ELVIA RAQUEL RAMÍREZ ESPINOSA DE LOS MONTEROS

Transcripción

1 UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Voluntad. Conocimiento. Servicio. ANÁLISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY SERVICIO DE ADMINISTRACIÓN TRIBUTARIA Reporte de Estadía para Obtener el Título de Técnico Superior Universitario en Telemática ELVIA RAQUEL RAMÍREZ ESPINOSA DE LOS MONTEROS Santiago de Querétaro Abril 2006

2 UNIVERSIDAD TECNOLÓGICA DE QUERÉTARO Voluntad. Conocimiento. Servicio. ANÁLISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY SERVICIO DE ADMINISTRACIÓN TRIBUTARIA Reporte de Estadía para Obtener el Título de Técnico Superior Universitario en Telemática Asesor de la Empresa: ING. CÉSAR SANDOVAL VALDEZ Asesor de la Universidad: ING. JULIETA ELIZABETH GRANADOS GONZÁLEZ Alumno: ELVIA RAQUEL RAMÍREZ ESPINOSA DE LOS MONTEROS Santiago de Querétaro Abril 2006

3 AGRADECIMIENTOS Primero que nada quiero agradecer a Dios por darme vida, salud y amor. Por ayudarme y no dejarme nunca. A mi hijo Miguel Ángel, que me ha enseñado el amor incondicional y que ha sido mi principal motor desde el día en que nació; a Carlos Cázarez por su gran apoyo. Deseo expresar mi más profundo afecto y aprecio a la Ing. Julieta Granados por su amistad, ayuda, apoyo y dedicación. Me gustaría también reconocer la contribución de las numerosas personas que generosamente entregaron su tiempo, su corazón y sus recursos para apoyar con sus enseñanzas. Una lista parcial incluye a: Enrique Cueto, Martín, Alma Reina, Rene Piña, Ricardo Toledo, Cecilia Lozada, César Sandoval, Laura Briceño, Joel Romero, Lorena Corona.

4 AGRADECIMIENTOS ÍNDICE INTRODUCCIÓN CAPÍTULO I ANÁLISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY PÁG. 1.1 Servicio de Administración Tributaria (SAT) Giro de la empresa Organigrama General Organigrama del Área (SEABD) Análisis de necesidades Definición del proyecto Objetivos Justificación Alternativas de solución Elección de la alternativa óptima 24

5 1.5 Plan de trabajo Diagrama de Gantt Especificaciones 28 CAPÍTULO II DESARROLLO DEL PROYECTO 2.1 Descripción detallada del plan de trabajo Planificación Objetivo del sistema Análisis Reconocimiento del problema Viabilidad económica Viabilidad técnica Análisis de necesidades Análisis técnico Modelo de la arquitectura del Análisis de Autenticación del Active Directory Diseño Capacitación 47

6 2.4 Pruebas Liberación 49 CAPÍTULO III CONCLUSIONES 3.1 Dificultades Logros obtenidos Recomendaciones Aportaciones 53 ANEXOS GLOSARIO MATERIAL DE CONSULTA

7 INTRODUCCIÓN El modelo educativo de la Universidad Tecnológica de Querétaro (UTEQ) propone que los estudiantes realicen una estadía de 4 meses en el sector laboral, con la finalidad de desarrollar un proyecto que sea benéfico para la empresa y que a su vez le permita obtener el Título de Técnico Superior Universitario. El proyecto se llevó a cabo en el Servicio de Administración Tributaria (SAT), que se encarga de llevar a cabo la actividad de recaudación de impuestos de manera eficaz, en un marco de justicia y equidad contributiva y tiene como función verificar el buen cumplimiento de las leyes fiscales dentro de la República. Dentro del SAT existe la Subadministración de Explotación y Análisis de Bases de Datos (SEABD), donde se realizó el proyecto de ÁNALISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY. Se creó un documento, un manual de usuario y se capacitó al personal de esta Subadministración. En el primer capítulo se presentan los aspectos más importantes de la empresa Servicio de Administración Tributaria (SAT), como lo son el giro de la empresa, organigrama, etc.

8 En este mismo se plasmaron los objetivos y el alcance que se desea cubrir con el desarrollo del proyecto (ANÁLISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY). En el segundo capítulo se exponen de forma detallada todas las actividades que se tomaron en cuenta para levar a cabo la realización de este proyecto. Por último, en el tercer capítulo se abordan temas relacionados con las dificultades que se presentaron durante el desarrollo del proyecto, también se presenta una lista de recomendaciones.

9 CAPÍTULO I ANÁLISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY

10 1.1 Servicio de Administración Tributaria (SAT) Giro de la empresa A continuación se presenta información de la empresa, ésta se tomó de la Intranet del Servicio de Administración Tributaria (IntraSAT), del Manual de calidad de la ACCF (Administración Central de la Capacitación Fiscal) y de las memorias del Instituto Nacional de Capacitación Fiscal (INCAFI). A partir del primero de julio de 1997 surge el Servicio de Administración Tributaria (SAT) como un órgano desconcentrado de la Secretaría de Hacienda y Crédito Público, con carácter de autoridad fiscal con atribuciones y facultades vinculadas con la determinación y recaudación de las contribuciones federales que hasta ahora ha ejercido la Subsecretaria de ingresos, que tendrá por objeto dar respuesta a demandas y necesidades que surgen de la propia dinámica económica y socia del país, y se enmarca en la tendencia mundial orientada a modernizar y fortalecer las administraciones tributarias, como herramienta para que la actividad de recaudación de impuestos se realice de manera eficaz y eficiente, ante todo, en un marco de justicia y equidad contributiva. 12

