directorio. Si el usuario ingresó correctamente podría elegir "Connect to Server" en el menú Go y conectarse a un servidor de Mac para tener acceso a los archivos. 31

33 Pero el potencial de Open Directory es que permite que varios ordenadores Mac comparten datos administrativos mediante el almacenamiento de los datos en los dominios de directorios compartidos. Si Open Directory no encuentra el registro de un usuario en el dominio de directorio local de un Mac, Open Directory puede buscar el registro del usuario en cualquier dominio compartido al que el sistema tenga acceso. El acceso a los servidores esta restringido para proteger los datos. Los datos del directorio deben estar siempre disponibles. Estos servidores a menudo tienen funciones de hardware adicionales que mejoran su fiabilidad. Open Directory puede buscar en dominios que no sean de Apple. 3. Tipos de cuentas en Open Directory Hay tres principales tipos de cuentas de usuario. Local account: Son cuentas creadas en el panel de cuentas en un equipo OS X. Remote account: Es una cuenta que vive completamente en el servidor. Puedes iniciar sesión con el mismo entorno de usuario en todos los ordenadores conectados al directorio. Perfecto si lo que tienes son varios ordenadores y deseas una movilidad flexible. 32

34 Mobile account: Es una especie de híbrido entre los dos tipos anteriores. El equipo hace una copia de la información del usuario en su Open Directory y lo mantiene en sincronía siempre que puede. 4. Administración 4.1 Cómo administrar Lo primero que debemos saber es que necesitamos para poder configurar Open Directory: OS X Server instalado y compatible con el servicio Open Directory. Conexión a la red. Una dirección IP estática asignada. La Directory Utility app proporciona una interfaz gráfica para administrar los servicios de Open Directory. Pero también puedes usar una serie de comandos para esta misma tarea por medio de la terminal. También puedes administrarlo mediante la aplicación Server app. Con la Server app puedes: Configurar y administrar cuentas de usuario y cuentas de grupo. Administrar puntos de participación para los servicios de archivos. Establecer políticas de contraseñas que se aplican a todos los usuarios que no tienen políticas de contraseñas individuales imperativos. Supervisar los servicios de Open Directory. Con la Directory Utility puedes: Definir las políticas para la búsqueda de múltiples servicios de directorio para la información de autenticación y contacto. Activar o desactivar los tipos de servicios de directorio y tipos de detección de servicios de red. Ver las entradas de directorio mediante Directory Editor. Además existen una serie de comandos están disponibles para los administradores que prefieren utilizar la terminal como vía para la administración de servidores. 33

35 4.2 CREAR UN DOMINIO DE DIRECTORIO 1. Entrar en Server app y elegir el OS X Server de la lista, clic en Continuar. 2. Autenticarse como administrador. 3. Una vez autenticado, seleccionar el Open Directory. Activarlo para empezar. 4. Aparecerá un asistente que guiará la configuración inicial. Seleccione la opción "Crear un nuevo Open Directory Domain" y hacer clic en siguiente. 5. A continuación pide crear una cuenta de administrador de Directorio que servirá para gestionar las tareas relacionados con el directorio. Clic en siguiente para crear la cuenta. 6. En el siguiente paso se pide la información sobre la organización y una dirección de correo electrónico del administrador. Haga clic en siguiente para continuar. 7. En la siguiente pantalla se mostrará toda la información introducida para su revisión y confirmación. El Master es designado como el primer servidor de Open Directory en el grupo. Los servidores adicionales de Open Directory Y en el mismo grupo se llaman réplicas. Si la configuración es correcta, continuar. 8. Después de que el proceso de instalación ha finalizado, la visualización del panel de servicio Open Directory mostrará todos los servidores de directorios disponibles en el grupo, así como su designación (master o réplica) 34

36 4.3 UNIRSE A UN DOMINIO DE DIRECTORIO EXISTENTE. Para poder efectuar esta tarea deberás conocer el nombre del servidor Open Directory al que quieres unirte como réplica y tener unas credenciales de administrador. Si cumples estas dos premisas los pasos siguientes son muy sencillos. 1. Abra Preferencias del Sistema. 2. Haga clic en Usuarios y grupos. 3. Haga clic en el candado para autenticar y poder realizar los cambios. 4. Una vez autenticado, seleccione Opciones de conexión, haga clic en el siguiente botón Editar. 5. Aparecerá un menú, clic en + para para añadir un servidor. 6. Buscar el servidor en la lista desplegable y haga clic en Aceptar. 7. El servidor seleccionado debería aparecer ahora en la lista de servidores. Haz clic en OK para completar la tarea. Los equipos se unirán al directorio del dominio abierto creado en los pasos anteriores y lo más importante, les permiten acceder a los recursos y servicios de la red. 4.4 ARCHIVAR Y RESTAURAR DATOS OPEN DIRECTORY Información como la base de datos de directorio LDAP (datos de las contraseñas), archivos de configuración,la configuración de Kerberos, etc pueden ser archivados y restaurados. Estos archivos generados sólo son utilizados por los Open Directory masters. Si una réplica desarrolla un problema, puede eliminarlo como una réplica del maestro Open Directory, configurar la réplica como si se tratara de un nuevo servidor, y luego configurarlo de nuevo como una réplica del mismo maestro. Archivar los datos de Open Directory usando la Server app 35