parte_19.txt

Chat with Document Download Quiz & Flashcards

Document Details

AutonomousHeliotrope

Uploaded by AutonomousHeliotrope

Related

Full Transcript

Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 11 De esta forma, el DN completo del usuario sería “cn =Foo Foo, ou=Contabilidad, ou=Departamentos, dc=airius, dc=com»”. 3.3.2. Origen LDAP tiene su origen en el estándar X500, que es un conjunto de protocolos promo...

Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 11 De esta forma, el DN completo del usuario sería “cn =Foo Foo, ou=Contabilidad, ou=Departamentos, dc=airius, dc=com»”. 3.3.2. Origen LDAP tiene su origen en el estándar X500, que es un conjunto de protocolos promovido por la ITU. X500 es un directorio que contiene información de f orma jerárquica y categorizada, incluyendo nombres, directorios y números telefónicos. Requier e de la pila de protocolos OSI. Con la intención de ofrecer una alternativa más lig era surgió LDAP, el cual trabaja sobre TCP/IP. Se ideó como protocolo para el acceso a los servici os de X500, pero por el paso del tiempo acabó definiendo también la parte servidora. El éxito de la implantación de las redes TCP/IP sobre las redes OSI provocaron que se extendiera el uso de LD AP sobre X500. Actualmente los protocolos X500 pueden ser configurados para trabajar en redes TCP/IP. 3.4. Kerberos Kerberos es un protocolo de autenticación en una re d de ordenadores que funciona mediante el uso de ticket’s, los cuales permiten que los nodos se comuniquen a través de una red no segura demostrando su identidad el uno al otro de una mane ra segura. Para ello Kerberos crea una clave simétrica. Necesita de un tercer actor confiable. Los tres participantes en una comunicación mediante Kerberos son el cliente, el servidor y el KDC, Key Distribution Center. El KDC está compuesto por: • El servidor de autenticación (AS, de Authentication Server ). • El servidor de concesión de ticket’s (TGS, de Ticket Granting Server ). 3.4.1. Funcionamiento Para que el cliente pueda obtener el servicio que r equiere del servidor del dominio, previamente ha de realizar una negociación que consta de 3 fases: • Negociación con el AS . La secuencia es la siguiente:  Para el inicio de sesión de un usuario en el domini o, se hace uso de su nombre de usuario y contraseña. El puesto cliente en el que s e encuentra genera una clave hash a partir de la contraseña y se la guarda.  El cliente envía al AS la petición de servicio del usuario junto con el nombre de usuario. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 12 TEMARIO OPOSICIONES COIICV | TEMA 27  El AS busca al usuario en su base de datos. Si es e ncontrado, se devuelve un mensaje Ticket to Get Tickets (TGT) el cual es válido para la comunicación dentr o del dominio con una validez de 10 horas renovables (tiempo esta blecido por defecto, es configurable).  El cliente guarda en la memoria local el TGT, pues se usará cada vez que se necesite solicitar un servicio a cualquier servidor del domi nio. • Negociación con el TGS. Una vez obtenido el TGT por parte del cliente:  El cliente se comunica con el TGS en el momento que necesita realizar una petición a un servidor, proporcionando el TGT.  El TGS autenticará el TGT del usuario y, si todo es tá correcto, enviará dos nuevos mensajes: un nuevo ticket (que incluye el ID de cli ente, la dirección de red del cliente, el período de validez y una clave de sesión) y otro con sólo la clave de sesión, la cual será válida sólo para el cliente y el servidor del servicio que se está solicitando.  El ticket estará cifrado con la clave secreta del s ervidor, de forma que sólo se pueda desencriptar por aquél. • Negociación con el servidor. Una vez el cliente recibe los 2 nuevos mensajes:  El cliente ya puede iniciar la comunicación con el servidor. Para ello envía 2 nuevos mensajes: uno con el ticket que le acaba de proporc ionar el TGS, y otro con una marca de tiempo firmado con la clave del segundo mensaje del TGS.  El servidor desencripta el ticket de servicio y con oce qué cliente es el que quiere conectar.  Del ticket de servicio obtiene también la clave con la que desencriptar el segundo mensaje. A la marca de tiempo que obtiene, le suma una unidad y lo firma con la clave cliente/servidor.  El servidor envía al cliente la marca de tiempo mod ificada y cifrada.  El cliente desencripta y confirma que el resultado de la marca de tiempo es el esperado.  A partir de ese momento se establece la confianza e ntre cliente y servidor y el cliente podrá empezar a usar el servicio deseado. 