Serveis de Directori - SSO - Gestió d'identitats RESUM PDF

Summary

Aquest document resumeix els serveis de directori, incloent l'autenticació SSO i la gestió d'identitats. Explica la definició de servei de directori i les diferències amb altres sistemes de gestió de bases de dades i sistemes de fitxers.

Full Transcript

Serveis de Directori: disseny,
infraestructura, implementacio, gestio i
manteniment. Autenticacio SSO (Single
Sign On) i gestio d’identitats
1 Serveis de directori
1.1 Definició
Directori: base de dades especialitzada (o repositori de dades) que emmagatzema informació sobre
objectes i que està dissenyada per optimitzar les operacions de consulta.
Servei de Directori (SD): infraestructura física i lògica (conjunt d’elements, format per programari i
maquinari) que permet gestionar les dades del directori (emmagatzema, organitza i facilita l’accés a la
informació d’un directori). Capa d’abstracció entre els usuaris i els recursos compartits (impressores) i
permeten als administradors gestionar l’accés dels usuaris als recursos de la xarxa.

1.2 Serveis Directoris enfront gestors de bases de dades
 Els SD estan optimitzats per a operacions de lectura,
 Els SD estan optimitzats per emmagatzemar informació relativament estàtica
 Les dades que hi ha en SD segueixen una estructura totalment jeràrquica.
 Els directoris no suporten transaccions (controlar l’execució d’una operació complexa). La info que
s’emmagatzema en un directori no requereix una consistència tan estricta.
 Directoris hi pot haver atributs multivalorats (múltiples valors vàlids).
 Les bases de dades convencionals utilitzen el llenguatge de consulta SQL. Els serveis de directori basats
en l’LDAP (protocol simplificat i optimitzat per construir aplicacions simples i petites). Els patrons de
disseny de les BBDD relacionals no són aplicables als serveis de directori.

1.3 Serveis de Directori enfront sistemes de fitxers
 Els directoris estan optimitzats per emmagatzemar petits fragments d’info (entrades amb atributs).
 Els sistemes de fitxers permeten accedir a un fitxer i posicionar-se en un determinat punt. Els directoris
només permeten accedir a un atribut sense posicionar-se en cap punt, s’ha de llegir completament.

1.4 Serveis de directoris enfront de serveis web
El servei web està centrat a proporcionar una interfície d’usuari agradable, no posseeix les capacitats de
cerca del SD. Si es requereix que gran varietat d’aplicacions puguin accedir a la informació, cal usar un SD.

1.5 Serveis de directoris enfront de serveis DNS
El servei DNS s’encarrega de traduir noms de domini a adreces IP, i a l’inrevés. Diferencies:
 Els serveis DNS estan optimitzats per transformació de noms d’ordinadors a adreces IP. Els SD estan
optimitzats de manera més general.
 La info del servei DNS té una estructura fixa. el SD sol permetre l’extensió d’aquesta estructura.
 Els serveis DNS operen amb protocols no orientats a connexió (UDP). Els SD solen utilitzar protocols
orientats a connexió (TCP).

1
1.6 Utilitats del Servei Directori
 Trobar informació
 Gestionar informació: centralitzar la informació necessària per al funcionament de diverses
aplicacions, mantenir sincronisme i consistència entre les dades emmagatzemades.
 Seguretat: poden fer funcions d’autenticació d’usuari mitjançant:
o Autenticació simple: el directori manté emmagatzemada la contrasenya de cada usuari.
o Autenticació forta: directori manté emmagatzemades claus de xifratge per autenticar l’usuari.

Disposar d’un SD comú, multiplataforma, accessible mitjançant protocol i API estàndards, permet als
programadors desenvolupar aplicacions sense haver de crear directoris específics. Permet controlar
fàcilment els riscos d’error per inconsistència de dades.