11 Así mismo destaca la necesidad de garantizar la aplicación correcta y oportuna de la legislación fiscal y aduanera de manera imparcial y transparente. De esta manera, al contar con una organización especializada conformada con personal calificado, se puede responder con agilidad, capacidad y oportunidad a las actuales circunstancias del país. Su principal función es llevar a cabo la actividad de recaudación de impuestos de manera eficaz y ante todo, en un marco de justicia y equidad contributiva. Esta medida es de capital importancia porque permite disponer de recursos necesarios para ejecutar los programas propuestos por el gobierno federal para impulsar el desarrollo general. Objetivo de la Subadministración de Explotación y Análisis de Bases Datos Coordinar el desarrollo de sistemas de cómputo que faciliten el desarrollo, la operación y difusión de los procesos y la toma de decisiones responsabilidad de la Administración Central de Capacitación Fiscal. 13

12 1.1.2 Organigrama general El Servicio de Administración Tributaria (SAT) depende de la Secretaria de Hacienda y Crédito Público (SHCP). Diez Administraciones Generales se desprenden de esta Organización: 1. Administración General de Tecnología de la Información (AGTI). 2. Administración General de Aduanas (AGA). 3. Administración General de Auditoria Fiscal Federal (AGAFF). 4. Administración General de Jurídica de Ingresos (AGJ). 5. Administración General de Recaudación (AGR). 6. Administración General de Innovación y Calidad (AGIC). 7. Administración General de Grandes Contribuyentes (AGGC). 8. Administración General de Auditoría Fiscal Federal (AGAC). 9. Administración General del Destino de Bienes de Comercio Exterior Propiedad del Fisco Federal (AGDBCEPFF). 10. Administración General de Evaluación (AGE). La Administración General de Innovación y Calidad, tiene a su vez, seis administraciones centrales; una de ellas es la Administración Central de Capacitación Fiscal (ACCF), que está formada por cinco Coordinaciones. 14

13 La Coordinación de Tecnología Educativa (CTE), perteneciente a la ACCF divide sus actividades en tres administraciones; una de las integrantes es la Administración de Desarrollo de Herramientas Tecnológicas (ADHT), encargado de dos Subadministraciones: Subadministración de Diseño y Desarrollo de Sistemas (SDDS). Subadministración de Explotación y Análisis de Bases de Datos (SEABD). La SEABD es el área en donde se desarrolló el proyecto. 15

14 Fig Organigrama General JUNTA DE GOBIERNO PRESIDENCIA COMISIÓN DEL SERVICIO FISCAL DE CARRERA ADMINISTRACIÓN GENERAL DE ASISTENCIA AL CONTRIBUYENTE SECRETARIADO TÉCNICO DE LA COMISIÓN DEL SERVICIO FISCAL DE CARRERA ADMINISTRACIÓN GENERAL DE TECNOLOGÍA DE LA INFORMACIÓN ADMINISTRACIÓN GENERAL DE GRANDES CONTRIBUYENTES ADMINISTRACIÓN GENERAL DE RECAUDACIÓN ADMINISTRACIÓN GENERAL DE AUDITORíA FISCAL FEDERAL ADMINISTRACIÓN GENERAL JURÍDICA ADMINISTRACIÓN GENERAL DE ADUANAS ADMINISTRACIÓN GENERAL DE INNOVACIÓN Y CALIDAD ADMINISTRACIÓN GENERAL DE EVALUACIÓN ADMINISTRACIÓN GENERAL DEL DESTINO DE BIENES DE COMERCIO EXTERIOR PROPIEDAD DEL FISCO FEDERAL UNIDAD DE CONTRALORÍA INTERNA 16

15 Fig Organigrama del Área (SEABD) Administración central de capacitación fiscal COORDINACIÓN DE CULTURA Y DESARROLLO HUMANO COORDINACIÓN DE PROCESOS EDUCATIVOS COORDINACIÓN DE EXTENSIÓN Y VINCULACIÓN COORDINACIÓN DE TELECOMUNICACIÓN EDUCATIVA COORDINACIÓN DE TECNOLOGÍA EDUCATIVA ADMINISTRACIÓN DE APRENDIZAJE COLABORATIVO ADMINISTRACIÓN DE DESARROLLO DE HERRAMIENTAS TECNOLÓGICAS ADMINISTRACIÓN DE NUEVAS TECNOLOGÍAS SUBADMINISTRACIÓN DE DISEÑO Y DESARROLLO DE SISTEMAS SUBADMINISTRACIÓN DE EXPLOTACIÓN Y ANÁLISIS DE BASES DE DATOS 17

16 1.2 Análisis de necesidades Definición del proyecto Dentro del Servicio de Administración Tributaria se utilizan diferentes contraseñas, empezando por ingresar a la computadora hasta tener acceso a cada aplicación. Cada una de las aplicaciones cuenta con un usuario y password, (los passwords tienen diferentes nombres para cada aplicación que se utiliza). Existe una plantilla donde se registran todos los datos de los empleados del SAT y en ésta están registradas varias claves que se sacan como RFC (se utilizan los nombres y diferentes datos de la misma plantilla). Para cada una de las aplicaciones se utilizan diferentes claves. El uso de muchas claves para diferentes aplicaciones implica: Pérdida de tiempo. Errores a la hora de entrar. Las personas no recuerdan todos los passwords para entrar a cada aplicación. Buscar en plantilla las claves para la gente que olvidó su clave. 18

17 Confusión de claves para el ingreso a las aplicaciones. El no tener acceso a una PC ajena ya que en cada computadora hay que ingresar la clave del usuario al que se le asignó anteriormente esa máquina. La manera de solucionar estos problemas (pérdida de tiempo, errores a la hora de entrar a alguna aplicación y no tener acceso a ninguna PC que no sea la propia) es la aplicación del Active Directory, mediante el uso de esta herramienta es posible tener acceso a todas las aplicaciones utilizando sólo un usuario y contraseña. El proyecto ANÁLISIS DE AUTENTICACIÓN DEL ACTIVE DIRECTORY se define como una herramienta la cual esté instalada en todas las computadoras y pueda ser utilizada por todos los empleados que laboran en el SAT (área de SEABD) y que cuenten con una computadora. Ésta debe abrir todas las aplicaciones con una misma clave y al mismo tiempo tener la seguridad de una autenticación con la cual se tenga seguras las aplicaciones (ésta es proporcionada por NT). Se realizará un documento para la Subadministración de Explotación y Análisis de Bases de Datos (SEABD), que contenga puntos específicos requeridos por parte de la misma. 19

