parcial 3 servidores
TRANSCRIPT
P T O F E S O R : R O B E R T O G A R C I A .
2012
ADMINISTRACION DE
SERVIDORES 1 PARCIAL 3 SERVIDORES.
MIGUEL RAMIREZ ESPERANZA.
UNIVERSIDAD TECNOLOGICA DE TAMAULIPAS NORTE.
Sistema de Archivos y Control de Procesos.
Cuentas de Usuario
Windows NT es un sistema operativo de red multiusuario, por eso es necesario realizar lo que se llama
una administración de usuarios. En ella, el Administrador del sistema definirá las autorizaciones para
acceder al Dominio y a los recursos. Además sirve para que cada usuario pueda tener un entorno de
trabajo personalizado.
Una cuenta de usuario se trata de las credenciales únicas de un usuario en un dominio, ofreciéndole la
posibilidad de iniciar sesión en el Dominio para tener acceso a los recursos de la red o de iniciar la sesión
local en un equipo para tener acceso a los recursos locales. Cada persona que utilice la red regularmente
debe tener una cuenta. Las cuentas de usuario se utilizan para controlar cómo un usuario tiene acceso al
Dominio o a un equipo. Por ejemplo, puede limitar el número de horas en las que un usuario puede iniciar
una sesión en el dominio, impresoras de red que puede utilizar... Es decir, gracias a las cuentas de usuario
el Administrador puede controlar todo lo que un usuario puede hacer en un dominio, a través de las
restricciones de su cuenta y la configuración de derechos de usuario.
TIPOS DE CUENTAS DE USUARIO
Existen dos tipos de cuentas de usuario:
Cuentas creadas por nosotros como administradores del dominio: Estas cuentas contienen
información acerca del usuario, incluyendo el nombre y la contraseña del usuario, permiten que el
usuario inicie una sesión en la red y, con los permisos apropiados, tenga acceso a los recursos de
la red.
Cuentas predefinidas o incorporadas: Se trata de cuentas creadas durante la instalación de
Windows NT. Estas cuentas son:
o Invitado (Guess): La cuenta incorporada Invitado se utiliza para ofrecer a los usuarios
ocasionales la posibilidad de iniciar sesiones y tener acceso a los recursos del dominio o
equipo local. Por ejemplo, un empleado que necesite tener acceso al equipo durante un
periodo breve de tiempo. La cuenta Invitado está deshabilitada de forma predeterminada.
No se debe habilitar esta cuenta en una red de alta seguridad. Para mayor seguridad,
cambie el nombre de esta cuenta y asígnele una contraseña.
o Administrador (Administrator): La cuenta incorporada Administrador se utiliza para
administrar la configuración global del equipo y del dominio. El Administrador puede
realizar todas las tareas, como la creación o modificación de cuentas de usuario y de
grupo, la administración de las directivas de seguridad, la creación de impresoras, y la
asignación de permisos y derechos a las cuentas de usuario para que tengan acceso a los
recursos.
o Otras cuentas: Dependiendo de las aplicaciones instaladas pueden aparecer más cuentas
predefinidas. Por ejemplo, si instalamos el IIS se crea el usuario IUS_Server para
conexiones anónimas.
Para conseguir un mayor grado de seguridad, cree una cuenta de usuario normal que pueda utilizar
para realizar las tareas no administrativas, cambie el nombre de la cuenta Administrador y sólo inicie
una sesión como Administrador para realizar tareas administrativas.
Creación de cuentas de Usuario
Se pueden crear cuentas de usuario de dominio o cuentas de usuario local.
Cuenta de usuario de dominio: Una cuenta de usuario de dominio se crea mediante
el Administrador de usuarios para dominios. Cuando se crea una cuenta de usuario en un
dominio, la cuenta de usuario se crea siempre en la base de datos del directorio maestro del PDC
del dominio. En todos los controladores de reserva (BDC) se almacena una copia de la base de
datos del directorio maestro (SAM). Una vez creada la cuenta de usuario en el PDC, un usuario
puede iniciar la sesión en el dominio desde cualquier equipo de la red. Pueden pasar algunos
minutos hasta que las copias de la base de datos del directorio de los BDC estén sincronizadas
con el PDC; esto puede impedir que los usuarios con cuentas nuevas inicien una sesión. Para
sincronizar manualmente la base de datos en todos los controladores de dominio, utilizaremos
el Administrador de servidores. Se pueden crear cuentas de usuario de dominio desde equipos
que ejecuten Windows NT Workstation y Microsoft Windows 95 si instala las Herramientas de
Windows NT Server. Las herramientas administrativas para Windows 95 y Windows NT
Workstation están incluidas en el CD-ROM de instalación de Windows NT Server 4.0 en la ruta:
\Clients\Srvtools\Win95 o \Clients\Srvtools\Winnt.
Cuenta de usuario local: Las cuentas de usuario locales se crean en un servidor miembro o en
un equipo que ejecute Microsoft Windows NT Workstation, mediante el Administrador de
usuarios. Cuando crea una cuenta de usuario local, se crea sólo en la base de datos del directorio
local del equipo. Con una cuenta de usuario local, un usuario puede iniciar una sesión y tener
acceso únicamente a los recursos de dicho equipo.
Diseño de Cuentas de usuario
Para diseñar cuentas de usuario lo primero que tendremos que tener en cuenta es establecer una
convención de nombres.
La convención de nombres establece cómo se identificará a los usuarios en la red. Una convención de
nombres coherente hará que el administrador y los usuarios puedan recordar más fácilmente los nombres
de los usuarios y encontrarlos en listas. Para determinar una convención de nombres, tendremos en cuenta
lo siguiente:
1. Los nombres de usuario deben ser únicos. Si existe un gran número de usuarios, el diseño debe
contar con la posibilidad de empleados con nombres duplicados, habrá que determinar un criterio
a seguir para no asignar el mismo nombre de cuenta a dichos usuarios. Por ejemplo: José
Fernández, JoseF y JoseFdz.
2. Los nombres de usuario pueden contener cualquier carácter en mayúsculas o minúsculas excepto
los siguientes caracteres: " / \ [ ] : ; =, + * ? < >. Podemos utilizar una combinación de caracteres
especiales y alfanuméricos en la convención de nombres de usuario para facilitar la identificación
de los usuarios.
Si las carpetas particulares van a estar en el equipo local o en un servidor
Una carpeta particular es la carpeta privada de un usuario para almacenar archivos. Una carpeta particular
puede almacenarse en el equipo local del usuario o en un servidor de la red. Tendremos en cuenta lo
siguiente a la hora de determinar la ubicación de la carpeta particular:
Copia de seguridad y restauración: nuestra principal responsabilidad es evitar la pérdida de
datos. Es mucho más fácil asegurar la copia de seguridad de los archivos cuando se encuentran en
una ubicación central, es decir, en un servidor. Si las carpetas particulares de los usuarios se
encuentran en sus equipos locales, tendremos que hacer copias de seguridad periódicas en cada
equipo.
Espacio en los controladores de dominio: ¿hay suficiente espacio en el PDC o en los BDC para
que los usuarios almacenen sus datos? Windows NT no proporciona la posibilidad de limitar la
cantidad de espacio de disco duro utilizado por cada usuario. Este aspecto está corregido en
Windows 2000.
Espacio en los equipos de los usuarios: si los usuarios trabajan en equipos sin discos duros, las
carpetas particulares no pueden estar en sus equipos.
Rendimiento: hay menos tráfico de red si la carpeta particular se encuentra en el equipo local del
usuario.
Creación de cuentas de usuario
para un Dominio
Iniciar el Administrador de usuarios
para dominios. Menú Usuario –
Seleccionar Usuario nuevo...
Rellenar los siguientes campos.
Nombre de usuario: Escribir un
nombre único basado en la
convención de nombres adoptada.
Este campo es obligatorio.
Nombre completo: El nombre
completo del usuario es útil para
determinar la persona a la que
pertenece una cuenta. Es
opcional.
Descripción: Una descripción que nos sea útil para identificar a los usuarios. Puede ser el cargo,
el departamento o la ubicación en la oficina. Es opcional.
Contraseña: Una contraseña, si vamos a controlar la contraseña de la cuenta. No hay por qué
asignar una contraseña a una cuenta; sin embargo, para mayor seguridad nos aseguraremos
siempre de que el usuario cambie su contraseña en su primer inicio de sesión. La contraseña no se
presenta. Está representada por una serie de catorce asteriscos una vez escrita, cualquiera que sea
su longitud. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una
contraseña. Como administradores deberemos decidir si la contraseña de la cuenta de usuario la
determina el administrador o el usuario además de tener en cuenta los siguientes puntos:
o Asignar siempre una contraseña a la cuenta Administrador.
o Determinar quién controlará la contraseña.
o Decidir si una contraseña tiene que caducar.
o Educar a los usuarios sobre las maneras de proteger y escribir sus contraseñas.
o Evitar utilizar asociaciones obvias, como el nombre de algún familiar.
o Utilizar una contraseña larga. Las contraseñas pueden tener una longitud de hasta 14
caracteres.
o Utilizar letras mayúsculas y minúsculas. Las contraseñas distinguen entre mayúsculas y
minúsculas. Por ejemplo, la contraseña SECRETA es diferente de secreta.
Repetir contraseña: Escriba la contraseña una segunda vez para asegurarse de que ha escrito
correctamente la contraseña. Es obligatorio si se ha introducido una contraseña.
Hacer clic para activar o desactivar las siguientes casillas de verificación.
El usuario debe cambiar la contraseña en el siguiente inicio: Quiere que los usuarios cambien
su contraseña la primera vez que inicien sesión (activada de forma predeterminada). Esto asegura
que el usuario es la única persona que sabe su contraseña. El usuario se está haciendo cargo de su
contraseña.
El usuario no puede cambiar la contraseña: Cuando hay más de una persona que utiliza la
misma cuenta de usuario, como la del Invitado, o porque el Administrador quiere mantener el
control sobre las contraseñas de usuario.
La contraseña nunca caduca: Se trata de una cuenta de usuario para la que deseamos que la
contraseña no cambie nunca. Por ejemplo, cuentas de usuario utilizadas para tareas de
administración, como puede ser el propio Administrador. Esta opción ignora la selección de El
usuario debe cambiar la contraseña en el siguiente inicio de sesión.
Cuenta desactivada: Con esta opción se consigue evitar temporalmente el uso de una cuenta; por
ejemplo, si un empleado toma unas vacaciones, podemos desactivar su cuenta.
Configuración de las horas de inicio de sesión
La configuración de las horas de inicio de sesión nos permite controlar cuándo un usuario puede iniciar
una sesión en el dominio. La restricción de las horas de inicio de sesión limita las horas en las que los
usuarios pueden explorar la red . Para especificar las horas de inicio de sesión, en el cuadro de
diálogo Usuario nuevo, hacer clic en el
botón Horas.
De forma predeterminada se permiten todas
las horas de todos los días. Se representa por
un cuadro relleno por cada hora del día. Un
cuadro relleno indica que el usuario tiene
permiso de inicio de sesión durante esa hora.
Un cuadro vacío indica que el usuario no
puede iniciar sesiones en esa hora.
Colocaremos el puntero del ratón sobre el
rectángulo correspondiente al día y la hora en
la que queramos denegar el acceso. Hacer clic
sobre dicha hora y manteniendo presionado el
botón del ratón, arrastrar el puntero hasta la
última hora en la que queremos denegar el
acceso.
El área denegada debe estar ahora
sombreada.
Hacer clic en el botón Denegar.
Un usuario conectado a un recurso de red del dominio no queda desconectado cuando se pasan sus horas
de inicio de sesión. Sin embargo, el usuario no podrá establecer nuevas conexiones. Para que los usuarios
queden desconectados de los recursos de la red, hay que activar la opciónDesconectar del servidor a los
usuarios remotos cuando termine la hora de inicio de conexión en el Plan de cuentas del dominio.
Las horas de inicio de sesión no tienen efecto sobre los usuarios que inicien sesiones en un equipo local.
Selección de las opciones de estación de trabajo
La configuración de Estaciones de trabajo de
inicio de sesión nos permite controlar los
equipos desde los que un usuario puede iniciar
sesiones en el dominio. Esto evita que los
usuarios tengan acceso a datos locales de otro
usuario y puede utilizarse para requerir que los
usuarios inicien sus sesiones en las estaciones
de trabajo designadas. Para especificar las
estaciones de trabajo a las que un usuario
puede tener acceso, en el cuadro de diálogo
"Usuario nuevo", hacer clic en el botón
"Iniciar desde".
De forma predeterminada, cada cuenta de
usuario puede tener acceso a todos los equipos del dominio. Si queremos restringir el acceso de estaciones
de trabajo a un usuario hemos de seguir los siguientes pasos:
Hacer clic en "El usuario puede acceder a estas estaciones de trabajo".
Escribir al menos uno y un máximo de ocho nombres de equipo que la cuenta pueda utilizar.
Hacer clic en el botón "Aceptar".
Selección de las opciones de cuenta
Para modificar la información de la cuenta en el cuadro de diálogo "Usuario nuevo", hacer clic en el
botón "Cuenta". Aparecerá la siguiente
ventana:
En Información de la cuenta pueden
establecerse las dos opciones siguientes:
La cuenta caduca: Utilizaremos
estas opciones para establecer una
fecha en la que la cuenta quedará
automáticamente deshabilitada.
Esto es útil para las cuentas
temporales de personal contratado o
empleados a tiempo parcial. Para
establecer la fecha de caducidad basta con hacer clic en "Final de" y escribir una fecha para
especificar la fecha de caducidad.
Tipo de cuenta: Utilizar estas opciones para crear una cuenta global o local. Cuenta global es el
tipo predeterminado y es el tipo de cuenta estándar para participar en un dominio. A las cuentas
locales sólo se puede tener acceso conectando con un controlador de dominio a través de la red.
Permiso de marcado
Puede decidir proporcionar a un usuario acceso remoto a la red si el Servicio de acceso remoto (RAS) está
instalado. También puede determinar si los gastos de teléfono se cargan al usuario que marca o a la
organización. Para activar el permiso de marcado
en el cuadro de diálogo "Usuario nuevo", hacer
clic en el botón "Marcado".
Hacer clic para activar la casilla de verificación
"Conceder permiso de marcado al usuario", con
ello, el usuario podrá conectarse a los recursos de
la red a través del servicio RAS. Configuración de
las opciones de devolución de llamada:
No contestar: Cuando se activa, el
servidor de RAS no devolverá la llamada
al usuario y el usuario correrá con los
gastos telefónicos de la sesión. Es la
opción predeterminada.
Establecer por quien marca: Cuando se activa, permite que el usuario especifique un número de
teléfono de manera que el servidor de RAS puede devolver la llamada al usuario. Esto significa
que la organización propietaria del servidor de RAS corre con los gastos telefónicos de la sesión.
Preestablecer a: Cuando se activa, le permite especificar un número de teléfono que el servidor
de RAS utilizará para devolver la llamada al usuario. Esto reduce el riesgo del uso no autorizado
de una cuenta de usuario por parte de otra persona, ya que el usuario tiene que encontrarse en el
número de teléfono especificado para poder conectar con el servidor de RAS. En redes de alta
seguridad, utilice esta opción para asegurar que los usuarios sólo llamen desde un número de
teléfono.
