Conceptos Avanzados del Directorio Activo - PowerPoint PPT Presentation

1 / 35
About This Presentation
Title:

Conceptos Avanzados del Directorio Activo

Description:

Pueden pertenecer a otro grupo Local de Dominio. Solo son visibles en su propio ... Pueden pertenecer a Grupos Locales, Universales o Globales del mismo dominio ... – PowerPoint PPT presentation

Number of Views:1444
Avg rating:3.0/5.0
Slides: 36
Provided by: davidce151
Category:

less

Transcript and Presenter's Notes

Title: Conceptos Avanzados del Directorio Activo


1
Conceptos Avanzados del Directorio Activo
  • David Cervigón Luna
  • Microsoft IT Pro Evangelist
  • davidce_at_microsoft.com
  • http//blogs.technet.com/davidcervigon

Jose Parada Gimeno Microsoft IT Pro
Evangelist jparada_at_microsoft.com http//blogs.tech
net.com/padreparada
2
Webcasts grabados sobre Directorio Activo
  • Conceptos Básicos de Directorio Activo
  • http//msevents-eu.microsoft.com/CUI/WebCastEventD
    etails.aspx?EventID118766352EventCategory3cult
    urees-ESCountryCodeES

3
AGENDA
  • Tipos de Cuentas
  • Tipos y ámbitos de Grupos
  • Tipos de Confianzas
  • Niveles funcionales
  • Aprovisionamiento de usuarios
  • Sintaxis LDAP y búsquedas en el Directorio
  • Mecanismos de Autenticación y Tokens de seguridad
  • Kerberos

4
Tipos de Cuentas de Directorio Activo
  • Cuentas de usuario Es un objeto almacenado en el
    Directorio Activo que permite su inicio de sesión
    único en la red
  • Cuentas locales
  • Cuentas de dominio
  • Cuentas Integradas (Built-in)
  • Cuentas de Equipos. Ofrecen una forma de
    autenticar y auditar a los equipos que acceden a
    la red y a recursos del dominio.
  • Cuentas de grupos Colección de usuarios, equipos
    y otros grupos. Su principal objetivo es
    simplificar la administración

5
User Principal Name
  • En Active Directory, cada cuenta de usuario tiene
  • Un nombre de inicio de sesión de usuario.
  • Un nombre de inicio de sesión de usuario
    anterior a Windows 2000
  • Un sufijo UPN (User Principal Name, segun RFC
    822)

UPN nombre_de_inicio_de_sesión_at_Sufijo_UPN
6
Cómo agregar Sufijos UPN
  • En la consola de Dominios y confianzas del
    Directorio Activo
  • juanp_at_empresa.es
  • ó
  • juanp_at_grupoempresas

7
Service Principal Names
  • Cada cuenta de equipo creada en Directorio Activo
    tiene
  • Un nombre completo relativo.
  • Un nombre de equipo de versiones anteriores a
    Windows 2000.
  • Un nombre de host DNS.
  • Un sufijo DNS principal (FQDN)
  • JuanXP_at_empresa.com

8
Service Principal Names (cont.)
  • Atributo de valores múltiples que identifican los
    servicios ofrecidos por el equipo, de cara a una
    autenticación mutua por parte de otro equipo

9
Nombrado de Objetos
  • Se puede hacer referencia a cada objeto de
    Directorio Activo con varios nombres diferentes.
    Directorio Activo crea a partir de los datos
    durante la creación del objeto
  • El nombre completo relativo LDAP identifica
    unívocamente al objeto dentro su contenedor
    principal.
  • CNJuanP
  • El nombre completo LDAP es globalmente único.
  • CNJuanP, OUUsers, DCempresa, DCes
  • El nombre canónico se crea de la misma manera
    que el nombre completo, pero se representa con
    una notación diferente.
  • Empresa.com/Users/JuanP
  • Objetos principales de Seguridad (Security
    Principals) Son objetos del directorio que
    tienen asignados un Identificados único de
    seguridad (SID)