3.4.2. Nuevas características Al igual como evoluciona Windows Server añadiendo n uevas características y funcionalidades, Kerberos también ha ido renovándose. Si bien en las dos versiones 2008 apenas se introdujeron novedades, en la versión 2012 presenta las siguient es: Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 13 • Mejoras en la autenticación. Al incrementar la cantidad y complejidad de la inf ormación necesaria para realizar un inicio de sesión tal y c omo estaba diseñado Kerberos, puede provocar errores falsos de autenticación. En el mom ento que se recupera todos los grupos del que el usuario es miembro, ya sean del dominio, universales o asociados, puede provocar que el ticket que se genera con toda esta información exceda del buffer que los servidores tiene asignado para procesar el mensaje, provocando errores de autenticación. Para evitarlos se adoptaron una serie de medidas:  Se comprime la información de pertenencia a grupos de dominio.  Se aumenta el buffer destinado a procesar el ticket de servicio proporcionado por el KDC.  Se habilita a KDC para que notifique la existencia de tickets grandes en el momento que los tickets que está generando se acerquen o su peren un umbral determinado de longitud. • Mejoras en la administración. Se permite que una autenticación mediante tarjeta inteligente permita la autenticación fuera del siti o. En versiones anteriores no era así. Se consigue usando un controlador de dominio concreto que facilitará TGT’s para los recursos externos al sitio. Otras mejoras introducidas son: • Protección ampliada. Se dota al cliente y servidor de un conjunto de reg las para el establecimiento de un canal seguro entre ambos term inales. • Notificaciones . Nueva forma de autenticar en AD. Los KDC pueden g enerar tickets a partir de vales de servicio proporcionado por un origen de confianza. • FAST. Se trata de un canal protegido que se crea entre el cliente Kerberos y el KDC. • Autenticación compuesta. Basándose en el FAST, permite que los clientes Kerb eros proporcionen el TGT del dispositivo. De esta forma los KDC pueden crear vales de servicio con los datos de autorización para aquellos servici os que los requieran. Estos vales serán usados para generar tickets que incluyan los grupos y notificaciones de dispositivos que puedan usarse para el inicio de sesión. 3.4.3. NTLM Con anterioridad al uso de Kerberos (desde Windows Server 2000) se utilizaba el protocolo de autenticación NTLM ( NT Lan Manager ), en el que el servidor se debía conectar cada vez a un controlador de dominio para autenticar al cliente. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 14 TEMARIO OPOSICIONES COIICV | TEMA 27 Actualmente NTLM se sigue utilizando por motivos de compatibilidad de máquinas con sistemas operativos anteriores a Windows 2000. Si todas las máquinas del dominio son iguales o posteriores a Windows 2000/XP, el protocolo de autenticación ha bilitado por defecto es Kerberos. 3.4.4. Ventajas Las principales ventajas del uso de Kerberos son: • Autenticación delegada . Los servicios que se ejecutan en sistemas operati vos Windows permiten que se delegue el acceso a determinados re cursos en nombre del cliente que está requiriendo los recursos. Kerberos y NTLM inco rporaran mecanismos para gestionar esta circunstancia. • Inicio de sesión único ( Single Sign on) . Una vez iniciada la sesión se van gestionando los permisos para el acceso a los distintos servicios, no hace falta autenticarse a cada necesidad de servicio. • Interoperabilidad. El uso de estándares permite la comunicación con o tros sistemas que usen Kerberos como sistema de autenticación. • Mayor eficacia de autenticación para servidores. El hecho de no tener que comunicar con un controlador a cada petición de un cliente pe rmite agilizar el proceso de establecimiento de conexión con dicho cliente. • Autenticación mutua. En cualquier momento, cualquier entidad en extremo de la conexión puede comprobar que la otra entidad es quien dice s er. 4. Niveles funcionales Como todo software, los sistemas operativos de Micr osoft (y entre ellos los Windows Server) evolucionan con el tiempo, corrigiendo errores y añ adiendo nuevas funcionalidades. En un sistema en red en el que múltiples equipos deben comunicars e entre si este punto cobra vital importancia, pues para poder disfrutar de una nueva funcionalida d los equipos implicados deben estar evolucionados en el mismo grado, o en su defecto, e stablecer unos mínimos sobre los que establecer la comunicación o la prestación de un se rvicio. Los niveles funcionales de Active Directory son una forma de determinar qué características están disponibles en un dominio o bosque. Se basan en las características nuevas que ofrece cada versión de Windows Server a partir del 2000. Los co ntroladores de dominio tienen que estar como mínimo en el nivel funcional que se ha determinado para el dominio o bosque. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 15 La evolución de un nivel funcional no tiene fácil v uelta atrás, en el momento que se evoluciona el presente nivel funcional, no se puede restablecer, a excepción de casos muy concretos y específicos. Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Figura 1. Niveles funcionales de dominio En la Figura 1 se representa cada nivel funcional q ue versiones de Windows Server soporta como controladores de dominio. Por ejemplo, si se está e n un funcionamiento de Windows Server 2003, la única versión que no será soportada en un contro lador de dominio será Windows Server 2000. 4.1. Niveles funcionales de dominio Según el nivel funcional en el que se encuentren lo s controladores de un dominio se dispondrá de unas características u otras. A continuación, se en umeran algunas de las principales según en nivel en el que se encuentre funcionando el dominio : • Windows 2000: Como principales características enco ntramos:  Grupos universales habilitados para grupos de distr ibución y seguridad.  Anidación de grupos.  Habilitada la conversión entre grupos (como por eje mplo, de grupo de seguridad y distribución). • Windows Server 2003: Todas las vistas en el modo fu ncional anterior más las siguientes:  Capacidad de especificar la ubicación de los conten edores de usuarios y grupos.  El administrador de autorización puede almacenar di rectivas de autorización.  Delegación segura de credenciales por parte de apli caciones. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 16 TEMARIO OPOSICIONES COIICV | TEMA 27  Atributo en el objeto usuario con la hora del últim o inicio de sesión.  Posibilidad de cambiar el nombre del controlador de dominio. • Windows Server 2008: Todas las explicadas en el mod o funcional anterior, añadiendo:  Mejoras en la información almacenada de inicios de sesión de usuarios.  Replicación de SYSVOL (directorio local donde se al macena de forma distribuida la información de directorio) más sólida y detallada.  Incorporación de AES 128 y 256 para Kerberos.  Nuevas directivas para contraseñas, como la posibil idad de especificar políticas de contraseñas para usuarios y grupos del dominio. • Windows Server 2008 R2: Todas las explicadas en el nivel anterior, más la siguiente:  Incorporación de un entorno de identidades federada s: se almacena el modo de inicio de sesión (tarjeta inteligente o usuario/contraseña ) dentro del token de Kerberos para cada usuario. Si esta función esta activada, en cua lquier momento que una aplicación necesite validar al usuario puede extraer la inform ación almacenada en el token. • Windows Server 2012. Las vistas hasta ahora, añadie ndo:  El KDC añade compatibilidad para notificaciones y a utenticación compuesta. Para ello, el KDC añade dos configuraciones nuevas para las pl antillas administrativas: proporcionar siempre notificaciones y errores de so licitudes de autenticación sin blindar. • Windows Server 2012 r2. Este nivel funcional modifi ca:  Los usuarios protegidos del dominio no podrán usar NTLM para autenticarse.  Kerberos no podrá usar cifrados DES o RC4.  La cuenta de usuario no se podrá delegar mediante K erberos.  El TGT pasa a tener un valor predeterminado de 4 ho ras (en vez de las 10 vistas anteriormente). 4.2. Niveles funcionales de bosque Análogamente a la influencia de la versión del sist ema operativo de los controladores de dominio en el nivel funcional en el que se encuentra dicho dominio, también influyen en el nivel funcional en el que puede trabajar el bosque. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 17 Las características más importantes de los distinto s niveles funcionales son las siguientes: • Windows Server 2003:  Posibilidad de establecer confianzas entre bosques.  Se permite cambiar el nombre de un dominio.  La réplica de miembros de grupo se hace de forma in dividual en vez del grupo completo (replicación de valor vinculado). De esta forma se minimiza tráfico de red (sólo se copian la información de los objetos neces arios) y aumenta la fiabilidad de la réplica.  Posibilidad de incluir controladores de dominio de sólo lectura (RODC).  Con el fin de habilitar la autorización basada en r oles, se crean dos plantillas de tipos de grupo para instanciar, llamadas grupos básicos d e aplicación y grupos de consulta LDAP.  