P T O F E S O R : R O B E R T O G A R C I A .

2012

ADMINISTRACION DE

SERVIDORES 1 PARCIAL 3 SERVIDORES.

MIGUEL RAMIREZ ESPERANZA.

UNIVERSIDAD TECNOLOGICA DE TAMAULIPAS NORTE.

Sistema de Archivos y Control de Procesos.

Cuentas de Usuario

Windows NT es un sistema operativo de red multiusuario, por eso es necesario realizar lo que se llama

una administración de usuarios. En ella, el Administrador del sistema definirá las autorizaciones para

acceder al Dominio y a los recursos. Además sirve para que cada usuario pueda tener un entorno de

trabajo personalizado.

Una cuenta de usuario se trata de las credenciales únicas de un usuario en un dominio, ofreciéndole la

posibilidad de iniciar sesión en el Dominio para tener acceso a los recursos de la red o de iniciar la sesión

local en un equipo para tener acceso a los recursos locales. Cada persona que utilice la red regularmente

debe tener una cuenta. Las cuentas de usuario se utilizan para controlar cómo un usuario tiene acceso al

Dominio o a un equipo. Por ejemplo, puede limitar el número de horas en las que un usuario puede iniciar

una sesión en el dominio, impresoras de red que puede utilizar... Es decir, gracias a las cuentas de usuario

el Administrador puede controlar todo lo que un usuario puede hacer en un dominio, a través de las

restricciones de su cuenta y la configuración de derechos de usuario.

TIPOS DE CUENTAS DE USUARIO

Existen dos tipos de cuentas de usuario:

Cuentas creadas por nosotros como administradores del dominio: Estas cuentas contienen

información acerca del usuario, incluyendo el nombre y la contraseña del usuario, permiten que el

usuario inicie una sesión en la red y, con los permisos apropiados, tenga acceso a los recursos de

la red.

Cuentas predefinidas o incorporadas: Se trata de cuentas creadas durante la instalación de

Windows NT. Estas cuentas son:

o Invitado (Guess): La cuenta incorporada Invitado se utiliza para ofrecer a los usuarios

ocasionales la posibilidad de iniciar sesiones y tener acceso a los recursos del dominio o

equipo local. Por ejemplo, un empleado que necesite tener acceso al equipo durante un

periodo breve de tiempo. La cuenta Invitado está deshabilitada de forma predeterminada.

No se debe habilitar esta cuenta en una red de alta seguridad. Para mayor seguridad,

cambie el nombre de esta cuenta y asígnele una contraseña.

o Administrador (Administrator): La cuenta incorporada Administrador se utiliza para

administrar la configuración global del equipo y del dominio. El Administrador puede

realizar todas las tareas, como la creación o modificación de cuentas de usuario y de

grupo, la administración de las directivas de seguridad, la creación de impresoras, y la

asignación de permisos y derechos a las cuentas de usuario para que tengan acceso a los

recursos.

o Otras cuentas: Dependiendo de las aplicaciones instaladas pueden aparecer más cuentas

predefinidas. Por ejemplo, si instalamos el IIS se crea el usuario IUS_Server para

conexiones anónimas.

Para conseguir un mayor grado de seguridad, cree una cuenta de usuario normal que pueda utilizar

para realizar las tareas no administrativas, cambie el nombre de la cuenta Administrador y sólo inicie

una sesión como Administrador para realizar tareas administrativas.

Creación de cuentas de Usuario

Se pueden crear cuentas de usuario de dominio o cuentas de usuario local.

Cuenta de usuario de dominio: Una cuenta de usuario de dominio se crea mediante

el Administrador de usuarios para dominios. Cuando se crea una cuenta de usuario en un

dominio, la cuenta de usuario se crea siempre en la base de datos del directorio maestro del PDC

del dominio. En todos los controladores de reserva (BDC) se almacena una copia de la base de

datos del directorio maestro (SAM). Una vez creada la cuenta de usuario en el PDC, un usuario

puede iniciar la sesión en el dominio desde cualquier equipo de la red. Pueden pasar algunos

minutos hasta que las copias de la base de datos del directorio de los BDC estén sincronizadas

con el PDC; esto puede impedir que los usuarios con cuentas nuevas inicien una sesión. Para

sincronizar manualmente la base de datos en todos los controladores de dominio, utilizaremos

el Administrador de servidores. Se pueden crear cuentas de usuario de dominio desde equipos

que ejecuten Windows NT Workstation y Microsoft Windows 95 si instala las Herramientas de

Windows NT Server. Las herramientas administrativas para Windows 95 y Windows NT

Workstation están incluidas en el CD-ROM de instalación de Windows NT Server 4.0 en la ruta:

\Clients\Srvtools\Win95 o \Clients\Srvtools\Winnt.

Cuenta de usuario local: Las cuentas de usuario locales se crean en un servidor miembro o en

un equipo que ejecute Microsoft Windows NT Workstation, mediante el Administrador de

usuarios. Cuando crea una cuenta de usuario local, se crea sólo en la base de datos del directorio

local del equipo. Con una cuenta de usuario local, un usuario puede iniciar una sesión y tener

acceso únicamente a los recursos de dicho equipo.

Diseño de Cuentas de usuario

Para diseñar cuentas de usuario lo primero que tendremos que tener en cuenta es establecer una

convención de nombres.

La convención de nombres establece cómo se identificará a los usuarios en la red. Una convención de

nombres coherente hará que el administrador y los usuarios puedan recordar más fácilmente los nombres

de los usuarios y encontrarlos en listas. Para determinar una convención de nombres, tendremos en cuenta

lo siguiente:

1. Los nombres de usuario deben ser únicos. Si existe un gran número de usuarios, el diseño debe

contar con la posibilidad de empleados con nombres duplicados, habrá que determinar un criterio

a seguir para no asignar el mismo nombre de cuenta a dichos usuarios. Por ejemplo: José

Fernández, JoseF y JoseFdz.

2. Los nombres de usuario pueden contener cualquier carácter en mayúsculas o minúsculas excepto

los siguientes caracteres: " / \ [ ] : ; =, + * ? < >. Podemos utilizar una combinación de caracteres

especiales y alfanuméricos en la convención de nombres de usuario para facilitar la identificación

de los usuarios.

Si las carpetas particulares van a estar en el equipo local o en un servidor

Una carpeta particular es la carpeta privada de un usuario para almacenar archivos. Una carpeta particular

puede almacenarse en el equipo local del usuario o en un servidor de la red. Tendremos en cuenta lo

siguiente a la hora de determinar la ubicación de la carpeta particular:

Copia de seguridad y restauración: nuestra principal responsabilidad es evitar la pérdida de

datos. Es mucho más fácil asegurar la copia de seguridad de los archivos cuando se encuentran en

una ubicación central, es decir, en un servidor. Si las carpetas particulares de los usuarios se

encuentran en sus equipos locales, tendremos que hacer copias de seguridad periódicas en cada

equipo.

Espacio en los controladores de dominio: ¿hay suficiente espacio en el PDC o en los BDC para

que los usuarios almacenen sus datos? Windows NT no proporciona la posibilidad de limitar la

cantidad de espacio de disco duro utilizado por cada usuario. Este aspecto está corregido en

Windows 2000.

Espacio en los equipos de los usuarios: si los usuarios trabajan en equipos sin discos duros, las

carpetas particulares no pueden estar en sus equipos.

Rendimiento: hay menos tráfico de red si la carpeta particular se encuentra en el equipo local del

usuario.

Creación de cuentas de usuario

para un Dominio

Iniciar el Administrador de usuarios

para dominios. Menú Usuario –

Seleccionar Usuario nuevo...

Rellenar los siguientes campos.

Nombre de usuario: Escribir un

nombre único basado en la

convención de nombres adoptada.

Este campo es obligatorio.

Nombre completo: El nombre

completo del usuario es útil para

determinar la persona a la que

pertenece una cuenta. Es

opcional.

Descripción: Una descripción que nos sea útil para identificar a los usuarios. Puede ser el cargo,

el departamento o la ubicación en la oficina. Es opcional.

