Nota sobre la creación de este material Implementación LDAP en Windows El material ha sido tomado de archivos elaborados por Andres Holguin Coral, Mª Pilar González Férez, Información en TechNET. Yo he modificado, corregido y agregado palabras y láminas para ampliar o enfocar la presentación al material del módulo. Ing. Víctor Cuchillac Repaso de conceptos 1. Qué es autenticación? Autenticación se refiere al proceso por el cual un usuario de una red adquiere el derecho a usar una identidad dentro de la misma. 2. Dónde se origina el problema? Existen diferentes maneras de autenticar a un usuario: El uso de claves o contraseñas (Lo que se) Tokens como el uso de las tarjetas (Lo que tengo) Biométricos, lectores dactilares o retinales (Lo que soy) También se puede utilizar combinaciones de los Anteriores (factor 1, factor 2 ) Ing. Victor Cuchillac 1
2.1 El problema de la autenticación(1) 1. El usuario usa tantas claves y métodos de autenticación como servicios presta la organización. El usuario para simplificar su trabajo tiende a usar claves muy fáciles. Con un mínimo conocimiento de la persona se puede saber la contraseña que usa. Los costos de administración de usuarios aumentan. 2.1 El problema de la autenticación(2) 2. La administración de usuarios se hace de manera descentralizada en cada aplicación. 3. Cada servicio que presta la organización tiene su propio método para el manejo de los usuarios. 2.2 Qué pasa si se compromete una clave? Pérdida de confidencialidad de la información, debido a que al usar claves débiles se puede acceder a la información privada de la organización. Pérdida de la integridad de la información y suplantación de usuarios, usando la clave de otra persona se puede alterar la información haciéndose pasar por otra persona. Pérdida de la disponibilidad de la información, al cambiar la información no se tiene acceso a ésta cuando se requiere. 3. La solución Autenticación Centralizada Ing. Victor Cuchillac 2
3.1 Qué es autenticación centralizada? Autenticación centralizada es ubicar los usuarios y sus claves en un repositorio centralizado, para que los usuarios de los servicios se validen en este lugar. Radius 3.2 Cómo se implementa una solución integral? UNIX Windows APLICACIONES LDAP free radius PAM para UNIX Sincronización Módulo de con Active Autenticación Directory LAD free radius con eap 3.3 Cómo funciona? 4. Qué es LDAP? Integra diferentes tecnologías y servicios Lightweight Directory Access Protocol, (Protocolo Ligero de Acceso a Directorios) Es un protocolo cliente servidor hecho para acceder a un servicio de directorio en el modelo TCP/IP. Esta basado en el protocolo X.500. Un directorio es similar a una base de datos, pero tiende a contener información más descriptiva. Directorio refleja a la gente dentro de la estructura de una organización. Ing. Victor Cuchillac 3
4.1 Diseño de un directorio Como el protocolo LDAP es la base del sistema de autenticación centralizada, el diseño del directorio es la clave para el buen funcionamiento de la solución. 4.2 Servicios de Directorio El servicio de Directorio está disponible en varios sistemas operativos y no es exclusivo de Microsoft. O=dominio.com ou=santana ou=sansal ou=sanmig Windows Server Unix/Linux NetWare En Mac OS X server se utiliza la implementación de UNIX 4.2 Servicios de Directorio Algunas implementaciones son: Netware: NDS - Novell Directory Services, Linux y Unix: OpenLDAP, 389 Directory Server, Red Hat Directory Server, OpenDS (java) Windows: Active Directory, OpenLDAP. Mac OS X: OpenLDAP. 4.3 Qué es Active Directory? Es la implementación del protocolo LDAP (y otros servicios) que Microsoft desarrolló para Windows 2000 Server, y se continua utilizando en Windows 2008. Nota: considere estas tecnologías como tema de investigación Ing. Victor Cuchillac 4