18 A los usuarios se les elaborará un manual que contenga detalladamente el manejo del Active Directory. Estos últimos tendrán una capacitación. El alcance que tendrá este proyecto se describe dentro de los siguientes puntos: La herramienta estará instalada en todas las máquinas y podrá ser usado por cualquier persona que quiera tener acceso (desde las máquinas como a las aplicaciones) usando una sola clave. En cada una de las solicitudes para ingresar a alguna aplicación la herramienta pedirá nuevamente la clave, en ese momento la herramienta revisará si el usuario tiene los permisos o no para hacer uso de la aplicación. El documento estará diseñado para satisfacer las necesidades de la Subadministración de Explotación y Análisis de Bases de Datos (SEABD). 20

19 El manual será para que los usuarios comprendan y si se llega a tener una duda o falla éste pueda servir como apoyo. A todos los usuarios de esta herramienta se les capacitará con un manual del usuario, una explicación con imágenes y el Active Directory en una computadora para ejemplos, con el fin de que las personas a capacitar hagan buen uso de manejo de ésta Objetivos Satisfacer las necesidades del departamento Subadministración de Explotación y Análisis de Bases de Datos (SEABD) al momento de entrar a la computadora o alguna aplicación se puedan autenticar con una sola clave. Tener acceso a todas las computadoras con la clave de autenticación sin importar que esa máquina no sea la asignada a ese usuario. Que el documento esté de forma adecuada para satisfacer las necesidades de la Subadministración de Explotación y Análisis de Bases de Datos (SEABD). 21

20 Utilizar sólo una clave para todas las aplicaciones (correo, páginas Web, etc.). Que manual del usuario y la capacitación sirva para el manejo y uso correcto de esta herramienta, verificando el entendimiento con encuestas entre los capacitados así como evaluarlos Justificación Con esto se obtendrá: Tener la seguridad de una autenticación, mediante una herramienta ya estable. Poder verificar los permisos de cada uno de los usuarios que entraron. Reducción en la pérdida de tiempo que se tiene cuando se está buscando la clave o tratando de recordarla. La optimización de recursos. 22

21 1.3 Alternativas de solución Para la solución del problema que se presenta actualmente se pensó en 3 alternativas de solución, que continuación se mencionan: El seguir manejando muchas claves (una para cada aplicación), trabajar como hasta ahora. Para no tener que interrumpir a los empleados de la Subadministración de Explotación y Análisis de Bases de Datos (SEABD) en sus actividades. Cambiar todas las claves de la plantilla por una sola para que se pueda usar esa en cada una de las aplicaciones con la finalidad de que cada uno de los empleados de la Subadministración de Explotación y Análisis de Bases de Datos (SEABD) sólo utilicen una clave para todo. La implementación de una herramienta que permita comprobar una contraseña para el acceso a la computadora, como a cada una de las aplicaciones que se utilicen con la seguridad que proporciona una herramienta ya elaborada con cada una de las funciones bien definidas (como el Active Directory). 23

22 1.4 Elección de la alternativa óptima La mejor alternativa para la solución del problema es el implementar una herramienta (Active Directory) que permita autenticar desde el inicio de la computadora y una segunda autenticación para todas las aplicaciones que se tengan, con una sola clave y contar con los permisos definidos para entrar a cualquier aplicación. Y el tener acceso a cualquier máquina y ser reconocido en la red. Un documento para la Subadministración de Explotación y Análisis de Bases de Datos (SEABD) que contenga puntos ya específicos por parte de esta Subadministración. Un manual del usuario que guíe a éste, paso a paso, en el manejo de esta herramienta. Una capacitación para que el usuario tenga un mejor panorama de lo que es la herramienta y cómo funciona más la resolución de dudas. 24

23 1.5 Plan de trabajo Diagrama de Gantt 25

24 26

25 27

26 1.5.2 Especificaciones Para la implementación de la herramienta se cumplirá con los objetivos del plan de trabajo y se tratará de cumplir con los tiempos que ya se marcaron en el diagrama de Gantt anterior. Los puntos a cumplir se presentan a continuación: Planeación La planeación proporcionará un marco de trabajo que permitirá hacer estimaciones razonables de todos los recursos y costos para también hacer una planificación temporal. o Recursos Se realizará un listado de los materiales que sean útiles para desarrollar el proyecto (Análisis de Autenticación del Active Directory), llevando a acabo un estudio de la infraestructura con la que cuenta la empresa. o Costos Se determinarán el costo monetario para cada uno de los materiales que se requieren, para comprobar si es factible el desarrollo del proyecto (Análisis de Autenticación del Active Directory). 28

27 o Planificación temporal Se establecerán los tiempos de inicio y de finalización que se tendrán en el desarrollo del proyecto (Análisis de Autenticación del Active Directory) Análisis Se estudiarán los requerimientos solicitados por el usuario para poder encontrar una mejor solución a los problemas planteados, de una forma eficaz y cumpliendo con los tiempos de entrega. A continuación se presentan los aspectos más importantes a tomar en cuenta durante todo el desarrollo de esta etapa. o Se realizará el Análisis de Autenticación del Active Directory para determinar: Cuáles son los problemas que se tienen? Cómo se están autenticando actualmente? Qué beneficio se obtendrá al implementar la autenticación? 29

28 o Se acordarán reuniones con los usuarios y con el solicitante del proyecto (Análisis de Autenticación del Active Directory), para hacer una lista de sugerencias y propuestas de las opciones que tiene la autenticación y que se desean incluir. o Se realizará tecnológica proyecto. un estudio de la nueva herramienta a implementar, para el desarrollo del Diseño Para el diseño de los documentos se utilizarán los siguientes paquetes: Microsoft Word Microsoft Excel Se generarán vistas previas del la herramienta y el diseño del documento y manual del usuario. Capacitación Se reunirá a los usuarios a capacitar para el uso adecuado de esta herramienta. 30