Contraseña: Una contraseña, si vamos a controlar la contraseña de la cuenta. No hay por qué

asignar una contraseña a una cuenta; sin embargo, para mayor seguridad nos aseguraremos

siempre de que el usuario cambie su contraseña en su primer inicio de sesión. La contraseña no se

presenta. Está representada por una serie de catorce asteriscos una vez escrita, cualquiera que sea

su longitud. Para proteger el acceso al dominio o al equipo, cada cuenta de usuario requiere una

contraseña. Como administradores deberemos decidir si la contraseña de la cuenta de usuario la

determina el administrador o el usuario además de tener en cuenta los siguientes puntos:

o Asignar siempre una contraseña a la cuenta Administrador.

o Determinar quién controlará la contraseña.

o Decidir si una contraseña tiene que caducar.

o Educar a los usuarios sobre las maneras de proteger y escribir sus contraseñas.

o Evitar utilizar asociaciones obvias, como el nombre de algún familiar.

o Utilizar una contraseña larga. Las contraseñas pueden tener una longitud de hasta 14

caracteres.

o Utilizar letras mayúsculas y minúsculas. Las contraseñas distinguen entre mayúsculas y

minúsculas. Por ejemplo, la contraseña SECRETA es diferente de secreta.

Repetir contraseña: Escriba la contraseña una segunda vez para asegurarse de que ha escrito

correctamente la contraseña. Es obligatorio si se ha introducido una contraseña.

Hacer clic para activar o desactivar las siguientes casillas de verificación.

El usuario debe cambiar la contraseña en el siguiente inicio: Quiere que los usuarios cambien

su contraseña la primera vez que inicien sesión (activada de forma predeterminada). Esto asegura

que el usuario es la única persona que sabe su contraseña. El usuario se está haciendo cargo de su

contraseña.

El usuario no puede cambiar la contraseña: Cuando hay más de una persona que utiliza la

misma cuenta de usuario, como la del Invitado, o porque el Administrador quiere mantener el

control sobre las contraseñas de usuario.

La contraseña nunca caduca: Se trata de una cuenta de usuario para la que deseamos que la

contraseña no cambie nunca. Por ejemplo, cuentas de usuario utilizadas para tareas de

administración, como puede ser el propio Administrador. Esta opción ignora la selección de El

usuario debe cambiar la contraseña en el siguiente inicio de sesión.

Cuenta desactivada: Con esta opción se consigue evitar temporalmente el uso de una cuenta; por

ejemplo, si un empleado toma unas vacaciones, podemos desactivar su cuenta.

Configuración de las horas de inicio de sesión

La configuración de las horas de inicio de sesión nos permite controlar cuándo un usuario puede iniciar

una sesión en el dominio. La restricción de las horas de inicio de sesión limita las horas en las que los

usuarios pueden explorar la red . Para especificar las horas de inicio de sesión, en el cuadro de

diálogo Usuario nuevo, hacer clic en el

botón Horas.

De forma predeterminada se permiten todas

las horas de todos los días. Se representa por

un cuadro relleno por cada hora del día. Un

cuadro relleno indica que el usuario tiene

permiso de inicio de sesión durante esa hora.

Un cuadro vacío indica que el usuario no

puede iniciar sesiones en esa hora.

Colocaremos el puntero del ratón sobre el

rectángulo correspondiente al día y la hora en

la que queramos denegar el acceso. Hacer clic

sobre dicha hora y manteniendo presionado el

botón del ratón, arrastrar el puntero hasta la

última hora en la que queremos denegar el

acceso.

El área denegada debe estar ahora

sombreada.

Hacer clic en el botón Denegar.

Un usuario conectado a un recurso de red del dominio no queda desconectado cuando se pasan sus horas

de inicio de sesión. Sin embargo, el usuario no podrá establecer nuevas conexiones. Para que los usuarios

queden desconectados de los recursos de la red, hay que activar la opciónDesconectar del servidor a los

usuarios remotos cuando termine la hora de inicio de conexión en el Plan de cuentas del dominio.

Las horas de inicio de sesión no tienen efecto sobre los usuarios que inicien sesiones en un equipo local.

Selección de las opciones de estación de trabajo

La configuración de Estaciones de trabajo de

inicio de sesión nos permite controlar los

equipos desde los que un usuario puede iniciar

sesiones en el dominio. Esto evita que los

usuarios tengan acceso a datos locales de otro

usuario y puede utilizarse para requerir que los

usuarios inicien sus sesiones en las estaciones

de trabajo designadas. Para especificar las

estaciones de trabajo a las que un usuario

puede tener acceso, en el cuadro de diálogo

"Usuario nuevo", hacer clic en el botón

"Iniciar desde".

De forma predeterminada, cada cuenta de

usuario puede tener acceso a todos los equipos del dominio. Si queremos restringir el acceso de estaciones

de trabajo a un usuario hemos de seguir los siguientes pasos:

Hacer clic en "El usuario puede acceder a estas estaciones de trabajo".

Escribir al menos uno y un máximo de ocho nombres de equipo que la cuenta pueda utilizar.

Hacer clic en el botón "Aceptar".

Selección de las opciones de cuenta

Para modificar la información de la cuenta en el cuadro de diálogo "Usuario nuevo", hacer clic en el

botón "Cuenta". Aparecerá la siguiente

ventana:

En Información de la cuenta pueden

establecerse las dos opciones siguientes:

La cuenta caduca: Utilizaremos

estas opciones para establecer una

fecha en la que la cuenta quedará

automáticamente deshabilitada.

Esto es útil para las cuentas

temporales de personal contratado o

empleados a tiempo parcial. Para

establecer la fecha de caducidad basta con hacer clic en "Final de" y escribir una fecha para

especificar la fecha de caducidad.

Tipo de cuenta: Utilizar estas opciones para crear una cuenta global o local. Cuenta global es el

tipo predeterminado y es el tipo de cuenta estándar para participar en un dominio. A las cuentas

locales sólo se puede tener acceso conectando con un controlador de dominio a través de la red.

Permiso de marcado

Puede decidir proporcionar a un usuario acceso remoto a la red si el Servicio de acceso remoto (RAS) está

instalado. También puede determinar si los gastos de teléfono se cargan al usuario que marca o a la

organización. Para activar el permiso de marcado

en el cuadro de diálogo "Usuario nuevo", hacer

clic en el botón "Marcado".

Hacer clic para activar la casilla de verificación

"Conceder permiso de marcado al usuario", con

ello, el usuario podrá conectarse a los recursos de

la red a través del servicio RAS. Configuración de

las opciones de devolución de llamada:

No contestar: Cuando se activa, el

servidor de RAS no devolverá la llamada

al usuario y el usuario correrá con los

gastos telefónicos de la sesión. Es la

opción predeterminada.

Establecer por quien marca: Cuando se activa, permite que el usuario especifique un número de

teléfono de manera que el servidor de RAS puede devolver la llamada al usuario. Esto significa

que la organización propietaria del servidor de RAS corre con los gastos telefónicos de la sesión.

Preestablecer a: Cuando se activa, le permite especificar un número de teléfono que el servidor

de RAS utilizará para devolver la llamada al usuario. Esto reduce el riesgo del uso no autorizado

de una cuenta de usuario por parte de otra persona, ya que el usuario tiene que encontrarse en el

número de teléfono especificado para poder conectar con el servidor de RAS. En redes de alta

seguridad, utilice esta opción para asegurar que los usuarios sólo llamen desde un número de

teléfono.

Eliminación y cambio de nombres de las cuentas de usuario

Cuando ya no se necesite una cuenta, podemos eliminarla o cambiar su nombre para que sea utilizada por

otro usuario. Recomendaciones sobre la decisión a tomar:

Eliminar una cuenta

Si la cuenta ya no se necesita y se elimina una cuenta, se pierde toda la información de la misma. Esta

información incluye las propiedades de la cuenta, sus derechos, permisos y pertenencia a grupos. Las

cuentas Administrador y Invitado no se pueden eliminar.

Para eliminar una cuenta de usuario seguiremos los siguientes pasos:

1. Iniciar el Administrador de usuarios para dominios y seleccionar la cuenta de usuario que

deseamos eliminar.

2. Presionar la tecla SUPR o bien, en el menú Usuario, hacer clic en la opción de Eliminar.

Aparecerá un cuadro de diálogo advirtiéndonos que cuando se elimine la cuenta, incluso si

volvemos a crearla, no se recuperarán los recursos disponibles de la cuenta eliminada. Hacer clic

en Aceptar. Se eliminará la cuenta de usuario.

Cambiar el nombre de una cuenta

Si la cuenta ya no se necesita y la cambiamos de nombre mantendremos todos los derechos, permisos y

pertenencia a grupos de la cuenta para otro usuario diferente. Por ejemplo, cuando un nuevo empleado

sustituye a otro, cambiaremos el nombre de la cuenta de usuario y haremos que el nuevo empleado

cambie la contraseña cuando inicie la primera sesión.

Para cambiar el nombre de una cuenta de usuario seguiremos los siguientes pasos:

1. Iniciar el Administrador de usuarios para dominios y seleccionar la cuenta de usuario que

deseamos cambiar de nombre.