10
Tipos de Grupos
  • Grupos de Distribución
  • Utilizados por aplicaciones de correo (p.e
    Microsoft Exchange Server 2000/2003)
  • No pueden ser usados para especificar controles
    de acceso a recursos.
  • Grupos de Seguridad
  • Asignación de derechos (funciones que se pueden
    desempeñar)
  • Asignación de permisos de acceso a recursos
  • Permiten anidación, es decir, meter unos grupos
    dentro de otros.
  • Ambos tipos de grupo pueden ser de tres ámbitos
    distintos
  • Locales de Dominio
  • Global
  • Universal

11
Grupos Locales de Dominio
  • Pueden contener
  • Grupos Universales, Globales, Locales de su
    dominio
  • Usuarios de cualquier dominio del bosque
  • Pueden pertenecer a otro grupo Local de Dominio
  • Solo son visibles en su propio dominio
  • Sólo pueden asignarse a permisos de recursos del
    dominio en el que existe
  • Se utilizan para asignar permisos a recursos
    existentes en el dominio en donde se esta creando
    el grupo

12
Grupos Globales
  • Pueden contener
  • Usuarios, Grupos y equipos de su propio dominio
  • Otros grupos globales
  • Pueden pertenecer a Grupos Locales, Universales o
    Globales del mismo dominio
  • Son visibles desde cualquier dominio del bosque
    en los que se confíe.
  • Pueden asignarse a recursos de cualquier dominio
    de confianza del bosque
  • Se utilizan para organizar usuarios o grupos de
    usuarios

13
Grupos Universales
  • Pueden contener
  • Usuarios y equipos de cualquier dominio del
    bosque
  • Grupos globales o universales de cualquier
    dominio del bosque
  • Pueden pertenecer a otros grupos universales y a
    grupos Locales de Dominio.
  • Son visibles desde todos los dominios del bosque
  • Pueden asignarse a recursos que apliquen a todos
    los dominios del bosque.
  • Se usan para asignar permisos a recursos
    relacionados en todos los dominios del bosque,
    anidando en ellos grupos globales.

14
Tipos de Confianzas
  • Transitividad
  • Transitivas (T)
  • Intransitivas (I)
  • Dirección
  • Bidireccionales (B)
  • Unidireccionales (U)
  • Confianzas por defecto
  • Entre dominios (padres/hijos) Transitivas
    bidireccionales
  • Entre raíces de árboles Transitivas
    bidireccionales
  • Otros tipos de confianzas
  • Externa Con NT 4.0 (I, U/B)
  • Territorios Kerberos con sistemas no Windows
    (T/I, U/B)
  • Bosque Entre bosques (T, U/B)
  • Acceso Directo Para mejorar los tiempos de
    acceso entre dominios lejanos lógicamente (T,
    U/B)

15
Confianzas
Kerberos
NT 4.0
16
SID History y SID Filtering
  • Cuando movemos un objeto
  • En el dominio
  • No hay cambios ni en SID ni en GUID
  • En el Bosque
  • Mismo GUID, cambio de SID
  • Entre Bosques
  • Cambian GUID y SID
  • SID History
  • Atributo con la lista de todos los SIDs que han
    estado alguna vez asignados a una cuenta de
    usuario.
  • Permite la migración de usuarios manteniendo el
    acceso a los recursos del antiguo dominio.
  • SID Filtering
  • Se aplica por defecto a confianzas entre bosques
    o externas para evitar la suplantación de
    identidades de otros usuarios externos.
  • NO se debe aplicar a confianzas entre dominios
    del mismo bosque