5. Redes Windows Grupos de Trabajo Dominios 5.1 Grupos de Trabajo (I) Es un grupo de ordenadores en red que comparten archivos, impresoras, Internet En este modelo no existe un servidor central. En las versiones de Windows basadas en DOS, la autentificación se realiza a nivel de recursos. 5.1 Grupos de Trabajo (II) En las versiones de Windows basadas en NT, la autentificación se basa en usuarios, grupos de usuarios y permisos. Los equipos son independientes, cada equipo tiene sus usuarios, grupos de usuarios, directivas de grupo, permisos etc 5.2 Dominios (I) Es una agrupación de ordenadores en torno a un servidor centralizado que almacena usuarios, grupos, directivas de grupo, permisos Modelo orientado a redes con equipos clientes que tengan Windows basado en NT. Ing. Victor Cuchillac 5
5.2 Dominios (II) Los dominios tienen un controlador de dominio, en el que se centraliza la administración de dicho dominio. 5.3 Active Directory (I) Proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de la red. Dicho controlador será un equipo con uno de los siguientes SO instalados: Windows NT Server Windows 2000 Server Windows Server 2003 Windows Server 2008 /2008 R2 Recuerde que también tiene otros servicios, pero el fundamental es controlar el acceso. 5.3 Active Directory (II) La principal unidad de información es el Dominio. Dichos dominios se pueden agrupar en arboles, grupo de árboles en un bosque y realizar relaciones de confianza entre ellos. 5.3 Active Directory (II) Funcionalidad A.D. proporciona funcionalidad de servicio de directorio, como medio para organizar y controlar centralmente el acceso a los recursos de red. Ejemplos: Windows 2000 Windows 2003 (nativo y mixto) Windows 2008 Ing. Victor Cuchillac 6
5.4 Objetos en Active Directory (I) 5.4 Objetos en Active Directory (I) Cuenta de Usuario - Permite que un usuario inicie sesión en los equipos unidos al dominio. - Permite autorizar o denegar el acceso a los recursos del Dominio. - Cada cuenta (de usuario, grupo o equipo) tiene asociado un número único, el identificador de seguridad, que la identifica de forma única y que es generado al crear la cuenta - Los procesos internos de Windows hacen referencia al SID de las cuentas y no a los nombres de las cuentas 5.4 Objetos en Active Directory (I) A. Cuentas de usuarios locales Cuentas de usuario definidas en el equipo local, con acceso solamente al equipo local y, por tanto, a los recursos del mismo Los usuarios pueden tener acceso a los recursos de otro equipo de la red si disponen de una cuenta en dicho equipo Para poder acceder a los recursos que un equipo comparte, es necesario autenticarse en él Estas cuentas de usuario residen en el administrador de cuentas de seguridad (Security Account Manager, SAM) del equipo, que es la BD de cuentas de seguridad local Se pueden crear en estaciones de trabajo o en servidores miembros pero NO en controladores de dominio Al usar cuentas locales de un servidor miembro, el usuario no podrán usar los recursos del dominio (al no estar autenticadas en él) 5.4 Objetos en Active Directory (I) B. Cuentas de usuarios de Dominio Permiten a un usuario iniciar sesión en el dominio para obtener acceso a los recursos de la red El usuario tendrá acceso en cualquier equipo de la red con una única cuenta y contraseña Estas cuentas de usuario residen en el servicio de directorio AD y se crean definiéndolas en un controlador de dominio En los controladores de dominio sólo puede haber cuentas de este tipo, no se pueden definir cuentas de usuario local Un usuario puede acceder a los recursos del dominio utilizando un inicio de sesión único Ing. Victor Cuchillac 7