2. En el menú Usuario, hacer clic en la opción Cambiar nombre.

3. En el cuadro de diálogo Cambiar a, escribir el nuevo nombre de usuario y, después, hacer clic

en Aceptar.

Administración del entorno de trabajo de un usuario

Como administradores podemos definir el entorno de trabajo de un usuario para restringir o personalizar

lo que un usuario ve y tiene disponible cuando inicia una sesión. Por ejemplo, podemos establecer los

colores de la pantalla, la configuración del ratón, y que las conexiones de red y de impresoras sean

siempre las mismas cuando un usuario inicie una sesión. Para administrar los entornos de trabajo de los

usuarios se utilizan las siguientes herramientas:

Perfiles de usuario

Contienen todas las configuraciones definibles por el usuario para el entorno de trabajo de un equipo que

ejecute Windows NT, incluyendo la configuración de la pantalla y las conexiones de red. Todas las

configuraciones especificas del usuario se guardan automáticamente en la carpeta "Profiles" dentro de la

carpeta raíz del sistema (C:\winnt\profiles). Los perfiles de usuario ofrecen las siguientes posibilidades:

Personalizar el entorno de trabajo de un usuario de forma que éste vea siempre el mismo entorno

de trabajo cuando inicie una sesión desde cualquier equipo que ejecute Windows NT.

Ofrecer a los usuarios que comparten un mismo equipo sus propios perfiles de usuario.

Ofrecer a todos los usuarios el mismo perfil de usuario y evitar que los usuarios lo modifiquen.

Ofrecer a todos los usuarios el mismo perfil de usuario inicial, pero permitir que los usuarios lo

modifiquen.

Archivo de comandos de inicio de sesión

Se trata de un archivo de proceso por lotes (.bat o .cmd) o un archivo ejecutable (.exe) que se ejecuta

automáticamente cuando un usuario inicia una sesión en cualquier tipo de estación de trabajo de la red. El

archivo de comandos puede contener comandos del sistema operativo, como los comandos para establecer

conexiones de red o Iniciar aplicaciones. Los archivos de comandos de inicio de sesión son los

precursores de los perfiles de usuario y proporcionan compatibilidad con versiones anteriores de clientes

LAN Manager; no se pueden utilizar para configurar la pantalla.

PERFILES DE USUARIO MÓVILES

Se puede especificar un perfil de usuario móvil para una cuenta de usuario. Los perfiles de usuario

móviles proporcionan al usuario el mismo entorno de trabajo, sin importar el equipo con Windows NT en

el que el usuario inicie la sesión.

Perfil de usuario móvil obligatorio: es un perfil de usuario preconfigurado que él no puede

cambiar. Un perfil obligatorio puede asignarse a varios usuarios. Esto significa que modificando

un perfil, el administrador puede cambiar varios entornos de escritorio. Este tipo de perfil se

utiliza para proporcionar configuraciones comunes a los usuarios. Por ejemplo, cuando tiene

varios usuarios que requieren una configuración idéntica del escritorio para hacer entradas de

pedidos.

Perfil de usuario móvil personal: es un perfil de usuario que un usuario puede cambiar; esto

significa que cuando el usuario termina la sesión, el perfil de usuario se actualiza para incluir los

cambios efectuados por el usuario. Cuando el mismo usuario vuelve a iniciar una sesión, el perfil

se carga como se guardó por última vez.

DEFINICIÓN DEL ENTORNO DE TRABAJO DE UN USUARIO

Para configurar el perfil de entorno de usuario, en el cuadro de diálogo "Usuario nuevo" (o "Propiedades

de usuario"), hacer clic en el botón Perfil. En el cuadro de diálogo "Perfil del entorno de usuario",

configuraremos las siguientes opciones:

Ruta de acceso del perfil de usuario: Escribir el nombre completo de la ruta del perfil del

usuario Por ejemplo: \\servidor\perfiles\prueba.

Archivo de comandos de inicio de sesión: Escribir el nombre de la ruta del archivo de

comandos de inicio de sesión. Puede utilizar una ruta del equipo local del usuario o una ruta UNC

de una carpeta compartida en un servidor de red.

Directorio particular: La ruta de la carpeta particular. Puede utilizar una ruta de equipo local del

usuario. Por ejemplo, C:\Users\usuario. Para especificar una ruta de red, seleccione "Conectar" y

escriba una letra de unidad. En el cuadro "a", escriba una ruta UNC Por ejemplo:

\\equipo\Users\%username%

Antes de poder especificar una ubicación de red, la carpeta debe existir en el servidor de red y tiene que

estar compartida. Procedimiento recomendado: Utilizar %USERNAME%. La variable %USERNAME%

almacena el nombre del usuario. Utilizando esta variable, se sustituye por el nombre del usuario y se

utiliza como nombre de la carpeta particular.

RECOMENDACIONES PARA CONFIGURAR CUENTAS DE USUARIO

Cambiar el nombre de la cuenta incorporada Administrador y asignarle una contraseña para

mayor seguridad (Es aconsejable crear una cuenta llamada Administrador que no tuviera derechos

ni permisos).

Utilizar la opción "El usuario debe cambiar la contraseña en el siguiente inicio de sesión", de

forma que sólo el usuario conozca su contraseña después de haber iniciado su primera sesión.

No eliminar cuentas de usuario a menos que sea estrictamente necesario; en su lugar, desactivar

las cuentas o cambiar su nombre para utilizarlas posteriormente.

Utilizar perfiles móviles para que el entorno de trabajo del usuario esté disponible cuando inicie

sesiones desde cualquier equipo que ejecute Windows NT.

Derechos y permisos

Derechos

Determinan las tareas del sistema que puede realizar un usuario o un miembro de un grupo con el sistema

operativo Windows NT. Por ejemplo: iniciar sesión en local, acceder al equipo a través de la red....

Pasos a seguir para asignar derechos a un usuario o grupo de usuarios:

1. Abrir el "Administrador de usuarios para dominios".

2. En el menú "Directivas" seleccionamos la opción "Derechos de usuario..."

3. En la ventana "Plan de derechos de usuario" seleccionaremos los distintos derechos de la lista

desplegable "Derecho" y se los concederemos a los usuarios que hayamos determinado.

4. Hacer clic en el botón "Aceptar".

Permisos

Son normas que regulan qué usuarios pueden utilizar un determinado recurso compartido del sistema, esto

incluye archivos, carpetas, impresoras...

Grupos Globales y Locales

Un grupo es un conjunto de cuentas de usuario. La asignación de una cuenta de usuario a un grupo

concede a éste todos los derechos y permisos concedidos al grupo. Los grupos simplifican la

administración al proporcionar un método fácil para conceder derechos comunes a múltiples usuarios

simultáneamente. Por ejemplo, si los usuarios Profesor_1, Profesor_2 y Profesor_3 necesitan acceder a un

recurso compartido de nuestra red llamado Cursos, en lugar de asignar a cada uno de ellos derechos sobre

el recurso nos podemos crear un grupo llamado Monitores, añadir a dicho grupo los tres usuarios y darle

al grupo derechos para acceder al recurso Cursos. Esto, que en este caso puede parecer innecesario, no lo

es, dado que si en algún momento hacemos cambios en la red que puedan producir la pérdida de las

asignaciones de derechos sobre los recursos, nos será mucho más fácil recomponer los accesos. Es más

sencillo asignarle al grupo monitores (grupo que tiene un nombre más fácilmente relacionable con el

recurso) que acordarnos de todos y cada uno de los usuarios que tenían derechos de acceso al recurso

compartido sin que se nos olvide ninguno. Por tanto, los grupos simplifican la administración al

proporcionar un método fácil para conceder capacidades comunes a múltiples usuarios. La administración

de grupos se realiza con la herramienta administrativa: Administrador de Usuarios para

Dominios(o Administrador de Usuarios, si se trata de Windows NT Workstation o de un Servidor

Independiente). Microsoft distingue entre dos tipos de grupos: locales y globales.

Grupos Locales

Los grupos locales se utilizan para conceder a los usuarios permisos de acceso a un recurso de la red.

Recordemos que los permisos son normas que regulan qué usuarios pueden emplear un recurso como, por

ejemplo, una carpeta, un archivo o una impresora. Los grupos locales también se utilizan para

proporcionar a los usuarios los derechos para realizar tareas del sistema tales como el cambio de hora de

un equipo o la copia de seguridad y la restauración de archivos. Los grupos locales están formados por

usuarios y grupos que pueden proceder tanto del dominio en que se crearon y residen las cuentas, como

de otros dominios, si tenemos establecidas relaciones de confianza. No pueden incluir ningún grupo local

y sólo se les puede asignar permisos y derecho sobre recursos del Domino local. Windows NT incluye

varios grupos locales ya creados, diseñados especialmente para asignar derechos a los usuarios. Los

grupos incorporados con Windows NT son grupos "predefinidos" que tienen un conjunto predeterminado

de derechos de usuario.