Eliminación y cambio de nombres de las cuentas de usuario
Cuando ya no se necesite una cuenta, podemos eliminarla o cambiar su nombre para que sea utilizada por
otro usuario. Recomendaciones sobre la decisión a tomar:
Eliminar una cuenta
Si la cuenta ya no se necesita y se elimina una cuenta, se pierde toda la información de la misma. Esta
información incluye las propiedades de la cuenta, sus derechos, permisos y pertenencia a grupos. Las
cuentas Administrador y Invitado no se pueden eliminar.
Para eliminar una cuenta de usuario seguiremos los siguientes pasos:
1. Iniciar el Administrador de usuarios para dominios y seleccionar la cuenta de usuario que
deseamos eliminar.
2. Presionar la tecla SUPR o bien, en el menú Usuario, hacer clic en la opción de Eliminar.
Aparecerá un cuadro de diálogo advirtiéndonos que cuando se elimine la cuenta, incluso si
volvemos a crearla, no se recuperarán los recursos disponibles de la cuenta eliminada. Hacer clic
en Aceptar. Se eliminará la cuenta de usuario.
Cambiar el nombre de una cuenta
Si la cuenta ya no se necesita y la cambiamos de nombre mantendremos todos los derechos, permisos y
pertenencia a grupos de la cuenta para otro usuario diferente. Por ejemplo, cuando un nuevo empleado
sustituye a otro, cambiaremos el nombre de la cuenta de usuario y haremos que el nuevo empleado
cambie la contraseña cuando inicie la primera sesión.
Para cambiar el nombre de una cuenta de usuario seguiremos los siguientes pasos:
1. Iniciar el Administrador de usuarios para dominios y seleccionar la cuenta de usuario que
deseamos cambiar de nombre.
2. En el menú Usuario, hacer clic en la opción Cambiar nombre.
3. En el cuadro de diálogo Cambiar a, escribir el nuevo nombre de usuario y, después, hacer clic
en Aceptar.
Administración del entorno de trabajo de un usuario
Como administradores podemos definir el entorno de trabajo de un usuario para restringir o personalizar
lo que un usuario ve y tiene disponible cuando inicia una sesión. Por ejemplo, podemos establecer los
colores de la pantalla, la configuración del ratón, y que las conexiones de red y de impresoras sean
siempre las mismas cuando un usuario inicie una sesión. Para administrar los entornos de trabajo de los
usuarios se utilizan las siguientes herramientas:
Perfiles de usuario
Contienen todas las configuraciones definibles por el usuario para el entorno de trabajo de un equipo que
ejecute Windows NT, incluyendo la configuración de la pantalla y las conexiones de red. Todas las
configuraciones especificas del usuario se guardan automáticamente en la carpeta "Profiles" dentro de la
carpeta raíz del sistema (C:\winnt\profiles). Los perfiles de usuario ofrecen las siguientes posibilidades:
Personalizar el entorno de trabajo de un usuario de forma que éste vea siempre el mismo entorno
de trabajo cuando inicie una sesión desde cualquier equipo que ejecute Windows NT.
Ofrecer a los usuarios que comparten un mismo equipo sus propios perfiles de usuario.
Ofrecer a todos los usuarios el mismo perfil de usuario y evitar que los usuarios lo modifiquen.
Ofrecer a todos los usuarios el mismo perfil de usuario inicial, pero permitir que los usuarios lo
modifiquen.
Archivo de comandos de inicio de sesión
Se trata de un archivo de proceso por lotes (.bat o .cmd) o un archivo ejecutable (.exe) que se ejecuta
automáticamente cuando un usuario inicia una sesión en cualquier tipo de estación de trabajo de la red. El
archivo de comandos puede contener comandos del sistema operativo, como los comandos para establecer
conexiones de red o Iniciar aplicaciones. Los archivos de comandos de inicio de sesión son los
precursores de los perfiles de usuario y proporcionan compatibilidad con versiones anteriores de clientes
LAN Manager; no se pueden utilizar para configurar la pantalla.
PERFILES DE USUARIO MÓVILES
Se puede especificar un perfil de usuario móvil para una cuenta de usuario. Los perfiles de usuario
móviles proporcionan al usuario el mismo entorno de trabajo, sin importar el equipo con Windows NT en
el que el usuario inicie la sesión.
Perfil de usuario móvil obligatorio: es un perfil de usuario preconfigurado que él no puede
cambiar. Un perfil obligatorio puede asignarse a varios usuarios. Esto significa que modificando
un perfil, el administrador puede cambiar varios entornos de escritorio. Este tipo de perfil se
utiliza para proporcionar configuraciones comunes a los usuarios. Por ejemplo, cuando tiene
varios usuarios que requieren una configuración idéntica del escritorio para hacer entradas de
pedidos.
Perfil de usuario móvil personal: es un perfil de usuario que un usuario puede cambiar; esto
significa que cuando el usuario termina la sesión, el perfil de usuario se actualiza para incluir los
cambios efectuados por el usuario. Cuando el mismo usuario vuelve a iniciar una sesión, el perfil
se carga como se guardó por última vez.
DEFINICIÓN DEL ENTORNO DE TRABAJO DE UN USUARIO
Para configurar el perfil de entorno de usuario, en el cuadro de diálogo "Usuario nuevo" (o "Propiedades
de usuario"), hacer clic en el botón Perfil. En el cuadro de diálogo "Perfil del entorno de usuario",
configuraremos las siguientes opciones:
Ruta de acceso del perfil de usuario: Escribir el nombre completo de la ruta del perfil del
usuario Por ejemplo: \\servidor\perfiles\prueba.
Archivo de comandos de inicio de sesión: Escribir el nombre de la ruta del archivo de
comandos de inicio de sesión. Puede utilizar una ruta del equipo local del usuario o una ruta UNC
de una carpeta compartida en un servidor de red.
Directorio particular: La ruta de la carpeta particular. Puede utilizar una ruta de equipo local del
usuario. Por ejemplo, C:\Users\usuario. Para especificar una ruta de red, seleccione "Conectar" y
escriba una letra de unidad. En el cuadro "a", escriba una ruta UNC Por ejemplo:
\\equipo\Users\%username%
Antes de poder especificar una ubicación de red, la carpeta debe existir en el servidor de red y tiene que
estar compartida. Procedimiento recomendado: Utilizar %USERNAME%. La variable %USERNAME%
almacena el nombre del usuario. Utilizando esta variable, se sustituye por el nombre del usuario y se
utiliza como nombre de la carpeta particular.
RECOMENDACIONES PARA CONFIGURAR CUENTAS DE USUARIO
Cambiar el nombre de la cuenta incorporada Administrador y asignarle una contraseña para
mayor seguridad (Es aconsejable crear una cuenta llamada Administrador que no tuviera derechos
ni permisos).
Utilizar la opción "El usuario debe cambiar la contraseña en el siguiente inicio de sesión", de
forma que sólo el usuario conozca su contraseña después de haber iniciado su primera sesión.
No eliminar cuentas de usuario a menos que sea estrictamente necesario; en su lugar, desactivar
las cuentas o cambiar su nombre para utilizarlas posteriormente.
Utilizar perfiles móviles para que el entorno de trabajo del usuario esté disponible cuando inicie
sesiones desde cualquier equipo que ejecute Windows NT.
Derechos y permisos
Derechos
Determinan las tareas del sistema que puede realizar un usuario o un miembro de un grupo con el sistema
operativo Windows NT. Por ejemplo: iniciar sesión en local, acceder al equipo a través de la red....
Pasos a seguir para asignar derechos a un usuario o grupo de usuarios:
1. Abrir el "Administrador de usuarios para dominios".
2. En el menú "Directivas" seleccionamos la opción "Derechos de usuario..."
3. En la ventana "Plan de derechos de usuario" seleccionaremos los distintos derechos de la lista
desplegable "Derecho" y se los concederemos a los usuarios que hayamos determinado.
4. Hacer clic en el botón "Aceptar".
Permisos
Son normas que regulan qué usuarios pueden utilizar un determinado recurso compartido del sistema, esto
incluye archivos, carpetas, impresoras...
Grupos Globales y Locales
Un grupo es un conjunto de cuentas de usuario. La asignación de una cuenta de usuario a un grupo
concede a éste todos los derechos y permisos concedidos al grupo. Los grupos simplifican la
administración al proporcionar un método fácil para conceder derechos comunes a múltiples usuarios
simultáneamente. Por ejemplo, si los usuarios Profesor_1, Profesor_2 y Profesor_3 necesitan acceder a un
recurso compartido de nuestra red llamado Cursos, en lugar de asignar a cada uno de ellos derechos sobre
el recurso nos podemos crear un grupo llamado Monitores, añadir a dicho grupo los tres usuarios y darle
al grupo derechos para acceder al recurso Cursos. Esto, que en este caso puede parecer innecesario, no lo
es, dado que si en algún momento hacemos cambios en la red que puedan producir la pérdida de las
asignaciones de derechos sobre los recursos, nos será mucho más fácil recomponer los accesos. Es más
sencillo asignarle al grupo monitores (grupo que tiene un nombre más fácilmente relacionable con el
recurso) que acordarnos de todos y cada uno de los usuarios que tenían derechos de acceso al recurso
compartido sin que se nos olvide ninguno. Por tanto, los grupos simplifican la administración al
proporcionar un método fácil para conceder capacidades comunes a múltiples usuarios. La administración
de grupos se realiza con la herramienta administrativa: Administrador de Usuarios para
Dominios(o Administrador de Usuarios, si se trata de Windows NT Workstation o de un Servidor
Independiente). Microsoft distingue entre dos tipos de grupos: locales y globales.
Grupos Locales
Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un recurso de la red.
Recordemos que los permisos son normas que regulan qué usuarios pueden emplear un recurso como, por
ejemplo, una carpeta, un archivo o una impresora. Los grupos locales también se utilizan para
proporcionar a los usuarios los derechos para realizar tareas del sistema tales como el cambio de hora de
un equipo o la copia de seguridad y la restauración de archivos. Los grupos locales están formados por
usuarios y grupos que pueden proceder tanto del dominio en que se crearon y residen las cuentas, como
de otros dominios, si tenemos establecidas relaciones de confianza. No pueden incluir ningún grupo local
y sólo se les puede asignar permisos y derecho sobre recursos del Domino local. Windows NT incluye
varios grupos locales ya creados, diseñados especialmente para asignar derechos a los usuarios. Los
grupos incorporados con Windows NT son grupos "predefinidos" que tienen un conjunto predeterminado
de derechos de usuario.
Grupos Globales
Los grupos globales se utilizan para organizar cuentas de usuario del dominio, normalmente por función o
ubicación geográfica. Se suelen usar, en redes con múltiples dominios. Cuando los usuarios de un
dominio necesitan tener acceso a los recursos existentes en otro dominio, se agregarán a un grupo local
del otro dominio para conceder derechos a sus miembros. Se tienen que crear en un controlador del
dominio en el que residen las cuentas de los usuarios. Los grupos globales están formados sólo por
usuarios de un mismo dominio (del mismo en que reside el grupo) y no pueden contener ningún tipo de
grupos.
RESUMEN DE LAS CARACTERÍSTICAS DE LOS GRUPOS LOCALES Y GLOBALES
Grupos locales Grupos globales
Proporcionan a los usuarios permisos o derechos. Organizan los usuarios del dominio.
Pueden incluir (de cualquier dominio):
– Cuentas de usuario
– Grupos globales
Sólo pueden incluir cuentas de usuario del dominio en el que residen.
No pueden incluir ningún otro local. No pueden contener ningún grupo local ni global.
Tienen asignados permisos y derechos en el
dominio local.
Se agregan a un grupo local para conceder derechos y permisos a sus
miembros.
En Windows NT Workstation o en servidores
miembro, sólo se pueden asignar derechos y
permisos a recursos locales.
No se asignan a recursos locales.
En un PDC, pueden tener asignados recursos de
cualquier controlador del dominio.
Es necesario crearlos en el PDC del dominio donde residen las cuentas.
Diseño de una estrategia de Grupos
Para crear grupos, es recomendable seguir las siguientes directrices:
Organizar los usuarios del dominio según sus necesidades comunes. Por ejemplo, si el personal
de ventas necesita tener acceso a una impresora en color y todos los directores necesitan acceder a
un archivo de registros de empleados, organice los usuarios por personal de ventas y por
directores.
En todos los dominios en los que residan cuentas de usuario, crear un grupo global para cada
grupo lógico de usuarios. A continuación, agregar las cuentas de usuario adecuadas a los grupos
globales correspondientes.
Crear grupos locales tomando como base sus necesidades de acceso a recursos. Por ejemplo, si
los Comerciales necesitan tener acceso al directorio ListaPrecios (sólo para consultar precios) y el
Director necesita control total sobre los archivos de dicho directorio, crearemos un grupo local
para los Comerciales y otro para el Director (o Directores).
Si el recurso se encuentra en un servidor miembro o en un equipo que ejecuta Windows NT
Workstation, debemos crear el grupo local en la ubicación del recurso.
Si el recurso se encuentra en un PDC o en un BDC, crearemos el grupo local en el PDC.
Asignar los permisos apropiados a los grupos locales.
Agregar los grupos globales a los grupos locales.
Para agregar grupos globales de un dominio a grupos locales de otro dominio, es imprescindible que se
haya establecido la relación de confianza apropiada.
Creación de grupos Globales y Locales
En Windows NT Server, los grupos locales y globales se crean mediante el "Administrador de usuarios
para dominios". En Windows NT Workstation, los grupos locales se crean con el "Administrador de
usuarios", y no se pueden crear grupos globales. Al crear los grupos locales y globales se deben cumplir
las reglas siguientes:
1. El usuario debe ser miembro del grupo Administradores, Administradores del dominio u
Operadores de cuentas.
2. Se pueden crear un grupo local en cualquier equipo que ejecute Windows NT.
3. Se debe crear un grupo global en un PDC, pero se puede crear desde cualquier equipo que ejecute
el Administrador de usuarios para dominios. Esto incluye:
o Un controlador de reserva (BDC).
o Un servidor miembro que forme parte del dominio.
o Un equipo que ejecute Windows NT Workstation o Microsoft Windows 95/98 y que
tenga instaladas las Herramientas Administrativas del servidor.
4. Los nombres del grupo deben ser exclusivos para el Dominio. No pueden ser idénticos a otros
nombres de usuarios o de grupos.
Creación de grupos globales
Para crear un grupo global:
1. En el menú Usuario, hacer
clic en Grupo global nuevo.
Aparecerá el cuadro de
diálogo Grupo global nuevo.
2. En el cuadro Nombre de
grupo, escribir el nombre del
grupo. Dicho nombre:
Puede contener
cualquier carácter, en
mayúsculas o
minúsculas, salvo los
siguientes: " / \ [ ] : ; =, + ? < >
Deberá ser descriptivo de la función del grupo.
Tendrá un máximo de 20 caracteres.
3. En el cuadro Descripción, escribir una descripción del grupo. Aunque es opcional, esta
descripción puede resultar útil para identificar la función de un grupo.
4. En la lista No son miembros, seleccionar los usuarios que deseemos que pertenezcan al grupo.
5. Hacer clic en Agregar. Los usuarios seleccionados aparecerán en la lista Miembros.
6. Haga clic en Aceptar para crear el grupo global que contenga a todos los usuarios agregados
como miembros.
Creación de grupos Locales
Para crear un grupo local:
1. En el menú Usuario, haga clic
en Grupo local nuevo.