5.4 Objetos en Active Directory (I) C. Cuentas de usuarios integradas Permite a un usuario realizar tareas administrativas u obtener acceso temporalmente a los recursos de red Existen dos cuentas de usuario integradas que no pueden eliminarse: Administrador e Invitado Las cuentas de usuario locales Administrador e Invitado residen en SAM Las cuentas de usuario integradas de dominio residen en AD Estas cuentas se crean automáticamente durante la instalación de Windows o la de un dominio del Active Directory Son cuentas instaladas con el sistema operativo y las aplicaciones o servicios 5.4 Objetos en Active Directory (I) D. Cuentas de usuarios implícitas Creadas de forma implícita por el sistema operativo o aplicaciones, se usan para asignar permisos en ciertas situaciones SistemaLocal (Localsystem): permite ejecutar procesos del sistema y administrar las tareas relativas al sistema. No se puede iniciar una sesión con esta cuenta, pero algunos procesos se ejecutan con ella: Por ejemplo, esta cuenta es la que se usa para ejecutar muchos de los servicios del sistema (los demonios) LocalService: acceso al sistema local NetworService: acceso al sistema local y en la red Otras cuentas son, por ejemplo, las de Internet Information Services o los servicios de terminales 5.4 Objetos en Active Directory (II) 5.4 Objetos en Active Directory (III) Cuenta de Equipo - Representan un equipo concreto de la red, Cada equipo del dominio, sea servidor miembro o controlador de dominio, tiene una cuenta de equipo - Sirve para auditar las tareas que se realizan desde ese equipo, para otorgar permisos y restricciones o para controlar el acceso a la red y a los recursos - Permiten realizar administración remota Grupos - Un grupo es una colección de usuarios, equipos u otros grupos - Los grupos se usan para implificar la administración del acceso de usuarios y equipos a los recursos (directorios, ficheros, impresoras, etc.) - Permiten conceder permisos de acceso a varios usuarios al mismo tiempo, en lugar de concederlos usuario a usuario Ing. Victor Cuchillac 8
5.4 Objetos en Active Directory (III) 5.4 Objetos en Active Directory (III) Los grupos funcionan de forma diferente en un equipo local que en un dominio Grupos en un equipo local, llamados grupos locales Se crean en equipos que son estaciones de trabajo independientes o servidores miembro, pero NO en controladores de dominio Residen en SAM (Security Accounts Manager) Se usan para otorgar permisos a recursos y otorgar derechos para las tareas del sistema en el equipo local Grupos en un dominio: Se crean únicamente en controladores de dominio Residen en el servicio de directorio Active Directory Se usan para otorgar permisos a recursos y otorgar derechos para tareas del sistema en cualquier equipo del dominiocreadas de forma implícita por el sistema operativo o 5.4 Objetos en Active Directory (III) 5.4 Objetos en Active Directory (IV) Impresora Compartida Carpeta Compartida Contacto Ing. Victor Cuchillac 9
5.4 Objetos en Active Directory (V) 5.4 Objetos en Active Directory (VI) Unidad Organizativa - Son contenedores del AD en donde se pueden colocar todo tipo de objetos. - En ellos se aplican las directivas de grupo. - Permiten delegar la administración. - Permiten reducir el número de dominios de una red. Dominio 6. Active Directory -Diseño del Active Directory 6. Active Directory A. Estructura Lógica del Directorio Activo Tiene como objetivo principal organizar los recursos de la red Estructura Lógica Estructura Física Objetos Unidad Organizativa Dominios Arboles Bosques Ing. Victor Cuchillac 10
6. Active Directory B. Estructura Física del Directorio Activo Tiene como objetivo principal optimizar al máximo el tráfico de la red. Controladores de Dominio Sitios Particiones Dominio Configuración Esquema Aplicación 6. Active Directory B. Estructura Física del Directorio Activo Controladores de Dominio Es el equipo en el que está instalado Windows Server y contiene el Active Directory. Es donde se produce la autentificación de usuarios y equipos y donde se realiza la administración principal del AD. 6. Active Directory B. Estructura Física del Directorio Activo Sitios Se denomina sitio a un grupo de equipos bien conectados 6. Active Directory B. Estructura Física del Directorio Activo Particiones - Partición de Dominio: Tiene una replica de todos los objetos en ese dominio. - Partición de Configuración: Tiene la topología del bosque. - Partición de Esquema: Tiene las reglas para crear y editar objetos y atributos. - Partición de Aplicación: Tiene los objetos relacionados con la seguridad. Ing. Victor Cuchillac 11