Grupos Globales

Los grupos globales se utilizan para organizar cuentas de usuario del dominio, normalmente por función o

ubicación geográfica. Se suelen usar, en redes con múltiples dominios. Cuando los usuarios de un

dominio necesitan tener acceso a los recursos existentes en otro dominio, se agregarán a un grupo local

del otro dominio para conceder derechos a sus miembros. Se tienen que crear en un controlador del

dominio en el que residen las cuentas de los usuarios. Los grupos globales están formados sólo por

usuarios de un mismo dominio (del mismo en que reside el grupo) y no pueden contener ningún tipo de

grupos.

RESUMEN DE LAS CARACTERÍSTICAS DE LOS GRUPOS LOCALES Y GLOBALES

Grupos locales Grupos globales

Proporcionan a los usuarios permisos o derechos. Organizan los usuarios del dominio.

Pueden incluir (de cualquier dominio):

– Cuentas de usuario

– Grupos globales

Sólo pueden incluir cuentas de usuario del dominio en el que residen.

No pueden incluir ningún otro local. No pueden contener ningún grupo local ni global.

Tienen asignados permisos y derechos en el

dominio local.

Se agregan a un grupo local para conceder derechos y permisos a sus

miembros.

En Windows NT Workstation o en servidores

miembro, sólo se pueden asignar derechos y

permisos a recursos locales.

No se asignan a recursos locales.

En un PDC, pueden tener asignados recursos de

cualquier controlador del dominio.

Es necesario crearlos en el PDC del dominio donde residen las cuentas.

Diseño de una estrategia de Grupos

Para crear grupos, es recomendable seguir las siguientes directrices:

Organizar los usuarios del dominio según sus necesidades comunes. Por ejemplo, si el personal

de ventas necesita tener acceso a una impresora en color y todos los directores necesitan acceder a

un archivo de registros de empleados, organice los usuarios por personal de ventas y por

directores.

En todos los dominios en los que residan cuentas de usuario, crear un grupo global para cada

grupo lógico de usuarios. A continuación, agregar las cuentas de usuario adecuadas a los grupos

globales correspondientes.

Crear grupos locales tomando como base sus necesidades de acceso a recursos. Por ejemplo, si

los Comerciales necesitan tener acceso al directorio ListaPrecios (sólo para consultar precios) y el

Director necesita control total sobre los archivos de dicho directorio, crearemos un grupo local

para los Comerciales y otro para el Director (o Directores).

Si el recurso se encuentra en un servidor miembro o en un equipo que ejecuta Windows NT

Workstation, debemos crear el grupo local en la ubicación del recurso.

Si el recurso se encuentra en un PDC o en un BDC, crearemos el grupo local en el PDC.

Asignar los permisos apropiados a los grupos locales.

Agregar los grupos globales a los grupos locales.

Para agregar grupos globales de un dominio a grupos locales de otro dominio, es imprescindible que se

haya establecido la relación de confianza apropiada.

Creación de grupos Globales y Locales

En Windows NT Server, los grupos locales y globales se crean mediante el "Administrador de usuarios

para dominios". En Windows NT Workstation, los grupos locales se crean con el "Administrador de

usuarios", y no se pueden crear grupos globales. Al crear los grupos locales y globales se deben cumplir

las reglas siguientes:

1. El usuario debe ser miembro del grupo Administradores, Administradores del dominio u

Operadores de cuentas.

2. Se pueden crear un grupo local en cualquier equipo que ejecute Windows NT.

3. Se debe crear un grupo global en un PDC, pero se puede crear desde cualquier equipo que ejecute

el Administrador de usuarios para dominios. Esto incluye:

o Un controlador de reserva (BDC).

o Un servidor miembro que forme parte del dominio.

o Un equipo que ejecute Windows NT Workstation o Microsoft Windows 95/98 y que

tenga instaladas las Herramientas Administrativas del servidor.

4. Los nombres del grupo deben ser exclusivos para el Dominio. No pueden ser idénticos a otros

nombres de usuarios o de grupos.

Creación de grupos globales

Para crear un grupo global:

1. En el menú Usuario, hacer

clic en Grupo global nuevo.

Aparecerá el cuadro de

diálogo Grupo global nuevo.

2. En el cuadro Nombre de

grupo, escribir el nombre del

grupo. Dicho nombre:

Puede contener

cualquier carácter, en

mayúsculas o

minúsculas, salvo los

siguientes: " / \ [ ] : ; =, + ? < >

Deberá ser descriptivo de la función del grupo.

Tendrá un máximo de 20 caracteres.

3. En el cuadro Descripción, escribir una descripción del grupo. Aunque es opcional, esta

descripción puede resultar útil para identificar la función de un grupo.

4. En la lista No son miembros, seleccionar los usuarios que deseemos que pertenezcan al grupo.

5. Hacer clic en Agregar. Los usuarios seleccionados aparecerán en la lista Miembros.

6. Haga clic en Aceptar para crear el grupo global que contenga a todos los usuarios agregados

como miembros.

Creación de grupos Locales

Para crear un grupo local:

1. En el menú Usuario, haga clic

en Grupo local nuevo.

Aparecerá el cuadro de diálogo

"Grupo local nuevo".

2. En el cuadro Nombre de

grupo, escribir un nombre

descriptivo exclusivo para el

grupo. Dicho nombre:

Deberá describir la

función del grupo.

Puede contener

cualquier carácter, en

mayúsculas o

minúsculas, salvo la

barra invertida (\).

Puede tener 256 caracteres de longitud como máximo; sin embargo, en la mayoría de las

ventanas sólo aparecerán los 22 caracteres primeros.

3. En el cuadro Descripción, escriba una descripción del grupo y después haga clic en Agregar.

Aparecerá el cuadro de diálogoAgregar usuarios y grupos.

4. En la lista Nombres, seleccionaremos las cuentas de usuario o de grupo global del dominio local

que deseemos agregar al grupo.

5. Para agregar grupos globales de otro dominio, en el cuadro Mostrar nombres en,

seleccionaremos el dominio y después los grupos globales. El asterisco indica el dominio actual.

En el cuadroMostrar nombre en sólo aparecen los dominios en que se confía.

6. Hacer clic en Agregar y después en Aceptar.

7. Hacer clic en Aceptar en el cuadro de diálogo Grupo local nuevo para crear el grupo local.

Eliminación de Grupos

Cuando se elimina un grupo, no se eliminarán sus miembros sino el nombre del grupo, su descripción y

los derechos o permisos que tiene asociados.

Para eliminar una cuenta de grupo:

1. Iniciar el Administrador de usuarios para dominios.

2. Seleccionar el grupo que deseemos eliminar.

3. Presionar la tecla SUPR. Aparecerá el mensaje siguiente:

Cada grupo está representado por un identificador único que es independiente del nombre de grupo. Una

vez que este grupo se elimine, aunque cree un grupo con el mismo nombre en el futuro, no restaurará el

acceso a recursos que actualmente hacen referencia a este grupo en la lista de control de acceso.

4. Hacer clic en Aceptar y el grupo quedará eliminado.

Los grupos no se pueden cambiar de nombre

Implementación de Grupos Incorporados

Los grupos incorporados son grupos predefinidos que tienen un conjunto predeterminado de derechos de

usuario. Recordemos que los derechos de usuario determinan las tareas del sistema que puede realizar un

usuario o un miembro de un grupo. Los equipos que ejecutan Windows NT tienen tres tipos de grupos

incorporados:

Los grupos locales incorporados ofrecen a los usuarios derechos para realizar tareas del sistema

como la copia de seguridad y la restauración de archivos, el cambio de la hora del sistema y la

administración de los recursos del sistema. Los grupos locales incorporados se encuentran en

todos los equipos que ejecutan Windows NT.

Los grupos globales incorporados ofrecen a los administradores una forma sencilla de controlar

todos los usuarios de un dominio. Los grupos globales incorporados se encuentran solamente en

los controladores de dominio. Los grupos del sistema organizan automáticamente a los usuarios

para uso del sistema. Los administradores no asignan usuarios a dichos grupos. En su lugar, los

usuarios son miembros de forma predeterminada o se convierten en miembros durante la

actividad de la red.

Los grupos del sistema se encuentran en todos los equipos que ejecutan Windows NT.

Los grupos incorporados no pueden eliminarse ni cambiarse.