Aparecerá el cuadro de diálogo
"Grupo local nuevo".
2. En el cuadro Nombre de
grupo, escribir un nombre
descriptivo exclusivo para el
grupo. Dicho nombre:
Deberá describir la
función del grupo.
Puede contener
cualquier carácter, en
mayúsculas o
minúsculas, salvo la
barra invertida (\).
Puede tener 256 caracteres de longitud como máximo; sin embargo, en la mayoría de las
ventanas sólo aparecerán los 22 caracteres primeros.
3. En el cuadro Descripción, escriba una descripción del grupo y después haga clic en Agregar.
Aparecerá el cuadro de diálogoAgregar usuarios y grupos.
4. En la lista Nombres, seleccionaremos las cuentas de usuario o de grupo global del dominio local
que deseemos agregar al grupo.
5. Para agregar grupos globales de otro dominio, en el cuadro Mostrar nombres en,
seleccionaremos el dominio y después los grupos globales. El asterisco indica el dominio actual.
En el cuadroMostrar nombre en sólo aparecen los dominios en que se confía.
6. Hacer clic en Agregar y después en Aceptar.
7. Hacer clic en Aceptar en el cuadro de diálogo Grupo local nuevo para crear el grupo local.
Eliminación de Grupos
Cuando se elimina un grupo, no se eliminarán sus miembros sino el nombre del grupo, su descripción y
los derechos o permisos que tiene asociados.
Para eliminar una cuenta de grupo:
1. Iniciar el Administrador de usuarios para dominios.
2. Seleccionar el grupo que deseemos eliminar.
3. Presionar la tecla SUPR. Aparecerá el mensaje siguiente:
Cada grupo está representado por un identificador único que es independiente del nombre de grupo. Una
vez que este grupo se elimine, aunque cree un grupo con el mismo nombre en el futuro, no restaurará el
acceso a recursos que actualmente hacen referencia a este grupo en la lista de control de acceso.
4. Hacer clic en Aceptar y el grupo quedará eliminado.
Los grupos no se pueden cambiar de nombre
Implementación de Grupos Incorporados
Los grupos incorporados son grupos predefinidos que tienen un conjunto predeterminado de derechos de
usuario. Recordemos que los derechos de usuario determinan las tareas del sistema que puede realizar un
usuario o un miembro de un grupo. Los equipos que ejecutan Windows NT tienen tres tipos de grupos
incorporados:
Los grupos locales incorporados ofrecen a los usuarios derechos para realizar tareas del sistema
como la copia de seguridad y la restauración de archivos, el cambio de la hora del sistema y la
administración de los recursos del sistema. Los grupos locales incorporados se encuentran en
todos los equipos que ejecutan Windows NT.
Los grupos globales incorporados ofrecen a los administradores una forma sencilla de controlar
todos los usuarios de un dominio. Los grupos globales incorporados se encuentran solamente en
los controladores de dominio. Los grupos del sistema organizan automáticamente a los usuarios
para uso del sistema. Los administradores no asignan usuarios a dichos grupos. En su lugar, los
usuarios son miembros de forma predeterminada o se convierten en miembros durante la
actividad de la red.
Los grupos del sistema se encuentran en todos los equipos que ejecutan Windows NT.
Los grupos incorporados no pueden eliminarse ni cambiarse.
Grupos incorporados en todos los equipos NT
Grupos locales incorporados que residen en todos los equipos que ejecutan
Windows NT:
Usuarios: permite realizar tareas para las que han recibido derechos y tener acceso a los recursos
para los que tienen permisos. Se suele utilizar para dar permisos generales a todos los usuarios de
nuestro sistema.
Administradores: los administradores poseen la mayoría de los derechos sobre nuestra máquina
(Dominio local). Pueden realizar todas las tareas administrativas en el equipo local. Si el equipo
es un PDC o BDC, pueden administrar todo el dominio. La cuenta Administrador no se debe
borrar (puesto que tiene privilegios que cualquier otro usuario del grupo Administradores no
consigue tener) y resulta conveniente, por motivos de seguridad cambiarle el nombre y crearse
una segunda cuenta de administrador. Los derechos del Administrador vienen restringidos a un
solo dominio (en el que se creó), por lo que si se quiere que un solo administrador administre
varios dominios, debe incorporar a éste al grupo de Administradores de los demás dominios.
A pesar de que se puede haber tener tantos administradores como deseemos, no es recomendable
que sean muchos puesto que con ello ponemos en peligro la seguridad del sistema, ya que a
mayor número de administradores, mayor posibilidad de que se descubra la contraseña de
alguno de ellos.
Invitados: permite realizar tareas para las que se les hayan concedido derechos y tener acceso a
recursos para los que tengan permiso. Un miembro de este grupo es la cuenta de usuario Invitado,
que se suele utilizar para dar acceso a la red a usuarios eventuales a los cuales no queremos
asignar una cuenta de usuario. Es recomendable eliminar (o, en su defecto, proteger con
contraseña) al usuario invitado como medida de seguridad, evitando así la posibilidad de
encontrarnos con alguna conexión sin identificar.
Operadores de Copia: permite usar el programa de "copias de seguridad" de Windows NT
("ntbackup.exe" u otro más especifico que tengamos instalado) para realizar copias de seguridad.
Duplicadores: Los equipos que ejecutan Windows NT Sever pueden sincronizar algunas carpetas
(como por ejemplo las de los Script) con otros servidores. Uno de ellos se comporta como el
exportador (el que tiene la copia maestra de los archivos) y los otros importan esos datos. De esta
manera, podemos tener carpetas en diferentes servidores con el mismo contenido, lo que nos
puede servir como medida de seguridad para proteger ciertos archivos críticos. El grupo
Duplicadores nos permite utilizar el servicio de "Duplicador de Directorios", que es el que
permite que se realice la duplicación.
Usuarios Avanzados: sólo reside en servidores miembro y Windows NT Workstation. Los
miembros de este grupo pueden crear y modificar cuentas, así como compartir recursos.
Grupos incorporados sólo en controladores de Dominio
Grupos locales incorporados sólo en controladores de dominio:
Operadores de Cuentas: pueden crear, eliminar y modificar usuarios, grupos globales y grupos
locales. No pueden modificar los grupos Administradores ni Operadores de Servidores. No hay
miembros iniciales en este grupo.
Operadores de Servidores: pueden compartir los recursos del disco y realizar copias de
seguridad. No hay miembros iniciales en este grupo.
Operadores de impresión: pueden configurar y administrar las impresoras de red. No hay
miembros iniciales en este grupo.
Grupos globales incorporados sólo en controladores de dominio:
Cuando se instala un Windows NT Server como controlador de dominio, se crean tres grupos globales en
la base de datos de directorio del dominio:
Usuarios del Dominio: usuarios que tienen acceso al dominio. Se agrega al grupo local de
"Usuarios". Cuando se crea una cuenta de usuario del dominio, éste se convierte automáticamente
en miembro de este grupo. El Administrador es miembro por defecto.
Administradores del Domino: usuarios que tienen derechos de administración en el dominio. Se
agrega al grupo local de "Administradores" para así poder realizar tareas administrativas en el
equipo local. El Administrador es miembro por defecto.
Invitados del Dominio: permite realizar tareas para las que se hayan concedido derechos y tener
acceso a recursos para los que tengan permiso del dominio. Se agrega al grupo local de
"Invitados". Un miembro es el usuario Invitado.
Grupos incorporados del Sistema
Además de los grupos incorporados locales y globales existe un tercer tipo de grupos, llamados Grupos
del Sistema que organizan automáticamente a los usuarios para uso del sistema. Los administradores no
asignan usuarios o dichos grupos. En su lugar, los usuarios son miembros de forma predeterminada o se
convierten en miembros durante la actividad de la red (no se puede modificar la relación de miembro de
dichos grupos). Los grupos del sistema se encuentran en cualquier equipo que ejecute Windows NT.
Grupos del sistema que se utilizan para la administración de la red:
Todos (Everyone): contiene todos los usuarios locales y remotos que tienen acceso al equipo. A
diferencia del grupo de "Usuarios del Dominio", este grupo contiene cuentas de usuario distintas
a las creadas por el administrador en el dominio. Sin embargo, los administradores sí pueden
asignar derechos a este grupo. Cuando se crea un nuevo recurso compartido en la red, por
defecto, se le asigna "Control Total" sobre el recurso a este grupo. Como medida de seguridad es
conveniente eliminar al grupo Todos de la lista de permisos de acceso al recuso y sólo dar
permisos de acceso a los grupos que necesitemos que accedan al recurso.
Creator Owner: incluye al usuario que creó o tomó posesión de un recurso. Si un miembro del
grupo "Administradores" toma posesión de un recurso, el nuevo propietario es el grupo
"Administradores". Este grupo puede utilizarse para administrar el acceso a los archivos y
carpetas en volúmenes NTFS.
Grupos del sistema que no se utilizan para la administración de la red:
Network: incluye a cualquier usuario que esté actualmente conectado desde otro equipo de la red
a un recurso compartido.
Interactive: incluye automáticamente al usuario que inicia localmente una sesión en el equipo.
Los miembros interactivos tienen acceso a los recursos de su equipo. Inician la sesión y tienen
acceso "interactuando" con el equipo.
Administración de cuentas
Existen procedimientos y herramientas que un administrador puede utilizar para realizar sus tareas diarias
de forma eficiente y mantener la red en perfecto funcionamiento. Estos son algunos de esos
procedimientos y herramientas:
Crear plantillas para agregar nuevas cuentas de usuario.
Realizar cambios simultáneamente en varias cuentas de usuario.
Diseñar e implementar un plan de cuentas para proteger la red.
Mantener los controladores de dominio de forma que las cuentas de usuario se puedan validar
siempre y sin problemas.
Solucionar los problemas que puedan tener los usuarios con sus cuentas, suelen ser problemas de
inicio de sesión.
Distribuir algunas de las tareas administrativas mediante la creación de un Administrador
adicional o un Operador de cuentas:
o Los miembros del grupo Administradores tienen todas las capacidades administrativas.
Son responsables del diseño y el mantenimiento de la seguridad de la red.
o Los miembros del grupo Operadores de cuentas pueden crear, eliminar y modificar
cuentas de usuario, grupos globales y grupos locales. No obstante, no pueden modificar
los grupos Administradores y Operadores de servidores.
Plantillas de cuentas de usuario
Las plantillas de cuentas de usuario nos proporcionan una manera abreviada para crear nuevas cuentas de
usuario. Son cuentas de usuario estándar creadas con las propiedades que se aplican a usuarios con
necesidades comunes. Por ejemplo, si todo el personal del departamento de Formación necesita ser
miembro del grupo Monitores, podemos crear una plantilla que le provea de la pertenencia a ese grupo.
Para utilizar una plantilla y crear con ella una cuenta de usuario, basta con copiar la cuenta plantilla
(cualquier cuenta) y asignar un nombre de usuario y una contraseña para el nuevo usuario. Las siguientes
opciones se convierten en propiedades de la nueva cuenta de usuario:
Descripción.
El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
El usuario no puede cambiar la contraseña.
La contraseña nunca caduca
Grupos.
Perfil.
Horas de inicio de sesión (sólo controladores de dominio).
Iniciar desde (sólo controladores de dominio).
Cuenta (sólo controladores de dominio).
Marcado.
Los derechos y permisos concedidos a una cuenta de usuario individual no se copian.
Sugerencias para crear plantillas:
Crear una plantilla para cada clasificación de empleado, por ejemplo, personal de ventas,
contables, jefes, etc.
Si normalmente tenemos usuarios temporales o durante poco tiempo, crearemos una plantilla con
horas de inicio de sesión limitadas, especificaciones de estaciones de trabajo y otras restricciones
necesarias.
Es recomendable que cada nombre de plantilla comience con un carácter no alfabético, por
ejemplo un carácter de subrayado (_), de esta forma las plantillas siempre aparecerá al principio
de la lista de la ventana "Administrador de Usuarios".
UTILIZACIÓN DE PLANTILLAS DE USUARIO
Para utilizar una plantilla de cuenta y crear con ella una cuenta de usuario, basta con copiar la plantilla.
Pasos para copiar una plantilla de cuenta:
1. Iniciar el Administrador de usuarios para dominios.
2. En la lista Usuario, seleccionamos la plantilla que deseamos copiar.
3. En el menú Usuario, hacer clic en Copiar.
4. Escribir un nombre de usuario y una contraseña para la nueva cuenta; luego hacer clic
en Agregar.
5. Crear otro usuario o hacer clic en Cerrar.
Plan de cuentas
Para poder establecer un Plan de
Cuentas debemos iniciar
el Administrador de Usuarios
para dominios y dentro del
menú Directivas,
seleccionar Cuentas.
Los cambios que efectuemos en
el plan de cuentas afectarán a los
usuarios en una de las dos
situaciones siguientes:
La próxima vez que el
usuario inicie una
sesión.
La próxima vez que el
usuario realice un
cambio reflejado en este
plan; por ejemplo, la
longitud mínima de las contraseñas no se aplica a las contraseñas existentes, pero se aplicará la
próxima vez que un usuario cambie su contraseña.
El plan de cuentas determina cómo deben utilizar las contraseñas todas las cuentas de usuario. Este plan
establece los requisitos para lo siguiente:
Limitaciones de contraseña: De modo predeterminado, el único requisito de las contraseñas
para las cuentas de usuario es que los usuarios cambien sus contraseñas la primera vez que inicien
una sesión.
o Duración máxima de la contraseña: Periodo de tiempo que se puede utilizar una
contraseña antes de obligar al usuario a que la cambie. Intervalo de valores: 1-999 días.
Exigir a los usuarios que cambien a menudo sus contraseñas permitirá evitar que los
usuarios sin autorización puedan adivinarla.
En redes de seguridad media, cambiaremos las contraseñas cada 45-90 días.
En redes de alta seguridad, cambiaremos las contraseñas cada 14-45 días.
o Duración mínima de la contraseña: Periodo de tiempo que se debe mantener una
contraseña antes de que el usuario pueda cambiarla. No debemos permitir cambios
inmediatos si se va a introducir un valor de la historia de una contraseña. El valor de esta
opción debe ser menor que el valor especificado en la opción Duración máxima de la
contraseña. Intervalo de valores: 1-999 días.
o Longitud mínima
de la
contraseña: Número
mínimo de caracteres
necesarios para una
contraseña. Intervalo de
valores: 1-14 caracteres.
No permitir nunca
contraseñas en blanco.
Este tipo de contraseñas
no proporciona ninguna
seguridad. No se deben
utilizar en sistemas
conectados a Internet o
con capacidad de
marcado y exigir una
longitud mínima para
todas las contraseñas.
Cuanto más larga sea la
contraseña, más difícil
será adivinarla:
En redes de
seguridad
media, exigir de 6 a 8 caracteres.
En redes de alta seguridad, exigir de 8 a 14 caracteres.
o Historial de contraseñas: Número de nuevas contraseñas que un usuario debe utilizar
antes de que se pueda volver a utilizar una antigua contraseña. Para que la historia de la
contraseña sea efectiva, no se deben permitir cambios inmediatos mediante el parámetro
Duración mínima de la contraseña. Intervalo de valores: 1-24 contraseñas. Exigir a los
usuarios que utilicen una contraseña distinta cada vez que la cambien. Debemos
asegurarnos que una vez cambiada, no se puede volver a cambiar a la contraseña anterior.