29 Pruebas Se realizará la verificación del funcionamiento correcto de la herramienta probando todas sus opciones. La herramienta está dentro de: Windows 95 Windows 98 Windows 2000 Windows 2000 Server Windows 2003 Server Windows NT 4.0 A continuación se describen algunos métodos a tomar en cuenta para realizar las pruebas correspondientes. Se verificará el funcionamiento de la autenticación al momento de encender la computadora. Se revisará la autenticación pero para cada aplicación. Se realizará una revisión de todas las opciones para agregar o quitar herramientas, según la lista de sugerencias. 31

30 Liberación La liberación será realizada por los encargados y directivos de la Subadministración de Explotación y Análisis de Bases de Datos (SEABD) después de ver el funcionamiento correcto de la herramienta, la capacitación de los usuarios, la entrega del documento para la Subadministración y el manual del usuario, para realizar la implementación de la autenticación del Active Directory. 32

31 CAPÍTULO II DESARROLLO DEL PROYECTO

32 2.1 Descripción detallada del plan de trabajo A continuación se mencionan los pasos que se siguieron para desarrollar este proyecto. 1. Planificación 2. Análisis 3. Diseño 4. Capacitación 5. Pruebas 6. Liberación 2.2 Planificación Como ya se había mencionado anteriormente, el objetivo de este proyecto es proporcionar un marco de trabajo que permita hacer el análisis de la herramienta para hacer estimaciones razonables de recursos, costos y planeación temporal. Estas estimaciones se hacen dentro de un marco de tiempo limitado al comienzo de un proyecto de análisis y documentación, y 33

33 deben actualizarse regularmente a medida que progresa el proyecto. La elaboración del presupuesto para este proyecto se basó en los materiales necesarios para llevarlo a cabo: Una computadora Aplicaciones (para hacer las pruebas) Un servidor Active Directory Los costos de estos recursos que se utilizaron en el proyecto para la realización del mismo son los siguientes: Servidor Aplicaciones Computadora Active Directory (Windows) 34

34 Algunos de los materiales antes mencionados son parte de la infraestructura del Servicio de Administración Tributaria (SAT) por lo que no se consideraron los costos de éstos. El personal necesario para elaborar el proyecto es el siguiente: Un líder de proyecto Un administrador de dominio Un analista Un encargado para realizar pruebas Para llevar acabo la planeación temporal, se uso el software de Microsoft Project, con él se elaboró un diagrama de Gantt, el cual permitió establecer los tiempos a intervenir para cada una de las actividades definidas para el completo desarrollo del proyecto. 35

35 2.2.1 Objetivo del sistema Gracias al análisis se estudiaron los diferentes aspectos para poner en marcha la documentación del Análisis de Autenticación del Active Directory. Éste tiene como objetivo autenticar a los usuarios tanto al momento de encender la computadora y al solicitar cada una de las aplicaciones. Utilizando una clave para autenticarse en todo, reduce la pérdida de tiempo (buscando o recordando cada una de las claves) y con la seguridad que brindan los permisos asignados y los perfiles de cada uno de los usuarios, permitiendo que puedan entrar a otras máquinas sin ningún problema y actualizando cualquier cambio automáticamente. 2.3 Análisis Reconocimiento del problema En la siguiente lista se mencionan los aspectos más importantes a considerar para el desarrollo del proyecto: Utilizar sólo una clave para el acceso o todas las aplicaciones. Realizar un documento para la Subadministración de Explotación y Análisis de Bases de Datos (SEABD). 36

36 Hacer un manual para el usuario en donde se explique, de manera detallada, tanto el concepto y el manejo del Active Directory (autenticación). Dar una capacitación a la Subadministración de Explotación y Análisis de Bases de Datos (SEABD). Mediante el Análisis de Autenticación del Active Directory se resolverán los siguientes problemas: Muchas claves para las diferentes aplicaciones que utilizan. Pérdida de tiempo al buscar o recordar una clave. No existe seguridad en la computadora, ya que se necesita la clave del usuario al que se le asignó. El no tener acceso a todas las computadoras con la misma clave, con todas las aplicaciones y cambios de las mismas. No tener un control de los usuarios que sí o no pueden entrar a las diferentes aplicaciones. 37

37 No existe una herramienta específica para la autenticación. Se identificaron estos problemas y se realizó una reunión con los usuarios de las diferentes aplicaciones que entran a ellas con diferentes claves, para recabar sugerencias y propuestas para incluir en las diferentes opciones que tiene el Active Directory. A continuación se analizarán las necesidades a cubrir con la implementación de la herramienta, las cuales son: Satisfacer las necesidades de la Subadministración de Explotación y Análisis de Bases de Datos (SEABD) al momento de encender la máquina y autentificarse. Utilizar sólo una clave para todas las aplicaciones que se tengan (páginas web, correo, etc.). Eliminar la pérdida de tiempo al buscar o recordar diferentes claves. Tener seguridad de una herramienta que autentifique y revise los permisos de cada uno de los usuarios. 38

38 Poder utilizar cualquier computadora sin requerir la clave del usuario de esa computadora Viabilidad económica De acuerdo con el análisis económico realizado y que será presentado más adelante, el resultado obtenido mediante la comparación de costos y beneficios que se obtendrán con el sistema permitió establecer que hay suficientes recursos económicos para poder implementar esta herramienta Viabilidad técnica Para determinar la viabilidad técnica se realizó un estudio sobre los requerimientos, como es el equipo ( existen computadoras para cada usuario y un servidor ). La información de la investigación está localizada en el anexo A, capítulo Cómo se implementa?. Adicionalmente este estudio determinó que es suficiente el equipo y software para poder implementar la autenticación en Active Directory. 39

39 2.3.5 Análisis de necesidades La aplicación de Windows Server, llamado Active Directory, deberá realizar lo siguiente: Tener dominios, para que un grupo de equipos compartan una base de datos de directorios común. Unidades organizativas que son subgrupos de contenidos de dominios, que suelen reflejar la estructura funcional o empresarial de la organización. Usuarios para que entren y hagan uso de esta aplicación. Conectarse a un controlador de dominio, si no hay objetos disponibles puede conectarse a un controlador de dominio para acceder a los objetos usuario, grupo y dominio actual. Conectarse a un dominio para poder trabajar en cualquiera de éstos que esté dentro del bosque (siempre que disponga de los permisos de acceso adecuados). 40