1.7 Tipus d’informació d’un Servei Directori
SD emmagatzema info de l’usuari i xarxa en un únic repositori accessible des de la Xarxa. Tipus d’informació:
 Informació del dispositiu físic, com dades sobre las impressores
 Informació pública de l’empleat (nom, adreça de correu electrònic i departament)
 Informació privada de l’empleat (salari, adreces personals i números de telèfons )
 Informació de contracte o compte (nom client, data de lliurament, info licitació, dates projecte)

1.8 Serveis Directori Globals
El SD satisfà les necessitats d’una amplia varietat d’aplicacions. Proporciona un protocol estàndard i les
interfases de programació d’aplicacions (API) per accedir a la informació que conté. L’accés al Servei de
Directori utilitza el protocol LDAP per a que les aplicacions accedeixin al seu Servei Directori Global.

1.9 Arquitectura Serveis de Directori
Els SD se solen implementar seguint el model client-servidor, l'aplicació crida una funció de la API que
accedeix al directori i retorna el resultat.
 Serveis de Directori Centralitzat: Un únic servidor subministra tot el servei
 Serveis de Directori distribuïts: diversos servidors proporcionen el SD, una part de la informació
està fraccionada i una altra part està replicada.

1.10 Disseny de Serveis Directoris
El SD i el client han d’implementar un protocol comú per comunicar-se. Els més usats són:

 X.500: estàndard ISO d’interconnexió de sistemes oberts que inclou protocol d’Access al directori (DAP),
reemplaçat pel protocol Lightweight Directory Access Protocol (LDAP), versió més lleugera.
 LDAP: protocol a nivell d’aplicació que permet l’accés a un servei de directori ordenat i distribuït per
cercar informació en un entorn de xarxa. Facilita serveis centralitzats i distribuïts d’informació
mitjançant una xarxa TCP/IP. El protocol definit a la RFC4511. Darrera versió, v3, definida al RFC2251.
Els protocols de missatge estan codificats en format binari BER. Tot i així, utilitza representacions
textuals per a un nombre de camps i tipus ASN.1
Quan s’instal.la un Servei de Directori, té 3 elements principals:
 El Servidor LDAP central del SD, el daemon (procés de fons, de background, o ‘demoni’) de xarxa
compatible amb LDAP v3 (ns-slapd) i tots els complements associats (eines de línies de comandes,
bases de dades , arxius de configuració i l’esquema).
 El Servidor d’Administració: servidor web que controla els portals que accedeixen al servidor LDAP.
 La Consola del SD d’administració gràfica per facilitar la configuració i manteniment del SD.
 Agent SNMP (Simple Network Management Protocol) per supervisar el servidor de directoris.

2
El SD pot proporcionar la base per una intranet o extranet. Les apps de servidor compatibles utilitzen el
directori como repositori central per compartir informació (d’empleats, clients, proveïdors i socis).
El la gestió SD pot administrar l’autenticació d’usuari, crear control d’accés, configurar preferències
d’usuari i centralitzar d’usuaris.
El Servei Directori és una aplicació multi-threaded (=multi-hilo): varis clients enllacen al mateix temps.
La majoria de programes client poden comunicar-se amb el servidor utilitzant tant LDAP sobre TCP/IP
(protocol de tràfic d’Internet) i LDAP sobre sockets Unix (LDAPI). El SD pot establir un servidor segur,
connexió (encriptada) amb SSL / TLS.
L’arbre bàsic del Servei de Directori és:

Cn=Config: configuració interna del servidor / O=NetscapeRoot: configuració del Servei d’administració / O=userRoot
Abans d'implementar, és necessari planificar el Servei de Directori. El disseny implica la recopilació de
dades sobre els requisits del directori: entorn, fonts de dades, usuaris i aplicacions. Cal considerar:

 Planificació del directori de dades: tipus de dades són més adequades per SD:
- dades que es consulten molt i que es modifiquen poc
- es poden expressar en format d’atribut (informació descriptiva o útil sobre una persona o actiu)
- d’interès per més d’una persona (ubicació d’una impressora)
- les que s’accedeix des de més d’un lloc físic
La informació a incloure en un Directori: contactes (nº telèfon, adreces físiques i @), descriptiva (nº
d’empleat, títol i interessos), contacte de l’organització, dispositiu (ubicació física i tipus d’impressora),
contacte i facturació (socis, clients), contracte (venciment, preus), preferències individuals de software.
El SD no es dissenya per objectes grans i desestructurats, com imatges (mantenir en sistema d’arxius)
 Disseny de l’esquema de directori: reflectir com representar les dades emmagatzemades al directori.
Cada element de dades s’assigna a un atribut LDAP, i els elements relacionats s’agrupen en classes
d’objectes LDAP. L’esquema ha de mantenir la integritat de les dades emmagatzemades al directori
imposant restriccions en la mida, rang i format dels valors de les dades.
Esquema LDAP dels components d’un servei de directori:

Objectes: components mes bàsics / Unitats organitzatives: contenidors d’objectes
Dominis: unitats funcionals centrals, comparteixen BBDD, directives de seguretat,
Arbre de directori: estructures jeràrquiques de dominis, resolent les adreces amb un DNS.
Bosc: instància complerta del SD. Límit de la relació de confiança. Per establir relacions de confiança
entre boscos s'usa protocols d’autenticació com Kerberos o SSL/TLS.

3
  Disseny de l’arbre de directori: manera de referir-se a les dades emmagatzemades pel SD.
Contempla tipus d’info, naturalesa física de l’empresa, aplicacions utilitzades y replicacions. Un
arbre ben dissenyat proporciona: manteniment simplificat i flexibilitat.
 Disseny de la topologia de directori: descriu com l’arbre de directoris es divideix entre diferents SD
físics i com aquests servidors s’enllacen entre sí.
 Disseny del procés de rèplica: mecanisme que còpia automàticament les dades de directori d’un
SD a un altre, per redundància i rendiment. Beneficis: tolerància a errors i caigudes, balanceig de
càrrega, millor rendiment. La unitat més petita de replicació és una base de dades.
 Disseny de la sincronització: El procés de sincronització és anàleg al procés de rèplica. Hi ha 2 parts
en el procés de sincronització de Windows: d’usuaris i grups i de contrasenyes
 Disseny d’un directori segur: Les amenaces a la Seguretat del directori es divideixen en 3 categories:
Accés no autoritzat, Manipulació no autoritzada i Negació del servei. Hi ha 2 tipus de drets d’accés:
- Concedir a totes les categories d’usuaris tants drets com sigui possible protegint dades
- Concedint a cada categoria d’usuaris l’accés mínim que requereixin per fer el seu treball.
Els mètodes de seguretat de SD: Autenticació, Polítiques de contrasenya, Xifrat, Control d’accés,
Desactivació de compte, Connexions segures i Revisió de comptes.

1.11 Formes d’implementació de Serveis de Directori
Exemples d’implementació de serveis de directori :

 NIS Network Information Service de Sun Microsystems:servei de directori per xarxes d’entorn UNIX
 NetIQ eDirectory, de Novell: suporta múltiples arquitectures Windows, NetWare, Linux i Unix
 Servidor de directori de Red Hat
 CentOS Directory Server
 Active Directory: servei de directori de Microsoft. S’inclou SO Windows 2000 i posteriors.
 Open Directory: Servei de directori del Mac OS X de Apple.
 Servidor de directori d’Apache
 Directori d’Internet d’Oracle (OID):compatible amb la versió 3 de LDAP.
 Servidor de Sun Java System: Servei de Directori de Sun Microsystems

2 SINGLE SING ON
2.1 Definició
El Single Sign On (SSO) és un sistema que permet accedir a diferents aplicacions i serveis amb una única
identitat i ens facilita el donar d’alta i de baixa els usuaris en els nostres sistemes. Identificant-se una sola
vegada és possible mantenir la sessió vàlida per la resta d’aplicacions que fan ús del SSO. Amb SSO és
possible a través d’un compte tenir múltiples accessos, p.ex. entrant a Gmail pots accedir a Google Docs, etc.
SSO sol usar SAML: estàndard obert d'esquema XML per a l’intercanvi de dades autenticació i autorització.