17
Niveles funcionales
  • Niveles funcionales de Dominios Habilitan
    características que afectan a todo el dominio y a
    ese dominio solamente. Controla y depende de los
    sistemas operativos de los controladores de
    dominio de dicho dominio.
  • Windows 2000 mixto (DCs en NT 4.0, 2000 y 2003)
  • Windows 2000 nativo (DCs en 2000 y 2003)
  • Windows Server 2003 (DCs en 2003)
  • Windows Server 2003 interino (DCs en NT 4.0 y
    2003)
  • Niveles funcionales de Bosques Habilitan
    características que afectan a todo el bosque.
    Controla y depende de los sistemas operativos de
    los controladores de dominio de todos los
    dominios del bosque.
  • Windows 2000 (DCs en NT 4.0, 2000 y 2003)
  • Windows Server 2003 (DCs en 2003)
  • Windows Server 2003 interino (DCs en NT 4.0 y
    2003)

18
Niveles funcionales de Dominios
  • Windows 2000 Mixto y Windows 2003 Interino
  • Características por defecto
  • Windows 2000 Nativo
  • Grupos universales tanto para grupos de seguridad
    como de distribución
  • Anidamiento de grupos
  • Conversión de grupos habilitada. Seguridad ??
    Distribución
  • SID History
  • Windows Server 2003
  • Autenticación selectiva, por la que se pueden
    especificar usuarios y grupos de otro bosque de
    confianza a los que se les permite autenticarse
    en nuestro bosque
  • Capacidad de especificar el atributo userPassword
    como contraseña efectiva de objetos tipo User o
    InetOrgPerson
  • Posibilidad de redirigir los contenedores Users y
    Computers a otras localizaciones bien conocidas
  • Posibilidad de almacenar las políticas del
    Authorization Manager en el Directorio Activo
  • Delegación obligada, basada en delegación de
    credenciales Kerberos
  • Renombrado de DCs
  • lastLogonTimestamp ? Replicado en el dominio

19
Niveles funcionales de Bosques
  • Windows 2000
  • Características por defecto
  • Windows 2003 Interino
  • Linked-value replication Cambios en la
    pertenencia a grupos se almacena y replica por
    los cambios individuales en lugar de por toda la
    pertenencia como un todo.
  • Mejoras en los algoritmos y la escalabilidad del
    KCC. El Intersite Topology Generator (ISTG) ha
    sido mejorado para soportar bosques con mayor
    numero de sites.
  • Windows Server 2003
  • Capacidad de crear instancias de la clase
    dinámica auxiliar dynamicObject en la partición
    de Dominio
  • Posibilidad de crear instancias de dos nuevos
    tipos de grupo. Básicos y basados en consultas,
    para la autenticación basada en roles.
  • Desactivación y redefinición de atributos y
    clases en el Esquema
  • Confianzas entre Bosques
  • Renombrado de Dominios

20
Aprovisionamiento de usuarios
  • Para crear/modificar/borrar un solo usuario
  • Usuarios y equipos de Directorio Activo
  • DsAdd, DsMod, DsRm ? Scriptables
  • Para crear/modificar/borrar múltiples usuarios
  • Csvde
  • Importa/Exporta usuarios desde/a un fichero .csv
  • LDIFDE
  • Utiliza ficheros de texto, con formato de líneas
    separadas para cada atributo, para crear,
    modificar o borrar objetos en el Directorio
    Activo
  • ADSI Interfaz de programación para crear objetos
    en Directorio Activo vía desarrollo
  • En todos los casos, se deben especificar al menos
    estos atributos
  • DN,objectClass, sAMAccountName,
    userPrincipalName, displayName, userAccountControl

21
DEMO
  • Creación de Usuarios
  • Creación de Grupos
  • Movimiento de usuarios entre dominios

22
Sintaxis LDAP
  • Cómo se construye el DN (Distinguish Name
  • CN Common Name.
  • OU Unidad Organizativa
  • DC Domain Component
  • Ejemplos
  • Dominio
  • DCempresa,DCcom
  • Controlador de Dominio
  • CNDC1,OUDomain Controllers,DCempresa,DCcom
  • Dominio hijo
  • DCfilial,DCempresa,DCcom
  • Site
  • CNZonaCentro,CNSites,CNConfiguration,DCempresa
    ,DCcom
  • Usuario
  • CNAdministrador,CNUsers,DCempresa,DCcom