7. Restricciones en Active Directory A. Perfiles de Usuario Los perfiles de usuario definen entornos de escritorio personalizados, en los que se incluye la configuración individual de la pantalla, conexiones de red e impresoras. Se pueden crear perfiles de usuario y establecerlos a usuarios de Active Directory. 7. Restricciones en Active Directory B. Políticas de Grupo Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio. 7. Restricciones en Active Directory 7. Restricciones en Active Directory - Uso de Políticas de Grupo para: Personalización por usuario del escritorio y entorno de Windows. Establecer políticas de seguridad Instalación automática de software Ejecución de scripts Redirección de carpetas locales a recursos de red Ing. Victor Cuchillac 12
7. Restricciones en Active Directory 7. Restricciones en Active Directory El registro de Windows Físicamente el registro se divide en un conjunto de archivos que se denominan secciones. Una sección es una porción del registro, una colección de claves, subclaves y valores que se guardan en un archivo. Estos archivos de sección sólo pueden ser editados con el editor de registro pero pueden ser copiados, realizando así una copia de seguridad de los mismos Los archivos de sección son.dat, y cada uno tiene su correspondiente archivo.log que actúa como registro de transacción para el archivo.dat HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contr ol\hivelist: listado de los archivos de sección actuales y la ruta para su localización El registro de Windows HKEY_CLASSES_ROOT Contiene información de configuración básica del sistema, sobre los objetos que están instalados HKEY_CURRENT_USER Datos del perfil del usuario actual que tiene iniciada la sesión en el Sistema HKEY_USERS Contiene una entrada para cada usuario, que haya iniciado una sesión en el sistema previamente, con los datos de su perfil HKEY_CURRENT_CONFIG Contiene información acerca del perfil hardware usado en el inicio HKEY_LOCAL_MACHINE Datos de configuración del sistema, del S.O., dispositivos HW y controladores, datos de inicio y de configuración y de aplicaciones instaladas, la SAM etc. 8. Servicios y puertos en AD En AD se utilizan varios servicios, ya sea incluidos o externos. LDAP DS DNS DHCP NetBIOS SMB/CIFS 8. Servicios y puertos en AD En Replicación DS y AD. Protocolo Puerto Tipo Trafico TCP y UDP 389 LDAP TCP 636 LDAP SSL TCP 3268 GC TCP y UDP 88 Kerberos TCP y UDP 53 DNS TCP y UDP 445 SMB sobre IP TCP 25 SMTP TCP 135 RPC, ECM Ing. Victor Cuchillac 13
8. Servicios y puertos en AD Relaciones de Confianza en 2000 y 2003. cliente Servidor Tipo Trafico TCP dinámico TCP 135 RPC, EPM TCP dinámico TCP dinámico Servicios RPC de autoridad de seguridad local (LSA) TCP y UDP dinámicos TCP 389 LDAP TCP dinámico TCP 636 LDAP SSL TCP dinámico TCP 3268 GC TCP dinámico TCP 3269 GC SSL TCP y UDP 53, dinámicos TCP y UDP 53 DNS TCP y UDP dinámicos TCP y UDP 88 Kerberos TCP dinámico TCP 445 SMB, DFS, LsaRPC, Nbtss, NetLogonR, SamR, SrvSvc 8. Servicios y puertos en AD Servidor 2008 Relaciones y modo mixto (anteriores). cliente Servidor Tipo Trafico TCP dinámico TCP 135, 49152 65535 RPC, EPM TCP y UDP dinámicos TCP y UDP 389 LDAP TCP dinámico TCP 636 LDAP SSL TCP dinámico TCP 3268 GC TCP dinámico TCP 3269 GC SSL TCP y UDP 53, dinámicos TCP y UDP 53 DNS TCP y UDP dinámicos TCP y UDP 88 Kerberos TCP dinámico UDP 138 Servicio de datagramas de NetBIOS TCP dinámico TCP-NP UDP -NP 445 SMB, DFS, LsaRPC, Nbtss, NetLogonR, SamR, SrvSvc Muchas Gracias Favor estudiar los conceptos. Ing. Victor Cuchillac 14