En redes de seguridad media, exigir de 8 a 12 contraseñas distintas.
En redes de alta seguridad, exigir de 12 a 24 contraseñas distintas.
Sin bloqueo de cuenta: No se bloquean nunca las cuentas de usuario, independientemente del
número de intentos fallidos de iniciar una sesión con las cuentas.
Cuenta bloqueada: Bloquear las cuentas después de varios intentos fallidos de iniciar una
sesión. Esto permitirá reducir las posibilidades de que una persona sin autorización pueda tener
acceso a la red. Si seleccionamos esta opción estarán disponibles las tres opciones siguientes.
o Bloquear después de Número de intentos fallidos de iniciar una sesión que provocarán
que la cuenta quede bloqueada. Intervalo de valores: 1-999.
En redes de seguridad media, bloquear las cuentas de usuario después de 5
intentos fallidos de iniciar una sesión.
En redes de seguridad alta, bloquear las cuentas de usuario después de 3 intentos
fallidos de iniciar una sesión.
o Restablecer cuenta después de: Número máximo de minutos que pueden transcurrir
entre dos intentos fallidos de iniciar una sesión antes de que se produzca el bloqueo de la
cuenta. Intervalo de valores: 1-99999 minutos.
o Duración del bloqueo: Para siempre: las cuentas siguen bloqueadas hasta que el administrador las
desbloquee. Como norma de seguridad sería conveniente tener esta opción
seleccionada
Duración: las cuentas siguen bloqueadas durante el número de minutos
especificado. Intervalo de valores: 1-99999 minutos.
Desconectar del servidor a los usuarios remotos cuando termine la hora de inicio de
conexión. Si esta casilla está activada, se desconecta la cuenta de usuario del servidor del
dominio cuando la cuenta supera las horas de inicio de sesión permitidas. Si esta casilla no está
activada, la cuenta de usuario no se desconecta automáticamente, pero no se permiten nuevas
conexiones (Disponible sólo en Microsoft Windows NT Server).
Los usuarios deben iniciar la sesión para cambiar la contraseña. Si esta casilla está activada,
los usuarios no pueden cambiar sus propias contraseñas caducadas. Si esta casilla no está
activada, los usuarios pueden cambiar sus propias contraseñas caducadas.
Restablecimiento de contraseñas de cuentas de usuario
Puede que necesitemos restablecer la contraseña de un usuario si:
La contraseña ha caducado.
Un usuario ha olvidado su contraseña.
Para restablecer una contraseña, seguiremos los siguientes pasos:
1. Iniciar el Administrador de usuarios para dominios.
2. Editar las propiedades de la cuenta de usuario. Aparecerá el cuadro de diálogo Propiedades de
usuario.
3. En el cuadro Contraseña, seleccionar toda la entrada y pulsar la tecla SUPR.
4. En el cuadro Repetir contraseña, seleccionar toda la entrada y pulsar SUPR.
5. Escribir una nueva contraseña para el usuario.
Desbloqueo de cuentas de usuario
Si hemos definido un plan de cuentas que bloquea al usuario después de varios intentos fallidos de iniciar
una sesión, es muy posible que necesitemos desbloquear una cuenta. Para desbloquear una cuenta de
usuario:
1. Iniciar el Administrador de usuarios para dominios.
2. Editar las propiedades de la cuenta de usuario. Aparecerá el cuadro de diálogo Propiedades de
usuario.
3. Desactivar la casilla de verificación Cuenta bloqueada.
4. Hacer clic en Aceptar.
Si el usuario ha fallado varias veces en su intento de iniciar una sesión en el dominio, puede que este
usuario haya olvidado la contraseña. En este caso, deberemos restablecerla mientras la desbloqueamos.
Modificación de varias cuentas de usuario
Utilizaremos este procedimiento cuando necesitemos modificar varias cuentas de usuario de la misma
manera. Por ejemplo, si necesitamos mover directorios particulares a otro servidor o volumen, o definir
las horas de inicio de sesión para 100 usuarios.
Para modificar simultáneamente varias cuentas de usuario:
1. Iniciar el Administrador de usuarios para dominios.
2. Seleccionar todas las cuentas de usuario que deseemos modificar. Para ello, hacemos clic en la
primera cuenta, y manteniendo presionada la tecla CTRL, haremos clic en el resto de cuentas.
3. En el menú Usuario, hacer clic en Propiedades. Aparecerá el cuadro de diálogo Propiedades de
usuario correspondientes a los usuarios seleccionados.
4. Realizar los cambios necesarios.
5. Hacer clic en Aceptar.
Mantenimiento de controladores de Dominio
El mantenimiento de los controladores de dominio consiste en asegurarse de que los controladores
principales de dominio (los PDC) están siempre en línea y que todas las copias de la base de datos de
directorio están actualizadas. Cada dominio cuenta con un único PDC. Este PDC mantiene la copia
maestra de la base de datos de directorio del dominio. Cada cinco minutos esta base de datos se duplica
automáticamente para todos los controladores de reserva (los BDC) de ese dominio. Si el PDC se
desconecta por cualquier motivo, los usuarios pueden seguir iniciando sesiones y el BDC los validará
pero no podremos administrar las cuentas.
Desconectar un PDC
Cuando sea necesario desconectar un PDC, deberemos realizar los siguientes pasos:
1. Promover un BDC para que ocupe el puesto del PDC mientras vaya a estar desconectado. Esto
hace que el PDC se convierta en BDC automáticamente.
2. Cuando el PDC original vuelve a estar en línea, volveremos a promoverlo como PDC, lo que hará
que el PDC temporal se degrade a BDC.
Cuando un PDC se desconecta inesperadamente, deberemos realizar los siguientes pasos:
1. Promover un BDC para que ocupe el puesto del PDC.
2. Una vez que el PDC original vuelve a estar en línea, degradarlo a BDC.
3. Promover de nuevo el PDC original. Esto hará que el PDC temporal se convierta en BDC.
PROMOCIÓN DE UN CONTROLADOR DE DOMINIO DE RESERVA
Al promover un BDC, se realiza una copia actualizada de la base de datos de directorio del dominio desde
el antiguo PDC al nuevo. El
PDC original queda
automáticamente degradado a
BDC. Para promover un BDC
a PDC:
1. Abrir la herramienta
administrativa:
"Administrador de
servidores".
2. En la lista "Equipo",
seleccionar el
controlador de
reserva.
3. En el menú "Equipo",
hacer clic en
"Promover a
controlador principal de dominio".
4. Recibiremos un mensaje informando de que la promoción va a tardar unos minutos y de que se
van a cerrar todas las conexiones de usuarios al BDC y al PDC. Este mensaje nos pedirá que
confirmemos el cambio.
5. Hacer clic en "sí".
Cuando completemos este procedimiento, el controlador principal de dominio se convertirá
automáticamente en un controlador de reserva.
RESTABLECIMIENTO DE
CONTROLADORES DE
DOMINIO
Podemos también promover un BDC a
PDC después de que se haya
desconectado el PDC por un apagado
inesperado, pero el PDC no se degradará
automáticamente. Además, como el PDC
está fuera de línea, no se podrá realizar la
duplicación automática de la base de
datos de cuentas entre los dos
controladores de dominio. Cuando el
PDC original vuelva a estar en línea, ya
hay un PDC en el dominio, por lo que no
se podrá iniciar su servicio "Net Logon".
Tendremos que restaurar el PDC
original.
Para restaurar el PDC original al papel de PDC, seguiremos los siguientes pasos:
1. Iniciar el equipo que estaba en funcionamiento originalmente como PDC. En cuanto se inicie, detectará que
ya hay otro PDC en el dominio.
2. Iniciar el Administrador de servidores en el PDC original. Observemos que tanto el PDC original como
el PDC actual aparecen como controladores principales del dominio, sólo que el nombre del PDC original
no está disponible.
3. Seleccionar el PDC original.
4. En el menú Equipo, hacer clic en Degradar a controlador de reserva.
5. Seleccionar el BDC que fue el PDC original y, en el menú Equipo, hacer clic en Promover a controlador
principal de dominio.
6. Hacer clic en sí para realizar el cambio.
Recibiremos mensajes indicando que la base de datos de directorio del PDC actual estaba sincronizada
con la base de datos de directorio en el BDC actual, antes de su promoción a PDC. Si se efectúa cualquier
tipo de administración, como agregar cuentas o cambiar contraseñas, mientras estaba degradado el PDC
original, esta sincronización automática de las bases de datos de directorio asegurará que estos cambios
no se pierdan.
SINCRONIZACIÓN DE CONTROLADORES DE DOMINIO
Podemos sincronizar manualmente controladores de dominio para aplicar inmediatamente cambios
realizados a la base de datos de directorio del dominio o para solucionar problemas relativos a contraseñas
que no coinciden. Si los usuarios cambian su contraseña, pasará un tiempo hasta que las nuevas
contraseñas se distribuyan automáticamente entre todos los BDC de un dominio grande.
Para sincronizar un controlador de reserva específico:
1. Iniciar el Administrador de servidores y seleccionar el controlador de reserva.
2. En el menú Equipo, hacer clic en Sincronizar con el controlador principal del dominio.
Recibiremos información de que el proceso puede tardar unos minutos y nos pedirá confirmación
del cambio.
3. Hacer clic en Si. Aparecerá un mensaje comunicándonos que el controlador de reserva
seleccionado va a sincronizar su base de datos de cuentas con la del controlador principal del
dominio. Nos indicará que comprobemos el registro de sucesos en el controlador de reserva
seleccionado y en el controlador principal del dominio con el fin de determinar si se realizó con
éxito la sincronización.
4. Hacer clic en Aceptar.
Para sincronizar todos los controladores del dominio:
1. Iniciar el Administrador de servidores y seleccionar el PDC del dominio.
2. En el menú Equipo, hacer clic en Sincronizar el dominio completo. Aparecerá un mensaje que
nos informará de que el proceso puede durar varios minutos y pedirá que confirmemos el
cambio.
3. Hacer clic en sí. Aparecerá un mensaje que informará de que el PDC ha solicitado a todos los
BDC que inicien la sincronización de su base de datos de cuentas de usuario y que nos
recomendará que comprobemos el registro de sucesos para determinar si se realizó con éxito la
sincronización.
4. Hacer clic en Aceptar.
SOLUCIÓN DE PROBLEMAS DE INICIO DE SESIÓN
En la siguiente tabla se muestran los mensajes de error más comunes y las soluciones a los problemas de
inicio de sesión:
Mensaje de error del usuario Solución
No se puede iniciar su sesión.
Asegúrese de que su nombre de
usuario y dominio sean correctos,
luego repita su contraseña. Debe
escribir la contraseña utilizando los
caracteres correctos. Asegúrese de
que BLOQ MAYÚS no esté activa.
Compruebe que el nombre de usuario, el nombre del dominio y la contraseña son
correctos. Compruebe la tecla BLOQ MAYÚS, ya que las contraseñas distinguen
entre mayúsculas y minúsculas. (El nombre del dominio se puede comprobar con la
aplicación Red del Panel de control). Si un usuario ha olvidado la contraseña,
elimine o restablezca la contraseña del usuario. Si la cuenta de usuario es nueva,
puede que no se haya sincronizado con los BDC. Sincronice los controladores del
dominio.
Imposible conectar con ningún
controlador de dominio para su
dominio. Se ha iniciado su sesión
utilizando información de cuentas
en tabla caché. Los cambios hechos
en su perfil desde la última vez que
inició la sesión no estarán
disponibles
Compruebe si este equipo es el único que tiene problemas. Compruebe que los
controladores de dominio están en línea. Si el PDC está todavía en línea, seleccione
un BDC y promuévalo a PDC. Si el PDC está desconectado, promueva un BDC a
PDC. Si es el único equipo con problemas, compruebe que el cable que conecta el
equipo a la red y la tarjeta de red. Compruebe si la tarjeta adaptadora de red tiene un
indicador iluminado o intermitente. Si el problema no es evidente, reiniciar el
equipo.
Su cuenta tiene restricciones de
tiempo que le impiden iniciar la
sesión en este momento. Vuelva a
intentarlo más tarde.
Las horas de inicio de sesión permitidas para el usuario no abarcan el momento
actual. Para permitir que un usuario inicie una sesión, modifique las horas de inicio
de sesión correspondientes a ese usuario.
Su cuenta está configurada para
evitar que utilice esta estación de
trabajo. Pruebe otra estación de
trabajo.
No se permite al usuario utilizar esa estación de trabajo. Para permitirle que la
utilice, modifique las restricciones especificadas en Iniciar desde
Administración de Archivos
Particionamiento del Disco
Dividir el disco en múltiples pedazos de menor tamaño, esto con la siguiente finalidad:
Colocar distintos Sistemas Operativos en las diferentes particiones Proteger información del sistema, o de misión crítica Tip: partir el disco hace que el acceso a este se mejore considerablemente.
Antes de particionar un disco hay que tener en cuenta:
Que sea algo simple Mantener juntos los datos relacionados Colocar lo más usado en el centro (particiones de en medio) Separar Sistemas Operativos a través de los discos (deseable) Aislar datos críticos
Existen distintas herramientas para crear particiones; generalmente al momento de instalar un sistema operativo se puede particionar un disco.
Windows: FDISK DOS/Windows: Partition Magic, Paragon Partition Manager, Partition Star Linux: FDISK, Disk Druid Solaris: Format
Ej. Partition Magic
Ej FDISK Linux
[root@pcproal etc]# fdisk /dev/hda
The number of cylinders for this disk is set to 1222. There is nothing wrong with that, but this is larger than 1024, and could in certain setups cause problems with: 1) software that runs at boot time (e.g., old versions of LILO) 2) booting and partitioning software from other OSs (e.g., DOS FDISK, OS/2 FDISK)
Command (m for help): m Command action a toggle a bootable flag b edit bsd disklabel c toggle the dos compatibility flag d delete a partition l list known partition types m print this menu n add a new partition o create a new empty DOS partition table p print the partition table q quit without saving changes s create a new empty Sun disklabel t change a partition's system id u change display/entry units v verify the partition table w write table to disk and exit x extra functionality (experts only)
Command (m for help): p
Disk /dev/hda: 255 heads, 63 sectors, 1222 cylinders Units = cylinders of 16065 * 512 bytes
Device Boot Start End Blocks Id System /dev/hda1 * 1 3 24066 83 Linux /dev/hda2 4 41 305235 82 Linux swap /dev/hda3 42 1222 9486382+ 83 Linux
Command (m for help):
Sistemas de Archivos
Definición: Es una estructura de datos basada en disco o en red que es utilizada para almacenar archivos.
Estructura interna de un Sistema de Archivos
Boot Block Block Group 0 Block Group 1 .... Block Group n
donde cada block contiene:
SuperBlock Group Descriptors Block Bitmap Inode Bitmat
SuperBlock
Descripción del sistema de archivos, incluyendo: Número de bloques de datos Número de grupos de cilindros Tamaño de los bloques de datos Nombre del punto de montaje Bandera del estado del sistema: clean, stable, active. logging, unknown.