Grupos incorporados en todos los equipos NT

Grupos locales incorporados que residen en todos los equipos que ejecutan

Windows NT:

Usuarios: permite realizar tareas para las que han recibido derechos y tener acceso a los recursos

para los que tienen permisos. Se suele utilizar para dar permisos generales a todos los usuarios de

nuestro sistema.

Administradores: los administradores poseen la mayoría de los derechos sobre nuestra máquina

(Dominio local). Pueden realizar todas las tareas administrativas en el equipo local. Si el equipo

es un PDC o BDC, pueden administrar todo el dominio. La cuenta Administrador no se debe

borrar (puesto que tiene privilegios que cualquier otro usuario del grupo Administradores no

consigue tener) y resulta conveniente, por motivos de seguridad cambiarle el nombre y crearse

una segunda cuenta de administrador. Los derechos del Administrador vienen restringidos a un

solo dominio (en el que se creó), por lo que si se quiere que un solo administrador administre

varios dominios, debe incorporar a éste al grupo de Administradores de los demás dominios.

A pesar de que se puede haber tener tantos administradores como deseemos, no es recomendable

que sean muchos puesto que con ello ponemos en peligro la seguridad del sistema, ya que a

mayor número de administradores, mayor posibilidad de que se descubra la contraseña de

alguno de ellos.

Invitados: permite realizar tareas para las que se les hayan concedido derechos y tener acceso a

recursos para los que tengan permiso. Un miembro de este grupo es la cuenta de usuario Invitado,

que se suele utilizar para dar acceso a la red a usuarios eventuales a los cuales no queremos

asignar una cuenta de usuario. Es recomendable eliminar (o, en su defecto, proteger con

contraseña) al usuario invitado como medida de seguridad, evitando así la posibilidad de

encontrarnos con alguna conexión sin identificar.

Operadores de Copia: permite usar el programa de "copias de seguridad" de Windows NT

("ntbackup.exe" u otro más especifico que tengamos instalado) para realizar copias de seguridad.

Duplicadores: Los equipos que ejecutan Windows NT Sever pueden sincronizar algunas carpetas

(como por ejemplo las de los Script) con otros servidores. Uno de ellos se comporta como el

exportador (el que tiene la copia maestra de los archivos) y los otros importan esos datos. De esta

manera, podemos tener carpetas en diferentes servidores con el mismo contenido, lo que nos

puede servir como medida de seguridad para proteger ciertos archivos críticos. El grupo

Duplicadores nos permite utilizar el servicio de "Duplicador de Directorios", que es el que

permite que se realice la duplicación.

Usuarios Avanzados: sólo reside en servidores miembro y Windows NT Workstation. Los

miembros de este grupo pueden crear y modificar cuentas, así como compartir recursos.

Grupos incorporados sólo en controladores de Dominio

Grupos locales incorporados sólo en controladores de dominio:

Operadores de Cuentas: pueden crear, eliminar y modificar usuarios, grupos globales y grupos

locales. No pueden modificar los grupos Administradores ni Operadores de Servidores. No hay

miembros iniciales en este grupo.

Operadores de Servidores: pueden compartir los recursos del disco y realizar copias de

seguridad. No hay miembros iniciales en este grupo.

Operadores de impresión: pueden configurar y administrar las impresoras de red. No hay

miembros iniciales en este grupo.

Grupos globales incorporados sólo en controladores de dominio:

Cuando se instala un Windows NT Server como controlador de dominio, se crean tres grupos globales en

la base de datos de directorio del dominio:

Usuarios del Dominio: usuarios que tienen acceso al dominio. Se agrega al grupo local de

"Usuarios". Cuando se crea una cuenta de usuario del dominio, éste se convierte automáticamente

en miembro de este grupo. El Administrador es miembro por defecto.

Administradores del Domino: usuarios que tienen derechos de administración en el dominio. Se

agrega al grupo local de "Administradores" para así poder realizar tareas administrativas en el

equipo local. El Administrador es miembro por defecto.

Invitados del Dominio: permite realizar tareas para las que se hayan concedido derechos y tener

acceso a recursos para los que tengan permiso del dominio. Se agrega al grupo local de

"Invitados". Un miembro es el usuario Invitado.

Grupos incorporados del Sistema

Además de los grupos incorporados locales y globales existe un tercer tipo de grupos, llamados Grupos

del Sistema que organizan automáticamente a los usuarios para uso del sistema. Los administradores no

asignan usuarios o dichos grupos. En su lugar, los usuarios son miembros de forma predeterminada o se

convierten en miembros durante la actividad de la red (no se puede modificar la relación de miembro de

dichos grupos). Los grupos del sistema se encuentran en cualquier equipo que ejecute Windows NT.

Grupos del sistema que se utilizan para la administración de la red:

Todos (Everyone): contiene todos los usuarios locales y remotos que tienen acceso al equipo. A

diferencia del grupo de "Usuarios del Dominio", este grupo contiene cuentas de usuario distintas

a las creadas por el administrador en el dominio. Sin embargo, los administradores sí pueden

asignar derechos a este grupo. Cuando se crea un nuevo recurso compartido en la red, por

defecto, se le asigna "Control Total" sobre el recurso a este grupo. Como medida de seguridad es

conveniente eliminar al grupo Todos de la lista de permisos de acceso al recuso y sólo dar

permisos de acceso a los grupos que necesitemos que accedan al recurso.

Creator Owner: incluye al usuario que creó o tomó posesión de un recurso. Si un miembro del

grupo "Administradores" toma posesión de un recurso, el nuevo propietario es el grupo

"Administradores". Este grupo puede utilizarse para administrar el acceso a los archivos y

carpetas en volúmenes NTFS.

Grupos del sistema que no se utilizan para la administración de la red:

Network: incluye a cualquier usuario que esté actualmente conectado desde otro equipo de la red

a un recurso compartido.

Interactive: incluye automáticamente al usuario que inicia localmente una sesión en el equipo.

Los miembros interactivos tienen acceso a los recursos de su equipo. Inician la sesión y tienen

acceso "interactuando" con el equipo.

Administración de cuentas

Existen procedimientos y herramientas que un administrador puede utilizar para realizar sus tareas diarias

de forma eficiente y mantener la red en perfecto funcionamiento. Estos son algunos de esos

procedimientos y herramientas:

Crear plantillas para agregar nuevas cuentas de usuario.

Realizar cambios simultáneamente en varias cuentas de usuario.

Diseñar e implementar un plan de cuentas para proteger la red.

Mantener los controladores de dominio de forma que las cuentas de usuario se puedan validar

siempre y sin problemas.

Solucionar los problemas que puedan tener los usuarios con sus cuentas, suelen ser problemas de

inicio de sesión.

Distribuir algunas de las tareas administrativas mediante la creación de un Administrador

adicional o un Operador de cuentas:

o Los miembros del grupo Administradores tienen todas las capacidades administrativas.

Son responsables del diseño y el mantenimiento de la seguridad de la red.

o Los miembros del grupo Operadores de cuentas pueden crear, eliminar y modificar

cuentas de usuario, grupos globales y grupos locales. No obstante, no pueden modificar

los grupos Administradores y Operadores de servidores.

Plantillas de cuentas de usuario

Las plantillas de cuentas de usuario nos proporcionan una manera abreviada para crear nuevas cuentas de

usuario. Son cuentas de usuario estándar creadas con las propiedades que se aplican a usuarios con

necesidades comunes. Por ejemplo, si todo el personal del departamento de Formación necesita ser

miembro del grupo Monitores, podemos crear una plantilla que le provea de la pertenencia a ese grupo.

Para utilizar una plantilla y crear con ella una cuenta de usuario, basta con copiar la cuenta plantilla

(cualquier cuenta) y asignar un nombre de usuario y una contraseña para el nuevo usuario. Las siguientes

opciones se convierten en propiedades de la nueva cuenta de usuario:

Descripción.

El usuario debe cambiar la contraseña en el siguiente inicio de sesión.

El usuario no puede cambiar la contraseña.

La contraseña nunca caduca

Grupos.

Perfil.

Horas de inicio de sesión (sólo controladores de dominio).

Iniciar desde (sólo controladores de dominio).

Cuenta (sólo controladores de dominio).

Marcado.

Los derechos y permisos concedidos a una cuenta de usuario individual no se copian.

Sugerencias para crear plantillas:

Crear una plantilla para cada clasificación de empleado, por ejemplo, personal de ventas,

contables, jefes, etc.

Si normalmente tenemos usuarios temporales o durante poco tiempo, crearemos una plantilla con

horas de inicio de sesión limitadas, especificaciones de estaciones de trabajo y otras restricciones

necesarias.

Es recomendable que cada nombre de plantilla comience con un carácter no alfabético, por

ejemplo un carácter de subrayado (_), de esta forma las plantillas siempre aparecerá al principio

de la lista de la ventana "Administrador de Usuarios".