2.2 Característiques
 Gestió simple: SSO realitza la sincronització de contrasenyes i informació de l’usuari
 Seguretat: SSO millora la Seguretat de la xarxa i les apps. Permet identificar inequívocament a un
usuari. La informació proporcionada a SSO viatja xifrada per la xarxa.
 Facilitat d’ús: El SSO evita les interrupcions per les sol·licituds de contrasenyes en accedir a les seves
eines. L’usuari s’autentica 1 vegada i el sistema li permet accedir als recursos que té autoritzats
 Transparència: Degut a l’automatització de l’inici de sessió, l’accés a les aplicacions per part de l’usuari
es realitza de forma transparent

4
2.3 Tipologia
Hi ha 5 tipus de SSO:

 Enterprise SSO (E-SSO) o legacy SSO: deshabilita la presentació de les pantalles d’autenticació. Aquest
sistema opera com una autenticació primària; intercepta els requisits d’autenticació del sistema, login,
que es requereixen per les aplicacions secundaries, i es completen amb l’usuari i contrasenya
emmagatzemats en els servidors.
 Web SSO (Web-SSO) o Web Access Management (Web-AM o WAM) treballa només amb aplicacions i
recursos accedits via web. L’objectiu és permetre autenticar als usuaris en diverses aplicacions en
internet, sense necessitat de tornar a autenticar. Les dades d’accés s’intercepten a través d’un
servidor proxy o d’un component instal·lat en el servidor web o en l’aplicació web destí (cookies)
 Kerberos: mètode popular d’externalitzar l’autenticació dels usuaris. Els usuaris es registren en el
servidor Kerberos i reben un ticket, que desprès presentaran les aplicacions client per obtenir accés.
 Identitat federada és per aplicacions Web. Solució de gestió d’identitat, que permet utilitzar
credencials disponibles en un sistema d’autenticació en altres. Avantatge: no és necessari compartir
accés a SD a altres organitzacions. Les contrasenyes no s’emmagatzemen ni transmeten, es
converteixen en tokens. Es basa en “cercle de confiança”. Per intercanviar info s’usa XML.
 OpenID: SSO distribuït i descentralitzat on l’entitat es compila en un Localitzador Uniforme de
Recursos (URL) que qualsevol app/servidor pot verificar. Cada app s'autenticar en el servidor OpenID

2.4 Avantatges y inconvenients de SSO
Avantatges Inconvenients

Accelera l’accés dels usuaris a les aplicacions augmenta probabilitats de vulnerabilitat de contrasenyes

Redueix càrrega de memoritzar varies contrasenyes Quan falla el SSO es perd accés als sistemes relacionats

Fàcil d’implementar i connectar a noves fonts dades Suplantació d’identitats en els accessos externs dels usuaris

Per empreses, tenir sistema SSO allibera l’usuari de recordar moltes contrasenyes i reduir l’assistència
tècnica informàtica per solucionar els problemes de la seguretat de les contrasenyes.
Pels usuaris és una comoditat identificar-se una sola vegada i mantenir la sessió vàlida per la resta
d’aplicacions que fan ús del SSO. Permet identificar-se utilitzant els següents mètodes d’autenticació: UVUS
i contrasenya; utilitzant certificat de la Fàbrica Nacional de Moneda i Timbre (FNMT); Utilitzant el DNI-e.
Per desenvolupadors/administradors d’aplicacions simplifica la seva lògica, delegant la tasca d’autenticació.

2.5 Funcionament

Els usuaris reben tokens, identificadors opacs que queden associats internament a la identitat de l’usuari
que fa ús del sistema.

5
3 GESTIO D’IDENTITATS
3.1 Descripció
La gestió d’identitats (gestió d'ID o ID management): àrea administrativa que s’ocupa de la identificació
d‘individus en un sistema (país, xarxa o empresa) així com de controlar el seu accés als recursos dins del
sistema mitjançant l’associació de drets d’usuari i restriccions. En el nucli d’un sistema de gestió d’identitats
es troben les condicions que defineixen què dispositius i usuaris estan autoritzats i allò que poden fer.

La gestió d’identitats i control d’accés (IAM- “Identity and Access Management”): conjunt de processos de
negoci, tecnologies, infraestructura i polítiques que permeten realitzar la gestió de les identitats d’usuari i
controlar l’accés d’aquestes als diferents recursos organitzacionals.