Inodes:
Información de Bloqueo Modo de acceso Tipo de archivo Número de ligas al archivo ID del usuario y ID del grupo Tamaño del Archivo (bytes) Tiempo de acceso y modificación Dirección de los bloques del archivo en disco
Ej de inode Archivo común
Inode 1282
Data Blocks
Directorio Común
Inode 4221
Data Blocks
file1= inode 1282
dirA=inode 5314
Ej de inode con ligas simbólicas >ln -s file2 link1 >ls -la lrwxrwxrwx 1 carlos empleado 5 Jan 20 2003 link1 -> file2
link1
Inode 3561
Data Blocks
./file2
file2
Inode 1282
Data Blocks
Ej de inode con ligas duras >ln file1 file2 >ls -la -rw------- 2 carlos empleado 0 Jan 20 2003 file1 -rw------- 2 carlos empleado 0 Jan 20 2003 file2
file1
file2
Inode 1282
Data Blocks
dir1
Inode 4221
Data Blocks
file1=inode 1282
file2=inode 1282
Tipos de Sistemas de Archivos
Existen diferentes criterios para agrupar los sistemas de archivos:
El criterio inicial se refiere a la principal característica de los sa:
Orientados al disco Orientados a la red
Orientados al Disco Dentro de los orientedos a disco tenemos subcategorías
Por su diseño para un Sistema Operativo
Native Filesystems: cuando fue creado para un SO específico. Ej. FAT en Windows Foreign Filesystems: son aquellos que no fueron creados para un SO pero sin embargo
los soporta. o Ej. Linux tiene sus sistemas de archivos nativos (ext, ext3, ext3) pero soporta
otros, como el FAT o el NFS
Podemos mencionar que dentro de los sistemas de archivos nativos existe una división:
Traditional: o surgen en los 70's y continuan hasta los 90's o su característica principal es que tienen la necesidad de realizar una extensiva
verificación del sistema de archivos si no se han cerrado correctamente. Journaling:
o contienen un "journal" o "bitácora" que contiene la lista de operaciones pendientes que deben realizarse para tener un sistema de archivos consistente.
o por lo general pueden alcanzar mayor capacidad de almacenamiento (Ver ext2 vs ext3).
Ejemplos de Sistemas de Archivos
Windows
FAT: o File Allocation Table o Originalmente utilizado en las computadoras de DOS o Se le han hecho extensiones (VFAT)para soportar mayor capacidad y el uso de
nombres largos > 8.3 o Existen distintos tipos de FAT
FAT 12 Usado en floppies
FAT 16 Particiones de 2GB
FAT 32 Particiones de 2 TB
HPFS: o High Performance Filesystem o Usado cuando Microsoft e IBM eran socios, después pasó a ser únicamente del
OS/2 NTFS:
o New Technology Filesystem o Disponible en Windows NT o superiores o La gran diferencia con FAT, los permisos.
WINFS o Basado en NTFS o Agrega metadatos para identificar mejor a los archivos
Linux
Minix: o Usado con el sistema operativo Minix o Capacidad máxima de 64 Mb
Extended: o Conocido como ext o extfs o Surge como un reemplazo para las limitaciones de Minix o Disponible en las primeras version de Linux pero se removió en el kernel 2.2.x
Second Extended: o Conocido como ext2 o ext2fs o Fue el estándar en Linux para los kernel entre 2.0.x y 2.4.x (2001) o Máximo tamaño del filesystem = 16 Terabytes o Máximo tamaño de archivo = 4Gb o Limitado por el Virtual Filesystem (VFS) a 4TB de fs y 2GB de archivo
Xia: o Extensión de Minix o Surge al mismo tiempo que ext2, pero al ser menos estable se vio superado
Third Extended: o Conocido como ext3 o ext3fs o Es una extensión al ext2, se le agregó un journal o No existe la limitante de archivos de 4 Gb o Disponible desde el kernel 2.4.x
ReiserFS: o Es un diseño totalmente nuevo, incluyendo journaling o Con capacidades similares a ext2 o Aún experimental
XFS: o Journaling filesystem creado por Sillicon Graphics (SGI) o Tamaño máximo del filesystem = 16,384 PB (1 petabyte= 1024 Terabytes) o Tamaño máximo de archivo = 8,192 PB
JFS: o IBM Journaling Filesystem, diseñado para el Sistema Operativo AIX o Tamaño máximo del filesystem = 32 PB o Tamaño máximo de archivo = 4 PB
Algunos benchmarks de filesystems para linux (fuente original en LinuxGazzette)
Apple
MFS: o Macintosh Filesystem o Usado para los primeros floppies o No utilizado actualmente
HFS: o Hierarchical Filesystem o Reemplazo de MFS, floppies de 800kb o Dejó de utilzarse en 1998 para discos duros o Se sigue empleando para algunos dispositivos ej. CD's
HFS+ o Características similares a los sistemas de archivos en unix o Posee la capacidad de Journaling o No se utiiliza en medios removibles (CD's)
Elvis o Originalmente un producto de BeOS o Posee un journal o Se teme una disminución del rendimiento
SUN
ZFS: o 128 bits o Virtualization
Miscelánea
FFS/UFS: o Fast Filesystem también conocido como Unix Filesystem) o Empleados en FreeBSD y Solaris
BFS: o BeOS filesystem
UDF:
o Universal Disk Format o De reciente creación o Pensado para CD y DVD
Veritas o Creado por la empresa del mismo nombre o Journaling de alta velocidad o Gran capacidad de recuperación en desastres
CD-ROM
ISO-9660 o La base y el estándar para archivos en CD o Limitado en la longitud del nombre de archivos o Carencia de permisos
Rock Ridge o Extensión a ISO-9660 o Permite nombres largos y permisos
Joliet o Se utiliza en conjunto con un sistema ISO-9660 o Diseñado pensando en las características de archivos en Windows,
principalmente en los nombres
Orientados a la Red
Son usados para compartir archivos.
NFS o Sun's Network FileSystem o El método más recomendado para compartir archivos en ambientes UNIX o Soporte para la arquitectura cliente/servidor
Coda: o Similar a NFS o Soporta Encriptamiento (seguridad) o Mejora el "caching"
SMB/CIFS: o Server Message Block, renombrado a Core Internet Filesystem o Utilizado en los sistemas de Microsoft para compartir archivos o El servidor de SMB para sistemas unix es SAMBA
NCP: o NetWare Core Protocol (NCP) o Utilizado por Novell
Creando el Sistema de archivos
Windows: o Format
Linux o mkfs [-t fsname] [options] device [size]
o fsname nombre del tipo de sistema de archivos (alternativamente usar mkfs.fsname)
o options: o -c revisa el disco por bloques dañados o -v verbose, despliega información adicional o device dispositivo donde se creará el filesystem o size tamaño de la partición
Solaris o newfs o -F fsname o -i value Número de bytes por inode
Para reparar un sistema de archivos
Unix: fsck [ -t fstype ] filesys
Accesando Filesystems
Compartiendo los directorios de una máquina
Windows En Windows esta actividad es gráfica y no requiere mayor conocimiento, pero el operativo asume algunas cosas y esta restringido en la capacidad de importar/montar sistemas de archivos externos Para compartir basta con dar click derecho en el archivo/directorio deseado y seleccionar "compartir"
Unix En unix (aunque ya existen ambientes graficos) tradicionalmente se realiza a través de archivos
Linux: /etc/exports
/home/carlos 192.168.0.1(rw)
Solaris: /etc/dfs/dfstab
root:scanner:/etc/dfs>more dfstab
# Place share(1M) commands here for automatic execution # on entering init state 3. # # Issue the command '/etc/init.d/nfs.server start' to run the NFS # daemon processes and the share commands, after adding the very
# first entry to this file. # # share [-F fstype] [ -o options] [-d "<text>"] <pathname> [resource] # .e.g, # share -F nfs -o rw=engineering -d "home dirs" /export/home2
Montando/importando directorios de otras máquinas
Conceptos Importantes:
Filesystem: tipo del sistema de archivos del directorio a importar Device (dispositivo): dispositivo o directorio que se quiere importar.
ej. /dev/hda3 , /home/lolo, acadaplic:/home/carlos Mount Point (punto de montaje): directorio donde vamos a ver los que estamos
importando (de preferencia que NO sea el raíz)
Windows Nuevamente la interfaz nos ayuda para realizar esta actividad Existen varias opciones para montar un directorio de otra maquina:
1) Si las máquinas son parte de nuestra intranet podemos ir al Vecindario o Neighbourhood y buscar por grupo, máquina y directorios.
2) En otro caso podemos buscar la maquina desde el explorador de archivos o bien utilizar la opción "Conectar a unidad de Red" en el menú de "Herramientas". Se nos pedirá la ruta o path a importar asi como el usuario y password respectivos ej: \\192.168.0.23\directorio username: abcde password: xxxxxxx Y opcionalmente podemos seleccionar si queremos importar ese directorio cada vez que entremos a la máquina
Unix (Linux y Solaris) Existen 2 tipos de montaje en unix: los temporales y los permanentes
Para montar temporalmente (solo durante la sesión) se utilizan los comandos mount y umount
mount [-a] [ -t fstype] [-o options ] device dir
-a= monta todo lo que este en los archivos fstab (en Solaris existe el comando mountall)
fstype= ext2, ext3, ufs, nfs, smbfs, vfat, swap, etc options (separadas por comas)= rw , ro, uid=value device= dispositivo físico a montar
dir= directorio donde se localizará el filesystem (debe estar creado)
ej: mount -t iso9660 /dev/cdrom /mnt/cdrom mount -t nfs www.linux.com:/directorio /mnt/directorio
umount [-a] [-f] [-t fstype] mountpoint | device
-a desmonta todo lo que está definido en /etc/fstab o /etc/vfstab -f forza el desmontaje, aún si está en uso el filesystem
ej. umount -a -f umount /mnt/cdrom
Para montar permanentemente tenemos que configurar algunos archivos que permitan el montaje al arrancar la máquina:
Linux : /etc/fstab
[root@pcproal etc]# more fstab
LABEL=/ / ext3 defaults 1 1
LABEL=/boot /boot ext3 defaults 1 2
none /dev/pts devpts gid=5,mode=620 0 0
none /proc proc defaults 0 0
none /dev/shm tmpfs defaults 0 0
/dev/hda2 swap swap defaults 0 0
/dev/cdrom /mnt/cdrom iso9660 noauto,owner,kudzu,ro 0
0
/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0
Contenido de cada línea: Dispositivo a montar Punto de Montaje Tipo de sistema de archivos Opciones de Montaje Dump fsck
Solaris : /etc/vfstab
root:scanner:/etc>more vfstab
#device device mount FS fsck mount mount
#to mount to fsck point type pass at boot options
#
#/dev/dsk/c1d0s2 /dev/rdsk/c1d0s2 /usr ufs 1 yes -
fd - /dev/fd fd - no -
/proc - /proc proc - no -
/dev/dsk/c0t0d0s1 - - swap - no -
/dev/dsk/c0t0d0s0 /dev/rdsk/c0t0d0s0 / ufs 1 no -
/dev/dsk/c0t0d0s3 /dev/rdsk/c0t0d0s3 /tmp ufs 2 yes -
/dev/dsk/c0t0d0s4 /dev/rdsk/c0t0d0s4 /var/tmp ufs 2 yes -
filer0:/vol/vol0/home - /scanner nfs - yes -
superadminaplic:/home/34/vol301 - /archivos/vol301 nfs - yes -
centia:/centia01 - /centia01 nfs - yes -
centia:/centia03 - /centia03 nfs - yes -
Contenido de cada línea:
Dispositivo a montar Dispositivo donde se ejecutará el comando fsck Punto de Montaje Tipo de sistema de archivos fsck pass (1 o -) Mount at boot (bandera usada por mountall) Opciones de Montaje
Montando con Automounter
El hecho de tener muchos sistemas de archivos, ya sean locales o externos implica un costo en el rendimiento de la máquina, por ello unix posee una variante a lovisto anteriormente que se conoce como Automounter, montar/importar sobre demanda.
Tenemos un archivo principal (auto.master o auto_master) el cual contiene las especificaciones del punto de montaje para lo que se quiere montar (ej. /misc) y que está especificado en otro archivo (ej. /etc/auto.misc)
[carlos@pcproal /etc]$ more auto.master
# $Id: auto.master,v 1.2 1997/10/06 21:52:03 hpa
Exp $
# Sample auto.master file
# Format of this file:
# mountpoint map options
# For details of the format look at autofs(8).
/misc /etc/auto.misc --timeout=60
En el archivo incluído por el automaster se definen los montajes de manera muy similar a los archivos "tab" mencionados anteriormente
[carlos@pcproal /etc]$ more auto.misc
# $Id: auto.misc,v 1.2 1997/10/06 21:52:04 hpa Exp $
# This is an automounter map and it has the following format
# key [ -mount-options-separated-by-comma ] location
# Details may be found in the autofs(5) manpage
#cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
# the following entries are samples to pique your imagination
#linux -ro,soft,intr ftp.example.org:/pub/linux #boot -fstype=ext2 :/dev/hda1
#floppy -fstype=auto :/dev/fd0 #floppy -fstype=ext2 :/dev/fd0
#e2floppy -fstype=ext2 :/dev/fd0 #jaz -fstype=ext2 :/dev/sdc1
#removable -fstype=ext2 :/dev/hdd
centia01 -fstype=nfs,hard centia.udlap.mx:/centia01 centia03 -fstype=nfs,hard centia.udlap.mx:/centia03
De manera que el montaje quedaría: /misc/centia01
Nota: a diferencia de fstab y vfstab aqui el punto de montaje no debe ser creado por el administrador, se crea sobre demanda
Samba (www.samba.org)
Samba es una aplicación para unix que permite compartir archivos entre plataformas unix y windows a traves de la red Nota: si lo que queremos es compartir una "partición" de algun disco local, entonces se puede utilizar simplemente el mount
Dos componentes principales
Servidor de Samba Interfaz web de administración Swat , (normalmente en el puerto 901)
Comandos comunes para la manipulación de archivos
file Determina el tipo de archivo
chown Cambia los id del dueño y del grupo de un archivo
chmod
Descripción r,w,x para archivos
r Poder leer el contenido del archivo.
w Modificar el contenido del archivo.
x Ejecutar, si se trata de un executable/script.
Descripción r,w,x para directorios
r Permite ver el listado "ls" de archivos contenidos en el directorio. Si se
desea usar este permiso, siempre deberá también usarse "x".
w Permite agregar, eliminar o renombrar archivos en el directorio.
x
Permite hacer "cd" al directorio y utilizar los archivos contenidos en él; si no
se tiene el permiso "r" sólo se pueden usar pero no se pueden ver los
archivos contenidos en el directorio, habría que saberse la ruta ej: "more
directorio/archivo.txt".