UTILIZACIÓN DE PLANTILLAS DE USUARIO

Para utilizar una plantilla de cuenta y crear con ella una cuenta de usuario, basta con copiar la plantilla.

Pasos para copiar una plantilla de cuenta:

1. Iniciar el Administrador de usuarios para dominios.

2. En la lista Usuario, seleccionamos la plantilla que deseamos copiar.

3. En el menú Usuario, hacer clic en Copiar.

4. Escribir un nombre de usuario y una contraseña para la nueva cuenta; luego hacer clic

en Agregar.

5. Crear otro usuario o hacer clic en Cerrar.

Plan de cuentas

Para poder establecer un Plan de

Cuentas debemos iniciar

el Administrador de Usuarios

para dominios y dentro del

menú Directivas,

seleccionar Cuentas.

Los cambios que efectuemos en

el plan de cuentas afectarán a los

usuarios en una de las dos

situaciones siguientes:

La próxima vez que el

usuario inicie una

sesión.

La próxima vez que el

usuario realice un

cambio reflejado en este

plan; por ejemplo, la

longitud mínima de las contraseñas no se aplica a las contraseñas existentes, pero se aplicará la

próxima vez que un usuario cambie su contraseña.

El plan de cuentas determina cómo deben utilizar las contraseñas todas las cuentas de usuario. Este plan

establece los requisitos para lo siguiente:

Limitaciones de contraseña: De modo predeterminado, el único requisito de las contraseñas

para las cuentas de usuario es que los usuarios cambien sus contraseñas la primera vez que inicien

una sesión.

o Duración máxima de la contraseña: Periodo de tiempo que se puede utilizar una

contraseña antes de obligar al usuario a que la cambie. Intervalo de valores: 1-999 días.

Exigir a los usuarios que cambien a menudo sus contraseñas permitirá evitar que los

usuarios sin autorización puedan adivinarla.

En redes de seguridad media, cambiaremos las contraseñas cada 45-90 días.

En redes de alta seguridad, cambiaremos las contraseñas cada 14-45 días.

o Duración mínima de la contraseña: Periodo de tiempo que se debe mantener una

contraseña antes de que el usuario pueda cambiarla. No debemos permitir cambios

inmediatos si se va a introducir un valor de la historia de una contraseña. El valor de esta

opción debe ser menor que el valor especificado en la opción Duración máxima de la

contraseña. Intervalo de valores: 1-999 días.

o Longitud mínima

de la

contraseña: Número

mínimo de caracteres

necesarios para una

contraseña. Intervalo de

valores: 1-14 caracteres.

No permitir nunca

contraseñas en blanco.

Este tipo de contraseñas

no proporciona ninguna

seguridad. No se deben

utilizar en sistemas

conectados a Internet o

con capacidad de

marcado y exigir una

longitud mínima para

todas las contraseñas.

Cuanto más larga sea la

contraseña, más difícil

será adivinarla:

En redes de

seguridad

media, exigir de 6 a 8 caracteres.

En redes de alta seguridad, exigir de 8 a 14 caracteres.

o Historial de contraseñas: Número de nuevas contraseñas que un usuario debe utilizar

antes de que se pueda volver a utilizar una antigua contraseña. Para que la historia de la

contraseña sea efectiva, no se deben permitir cambios inmediatos mediante el parámetro

Duración mínima de la contraseña. Intervalo de valores: 1-24 contraseñas. Exigir a los

usuarios que utilicen una contraseña distinta cada vez que la cambien. Debemos

asegurarnos que una vez cambiada, no se puede volver a cambiar a la contraseña anterior.

En redes de seguridad media, exigir de 8 a 12 contraseñas distintas.

En redes de alta seguridad, exigir de 12 a 24 contraseñas distintas.

Sin bloqueo de cuenta: No se bloquean nunca las cuentas de usuario, independientemente del

número de intentos fallidos de iniciar una sesión con las cuentas.

Cuenta bloqueada: Bloquear las cuentas después de varios intentos fallidos de iniciar una

sesión. Esto permitirá reducir las posibilidades de que una persona sin autorización pueda tener

acceso a la red. Si seleccionamos esta opción estarán disponibles las tres opciones siguientes.

o Bloquear después de Número de intentos fallidos de iniciar una sesión que provocarán

que la cuenta quede bloqueada. Intervalo de valores: 1-999.

En redes de seguridad media, bloquear las cuentas de usuario después de 5

intentos fallidos de iniciar una sesión.

En redes de seguridad alta, bloquear las cuentas de usuario después de 3 intentos

fallidos de iniciar una sesión.

o Restablecer cuenta después de: Número máximo de minutos que pueden transcurrir

entre dos intentos fallidos de iniciar una sesión antes de que se produzca el bloqueo de la

cuenta. Intervalo de valores: 1-99999 minutos.

o Duración del bloqueo: Para siempre: las cuentas siguen bloqueadas hasta que el administrador las

desbloquee. Como norma de seguridad sería conveniente tener esta opción

seleccionada

Duración: las cuentas siguen bloqueadas durante el número de minutos

especificado. Intervalo de valores: 1-99999 minutos.

Desconectar del servidor a los usuarios remotos cuando termine la hora de inicio de

conexión. Si esta casilla está activada, se desconecta la cuenta de usuario del servidor del

dominio cuando la cuenta supera las horas de inicio de sesión permitidas. Si esta casilla no está

activada, la cuenta de usuario no se desconecta automáticamente, pero no se permiten nuevas

conexiones (Disponible sólo en Microsoft Windows NT Server).

Los usuarios deben iniciar la sesión para cambiar la contraseña. Si esta casilla está activada,

los usuarios no pueden cambiar sus propias contraseñas caducadas. Si esta casilla no está

activada, los usuarios pueden cambiar sus propias contraseñas caducadas.

Restablecimiento de contraseñas de cuentas de usuario

Puede que necesitemos restablecer la contraseña de un usuario si:

La contraseña ha caducado.

Un usuario ha olvidado su contraseña.

Para restablecer una contraseña, seguiremos los siguientes pasos:

1. Iniciar el Administrador de usuarios para dominios.

2. Editar las propiedades de la cuenta de usuario. Aparecerá el cuadro de diálogo Propiedades de

usuario.

3. En el cuadro Contraseña, seleccionar toda la entrada y pulsar la tecla SUPR.

4. En el cuadro Repetir contraseña, seleccionar toda la entrada y pulsar SUPR.

5. Escribir una nueva contraseña para el usuario.

Desbloqueo de cuentas de usuario

Si hemos definido un plan de cuentas que bloquea al usuario después de varios intentos fallidos de iniciar

una sesión, es muy posible que necesitemos desbloquear una cuenta. Para desbloquear una cuenta de

usuario:

1. Iniciar el Administrador de usuarios para dominios.

2. Editar las propiedades de la cuenta de usuario. Aparecerá el cuadro de diálogo Propiedades de

usuario.

3. Desactivar la casilla de verificación Cuenta bloqueada.

4. Hacer clic en Aceptar.

Si el usuario ha fallado varias veces en su intento de iniciar una sesión en el dominio, puede que este

usuario haya olvidado la contraseña. En este caso, deberemos restablecerla mientras la desbloqueamos.

Modificación de varias cuentas de usuario

Utilizaremos este procedimiento cuando necesitemos modificar varias cuentas de usuario de la misma

manera. Por ejemplo, si necesitamos mover directorios particulares a otro servidor o volumen, o definir

las horas de inicio de sesión para 100 usuarios.

Para modificar simultáneamente varias cuentas de usuario:

1. Iniciar el Administrador de usuarios para dominios.

2. Seleccionar todas las cuentas de usuario que deseemos modificar. Para ello, hacemos clic en la

primera cuenta, y manteniendo presionada la tecla CTRL, haremos clic en el resto de cuentas.

3. En el menú Usuario, hacer clic en Propiedades. Aparecerá el cuadro de diálogo Propiedades de

usuario correspondientes a los usuarios seleccionados.

4. Realizar los cambios necesarios.

5. Hacer clic en Aceptar.

Mantenimiento de controladores de Dominio

El mantenimiento de los controladores de dominio consiste en asegurarse de que los controladores

principales de dominio (los PDC) están siempre en línea y que todas las copias de la base de datos de

directorio están actualizadas. Cada dominio cuenta con un único PDC. Este PDC mantiene la copia

maestra de la base de datos de directorio del dominio. Cada cinco minutos esta base de datos se duplica

automáticamente para todos los controladores de reserva (los BDC) de ese dominio. Si el PDC se

desconecta por cualquier motivo, los usuarios pueden seguir iniciando sesiones y el BDC los validará

pero no podremos administrar las cuentas.