3.2 Avantatges
 Protecció tant de les dades d’usuaris como de les dades dels recursos organitzacionals.
 Control d’accés eficient basat en roles: cada usuari només té accés a la info i recursos necessaris.
 Major compliment de regulacions sobre protecció de dades d’usuari, organització i reports d’auditoria.
 Reducció de costos en tasques administratives de gestió de comptes d’usuari, canvis de contrasenya,...
 Increment de productivitat per eliminar temps entre la creació de compte d’usuari i assignació de rols.
 Administració delegada d’usuaris, recursos i polítiques per controlar l’accés a les aplicacions.
 Autoservei: els usuaris poden autogestionar i recuperar contrasenyes (automatització de sol·licituds).
 Automatització: de processos com creació, modificació i eliminació de las comptes d’usuari.
 Integració de serveis i de repositoris de dades d’usuaris en la mateixa arquitectura, facilitant
l’administració de comptes.
 Consistència en les dades: si una dada es modifica en el repositori, el canvi es reflexarà en totes apps.

3.3 Inconvenients
 Que un usuari només manegui 1 contrasenya per totes les apps integrades incrementa el risc seguretat
 Si hi ha errades en els processos d’autenticació i autorització, afectaria a totes les apps integrades.
 requereix una reestructuració de processos i del model operatiu de les organitzacions
 requereix fer un treball detallat i específic per definir rols de negoci i rols tècnics (administradors).
 requereix invertir diner, temps i recursos i el retorn d’inversió és a llarg termini.

3.4 Components d’una solució IAM
 Servei de directoris
 Directoris Virtuals: es crea una vista unificada de la informació. Tenen major nivell de flexibilitat i
s’elimina la necessitat de fer sincronització i replicació de dades entre serveis de directoris. Es
poden incloure repositoris com serveis de directoris, bases de dades i fonts com Web Services.
 Gestió d’identitats
 Gestió de rols

4 Preguntes

4.1 Examen 2019
75. Quina d’aquestes afirmacions respecte dels
protocol LDAP (Lightweight Directory Access
Protocol) és FALSA?

6
 a. La versió més recent és la v2.
b. Està publicada com el RFC4510.
c. Utilitza protocols OSI.
d. Fa servir cadenes de caràcters enlloc d’estructures ASN.1.

75) La correcta és a A, però LDAP NO UTILITZA protocols OSI, sinó TCP/IP, per tant també és correcta la C.

18. Quina és la funció dels serveis de directori?
A. Organitzar els elements d’una xarxa, usuaris, equips i altres dispositius, gestionant l’accés als diferents
recursos.
B. Organitzar els discos d’una cabina per emmagatzemar una gran quantitat de dades, tenir tolerància als errors
i millorar el rendiment.
C. Organitzar el catàleg de serveis TIC.
D. Oferir serveis sobre el directori de la ciutat.

4.2 Altres
1) En quant als els Serveis de Directori és cert que:
a. Un Servei de Directori es pot considerar una Base de Dades Relacional
b. El protocol LDAP és un protocol dins de la capa d’aplicació de la pila Open System Interconnection (OSI)
c. Un servei de directori està altament optimitzat per lectures i proporciona alternatives avançades de cerca
d. Totes les anteriors són certes

2) Respecte al protocol SAML quina de les següents afirmacions és falsa:
a. SAML és un protocol estàndar obert basat en XML
b. SAML està encapsulat dins de missatges HTTP i permet la interoperabilitat entre diferents dominis a
través de pàgines web
c. SAML sempre està restringit al mètode d’autenticació login / password
d. Serveix per intercanviar informació d’autenticació i autorització entre un proveïdor d’identitats i un
proveïdor de serveis.
3) Durant la implementació dels Serveis de Directori serà necessari:
a. Definir Objectes de Directiva de Grup (GPO Group Policy Object)
b. Crear comptes d’usuari, equip,... i crear els grups de distribució i seguretat
c. Definir l’estructura de dominis
d. Totes les anteriors són certes