Modifica los permisos de un archivo o directorio Modo Simbólico U (Owner) G (group) O (Others) -rwxr--r-- 1 carlos carlos 932 Aug 24 20:23 steps.txt ej. chmod u+rwx,g+w,o+x steps.txt -rwxrw-r-x 1 carlos carlos 932 Aug 24 20:23 steps.txt
Permiso adicional (visible en el bit the execute)
User Permission File Permission + Execute (on) Permission + Execute (off)
Owner setuid (s) Executable s S
Group setgid (s) Executable s l
Others sticky bit (t) Directory t T
ej. chmod u+s script.sh
-rwsr-xr-x 1 carlos mail 932 Aug 24 20:23 script.sh
(El script se correrá con permisos de 'carlos')
ej. chmod g+s script.sh -rwxr-lr-x 1 carlos mail 932 Aug 24 20:23 script.sh (El script se correrá con permisos de 'mail')
ej. chmod o+wt directory drwxr-xrwt 1 carlos carlos 932 Aug 24 20:23 directory (En 'directory' cualquiera puede escribir, pero solo el dueño de cada archivo, el dueño de 'directory' y root podrán borrarlos)
Modo Absoluto (Octal)
Octal Value Permission Ad Permission
4 Read setuid
2 Write setgid
1 Execute sticky bit
Por ejemplo si queremos modificar un archivo de manera que U (Owner) Lectura+Ejecución+Escritura=7
G (group) Lectura+Ejecución=5 O (Others) Lectura=4 chmod 754 archivo.txt
Para permisos adicionales (setuid + setgid) chmod 6754 archivo.txt
grep Busca expresiones regulares en la entrada
ln Creación de ligas, simbólicas o duras
ls Listado de archivos en un directorio
cp Copiar archivos o directorios
mv Mueve o renombra un archivo
more Visualizador de un archivo hacia adelante
less Visualizador de un archivo hacia adelante y hacia atrás
head Ver el encabezado (primeras líneas de un archivo)
tail Ver la cola (últimas líneas de un archivo)
find Busca archivos con cierto criterio (nombre, fecha) en una ruta dada
> Redireccionamiento hacia un archivo nuevo
ej. ls > archivo.txt
>> Redireccionamiento hacia un archivo existente (append)
ej. ls >> archivo.txt
Respaldos (Backups)
Full Backups
Respaldo de toda la información que se ha generado Consume mucho tiempo el realizar estos respaldos Gran gasto de dispositivos para respaldos
Incremental Backups (daily backups)
Unicamente se respaldan los archivos nuevos o que han cambiado desde el último full backup
Sun Mon Tue Wed Thu Fri Sat
Week 1 F I I I I I I
Week 2 F I I I I I I
Week 3 F I I I I I I
Week 4 F I I I I I I
Differential Backups
Unicamente se respaldan los archivos nuevos o que han cambiado desde el último backup, a cualquier nivel
Sun Mon Tue Wed Thu Fri Sat
Week 1 F D D D D D D
Week 2 F D D D D D D
Week 3 F D D D D D D
Week 4 F D D D D D D
Mezcla de Full, Incremental y Differential Backups
Sun Mon Tue Wed Thu Fri Sat
Week 1 F D D I D D D
Week 2 F D D I D D D
Week 3 F D D I D D D
Week 4 F D D I D D D
Otra posibilidad de la mezcla de varios tipos:
Cómo se realizan los respaldos ?
Se utilizan los comandos
Debemos definir los niveles si queremos hacer backups incrementales o diferenciales, para ello se puede emplear la fecha o bien directamente la opción de los niveles (comandos de dump)
Calendarizarlos, usando alguna herramienta como "crontab"
Comandos para realizar respaldos
tar o La más antigua utilería para respaldar archivos en cintas
Solaris ufsdump/ufsrestore Linux dump/restore
o Herramientas de bajo nivel que interactúan directamente con el filesystem cpio
o cp con I/O, es una versión más nueva que las anteriores y permite el agregar o recuperar solo algunos archivos del respaldo
mt o Comando para la manipulación de la cinta
Notas:
1.- No olvidar los comandos de Compresión
compress zcat gzip
SEGURIDAD DE RED
Clasificación de Respaldos
Copias de Información, comúnmente llamados (Backups).
Duplicados de Información en linea (Implementación RAID)
Copias de Información (Backups)
Estos respaldos son sólo duplicados de archivos que se guardan en "Tape Drives" de alta capacidad
(30-40 GB aprox). Los archivos que son respaldados pueden variar desde archivos del sistema
operativo, bases de datos , hasta archivos de un usuario común. Existen varios tipos de Software que
automatizan la ejecución de estos respaldos, pero el funcionamiento básico de estos paquetes depende
del denominado archive bit .
Este archive bit indica un punto de respaldo y puede existir por archivo o al nivel de "Bloque de
Información" (típicamente 4096 bytes), esto dependerá tanto del software que sea utilizado para los
respaldos así como el archivo que sea respaldado.
Este mismo archive bit es activado en los archivos (o bloques) cada vez que estos sean modificados y
es mediante este bit que se llevan acabo los tres tipos de respaldos comúnmente utilizados :
Respaldo Completo ("Full"): Guarda todos los archivos que sean especificados al tiempo de
ejecutarse el respaldo. El archive bit es eliminado de todos los archivos (o bloques), indicando que
todos los archivos ya han sido respaldados.
Respaldo de Incremento ("Incremental"): Cuando se lleva acabo un Respaldo de Incremento, sólo
aquellos archivos que tengan el archive bit serán respaldados; estos archivos (o bloques) son los que
han sido modificados después de un Respaldo Completo. Además cada Respaldo de Incremento que
se lleve acabo también eliminará el archive bit de estos archivos (o bloques) respaldados.
Respaldo Diferencial ("Differential"): Este respaldo es muy similar al "Respaldo de Incremento" ,
la diferencia estriba en que el archive bit permanece intacto.
Respaldo Archivos en Respaldo Archive Bit Ventajas Desventajas
Completo
("Full") Todos
Eliminado en
todos los
archivos
Con este respaldo
únicamente es
posible recuperar
toda la información
Tiempo de Ejecución
De Incremento
("Incremental")
Archivos conarchive
bitactivo.(Aquellos que hayan
cambiado desde el último
Respaldo Completo)
Eliminado en
los archivos
que se
respaldan
Velocidad
Requiere del último
Respaldo Completo y de
todos los Respaldos de
Incremento que le siguieron
para recuperar el Sistema
Diferencial
("Differential")
Archivos conarchive
bitactivo.(Aquellos que hayan
cambiado desde el último
Respaldo Completo)
Intacto
Sólo requiere del
último Respaldo
Completo y del
último respaldo
Diferencial
Ocupa mayor espacio en
discos comparado con
Respaldos de Incremento
Secuencia de Respaldo GFS (Grandfather-Father-Son)
Esta secuencia de respaldo es una de las más utilizadas y consiste en Respaldos Completos cada
semana y Respaldos de Incremento o Diferenciales cada día de la semana. Suponiendo la siguiente
semana:
Domingo (1) Lunes (2) Martes (3) Miércoles (4) Jueves (5) Viernes (6) Sábado (7)
Diferencial/
de Incremento
o NADA
Diferencial/
de Incremento
Diferencial/
de Incremento
Diferencial/
de Incremento
Diferencial/
de Incremento
Completo
Diferencial/
de Incremento
o NADA
Domingo (8) Lunes (9) Martes (10) Miércoles (11) Jueves (12) Viernes (13) Sábado (14)
Diferencial/
de Incremento
o NADA
Diferencial/
de Incremento
Diferencial/
de Incremento
Diferencial/
de Incremento
Diferencial/
de Incremento
Completo
Diferencial/
de Incremento
o NADA
En caso de fallar el Sistema en Jueves(12):
Será necesario el Respaldo completo del Viernes(6) y :
Si se utilizaron Respaldos Diferenciales: Sólo el Respaldo Diferencial del Miércoles(11).
Si se utilizaron Respaldos de Incremento: Se necesitaran todos los Respaldos de Incremento desde el
Sábado(7) hasta el Miércoles(11)
Claro esta que los respaldos completos de cada Viernes pasan a formar parte del "Archivo" mensual
de Información.
Duplicado de Información en Linea (RAID)
RAID ("Redundant Array of Inexpensive Disks") en términos sencillos es: un conjunto de 2 o más
"Discos Duros" que operan como grupo y logran ofrecer una forma más avanzada de respaldo ya
que:
Es posible mantener copias en linea ("Redundancy").
Agiliza las operaciones del Sistema (sobre todo en bases de datos .)
El sistema es capaz de recuperar información sin intervención de un Administrador.
Existen varias configuraciones de Tipo RAID, sin embargo, existen 4 tipos que prevalecen en muchas
Arquitecturas:
RAID-0 : En esta configuración cada archivo es dividido ("Striped") y sus fracciones son colocadas
en diferentes discos. Este tipo de implementación sólo agiliza el proceso de lectura de archivos, pero
en ningún momento proporciona algún tipo de respaldo ("redundancy").
RAID-1 : En orden ascendente, este es el primer tipo de RAID que otorga cierto nivel de respaldo;
cada vez que se vaya a guardar un archivo en el sistema éste se copiara integro a DOS discos (en
linea), es por esto que RAID-1 también es llamado "Mirroring".
Además de proporcionar un respaldo en caliente ("hot") en dado caso de fallar algún disco del grupo
, RAID-1 también agiliza la lectura de archivos (si se encuentran ocupadas las cabezas de un disco
"I/O") ya que otro archivo puede ser leído del otro disco y no requiere esperar a finalizar el "I/O" del
primer disco.
RAID-3 : Esta configuración al igual que RAID-0 divide la información de todos los archivos
("Striping") en varios discos, pero ofrece un nivel de respaldo que RAID-0 no ofrece. En RAID-0 si
falla un disco del grupo, la Información no puede ser recuperada fácilmente, ya que cada disco del
grupo contiene una fracción del archivo, sin embargo RAID-3 opera con un disco llamado "de
paridad" ("parity disk").
Este "disco de paridad" guarda fracciones de los archivos necesarias para recuperar toda su
Información, con esto, es posible reproducir el archivo que se perdió a partir de esta información de
paridad.
RAID-5 : El problema que presenta RAID-3 es que el "disco de paridad" es un punto critico en el
sistema; que ocurre si falla el disco de paridad ?
Para resolver este problema RAID-5, no solo distribuye todos los archivos en un grupo de discos
("Striping"), sino también la información de paridad es guardada en todos los discos del sistema
("Striping"). Este configuración RAID suele ser usada en sistemas que requieren un "alto nivel" de
disponibilidad, inclusive con el uso de "Hot-Swappable Drives" es posible substituir y recuperar la
Información de un disco dañado, con mínima intervención del Administrador y sin la necesidad de
configurar o dar "reboot" al sistema.
Autenticación Autenticación
o autentificación
es el acto de establecimiento o confirmación de algo (o alguien) como
auténtico. La autenticación de un objeto puede significar (pensar) la confirmación de su procedencia,
mientras que la autenticación de una persona a menudo consiste en verificar su identidad. La
autenticación depende de uno o varios factores.
Métodos de autenticación
Los métodos de autenticación están en función de lo que utilizan para la verificación y estos se dividen
en tres categorías:
Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP).
Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta
inteligente(smartcard), dispositivo usb tipo epass token, smartcard o dongle criptográfico.
Sistemas basados en una característica física del usuario o un acto involuntario del mismo:
Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares.
Características de autenticación
Cualquier sistema de identificación ha de poseer unas determinadas características para ser viable:
Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en
los sistemas menos seguros).
Económicamente factible para la organización (si su precio es superior al valor de lo que se
intenta proteger, tenemos un sistema incorrecto).
Soportar con éxito cierto tipo de ataques.
Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen.
Mecanismo general de autenticación
La mayor parte de los sistemas informáticos y redes mantienen de uno u otro modo una relación de
identidades personales (usuarios) asociadas normalmente con un perfil de seguridad, roles y permisos.
La autenticación de usuarios permite a estos sistemas asumir con una seguridad razonable que quien se
está conectando es quien dice ser para que luego las acciones que se ejecuten en el sistema puedan ser
referidas luego a esa identidad y aplicar los mecanismos de autorización y/o auditoría oportunos.
El primer elemento necesario (y suficiente estrictamente hablando) por tanto para la autenticación es la
existencia de identidades biunívocamente identificadas con un identificador único (valga la redundancia).
Los identificadores de usuarios pueden tener muchas formas siendo la más común una sucesión de
caracteres conocida comúnmente como login.
El proceso general de autenticación consta de los siguientes pasos:
1. El usuario solicita acceso a un sistema.
2. El sistema solicita al usuario que se autentique.
3. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad
de la identificación.
4. El sistema valida según sus reglas si las credenciales aportadas son suficientes para
dar acceso al usuario o no.
Control de acceso
Un ejemplo familiar es el control de acceso. Un sistema informático supuesto para ser utilizado
solamente por aquellos autorizados, debe procurar detectar y excluir el desautorizado. El acceso a él por
lo tanto es controlado generalmente insistiendo en un procedimiento de la autentificación para establecer
con un cierto grado establecido de confianza la identidad del usuario, por lo tanto concediendo esos
privilegios como puede ser autorizado a esa identidad. Los ejemplos comunes del control de acceso que
implican la autenticación incluyen:
Retirar de dinero de un cajero automático.
Control de un computador remoto sin Internet.
Uso de un sistema Internet banking.
Sin embargo, observar que mucha de la discusión sobre estos asuntos es engañosa porque los términos
se utilizan sin la precisión. Parte de esta confusión puede ser debido “al tono de la aplicación de ley” de
mucha de la discusión. Ninguna computadora, programa de computadora, o poder del usuario de la
computadora “confirman la identidad” de otro partido. No es posible “establece” o “probar” una identidad,
cualquiera. Hay ediciones difíciles que están al acecho debajo de qué aparece ser una superficie directa.
Es solamente posible aplicar una o más pruebas que, si están pasadas, se han declarado previamente
para ser suficientes proceder. El problema es determinarse qué pruebas son suficientes, y muchos tales
son inadecuadas. Tienen sido muchos casos de tales pruebas que son spoofed con éxito; tienen por su
falta demostrada, ineludible, ser inadecuadas. Mucha gente continúa mirando las pruebas -- y la decisión
para mirar éxito en pasar -como aceptable, y para culpar su falta en “sloppiness” o “incompetencia” de
parte alguien. El problema es que la prueba fue supuesta para trabajar en la práctica -- no bajo
condiciones ideales de ningún sloppiness o incompetencia-y no. Es la prueba que ha fallado en tales
casos. Considerar la caja muy común de un email de la confirmación a el cual deba ser contestado para
activar una cuenta en línea de una cierta clase. Puesto que el email se puede arreglar fácilmente para ir
a o para venir de direcciones falsas y untraceable, éste es justo sobre la menos autenticación robusta
posible. El éxito en pasar esta prueba significa poco, sin consideración alguna hacia sloppiness o
incompetencia.
Autenticación por multifactor
Los factores de la autenticación para los seres humanos se clasifican, generalmente, en cuatro casos:
Algo que el usuario es (ejemplo, la huella digital o el patrón retiniano), la secuencia de ADN
(hay definiciones clasificadas de cuál es suficiente), el patrón de la voz (otra vez varias
definiciones), el reconocimiento de la firma, las señales bio-eléctricas únicas producidas por
el cuerpo vivo, u otro identificador biométrico).
Algo que el usuario tiene (ejemplo, tarjeta de la identificación, símbolo de la seguridad,
símbolo del software o teléfono celular)
Algo que el usuario sabe (ejemplo, una contraseña, una frase o un número de identificación
personal (el PIN) del paso).
Algo que el usuario hace (ejemplo, reconocimiento de voz, firma, o el paso).
y
Autenticación mediante dos factores "algo que tengo" la llave + "algo que sé" un número de
PIN (token criptográfico)
Autenticación triple factor "algo que tengo" el dispositivo criptográfico + "algo que sé" una
clave de autenticación tipo PIN (al token criptográfico) + "quién soy" la huella dactilar que me
permite autenticarme al dispositivo de forma unívoca.