Desconectar un PDC

Cuando sea necesario desconectar un PDC, deberemos realizar los siguientes pasos:

1. Promover un BDC para que ocupe el puesto del PDC mientras vaya a estar desconectado. Esto

hace que el PDC se convierta en BDC automáticamente.

2. Cuando el PDC original vuelve a estar en línea, volveremos a promoverlo como PDC, lo que hará

que el PDC temporal se degrade a BDC.

Cuando un PDC se desconecta inesperadamente, deberemos realizar los siguientes pasos:

1. Promover un BDC para que ocupe el puesto del PDC.

2. Una vez que el PDC original vuelve a estar en línea, degradarlo a BDC.

3. Promover de nuevo el PDC original. Esto hará que el PDC temporal se convierta en BDC.

PROMOCIÓN DE UN CONTROLADOR DE DOMINIO DE RESERVA

Al promover un BDC, se realiza una copia actualizada de la base de datos de directorio del dominio desde

el antiguo PDC al nuevo. El

PDC original queda

automáticamente degradado a

BDC. Para promover un BDC

a PDC:

1. Abrir la herramienta

administrativa:

"Administrador de

servidores".

2. En la lista "Equipo",

seleccionar el

controlador de

reserva.

3. En el menú "Equipo",

hacer clic en

"Promover a

controlador principal de dominio".

4. Recibiremos un mensaje informando de que la promoción va a tardar unos minutos y de que se

van a cerrar todas las conexiones de usuarios al BDC y al PDC. Este mensaje nos pedirá que

confirmemos el cambio.

5. Hacer clic en "sí".

Cuando completemos este procedimiento, el controlador principal de dominio se convertirá

automáticamente en un controlador de reserva.

RESTABLECIMIENTO DE

CONTROLADORES DE

DOMINIO

Podemos también promover un BDC a

PDC después de que se haya

desconectado el PDC por un apagado

inesperado, pero el PDC no se degradará

automáticamente. Además, como el PDC

está fuera de línea, no se podrá realizar la

duplicación automática de la base de

datos de cuentas entre los dos

controladores de dominio. Cuando el

PDC original vuelva a estar en línea, ya

hay un PDC en el dominio, por lo que no

se podrá iniciar su servicio "Net Logon".

Tendremos que restaurar el PDC

original.

Para restaurar el PDC original al papel de PDC, seguiremos los siguientes pasos:

1. Iniciar el equipo que estaba en funcionamiento originalmente como PDC. En cuanto se inicie, detectará que

ya hay otro PDC en el dominio.

2. Iniciar el Administrador de servidores en el PDC original. Observemos que tanto el PDC original como

el PDC actual aparecen como controladores principales del dominio, sólo que el nombre del PDC original

no está disponible.

3. Seleccionar el PDC original.

4. En el menú Equipo, hacer clic en Degradar a controlador de reserva.

5. Seleccionar el BDC que fue el PDC original y, en el menú Equipo, hacer clic en Promover a controlador

principal de dominio.

6. Hacer clic en sí para realizar el cambio.

Recibiremos mensajes indicando que la base de datos de directorio del PDC actual estaba sincronizada

con la base de datos de directorio en el BDC actual, antes de su promoción a PDC. Si se efectúa cualquier

tipo de administración, como agregar cuentas o cambiar contraseñas, mientras estaba degradado el PDC

original, esta sincronización automática de las bases de datos de directorio asegurará que estos cambios

no se pierdan.

SINCRONIZACIÓN DE CONTROLADORES DE DOMINIO

Podemos sincronizar manualmente controladores de dominio para aplicar inmediatamente cambios

realizados a la base de datos de directorio del dominio o para solucionar problemas relativos a contraseñas

que no coinciden. Si los usuarios cambian su contraseña, pasará un tiempo hasta que las nuevas

contraseñas se distribuyan automáticamente entre todos los BDC de un dominio grande.

Para sincronizar un controlador de reserva específico:

1. Iniciar el Administrador de servidores y seleccionar el controlador de reserva.

2. En el menú Equipo, hacer clic en Sincronizar con el controlador principal del dominio.

Recibiremos información de que el proceso puede tardar unos minutos y nos pedirá confirmación

del cambio.

3. Hacer clic en Si. Aparecerá un mensaje comunicándonos que el controlador de reserva

seleccionado va a sincronizar su base de datos de cuentas con la del controlador principal del

dominio. Nos indicará que comprobemos el registro de sucesos en el controlador de reserva

seleccionado y en el controlador principal del dominio con el fin de determinar si se realizó con

éxito la sincronización.

4. Hacer clic en Aceptar.

Para sincronizar todos los controladores del dominio:

1. Iniciar el Administrador de servidores y seleccionar el PDC del dominio.

2. En el menú Equipo, hacer clic en Sincronizar el dominio completo. Aparecerá un mensaje que

nos informará de que el proceso puede durar varios minutos y pedirá que confirmemos el

cambio.

3. Hacer clic en sí. Aparecerá un mensaje que informará de que el PDC ha solicitado a todos los

BDC que inicien la sincronización de su base de datos de cuentas de usuario y que nos

recomendará que comprobemos el registro de sucesos para determinar si se realizó con éxito la

sincronización.

4. Hacer clic en Aceptar.

SOLUCIÓN DE PROBLEMAS DE INICIO DE SESIÓN

En la siguiente tabla se muestran los mensajes de error más comunes y las soluciones a los problemas de

inicio de sesión:

Mensaje de error del usuario Solución

No se puede iniciar su sesión.

Asegúrese de que su nombre de

usuario y dominio sean correctos,

luego repita su contraseña. Debe

escribir la contraseña utilizando los

caracteres correctos. Asegúrese de

que BLOQ MAYÚS no esté activa.

Compruebe que el nombre de usuario, el nombre del dominio y la contraseña son

correctos. Compruebe la tecla BLOQ MAYÚS, ya que las contraseñas distinguen

entre mayúsculas y minúsculas. (El nombre del dominio se puede comprobar con la

aplicación Red del Panel de control). Si un usuario ha olvidado la contraseña,

elimine o restablezca la contraseña del usuario. Si la cuenta de usuario es nueva,

puede que no se haya sincronizado con los BDC. Sincronice los controladores del

dominio.

Imposible conectar con ningún

controlador de dominio para su

dominio. Se ha iniciado su sesión

utilizando información de cuentas

en tabla caché. Los cambios hechos

en su perfil desde la última vez que

inició la sesión no estarán

disponibles

Compruebe si este equipo es el único que tiene problemas. Compruebe que los

controladores de dominio están en línea. Si el PDC está todavía en línea, seleccione

un BDC y promuévalo a PDC. Si el PDC está desconectado, promueva un BDC a

PDC. Si es el único equipo con problemas, compruebe que el cable que conecta el

equipo a la red y la tarjeta de red. Compruebe si la tarjeta adaptadora de red tiene un

indicador iluminado o intermitente. Si el problema no es evidente, reiniciar el

equipo.

Su cuenta tiene restricciones de

tiempo que le impiden iniciar la

sesión en este momento. Vuelva a

intentarlo más tarde.

Las horas de inicio de sesión permitidas para el usuario no abarcan el momento

actual. Para permitir que un usuario inicie una sesión, modifique las horas de inicio

de sesión correspondientes a ese usuario.

Su cuenta está configurada para

evitar que utilice esta estación de

trabajo. Pruebe otra estación de

trabajo.

No se permite al usuario utilizar esa estación de trabajo. Para permitirle que la

utilice, modifique las restricciones especificadas en Iniciar desde

Administración de Archivos

Particionamiento del Disco

Dividir el disco en múltiples pedazos de menor tamaño, esto con la siguiente finalidad:

Colocar distintos Sistemas Operativos en las diferentes particiones Proteger información del sistema, o de misión crítica Tip: partir el disco hace que el acceso a este se mejore considerablemente.

Antes de particionar un disco hay que tener en cuenta:

Que sea algo simple Mantener juntos los datos relacionados Colocar lo más usado en el centro (particiones de en medio) Separar Sistemas Operativos a través de los discos (deseable) Aislar datos críticos

Existen distintas herramientas para crear particiones; generalmente al momento de instalar un sistema operativo se puede particionar un disco.