23
Búsquedas LDAP al directorio
  • RootDSE es parte del estándar de LDAPv3.0
  • Definido en RFC 2251
  • Define la raíz de búsqueda en un servidor LDAP
  • Muestra, entre otras cosas, las particiones
    básicas a las que se puede conectar un cliente
  • Pasos
  • Conexión con un servidor LDAP
  • Por defecto devuelve RootDSE
  • Antes de consultar hay que validar
  • Opción bind con usuario y contraseña
  • Buscar
  • Definir el ámbito de la búsqueda (Base DN)
  • Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
  • Profundidad de la búsqueda (En el ámbito dado)
  • Resultados a devolver (Qué atributos extraer)

24
DEMO Uso de LDP
  • Lista de usuarios en una OU dada
  • Obtener su GUID, SID, displayName y SID History
  • Lista de todos los atributos que se replican al
    catálogo global

25
AutenticaciónSSPI Security Support Provider
Interface
Internet Explorer, Internet InformationServer
Directory-enabled appsusando ADSI
Mail, Chat, News
AplicaciónDCOM
Fichero Remoto
HTTP
LDAP
POP3, NNTP
Secure RPC
CIFS/SMB
SSPI
NTLM
Kerberos
Digest
SChannelSSL/TLS
26
Arquitectura LSA
27
Access Token y ACLs
  • DACL Discretionary Access control List
  • SACL System Access Control List
  • ACE Access Control Entry

28
Que es Kerberos?
  • Protocolo de Autenticación
  • Usa Tickets
  • Interoperabilidad con otros sistemas
  • Basado en claves simétricas (secretos)
  • Componentes
  • Key Distribution Center (KDC)
  • Almacena long term keys y genera Tickets
  • Authentication Service (AS)
  • Genera Ticket Granting Tickets (TGT)
  • Ticket Granting Service (TGS)
  • Genera Tickets de sesión.

29
Inicio de sesión Interactivo
  • ltCtlgtltAltgtltSupgt

7. Autentica al equipo local usando el tiket de
Sesión
30
Inicio de sesión en red
4. El servidor verifica que el Ticket fue emitido
por el KDC (no requiere contacto)
5. El servidor autentica al cliente
31
Delegación Kerberos
3. Server1 verifica y autentica al cliente
4. Server1 hace una llamada a Server2 como cliente
7. El Server2 lo verifica y autentica al cliente
32
Próximas Webcasts sobre Directorio Activo
  • La importancia de DNS para el Directorio Activo
  • Replicación del Directorio Activo
  • File Replication System (FRS)
  • Uso avanzado de las políticas de Grupo
  • Mejores Prácticas para un buen diseño del
    Directorio Activo
  • Chequeo de salud del directorio Activo
  • Mejores Prácticas en las operaciones de
    Directorio Activo
  • Información de fechas y registro en
  • http//www.microsoft.com/spain/technet/jornadas/we
    bcasts/default.asp

33
PREGUNTAS?
Jose Parada Gimeno Microsoft IT Pro
Evangelist jparada_at_microsoft.com http//blogs.tech
net.com/padreparada
David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon
34
REFERENCIAS
  • Conceptos de Directorio Activo
  • Niveles Funcionales de Directorio Activo
  • Descripción de los Grupos
  • Nomenclatura de objetos
  • Descripción de las Confianzas
  • Logon and Authentication Technologies
  • Active Directory Core Concepts
  • http//www.microsoft.com/windowsserver2003/technol
    ogies/directory/activedirectory/default.mspx
  • Scripts para Directorio Activo

35
REFERENCIAS
  • Libros
Write a Comment
User Comments (0)
About PowerShow.com