Una combinación de métodos se utiliza a veces, ejemplo, una tarjeta de banco y un PIN, en este caso se
utiliza el término “autenticación del dos-factor”. Históricamente, las huellas digitales se han utilizado
como el método más autoritario de autenticación, pero procesos legales recientes en los E.E.U.U. y a
otra parte han levantado dudas fundamentales sobre fiabilidad de la huella digital. Otros métodos
biométricos son prometedores (las exploraciones retinianas y de la huella digital son un ejemplo), pero
han demostrado ser fácilmente engañados en la práctica. En un contexto de los datos de la
computadora, se han desarrollado protocolos de desafío-respuesta que permiten el acceso si el que se
quiere autenticar responde correctamente a un desafío propuesto por el verificador. Hay protocolos
desafío-respuesta basados en algoritmos criptográficos llamándose protocolos criptográficos de desafío-
respuesta. La seguridad de los protocolos criptográficos de desafío-respuesta se basa en la seguridad de
los algoritmos criptográficos que usa.
Autenticación
El Authentication fue definido por Arnnei Speiser en 2003 mientras que la Web basó el servicio que
proporciona en la autenticación de usuarios finales que tienen acceso (Login) a un servicio de Internet.
La Autenticación es similar a la verificación de la tarjeta de crédito para los Web site del eCommerce. La
verificación es hecha por un servicio dedicado que reciba la entrada y vuelva la indicación del éxito o de
fallo. Por ejemplo, un usuario final desea entrar en su Web site. Él consigue entrar en una página Web
de la conexión que requiere para acceso, su user-id y una contraseña o a los sitios asegurados y su
contraseña a la vez. La información se transmite al servicio del eAuthentication como pregunta. Si el
servicio vuelve éxito, permiten al usuario final entrar en el servicio de esa página Web con sus privilegios
como usuario.
Autenticación de usuarios en Unix
Autenticación clásica
En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema o login y una clave o
password; ambos datos se almacenan generalmente en el fichero /etc/passwd. Este archivo contiene
una línea por usuario donde se indica la información necesaria para que los usuarios puedan conectar al
sistema y trabajar en él, separando los diferentes campos mediante `:'.
Al contrario de lo que mucha gente cree, Unix no es capaz de distinguir a sus usuarios por su nombre de
entrada al sistema. Para el sistema operativo lo que realmente distingue a una persona de otra (o al
menos a un usuario de otro) es el UID del usuario en cuestión; el login es algo que se utiliza
principalmente para comodidad de las personas (obviamente es más fácil acordarse de un nombre de
entrada como toni que de un UID como 2643, sobre todo si se tienen cuentas en varias máquinas, cada
una con un UID diferente).
Para cifrar las claves de acceso de sus usuarios, el sistema operativo Unix emplea un criptosistema
irreversible que utiliza la función estándar de C crypt, basada en el algoritmo DES. Para una descripción
exhaustiva del funcionamiento de crypt. Esta función toma como clave los ocho primeros caracteres de la
contraseña elegida por el usuario (si la longitud de ésta es menor, se completa con ceros) para cifrar un
bloque de texto en claro de 64 bits puestos a cero; para evitar que dos passwords iguales resulten en un
mismo texto cifrado, se realiza una permutación durante el proceso de cifrado elegida de forma
automática y aleatoria para cada usuario, basada en un campo formado por un número de 12 bits (con lo
que conseguimos 4096 permutaciones diferentes) llamado salt. El cifrado resultante se vuelve a cifrar
utilizando la contraseña del usuario de nuevo como clave, y permutando con el mismo salt, repitiéndose
el proceso 25 veces. El bloque cifrado final, de 64 bits, se concatena con dos bits cero, obteniendo 66
bits que se hacen representables en 11 caracteres de 6 bits cada uno y que, junto con el salt, pasan a
constituir el campo password del fichero de contraseñas, usualmente /etc/passwd. Así, los dos primeros
caracteres de este campo estarán constituidos por el salt y los 11 restantes por la contraseña cifrada
Problemas del modelo clásico
Los ataques de texto cifrado escogido constituyen la principal amenaza al sistema de autenticación de
Unix; a diferencia de lo que mucha gente cree, no es posible descifrar una contraseña, pero es muy fácil
cifrar una palabra junto a un determinado salt, y comparar el resultado con la cadena almacenada en el
fichero de claves. De esta forma, un atacante leerá el fichero /etc/passwd (este fichero ha de tener
permiso de lectura para todos los usuarios si queremos que el sistema funcione correctamente), y
mediante un programa adivinador (o crackeador) cifrará todas las palabras de un fichero denominado
diccionario (un fichero ASCII con un gran número de palabras de cualquier idioma o campo de la
sociedad: historia clásica, deporte, cantantes...), comparando el resultado obtenido en este proceso con
la clave cifrada del fichero de contraseñas; si ambos coinciden, ya ha obtenido una clave para acceder al
sistema de forma no autorizada.
Shadow Password
Otro método cada día más utilizado para proteger las contraseñas de los usuarios el denominado
Shadow Password u oscurecimiento de contraseñas. La idea básica de este mecanismo es impedir que
los usuarios sin privilegios puedan leer el fichero donde se almacenan las claves cifradas.
Envejecimiento de contraseñas
En casi todas las implementaciones de Shadow Password actuales se suele incluir la implementación
para otro mecanismo de protección de las claves denominado envejecimiento de contraseñas (Aging
Password). La idea básica de este mecanismo es proteger los passwords de los usuarios dándoles un
determinado periodo de vida: una contraseña sólo va a ser válida durante un cierto tiempo, pasado el
cual expirará y el usuario deberá cambiarla.
Realmente, el envejecimiento previene más que problemas con las claves problemas con la transmisión
de éstas por la red: cuando conectamos mediante mecanismos comotelnet, ftp o rlogin a un sistema
Unix, cualquier equipo entre el nuestro y el servidor puede leer los paquetes que enviamos por la red,
incluyendo aquellos que contienen nuestro nombre de usuario y nuestra contraseña.
Otros métodos
Algo por lo que se ha criticado el esquema de autenticación de usuarios de Unix es la longitud, para
propósitos de alta seguridad, demasiado corta de sus claves; lo que hace años era poco más que un
planteamiento teórico, actualmente es algo factible: sin ni siquiera entrar en temas de hardware
dedicado, seguramente demasiado caro para la mayoría de atacantes, con un supercomputador es
posible romper claves de Unix en menos de dos días.
Un método que aumenta la seguridad de nuestras claves frente a ataques de intrusos es el cifrado
mediante la función conocida como bigcrypt() o crypt16(), que permite longitudes para las claves y los
salts más largas que crypt y sin embargo, aunque se aumenta la seguridad de las claves, el problema
que se presenta aquí es la incompatibilidad con las claves del resto de Unices que sigan utilizando crypt;
este es un problema común con otras aproximaciones que también se basan en modificar el algoritmo de
cifrado, cuando no en utilizar uno nuevo.
PAM
PAM (Pluggable Authentication Module) no es un modelo de autenticación en sí, sino que se trata de un
mecanismo que proporciona una interfaz entre las aplicaciones de usuario y diferentes métodos de
autenticación, tratando de esta forma de solucionar uno de los problemas clásicos de la autenticación de
usuarios: el hecho de que una vez que se ha definido e implantado cierto mecanismo en un entorno, es
difícil cambiarlo. Mediante PAM podemos comunicar a nuestra aplicaciones con los métodos de
autenticación que deseemos de una forma transparente, lo que permite integrar las utilidades de un
sistema Unix clásico (login, ftp, telnet...) con esquemas diferentes del habitual password: claves de un
solo uso, biométricos, tarjetas inteligentes...
La gran mayoría de las aplicaciones de linux usan estos métodos (PAM) para autenticarse frente al
sistema, ya que una aplicación preparada para PAM (PAM-aware) puede cambiar el mecanismo de
autenticación que usa sin necesidade de recompilar los fuentes. Incluso se puede llegar a cambiar el
sistema de autenticación local sin siquiera tocar las aplicaciones existentes.
PAM viene `de serie' en diferentes sistemas Unix, tanto libres como comerciales, y el nivel de abstracción
que proporciona permite cosas tan interesantes como kerberizar nuestra autenticación (al menos la parte
servidora) sin más que cambiar la configuración de PAM, que se encuentra bien en el fichero
/etc/pam.conf o bien en diferentes archivos dentro del directorio /etc/pam.d/
PAM trabaja con cuatro tipos separados de tareas de administración: authentication, account, session, y
password. La asociación del esquema de administración preferido con el comportamiento de la
aplicación se hace mediante archivos de configuración. Las funciones de administración las hacen
módulos que se especifican en el archivo de configuración. Más adelante se explicara brevemente la
sintaxis del archivo de configuración ya que se va fuera del alcance de este artículo.
Cuando una aplicación preparada para PAM inicia, se activa su comunicación con la API de PAM. Entre
otras cosas esto fuerza la lectura del archivo de configuración: /etc/pam.conf. Alternativamente puede ser
que se inicie la lectura de los archivos de configuración bajo /etc/pam.d/ (cuando existe un archivo de
configuración correcto bajo este directorio, se ignora el archivo /etc/pam.conf)
Sintaxis del archivo de configuración
El archivo (/etc/pam.conf) está formado por una lista de reglas (típicamente una por línea). Cada regla es
un conjunto de campos separados por espacios (los tres primeros son case-sensitives):
service type control module-path module-arguments
La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo que no existe el campo "service". En este caso
"service" es el nombre del archivo en el directorio /etc/pam.d/ (el nombre del archivo debe estar en
minúsculas) Usualmente service es el nombre del servicio o aplicación comúnmente usado, ejemplo de
esto son login, su y ssh.
type específica a que grupo de administración está asociada la regla. Las entradas válidas son:
account: este módulo maneja la cuenta sin basarse en autenticación. Típicamente se usa
para restringir/permitir el acceso a un servicio basado en la hora o quizas desde donde se
loguea el usuario (ej.: root solo se puede loguear desde consola
auth: provee mecanismo de autenticación (el usuario es quien dice ser).
password: este módulo es requerido para modificar la password del usuario.
session: este módulo esta asociado con hacer tareas previas y/o posteriores al inicio del
servicio mismo (pueden ser cosas como montar un directorio, activar logueos, etc).
El tercer campo control especifica que hacer si falla el control aplicado. Existen dos sintaxis para este
campo, una sencilla de un campo y otra que especifica más de un campo dentro de corchetes rectos []
Para la básica, las opciones son:
required: indica que esta regla debe ser exitosa, de lo contrario el usuario no es autorizado a
correr el servicio. Si falla se devuelve el control al programa, pero antes se ejecutan todos
los módulos.
requisite: es como el required, pero devuelve el control al programa enseguida de fallar.
sufficient: Si este módulo se verifica, entonces (se devuelve) se le da el ok al programa y no
se sigue verificando los otros módulos.
optional: la falla o no de este módulo es solo importante si es el único existente.
El cuarto campo module-path especifica el path al módulo PAM asociado con la regla. Los módulos se
encuentran en /lib/security.
El quinto campo module-arguments es un conjunto de cero o más argumentos pasados al módulo
durante su invocación. Los argumentos varían según el módulo.
La configuración de los archivos de configuración bajo /etc/pam.d/ resulta ser más flexible (se evita tener
una archivo único enorme). Bajo este directorio se puede encontrar el archivo de confiuración personal
de un servicio particular como ser ssh. La única diferencia entre la sintaxis del archivo /etc/pam.conf es
que no existe el campo service.
La confidencialidad de la información, específicamente de los usuarios que utilizan Internet es fundamental. La realización de compras electrónicas, el ingreso de una tarjeta de crédito, la publicación de información confidencial de una empresa en Internet para que usuarios habilitados puedan accederla, el compartir información estratégica, el ingreso en sitios web de antecedentes personales, son solamente algunos ejemplos de contenido sensible que debe contar con las medidas de seguridad adecuadas para evitar problemas y no perder la privacidad y confianza.
Es importante que aquellos lugares, sucursales, sitios web, correos electrónicos en donde los usuarios deban ingresar información crítica, garanticen esta confidencialidad.
En general en los sitios web, de ingreso de información estratégica, tales como bancos, pagos en línea, registro de antecedentes, entre otros, la información es protegida a través de dos protocolos de seguridad:
Encriptación de Datos
Uso de Claves de Seguridad
Con respecto a la encriptación, corresponde a una tecnología que permite la transmisión segura de información, al codificar los datos transmitidos usando una fórmula matemática que "desmenuza" los datos. Sin el decodificador o llave para desencriptar, el contenido enviado luciría como un conjunto de caracteres extraños, sin ningún sentido y lógica de lectura. Esta codificación de la información puede ser efectuada en diferentes niveles de encriptación. Por lo general en los sitios web se utiliza el protocolo “SSL”, con cifrado de 128 bits e intercambio de 1024 bits.
Esto quiere decir que si el contenido es interceptado por alguien indebido, no podrá ser decodificado, o más aún la decodificación duraría tanto tiempo en realizarse, que de ser efectiva, la información ya no sería de utilidad.
CyberCenter, en su calidad de agencia Internet, asesora a sus clientes en los diferentes casos que se requiera resguardar
los datos de usuarios que utilicen algún sitio web que requiera confidencialidad de la información. En primer lugar, se debe identificar las áreas sensibles del sitio web. Posteriormente, se debe aplicar protocolos de seguridad a dichas secciones. Conforme a lo anterior, se utiliza encriptación de la data a través de SSL, como mecanismo de privacidad. La información de consulta por parte del usuario, se encuentra bajo un área segura, con protocolo de seguridad Secure Socket Layer (SSL) y mecanismos de encriptación apropiados.
El protocolo SSL, protege los datos transferidos mediante conexión http, es decir navegación web, utilizando encriptación provista por un Servidor Web de Seguridad. Una llave pública es empleada para encriptar los datos, y una llave privada se utiliza para descifrar o desencriptar la información.
CyberCenter ofrece desarrollos que permiten ofrecer las más sofisticadas alternativas de encriptación. Con soluciones rápidas y escalabes.
El certificado digital, es el que permite efectuar el proceso de desencriptación, y en general para servidores web, se utiliza lo siguiente:
Protocolo a utilizar SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024 bits.
Emisor Alguna Autoridad Certificadora adecuada; estas operan como notarías virtuales.
Algoritmo de Firma md5RSA
Período de Validez Anual
SOFTWARE DE APLICACIONES.
MySQL
MySQL es un gestor de bases de datos bastante popular y rápido. Normalmente lo puedes encontrar
instalado en los sitios de hosting.
Instalación
Para instalar MySQL, debes instalar los siguientes paquetes: mysql-server y mysql-client. Existe un
entorno gráfico del programa llamado mysql-admin, dependiente de los anteriores paquetes. Y
opcionalmente el paquete mysql-query-browser, que servirá para realizar consultas.
Configuración
Se te pedirá crear la contraseña del administrador cuando se instale el programa.
En versiones antiguas no se crea con la instalación. Debemos crearla manualmente, nada más instalar
el servidor. Para hacerlo teclea en un Terminal.
$ sudo /usr/bin/mysqladmin -u root password clavenueva
Puedes cambiar el archivo /etc/mysql/my.cnf para configurar las opciones básicas -- archivo de
registro, número de puerto, etc. Mira al archivo /etc/mysql/my.cnf para más detalles.