40 Administrar cuentas de equipo para utilizarlas para controlar el acceso a la red y a sus recursos. Poder agregar cuentas de equipo a cualquier contenedor mostrado. Administrar equipos para poder conectarse a un equipo específico y lograr la administración del mismo. Autenticación para cuando un usuario inicia sesión en un equipo, el proceso de inicio se autentica, confirmando la identidad del usuario y del equipo local y concediendo el acceso al servicio del directorio. Después, cuando el usuario acceda a los recursos de la red se utilizará la autenticación de la red para comprobar si el usuario tiene permisos de hacerlo. Controles de acceso para: o Enumerar los usuarios y grupos que tienen acceso a los objetos. o Especificar los permisos asignados a usuarios y grupos. o Monitorear los sucesos que deberían ser auditados para los objetos. o Definir la pertenencia de los objetos. 41

41 Cuentas de usuario son para usuarios individuales y se dividen en 2: o Cuentas de usuario de dominio. Éstas pueden acceder a los recursos del dominio. o Cuentas de usuarios locales. Éstas sólo tienen acceso al equipo local y deben autenticarse antes de poder acceder a los recursos de la red. Poder crear usuarios locales. Cuentas de grupo para conceder permisos a tipos similares de usuarios y simplificar la administración de las cuentas. Derechos de inicio de sesión para que el usuario pueda asignar derechos de inicio de sesión a las cuentas de usuario y de grupo, así como también asignar derechos de usuario a los grupos en lugar de a los usuarios individuales. Agregar nuevas cuentas de usuario pertenecientes a un grupo, puede acceder a un determinado recurso, dicho usuario en particular podrá acceder a ese mismo recurso. 42

42 Cuenta para el Administrador predefinida que proporciona acceso total a archivos, directorios, servicios y otros recursos. La cuenta no se puede deshabilitar ni eliminar. Cuentas para conceder al usuario capacidades específicas, éstas se asignan haciendo al usuario miembro de uno o varios grupos, teniendo asì la capacidad de dichos grupos. Actualizaciones de cuentas de usuario para cambiar privilegios o desactivar las cuentas de los usuarios que ya no trabajan en la empresa. Cambios de nombre a cuentas de usuario para identificadores de seguridad. Los nombres de los usuarios son un medio para administrar y utilizar las cuentas más fácilmente. Eliminar cuentas de usuario y de grupo para actualizar a los usuarios que siguen trabajando. Habilitar cuentas de usuario por si algún usuario olvida su contraseña y los intentos de inicio exceden las directivas. 43

43 Definir las horas de inicio de sesión para controlar cuando los usuarios pueden iniciar una sesión en la red, configurando horas de inicio de sesión para conseguir una mayor seguridad e impedir que el sistema sea atacado o mal utilizado después de las horas normales del trabajo. Definición de las estaciones de trabajo en las que se puede sesión con múltiples cuentas para una directiva que permite a los usuarios iniciar una sesión en los sistemas localmente. Propiedades de inicio de sesión, contraseña y caducidad para poder controlar a los usuarios Análisis técnico Por medio de este análisis se determinaron los principales requerimientos técnicos para poder realizar el Análisis de Autenticación del Active Directory. En el primer paso se analizó la red (de éste se obtendrán los datos para comparar los requerimientos e implementar la herramienta). 44

44 La herramienta dependerá de Active Directory y del Windows (versión), lo cual estará en cada una de las estaciones de trabajo. Los permisos, dependerán del cada puesto y jerarquía que tengan los usuarios. El segundo paso será analizar los usuarios para que uno de éstos sea el administrador del dominio, así este podrá dar de alta a los usuarios de este dominio. El administrador de dominio especificará cada uno de los permisos que tengan cada usuario que esté en el dominio Modelado de la arquitectura del Análisis de Autenticación del Active Directory El objetivo del modelado es darle al analista un panorama de lo que será la manipulación de los datos dentro de la herramienta. El modelado se presenta por lo regular mediante pantallas, las cuales son divididas por funciones. Para más detalle revisar el anexo B. 45

45 2.4 Diseño El diseño del manual del usuario y el documento para la Subadministración de Explotación y Análisis de Bases de Datos (SEABD) se hizo en base a los puntos requeridos por ésta. 2.5 Capacitación La capacitación se realizó con el manual del usuario (éste se elaboró mediante en estándar que se tiene en el SAT) como apoyo, pues éste contiene toda la información e imágenes necesarias para la explicación. Dicha capacitación se llevó a cabo de la siguiente manera: Cuatro sesiones de una hora. Con grupos de 10 personas. Los puntos que se vieron en ésta son: Qué es Active Directory Características del Active Directory Componentes del Active Directory 46

46 Unidades Organizacionales Políticas Distribución del Dominio Demo Pruebas Las pruebas que se realizaron para verificar el funcionamiento óptimo del sistema fueron las siguientes: Revisar el funcionamiento adecuado de los DNS. Verificar que los usuarios estén dados de alta para verificar la autenticación. Comprobar que los usuarios entren a sus aplicaciones adecuadamente autenticándose a la red. Utilizar varias aplicaciones para verificar la autenticación con diferentes usuarios. 47

47 Probar y verificar los servidores para ver en cuál sería óptimo implementar el Active Directory. Para la revisión se contó con la presencia de personas de diferentes áreas. Antes de la capacitación y de los documentos primero se realizó una breve explicación de la forma en que funciona el sistema, para después corregir las cosas que se tenían que cambiar. Uno de los cambios a realizar es el cambio de los DNS en el servidor de Active Directory. Otro cambio importante que se realizó fue el cambio de permisos a todos los usuarios (una vez dados de alta) para las diferentes aplicaciones Liberación La liberación y entrega del sistema se realizó días después de la fecha de entrega marcada en el diagrama de Gantt, presentado en el punto del capítulo l. 48