4) Un conjunt de polítiques i processos organitzatius que pretenen facilitar i controlar l’accés als sistemes
d’informació administrant l’autenticació d’usuaris, drets i restriccions d’accés, perfils, contrasenyes,
recursos de xarxa i aplicacions a les que els usuaris poden accedir s’anomena:
a. Control d’Accés
b. Group Policy Object
c. Control d’autenticació
d. Gestió d’identitats

1. Què es SSO?
a) És un sistema Operatiu per proporcionar l’autorització d’utilització de recursos basats en
certificats d’usuari
b) És un mètode de control d’accés que permet a un usuari validar-se úna sola vegada i
tenir accés a diferents recursos sense tenir que tornar a introduir les credencials

7
 c) És una plataforma que emmagatzema totes les contrasenyes de l’usuari per a que
aquest no hagi de teclejar-les cada cop que accedeixi a les diferents aplicacions
d) És una plataforma PKI que emet certificacions d’empleat públic per la Administració
General de l’Estat
2. En relació als diferents sistemes de SSO:
a) Els sistemes Web SSO utilitzen ‘Coockies’ per reconèixer als usuaris i el seu estat
d’autenticació
b) Els usuaris dels sistemes SSO mitjançant Keberos reben un ‘ticket’ al registrar-se que
desprès presenten en les aplicacions client
c) Ambdues respostes són correctes
d) Totes les respostes són incorrectes

3. En un SS0, com es denomina la informació confidencial agrupada (nom d’usuari,
contrasenya, etc.) que es precisa per accedir a les aplicacions?
a) Credencials
b) Federació
c) Cookies
d) Login
4. Quin dels següents termes NO és un tipus de SSO?
a) Enterprise SSO
b) Web SSO
c) Kerberos
d) Novell
5. Què és un sistema IDM (Gestió d’Identitats Managment)?
a) És una plataforma que permet gestionar des d’un sol punt de vista el cicle de vida d’una
identitat
b) És qualsevol sistema de gestió d’usuari
c) És una plataforma de gestió de PKI per proporcionar targetes d’identificació als empleats
de l’organització
d) És una plataforma que impedeix la descentralització de l’administració dels sistemes de
control d’accés basat en roles
6. En relació al Servei Directori, quina és l’afirmació falsa?
a) Generalment la informació suporta més lectures que escriptures
b) Habitualment es un component central en el disseny de la seguretat d’un sistema
d’informació
c) Les dades s’organitzen en una estructura poc jerarquitzada
d) L’estàndard X.500 va ser la base de l’estàndard LDAP
7. Indica la resposta INCORRECTA en relació al LDAP:
a) LDAP és un conjunt de protocols oberts utilitzat per accedir a informació
emmagatzemada centralment a través d’una xarxa
b) Qualsevol pot accedir a la seva compte des de qualsevol màquina en la xarxa corporativa
LDAP

8
 c) LDAP s’utilitza com un directori telefònic virtual, permetent als usuaris accedir fàcilment
a informació dels seus contactes per altres usuaris
d) LDAP no és capaç de propagar els seus directoris a altres servidors LDAP
8. Què és LDAP?
a) Un protocol del servei de transport
b) Un protocol del servidor de correu
c) Un protocol del servei de directori
d) Un protocol del servei d’alertes
9. Indica quina de les següents NO és un avantatge de l’ús de directoris LDAP per
l’autenticació d’usuaris:
a) La majoria de les aplicacions comercials permeten la seva integració fàcilment
b) Estan optimitzats per les cerques, que és l’operació més repetida a l’hora de gestionar
els usuaris
c) Permeten implantat sense cap mecanisme addicional Single Sign On, ja que totes les
aplicacions poden tenir l’autenticació a traves del LDAP
d) Totes són correctes
10. Quina de les següents NO és una característica pròpia d’un Servei de Directori?
a) Optimització per operacions de lectura
b) Estructural jeràrquica
c) Se li apliquen els patrons de disseny de les bases de dades relacionals
d) Utilitza protocols orientats a connexió

9