Una vez asignada una contraseña al administrador, puedes conectar con el servidor mySQL de la
manera siguiente:
$ mysql -h localhost -u root -p
Donde "localhost" és la dirección de tu host y "root" el nombre de usuario. A continuación introduce el
password de la base de datos. Te aparece la siguiente pantala:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 20 to server version: 5.0.24a-Debian_9ubuntu2-
log
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
Para desconectar,
mysql> QUIT
Bye
Conexión desde un host remoto
Por defecto, MySQL no permite que cualquier usuario puede acceder a las bases de datos usando un
conexión TCP. Para que lo permita debes crear un usuario con los permisos correspondientes.
También tendrás que editar el fichero /etc/mysql/my.cnf y modificar la línea:
bind-address = 127.0.0.1
Cambiándola por la direccion IP del servidor, o en caso de que se quiera escuchar en todas las IPs:
bind-address = 0.0.0.0 o la IP que tengas en tu seridor si tienes
IP fija
Despues reinicia el servicio.
shell>cd etc/init.d
shell>./mysql restart
Para que todos los demás ordenadores tengan acceso al servidor. Para más seguridad puedes poner
solamente una lista de las IPs de los ordenadores que quieres que tengan acceso.
Si aún no te puedes conectar desde un ordenador remoto tendrás que editar el
fichero /etc/hosts.allow y añadir la línea:
mysqld: all
Gestión de usuarios
Crear un usuario
Para la creación de usuarios tendremos que conectarnos al servidor MySQL (ver más arriba) con un
usuario que tenga el permiso global CREATE USER o el permiso INSERTpara la base de datos mysql.
La sintaxis es la siguiente:
CREATE USER usuario IDENTIFIED BY 'password';
Eliminar un usuario
El usuario que usemos en la conexión debe tener el permiso global CREATE USER o el permiso DELETE
para la base de datos mysql. La sintaxis es la siguiente:
DROP USER usuario;
Dar permisos a un usuario
Los permisos pueden darse en varios niveles:
Nivel global
Nivel de base de datos
Nivel de tabla
La sintaxis es:
GRANT tipo_privilegio ON {nombre_tabla | * | *.* | nombre_bd.*} TO usuario;
Así para dar el permito SELECT al usuario pepe sería:
GRANT SELECT ON *.* TO pepe;
Quitar permisos a un usuario
La sintaxis es:
REVOKE tipo_privilegio ON {nombre_tabla | * | *.* | nombre_bd.*} FROM
usuario;
Gestión de las bases de datos
Crear una Base de datos
Para crear una base de datos nueva puedes hacerlo de, al menos, dos formas. Abre un Terminal y
ejecuta lo siguiente.
$ mysql -h servidor -u usuario -p
Enter password:
mysql> CREATE DATABASE nombre_de_la_base_de_datos;
quit
También puedes usar la orden mysqladmin.
$ mysqladmin -h servidor -u usuario -p create nombre_de_la_base_de_datos
Eliminar una Base de datos
Para eliminar una base de datos que ya no es necesaria en el sistema también tenemos, al menos,
dos métodos. En un ventana de Terminal ejecuta.
$ mysql -h servidor -u usuario -p
Enter password:
mysql> DROP DATABASE nombre_de_la_base_de_datos;
quit
También puedes obtener el mismo resultado con el comando mysqladmin.
$ mysqladmin -h servidor -u usuario -p drop nombre_de_la_base_de_datos
Hacer Backup de una Base de datos
Para hacer una copia de seguridad de una base de datos tiene el siguiente comando:
$ mysqldump -h servidor -u usuario -p nombre_de_la_base_de_datos > backup.sql
Para hacer una copia de seguridad de las bases de datos MySQL de un servidor puedes usar el
siguiente script:
#!/bin/bash
## BEGIN CONFIG ##
HOST=localhost
USER=usuario
PASS=secreto
BACKUP_DIR=Backup
## END CONFIG ##
if [ ! -d $BACKUP_DIR ]; then
mkdir -p $BACKUP_DIR
fi
# Backup de MySQL
MYSQL_DBS=$(mysqlshow -h $HOST -u $USER -p$PASS | awk ' (NR > 2) && (/[a-zA-
Z0-9]+[ ]+[|]/) && ( $0 !~ /mysql/) { print $2 }');
for DB in $MYSQL_DBS ; do
echo "* Backuping MySQL data from $DB@$HOST..."
mysqldump -h $HOST -u $USER -p$PASS $DB > $BACKUP_DIR/mysql_$DB.sql
done
Restaurar el Backup de una Base de datos
Para restaurar una base de datos creada anteriormente ejecuta en un Terminal.
$ mysql -h servidor -u usuario -p nombre_de_la_base_de_datos < backup.sql
La base de datos “nombre_de_la_base_de_datos” debe existir en el sistema antes de restaurar el fichero backup.sql. Si no sabes
como crear una base de datos lee Crear una Base de datos.
Recuperar la contraseña de ROOT del Servidor MySQL
Para recuperar,o mejor dicho resetear, la contraseña de ROOT del servidor MySQL se puede hacer lo
siguiente:
$ /etc/init.d/mysql stop
$ mysqld_safe --skip-grant-tables &
$ mysql -u root mysql
mysql> UPDATE user SET Password=PASSWORD('nueva_contraseña') WHERE
User='root';
mysql> FLUSH PRIVILEGES;
mysql> \q
$ killall mysqld;
$ /etc/init.d/mysql start
SERVIDORES WEB.
Introducción
El objetivo de toda organización radica en la obtención de más ganancias, mantenerse en el gusto de
sus clientes y por supuesto que el número de ellos incremente; es así como pequeñas, medianas y
grandes empresas buscan soluciones de marketing que le den ventajas competitivas sobre los
competidores locales, una de las estrategias que busca la obtención de nuevos clientes es la
exploración de nuevos mercados, actualmente estos no son solo buscados localmente, sino que
la tecnología provee otro camino como buscar en línea (internet), de ahí radica la importancia
del conocimiento de las plataformas tecnológicas que son utilizadas para dar el soporte a
los negocios electrónicos.
En este artículo se aborda el tema de los servidores web, una de las plataformas necesarias
para poder mantener a los sitios web que se dedican a los negocios electrónicos.
Desarrollo
Conceptos Básicos
Iniciaremos por definir lo que es un servidor, como su nombre lo indica, son los dispositivos de red que
brindan un servicio a otros dispositivos, a los cuales se les conoce como clientes. En general quien realiza
esta tarea es un software especializado, pero comúnmente se conoce como servidor al equipo físico donde
se ejecuta, el cual es el centro de la infraestructura de la red.
En redes pequeñas es común que un equipo brinde varios servicios simultáneamente como, por ejemplo,
un servidor de archivos el cual también es servidor de impresión.
Partiendo de esta definición, cualquier computadora en la red puede ser un servidor sin necesidad de
contar con un hardware o software en particular; aunque existen sistemas operativos especializados
(como Microsoft Windows Server, Debian GNU/Linux y SUN Solaris entre otros) los cuales fueron
diseñados específicamente para optimizar los recursos que se comparten a la red. De la misma manera,
existen equipos puntualmente creados para funcionar con grandes volúmenes de información, durante las
24hs y con mejor rendimiento y velocidad que el hardware de escritorio.
Los servidores se pueden clasificar en distintos tipos de los cuales podemos mencionar, los servidores de
archivos su función es la de centralizar la información de todos los usuarios de la red almacenando
archivos de usuario, los cuales acceden remotamente a los mismos. Los servidores de aplicaciones en
donde el servidor permite el procesamiento de datos de una aplicación de cliente. También existen
los servidores de correo en donde se mueven y almacenan el correo electrónico a través de las redes
corporativas (vía LANs y WANs) y a través de Internet. Los servidores de base de datos los cuales
poseen un tipo de software muy específico, dedicado a servir de interfaz entre la base de datos, el usuario
y las aplicaciones que la utilizan.
Servidores Web
Los servidores web son aquellos cuya tarea es alojar sitios y/o aplicaciones, las cuales son accedidas por
los clientes utilizando un navegador que se comunica con el servidor utilizando
el protocolo HTTP (hypertext markup language).
Básicamente un servidor WEB consta de un intérprete HTTP el cual se mantiene a la espera de peticiones
de clientes y le responde con el contenido según sea solicitado. El cliente, una vez recibido el código, lo
interpreta y lo exhibe en pantalla.
Además los servidores pueden disponer de un intérprete de otros lenguajes de programación que ejecutan
código embebido dentro del código HTMLde las páginas que contiene el sitio antes de enviar el resultado
al cliente. Esto se conoce como programación de lado del servidor y utiliza lenguajes
como ASP, PHP, Perl y Ajax. Las ventajas de utilizar estos lenguajes radica en la potencia de los
mismos ejecutando tareas más complejas como, por ejemplo acceder a bases de datos abstrayendo al
cliente de toda la operación.
Servidores Web más utilizados
Encuesta Septiembre 2009 Netcraft
La grafica anterior es el resultado de la encuesta realizada por Netcraft en donde se muestra los
porcentajes del mes de septiembre de 2009 además de la comparación con semestres anteriores. La
encuesta fue realizada a 226,099,841 sitios web.
Al visitar la página web donde se muestran estos resultados observamos que más del 40% de
los servidores en el mundo son Apache, después de sigue el servidor IIS de Microsoft con más del 20% y
el resto se compone de otros servidores web como nginx, google, lighttpd entre otros.
A partir de los resultados que observamos en la gráfica, vamos a describir uno de los servidores web
mencionados, en este caso el servidor web apache, para entender porque se encuentra en el gusto de la
mayoría de los sitios web a nivel mundial.
Apache
Apache es uno de los servidores web más utilizados, posiblemente porque ofrece instalaciones sencillas
para sitios pequeños y si se requiere es posible expandirlo hasta el nivel de los
mejores productos comerciales. Además el servidor HTTP (Hypertext Transfer Protocol) y
de código abierto para las plataformas Windows, Mac OS X y UNIX (GNU, BSD, etc),
En cuanto a las características que posee Apache y que la llevo al éxito en la inserción y utilización en
ámbitos empresariales, tecnológicos y educativos:
Fundamentalmente corre sobre una multitud de plataformas y Sistemas Operativos.
Ofrece tecnología libre y de código abierto.
Es un servidor Web configurable y de diseño modular, capaz de extender su funcionalidad y
la calidad de sus servicios.
Trabaja en conjunto con gran cantidad de lenguajes de programación interpretados como PHP,
Perl, Java, JSP (Java Server Pages) y otros lenguajes de script, que son el complemento ideal para los
sitios web dinámicos.
Es posible configurar y personalizar cada uno de los mensajes de error que se pueden producir por la
utilización del servidor.
Contar con los archivos Log, en donde registra gran cantidad de información global del sistema,
errores producidos en un determinado tiempo, en la cual estos archivos son de gran importancia para
los administradores de sistemas y pueden influenciar de alguna manera las políticas de
seguridad debido a la gran cantidad de información que contiene.
Otra particularidad propia de Apache, es que al ser tan popular y utilizado, es posible encontrar gran
cantidad de documentos, ejemplos y ayuda en internet en todos los idiomas.
Si se utiliza para un sitio pequeño que solo contenga archivos en HTML, esto es, no requiera de
aplicaciones de servidor su funcionalidad es excelente, pero ¿qué sucede cuando se requiere
una aplicación de Servidor? La aplicación de servidor implica lo siguiente:
Cuando el servidor de páginas (Apache) recibe la requisición para "x" página éste reconoce cuando debe
enviar un documento estático (HTML) o ejecutar algún tipo de aplicación, en el diagrama se puede
observar que la solicitud de "x" página invoca un programa en Perl y este a su vez solicita información a
una base de datos, por lo tanto para llevar a cabo esta operación debieron iniciarse 2 procesos nuevos,
quizás esto no sea de gran importancia para un sitio de con pocas visitas diarias, de lo contrario si no se
tienen los suficientes recursos en cuanto a memoria y procesadores se refiere, seguramente caerá el
servidor o bien se queme el "Host" (computadora física) por la demanda excesiva. Apache tiene tanto
tiempo de desarrollo que han sido desarrolladas diferentes soluciones para evitar estas ineficiencias,
algunas:
Es capaz de utilizar otros interpretadores y lenguajes como "Tcl", "PhP" y "Python".
Puede conectarse directamente a una Base de datos.
Entre otras, posee diversos módulos que le permiten utilizar una gran gamma de lenguajes y
desarrollar funcionalidades avanzadas.
Cabe mencionar que muchos sitios de alto tráfico aún permanecen bajo este tipo de Arquitectura, en
ocasiones si se tienen los recursos suficientes continua siendo costeable esta metodología a migrar a otro
tipo de desarrollo, sin embargo, siempre es conveniente conocer otras alternativas.
Módulos
Un módulo en Apache es una manera de agrupar ciertas funcionalidades para el servidor, existen una gran
cantidad de módulos para utilizarse con Apache, una de las principales razones de emplear módulos, es
que no toda instalación requiere de las mismas funcionalidades.
Por lo tanto, si fueran incluidas todas las funcionalidades posibles en una versión única de Apache, esto lo
haría sumamente pesado en cuanto a requerimientos de Memoria RAM y espacio en Disco Duro, por esto
se opta por crear módulos e incluir en las versiones solo lo necesario.
Acceso remoto
Qué es el servicio de Acceso Remoto Este servicio le permitirá acceder a los recursos gestionados en la red de la Universidad de Oviedo. Una vez establecida la conexión, su ordenador estará virtualmente ubicado en la red de la Universidad. Esta conexión establece un “canal seguro” de comunicación, el cual permite que la información que viaje por la red entre su ordenador y la red de la Universidad lo haga en forma cifrada. Cual es el Coste de este Servicio
El coste del servicio es gratuito y no tiene coste anual ni de mantenimiento. Usted únicamente deberá pagar a su compañía telefónica el tiempo durante el cual permanezca conectado, a un coste de llamada local.
Quién puede disfrutar de este servicio Este servicio está disponible para todos el personal de la Universidad de Oviedo
Qué se necesita para poder conectarse Para conectarse a Internet desde casa necesita:
Un ordenador: PC, Macintosh, etc. Una línea telefónica analógica, digital (RDSI) o GSM. Un módem de 56Kbps (preferentemente externo) o un adaptador RDSI. Si su ordenador es
un portátil, puede usar un módem externo o un adaptador para teléfono móvil GSM. Software de conexión a Internet. Consiste básicamente en:
o Protocolos de acceso a la red y utilidades de automatización de la llamada. o Programas de explotación de Internet: navegadores, correo electrónico, etc.
Actualmente todos los ordenadores incluyen los programas necesarios para acceder a Internet, por lo que en la mayoría de los casos no será necesario instalar software adicional. Funcionalidad del acceso remoto Esta conexión de acceso remoto permite:
Conectarse a ordenadores situados en la red de la Universidad de Oviedo. Acceder a las Bases de Datos en CD-ROM de la Biblioteca Universitaria (dichas Bases de
Datos son de uso restringido y sólo se puede acceder a ellas desde dentro de la red de la Universidad).
Acceder a Publicaciones Periódicas, también restringidas al uso dentro de la Universidad. Descargar software del servidor "Druida". Disponer de la posibilidad de enviar correo corporativo desde el cliente habitual de
ofimática.