48 CAPÍTULO III CONCLUSIONES

49 3.1 Dificultades Las principales dificultades que se presentaron en la realización del proyecto son las siguientes: El desconocimiento de vocabulario y términos técnicos manejados dentro del área, los cuales son utilizados para referirse a los diferentes procesos, por lo que fue necesario buscar cada término en el diccionario de datos ubicado en la Intranet. La comprensión y análisis de la herramienta, así como cada una de sus opciones y configuración, para esto se realizó una investigación en Internet y libros. Falta de las herramientas de trabajo (software y hardware), para dicha dificultad se utilizó recursos personales. Dificultad para la configuración de los DNS para el reconocimiento del servidor y estación de trabajo de prueba, por lo que se solicitó al área de Sistemas e Instalaciones autorización para poder trabajar y hacer pruebas con esta configuración. 49

50 3.2 Logros obtenidos Al término del proyecto, se puede decir que el objetivo se cumplió satisfactoriamente, ya que la herramienta podrá usarse por todos los usuarios de Subadministración de Explotación y Análisis de Bases de Datos (SEABD). 3.3 Recomendaciones Las recomendaciones para asegurar el buen funcionamiento de la herramienta son: Antes de instalar el Active Directory se tienen que configurar los DNS y podrá instalarlo con el asistente para instalación. Tener perfectamente definido el dominio y el administrador del mismo para administrar cuentas, recursos y los mecanismos de seguridad. Para resolución de nombres se hace uso de los DNS para asignar nombres de host (como, por ejemplo, zata.microsoft.com) a direcciones TCP/IP numéricas, como por ejemplo,

51 Verificar el sistema operativo que tiene cada una de las terminales del dominio, y así se podrá determinar como tendrá acceso (Windows 95 y Windows 98 pueden acceder como parte de un dominio de Windows NT o como parte de un dominio de Active Directory. Ambas técnicas dependen de una configuración de red específica. Windows Server 2003, Windows XP y Windows 2000 pueden acceder a la red como clientes de Active Directory). 3.4 Aportaciones Las principales actividades realizadas dentro del independientes del proyecto realizado son las siguientes: SAT e Apoyo en la obtención de reportes, utilizando herramientas hechas por los mismos trabajadores del SAT. Obtener información mediante consultas hechas en Microsoft SQLServer. Apoyo en el conteo y revisión de cédulas pertenecientes a evaluaciones de capacitación, que se realizan a todas las coordinaciones locales de formación. 51

52 Apoyo en el desarrollo de estadísticas de los resultados de las evaluaciones. Apoyo en la actualización de la plantilla de personal del SAT, empleando Microsoft Access y Microsoft SQLServer. Se recibió una capacitación de Programación Orientada a Objetos (POO) haciendo referencia al lenguaje de programación Java. Apoyo en la organización de los formatos de calidad. 52

53 ANEXOS

54 ANEXO A

55 Introducción Este documento ha sido diseñado como una guía útil para cualquier usuario de Active Directory. Este cubre todo lo necesario para la realización de las tareas administrativas fundamentales. Puesto que el objetivo es proporcionar la máxima utilidad en una guía. El lector podrá encontrar fácilmente la información que necesita para llevar acabo la tarea correcta. En resumen, el documento está diseñado para ser la guía de referencia a la que se acuda cada vez que surjan preguntas relativas a la administración y manejo de Active Directory. Con este objetivo, el texto se concentra en los procedimientos administrativos, en las tareas más frecuentemente realizadas, en ejemplos documentados y en las opciones que son más representativas, en lugar de analizar todas las disponibles. Uno de los objetivos es que el contenido sea conciso, con el fin de que este resulte fácil de de leer. 1

56 A quién va dirigido este Documento? Active Directory está dirigido a: Administradores de sistemas Windows Server. Usuarios avanzados que tengan parte de la responsabilidad de administración. Nuevos administradores. Usuarios de Active Directory Para incluir la máxima información posible fue preciso asumir que el lector tiene conocimientos básicos de computación. Teniendo eso en mente se ha prescindido de incluir capítulos enteros dedicados a comprender la arquitectura de Active Directory, la instalación o como iniciar o apagar el Windows. 2

57 OBJETIVO La herramienta Active Directory, tiene como objetivo administrar de forma eficiente los recursos de la red como: Controles de acceso Nombres de inicios de sesión y contraseñas. Identificadores de seguridad Privilegios Derechos de inicio de sesión Capacidades integrales Permisos de acceso Esta información será de gran utilidad para la seguridad en el departamento. HISTORIA Las empresas accedían a la información, correo electrónico y otros recursos de la empresa a través de una Intranet corporativa. 3

58 Qué es el Active Directory? Es un servicio ampliable y escalable que permite administrar de forma eficiente los recursos de una red. Active Directory es el corazón de Microsoft Windows. Prácticamente todas las tareas administrativas que lleve acabo afectaran de alguna manera a Active Directory. Todo se basa en protocolos estándar de Internet y ayuda a definir claramente la estructura de la red, almacena información acerca de objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio de directorio de Active Directory utiliza un almacén de datos estructurado como base de una organización lógica jerárquica de la información del directorio. La seguridad está integrada en Active Directory mediante la autenticación del inicio de sesión y el control de accesos a los 4

59 objetos del directorio. Con un único inicio de sesión en la red, los administradores pueden administrar datos del directorio y de la organización en cualquier punto de la red y los usuarios autorizados de la red pueden tener acceso a recursos en cualquier lugar de la red. La administración basada en directivas facilita la tarea del administrador incluso en las redes mas complejas. Active Directory proporciona estructuras lógicas y físicas para los componentes de la red. Las estructuras lógicas son: Unidades organizativas: Un subgrupo de dominios que suele reflejar la estructura empresarial o funcional de la organización. Dominios: Un grupo de equipos que comparten una base de datos de directorios común. 5