Se da nueva utilidad a atributos de objetos en el e squema y se eliminan otros. • Windows Server 2008: Todas las características del nivel funcional anterior. No se añaden nuevas. • Windows Server 2008 R2: Todas las características a nteriores, añadiendo:  Papelera de reciclaje: Se permite la restauración c ompleta de objetos eliminados. • Windows Server 2012: Todas las características del nivel funcional anterior. No se añaden nuevas. • Windows Server 2012: Todas las características del nivel funcional anterior. No se añaden nuevas. 5. Relaciones de confianza Una confianza es una relación entre dominios que pe rmite que los usuarios de un dominio tengan permisos de acceso en otro dominio. Todas las relaciones que se establecen entre domini os de bosques a partir de Windows Server 2000 son bidireccionales y transitivas. Bidireccion ales porque una vez establecida la relación entre dos dominios, los usuarios de uno tienen acceso al otro. Transitivas porque si el dominio A establece una relación con el dominio B, y éste a s u vez establece una nueva relación con el dominio C, los usuarios del dominio A pueden accede r al dominio C y viceversa, puesto que A y C confían en B. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 18 TEMARIO OPOSICIONES COIICV | TEMA 27 La autenticación del cliente de un dominio sobre un servicio proporcionado por un servidor del dominio en el que se confía es gestionada por Kerbe ros. 5.1. Objetos del nivel de confianza Las relaciones de confianza entre dominios se repre sentan mediante Objetos de Dominio de Confianza (TDO, de sus siglas en inglés Trusted Domain Object ). Cada nueva relación crea un TDO único que se almacena en su dominio. Cada regis tro contiene información referente a los nombres de dominios recíprocos, tipo y transitivida d de la relación o atributos para identificar los espacios de nombres de confianza en el bosque asoci ado. Para poder establecer la relación de confianza se d eberá contar con permisos de administrador en ambas entidades. Se generará una contraseña de conf ianza segura que se deberá proporcionar a los dos dominios que forman la relación. 5.2. Tipos de confianza Existen 4 tipos de relaciones de confianza, las cua les se detallan en la Tabla I. Todos los tipos de confianza de la Tabla I son unid ireccionales o bidireccionales, es configurable según la necesidad. Tabla I. Tipos de relaciones de confianza Tipo de confianza Transitividad Características Externa Transitiva Válida para accesos a recursos de dominios de Windows NT 4.0 o dominios de bosques diferentes que no tengan establecida una confianza de bosque. Kerberos Transitiva / No transitiva Válida para relaciones entre dominios en nivel funcional Windows Server 2008 y un dominio Kerberos no Windows. De bosque Transitiva Válida para relaciones entre b osques. Directa Transitiva Válida para mejorar el tiempo de inicio de sesión entre dos dominios que están separados por dos árboles de dominios. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 19 5.3. Transitividad de confianza Si bien la transitividad se incluye como un mecanis mo para facilitar la gestión de acceso de usuarios a servicios u objetos de otro dominio, pue de darse el caso en el que se necesite aplicar ciertas restricciones o bien vengan dadas por la na turaleza de los dominios que se quiere comunicar. 5.3.1. Confianzas transitivas Desde Windows Server 2000, en el momento que se aña da un nuevo dominio a un bosque se crea automáticamente una relación de confianza bidirecci onal y transitiva con el nodo padre del dominio. En la Figura 2 se muestra un ejemplo de qué implica la relación entre los dominios de un bosque. Según se han ido añadiendo dominios hijos a los dom inios padre de cada árbol (A y 1) se han establecido confianzas transitivas entre ellos. En el momento que se establece la relación de confianza entre los bosques (relación entre el Domi nio A y el Dominio 1), automáticamente cualquier usuario validado en un dominio del bosque puede acceder a los recursos proporcionados por cualquier otro dominio. En la figura se hace hi ncapié en que, por ejemplo, los dominios 2 y C que previamente no tenían relación, ahora si la tie nen. Además de las confianzas que se crean automáticamen te al añadir un dominio a un árbol se pueden crear las siguientes confianzas: • Confianza directa: Se establece entre dos dominios de un mismo bosque , con el fin de reducir el tiempo de inicio de sesión, pues las con sultas de validación se realizarán directamente sin tener que navegar por el árbol. En la Figura 2, sería el caso en el que se quisiera acelerar el acceso entre los dominios B y C. • Confianza de bosque: La establecida entre dos dominios raíz del bosque. • Confianza de dominio Kerberos: La establecida entre un dominio Active Directory y entre un dominio Kerberos V5 no Windows. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019