60 Árboles de dominios: Uno o más dominios que comparten un espacio de nombres contiguo. Bosques de dominios: Uno o más árboles de dominio que comparten información de directorios común Las estructuras físicas son: Subredes: Un grupo de red con un rango de direcciones IP y una máscara de red específicos. Sitios: Una o más subredes. Se utilizan para configurar la replicación y el acceso de directorios. Active Directory emplea el sistema DNS (Domain Name System). DNS es un servicio estándar de Internet que organiza grupos de equipos en dominios. Los dominios DNS están organizados en una estructura jerárquica. La jerarquía de los dominios DNS está definida en base a Internet y los diferentes niveles de la jerarquía identifican equipos, dominios de organización y dominios de nivel superior. DNS también se utiliza para asignar nombres de host (como por ejemplo, zeta.microsoft.com) a direcciones 6

61 numéricas TCP/IP (Transmisión Control Protocol/Internet Protocol) como, por ejemplo, A través de DNS también se puede definir una jerarquía de dominio de de Active Directory en función de Internet o ésta puede ser independiente y privada. DNS es una parte integral de la tecnología de Active Directory y es necesario configurar los DNS en la red antes de poder instalar Active Directory. Un dominio de Active Directory es simplemente un grupo de equipos que comparte una base de datos de directorios común. Cada dominio presenta sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios también pueden extenderse por más de una ubicación física, lo que significa que un dominio puede estar formado por múltiples sitios y dichos sitios pueden contener múltiples subredes. En la base de datos de directorios de un dominio encontrará objetos que definen las cuentas de usuario, grupo y equipo, además de los recursos compartidos, como impresora y carpetas. 7

62 Los dominios de Active Directory y DNS tienen finalidades diferentes. Los dominios de Active Directory permiten administrar cuentas, recursos, y los mecanismos de seguridad. Los dominios DNS establecen una jerarquía de dominios que se emplea, principalmente para la resolución de nombres. Para que sirve Active Directory? Seguridad de Active Directory Active Directory proporciona un entorno de directorio seguro para su organización por medio de dos de las características principales de la Autoridad de seguridad local (LSA): la autenticación de inicio de sesión y la autorización de usuarios integrados. La autenticación del inicio de sesión y la autorización del usuario están disponibles de forma predeterminada y proporcionan protección inmediata para el acceso a la red y para los recursos de red. 8

63 Proteger el acceso a la red Active Directory requiere la confirmación de la identidad de un usuario antes de permitir el acceso a la red, en un proceso conocido con el nombre de autenticación. De este modo, los usuarios sólo tendrán que proporcionar un inicio de sesión único al dominio (o dominios de confianza) para obtener acceso a la red. Una vez que Active Directory haya confirmado la identidad del usuario, la Autoridad de seguridad local del dominio que realiza la autenticación creará un testigo de acceso que establece el nivel de acceso que el usuario posee en los recursos de red. Active Directory admite una serie de protocolos estándar de seguridad de Internet y mecanismos de autenticación que se usan para comprobar la identidad en el proceso de inicio de sesión, entre los que se incluyen Kerberos V5, certificados X.509 v3, tarjetas inteligentes, infraestructura de claves públicas (PKI, public key infrastructure) y Protocolo ligero de acceso a 9

64 directorios (LDAP) a través de Nivel de sockets seguros (SSL, Secure Sockets Layer). La autenticación entre dominios tiene lugar a través de las denominadas confianzas, que son relaciones establecidas entre dos o más dominios que permiten al controlador de un dominio autenticar a los usuarios de otro dominio. Las relaciones de confianza pueden ser transitivas o intransitivas, si bien siempre deben estar presentes para que los usuarios de un dominio puedan tener acceso a los recursos compartidos de otro dominio. Además de proteger el acceso de red a través de la autenticación, Active Directory protege los recursos compartidos por medio de la autorización del usuario. Una vez que Active Directory haya autenticado el inicio de sesión de un usuario, los derechos de usuario asignados a éste a través de los grupos de seguridad, así como los permisos asignados en el recurso compartido, determinarán si el usuario puede tener acceso a ese recurso en particular. Este proceso de autenticación protege los recursos compartidos de posibles 10

65 accesos no autorizados y, al mismo tiempo, permite el acceso únicamente a usuarios o grupos autorizados. Seguridad Puede controlar el acceso a los recursos de la red con los componentes del modelo de seguridad del Windows. Los componentes claves que necesita conocer son los utilizados para poscontroles de autenticación y acceso. Nota: No trabajar como administrador por que hace que el equipo sea vulnerable a los caballos de Troya y otros riezgos para la seguridad. El inicio de sesión podría ser como: Grupo de usuarios.- Tareas habituales, como ejecutar programas o visitar sitios de Internet, sin exponer el equipo a riesgos innecesarios. 11

66 Miembros del grupo de usuarios.- Tareas avanzadas y además, instalar programas, agregar impresoras y utilizar la mayor parte de las aplicaciones. Autenticación Esta consiste en el inicio de la sesión interactivo y la autenticación de red. Cuando un usuario inicia una sesión en un equipo, el proceso de inicio de sesión interactivo autentica el inicio de sesión del usuario, confirmando la identidad del usuario en el equipo local y concediendo el acceso al servicio de directorio Active Directory. Después, cuando el usuario acceda a los recursos de la red se utilizará la autenticación de la red para comprobar si el usuario tiene permisos para hacerlo. Esto funciona de la siguiente manera: 12

67 1.- El usuario inicia una sesión en el dominio empleando un nombre de sesión y una contraseña. 2.- El proceso de sesión autentica el acceso del usuario. Con una cuenta local, los usuarios se autentican localmente y se concede acceso al usuario y al equipo local. Con una cuenta de dominio, los credenciales se autentican en Active Directory y el usuario obtiene acceso a los recursos de la red. 3.- Ahora el usuario puede autenticarse en cualquier equipo del dominio mediante el proceso de autenticación de red. Con las cuentas de dominio, el proceso de autenticación de red es automático. Por el contrario, con las cuentas locales los usuarios deben proporcionar un nombre de usuario y una contraseña cada vez que aceda un recurso de la red. 13

68 Acerca de las fuentes de autenticación Las fuentes de autenticación permiten importar y/o autenticar usuarios y grupos desde repositorios de usuarios externos. Los usuarios y grupos pueden estar en cualquier parte de la empresa: Si están en un servidor de Active Directory, crea una fuente de autenticación remota de Active Directory. Si se encuentran en un servidor LDAP, cree una fuente de autenticación de LDAP remota. Si se encuentran en un servidor Windows NT, cree una fuente de autenticación de dominio de NT remota. 14

69 Si están en otros sistemas, puede escribir fácilmente su propio proveedor de autenticación y, a continuación, crear una fuente de autenticación remota. La fuente de autenticación de Plumtree se crea automáticamente después de la instalación para la base de datos del portal de usuarios y grupos. Esta fuente de autenticación no se puede modificar ni borrar. Sincronización y autenticación de usuarios Puede utilizar las fuentes de autenticación para sincronizar los usuarios y los grupos del portal con repositorios externos. Debe ejecutar un trabajo asociado a la fuente de autenticación para sincronizar periódicamente los usuarios y los grupos del portal con los del repositorio externo. 15

70 También puede utilizar las fuentes de autenticación para autenticar a los usuarios del portal con las credenciales almacenadas en dichos repositorios externos. Sin embargo, los usuarios de usuario permanecen en el repositorio de usuarios, no se almacenan en la base de datos del portal. Cuando algún usuario intenta iniciar la sesión en el portal mediante una cuenta de usuario importada, el portal confirma la contraseña con el repositorio de usuarios fuente. Esto significa que la contraseña de portal del usuario siempre coincide con la del repositorio fuente. Por ejemplo, si un usuario con una cuenta de portal importada de NT cambia la contraseña, puede iniciar la sesión inmediatamente en el portal con dicha contraseña. Si ya ha iniciado la sesión en el portal, debe volver a iniciarla con la nueva contraseña porque el portal ya no podrá reconocer la antigua. Fuentes de autenticación remotas En Plumtree están disponibles los proveedores de fuentes de autenticación remotas de Active Directory, LDAP y Dominio NT; 16

71 estos proveedores se pueden utilizar para importar y autenticar usuarios y grupos de los servidores asociados. Si los usuarios y grupos están en un sistema personalizado, como una base de datos personalizada, puede importarlos y autenticarlos fácilmente escribiendo su propio proveedor de fuente de autenticación remota utilizando el Kit de desarrollo Web de empresa de Plumtree. Plumtree proporciona los siguientes proveedores de fuentes de autenticación: Active Directory LDAP Dominio NT Sistemas que permiten el uso de Active Directory Active Directory está diseñado para funcionar con sistemas Windows Server 2003 y sistemas Windows 95, Windows 98, Windows NT, Windows XP y Windows si esta instalado el software necesario, los sistemas Windows 95, Windows 98, 17

72 Windows XP y Windows 2000 acceden a la red como cliente de Active Directory. Los sistemas Windows NT (y los sistemas Windows 95, o posteriores, no actualizados con el software cliente de Active Directory) acceden a la red como si se encontrasen en un dominio de Windows NT, siempre que el nivel funcional del dominio de Active Directory lo permita y esté definido un dominio de Windows NT. Equipos Windows Server 2003, Windows XP y Windows 2000 con Active Directory Los equipos Windows XP Professional y Windows 2000 pueden hacer uso completo de Active Directory. Estos equipos acceden a la red como cliente de Active Directory y pueden utilizar todas las características Active Directory. 18

73 Los sistemas Windows Server 2003 proporcionan servicios a otros sistemas y pueden actuar como controladores de dominio o servidores miembro. Un controlador de dominio se diferencia de un servidor miembro en que ejecuta Active Directory. Puede promocionar servidores miembro a controladores de dominio instalando Active Directory. Todos los equipos de Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio disponen de cuentas de equipo. Al igual que otros recursos, las cuentas de equipo se guardan en Active Directory como objetos. Puede utilizar cuentas de equipo para controlar el acceso de la red y a sus recursos. Un equipo puede acceder a un dominio utilizando su cuenta, que se autentica antes de que el equipo pueda acceder a la red. Windows 95 y Windows 98 Los sistemas Windows 95 y Windows 98 puede trabajar con Active Directory de dos maneras. Pueden acceder a la red 19

74 como parte de un dominio de Windows NT a como parte de un dominio de Active Directory. Ambas técnicas dependen de una configuración de red específica. Qué beneficios se han obtenido? Menor tiempo de implementación. Se prevé que la capacidad de instalar un controlador de dominio de replicación a partir de dispositivos de respaldo reduzca drásticamente el tiempo requerido para implementar Active Directory. 20

75 Capacidad de administración mejorada. Se espera que las funciones tales como Renombrar el Controlador de Dominio, un complemento optimizado de Microsoft Management Console, y la funcionalidad WMI, así como Terminal Services para la administración remota, permita a los miembros del equipo administrar la Intranet con mayor facilidad. Mayor rendimiento. La aplicación de esta herramienta mejora el rendimiento del servidor WEB para la Intranet. Además prevé que la capacidad de controlar el tráfico de replicación ofrezca una gran ventaja en la organización y ancho de banda. Seguridad mejorada. La inclusión del protocolo Kerberos, así como IPSec para los servicios de VPN, proporcionan una seguridad estrecha y flexible. Seguridad de la información. El control de acceso se puede definir para cada objeto (usuarios, servidores, estaciones, etc.) del directorio y para cada una de las propiedades del objeto. Administración basada en políticas. Establece un conjunto de normas de uso de acceso, comportamiento de los equipos y vistas a la información de la empresa. 21

76 Capacidad de ampliación. Los administradores tienen la posibilidad de agregar nuevos objetos y nuevos atribitos al esquema del Directorio Activo. Replicación de la información. Permite actualizar el directorio en cualquier controlador de dominio. Integración con DNS (Domain Name Services). Mediante el uso del sistema de nombres de dominio. Consultas flexibles. Los usuarios y administradores pueden utilizar el comando buscar, para encontrar rápidamente un objeto en la red. VENTAJAS Y DESVENTAJAS DE ACTIVE DIRECTORY VENTAJAS: Active Directory El servicio Microsoft Active Directory simplifica la administración de directorios de red complejos y facilita que los usuarios localicen recursos incluso en las redes de 22