Windows: FDISK DOS/Windows: Partition Magic, Paragon Partition Manager, Partition Star Linux: FDISK, Disk Druid Solaris: Format

Ej. Partition Magic

Ej FDISK Linux

[root@pcproal etc]# fdisk /dev/hda

The number of cylinders for this disk is set to 1222. There is nothing wrong with that, but this is larger than 1024, and could in certain setups cause problems with: 1) software that runs at boot time (e.g., old versions of LILO) 2) booting and partitioning software from other OSs (e.g., DOS FDISK, OS/2 FDISK)

Command (m for help): m Command action a toggle a bootable flag b edit bsd disklabel c toggle the dos compatibility flag d delete a partition l list known partition types m print this menu n add a new partition o create a new empty DOS partition table p print the partition table q quit without saving changes s create a new empty Sun disklabel t change a partition's system id u change display/entry units v verify the partition table w write table to disk and exit x extra functionality (experts only)

Command (m for help): p

Disk /dev/hda: 255 heads, 63 sectors, 1222 cylinders Units = cylinders of 16065 * 512 bytes

Device Boot Start End Blocks Id System /dev/hda1 * 1 3 24066 83 Linux /dev/hda2 4 41 305235 82 Linux swap /dev/hda3 42 1222 9486382+ 83 Linux

Command (m for help):

Sistemas de Archivos

Definición: Es una estructura de datos basada en disco o en red que es utilizada para almacenar archivos.

Estructura interna de un Sistema de Archivos

Boot Block Block Group 0 Block Group 1 .... Block Group n

donde cada block contiene:

SuperBlock Group Descriptors Block Bitmap Inode Bitmat

SuperBlock

Descripción del sistema de archivos, incluyendo: Número de bloques de datos Número de grupos de cilindros Tamaño de los bloques de datos Nombre del punto de montaje Bandera del estado del sistema: clean, stable, active. logging, unknown.

Inodes:

Información de Bloqueo Modo de acceso Tipo de archivo Número de ligas al archivo ID del usuario y ID del grupo Tamaño del Archivo (bytes) Tiempo de acceso y modificación Dirección de los bloques del archivo en disco

Ej de inode Archivo común

Inode 1282

Data Blocks

Directorio Común

Inode 4221

Data Blocks

file1= inode 1282

dirA=inode 5314

Ej de inode con ligas simbólicas >ln -s file2 link1 >ls -la lrwxrwxrwx 1 carlos empleado 5 Jan 20 2003 link1 -> file2

link1

Inode 3561

Data Blocks

./file2

file2

Inode 1282

Data Blocks

Ej de inode con ligas duras >ln file1 file2 >ls -la -rw------- 2 carlos empleado 0 Jan 20 2003 file1 -rw------- 2 carlos empleado 0 Jan 20 2003 file2

file1

file2

Inode 1282

Data Blocks

dir1

Inode 4221

Data Blocks

file1=inode 1282

file2=inode 1282

Tipos de Sistemas de Archivos

Existen diferentes criterios para agrupar los sistemas de archivos:

El criterio inicial se refiere a la principal característica de los sa:

Orientados al disco Orientados a la red

Orientados al Disco Dentro de los orientedos a disco tenemos subcategorías

Por su diseño para un Sistema Operativo

Native Filesystems: cuando fue creado para un SO específico. Ej. FAT en Windows Foreign Filesystems: son aquellos que no fueron creados para un SO pero sin embargo

los soporta. o Ej. Linux tiene sus sistemas de archivos nativos (ext, ext3, ext3) pero soporta

otros, como el FAT o el NFS

Podemos mencionar que dentro de los sistemas de archivos nativos existe una división:

Traditional: o surgen en los 70's y continuan hasta los 90's o su característica principal es que tienen la necesidad de realizar una extensiva

verificación del sistema de archivos si no se han cerrado correctamente. Journaling:

o contienen un "journal" o "bitácora" que contiene la lista de operaciones pendientes que deben realizarse para tener un sistema de archivos consistente.

o por lo general pueden alcanzar mayor capacidad de almacenamiento (Ver ext2 vs ext3).

Ejemplos de Sistemas de Archivos

Windows

FAT: o File Allocation Table o Originalmente utilizado en las computadoras de DOS o Se le han hecho extensiones (VFAT)para soportar mayor capacidad y el uso de

nombres largos > 8.3 o Existen distintos tipos de FAT

FAT 12 Usado en floppies

FAT 16 Particiones de 2GB

FAT 32 Particiones de 2 TB

HPFS: o High Performance Filesystem o Usado cuando Microsoft e IBM eran socios, después pasó a ser únicamente del

OS/2 NTFS:

o New Technology Filesystem o Disponible en Windows NT o superiores o La gran diferencia con FAT, los permisos.

WINFS o Basado en NTFS o Agrega metadatos para identificar mejor a los archivos

Linux

Minix: o Usado con el sistema operativo Minix o Capacidad máxima de 64 Mb

Extended: o Conocido como ext o extfs o Surge como un reemplazo para las limitaciones de Minix o Disponible en las primeras version de Linux pero se removió en el kernel 2.2.x

Second Extended: o Conocido como ext2 o ext2fs o Fue el estándar en Linux para los kernel entre 2.0.x y 2.4.x (2001) o Máximo tamaño del filesystem = 16 Terabytes o Máximo tamaño de archivo = 4Gb o Limitado por el Virtual Filesystem (VFS) a 4TB de fs y 2GB de archivo

Xia: o Extensión de Minix o Surge al mismo tiempo que ext2, pero al ser menos estable se vio superado

Third Extended: o Conocido como ext3 o ext3fs o Es una extensión al ext2, se le agregó un journal o No existe la limitante de archivos de 4 Gb o Disponible desde el kernel 2.4.x

ReiserFS: o Es un diseño totalmente nuevo, incluyendo journaling o Con capacidades similares a ext2 o Aún experimental

XFS: o Journaling filesystem creado por Sillicon Graphics (SGI) o Tamaño máximo del filesystem = 16,384 PB (1 petabyte= 1024 Terabytes) o Tamaño máximo de archivo = 8,192 PB

JFS: o IBM Journaling Filesystem, diseñado para el Sistema Operativo AIX o Tamaño máximo del filesystem = 32 PB o Tamaño máximo de archivo = 4 PB

Algunos benchmarks de filesystems para linux (fuente original en LinuxGazzette)

Apple

MFS: o Macintosh Filesystem o Usado para los primeros floppies o No utilizado actualmente

HFS: o Hierarchical Filesystem o Reemplazo de MFS, floppies de 800kb o Dejó de utilzarse en 1998 para discos duros o Se sigue empleando para algunos dispositivos ej. CD's

HFS+ o Características similares a los sistemas de archivos en unix o Posee la capacidad de Journaling o No se utiiliza en medios removibles (CD's)

Elvis o Originalmente un producto de BeOS o Posee un journal o Se teme una disminución del rendimiento

SUN

ZFS: o 128 bits o Virtualization

Miscelánea

FFS/UFS: o Fast Filesystem también conocido como Unix Filesystem) o Empleados en FreeBSD y Solaris

BFS: o BeOS filesystem

UDF:

o Universal Disk Format o De reciente creación o Pensado para CD y DVD

Veritas o Creado por la empresa del mismo nombre o Journaling de alta velocidad o Gran capacidad de recuperación en desastres

CD-ROM

ISO-9660 o La base y el estándar para archivos en CD o Limitado en la longitud del nombre de archivos o Carencia de permisos

Rock Ridge o Extensión a ISO-9660 o Permite nombres largos y permisos

Joliet o Se utiliza en conjunto con un sistema ISO-9660 o Diseñado pensando en las características de archivos en Windows,

principalmente en los nombres

Orientados a la Red

Son usados para compartir archivos.

NFS o Sun's Network FileSystem o El método más recomendado para compartir archivos en ambientes UNIX o Soporte para la arquitectura cliente/servidor

Coda: o Similar a NFS o Soporta Encriptamiento (seguridad) o Mejora el "caching"

SMB/CIFS: o Server Message Block, renombrado a Core Internet Filesystem o Utilizado en los sistemas de Microsoft para compartir archivos o El servidor de SMB para sistemas unix es SAMBA

NCP: o NetWare Core Protocol (NCP) o Utilizado por Novell

Creando el Sistema de archivos

Windows: o Format

Linux o mkfs [-t fsname] [options] device [size]

o fsname nombre del tipo de sistema de archivos (alternativamente usar mkfs.fsname)

o options: o -c revisa el disco por bloques dañados o -v verbose, despliega información adicional o device dispositivo donde se creará el filesystem o size tamaño de la partición

Solaris o newfs o -F fsname o -i value Número de bytes por inode

Para reparar un sistema de archivos

Unix: fsck [ -t fstype ] filesys

Accesando Filesystems

Compartiendo los directorios de una máquina

Windows En Windows esta actividad es gráfica y no requiere mayor conocimiento, pero el operativo asume algunas cosas y esta restringido en la capacidad de importar/montar sistemas de archivos externos Para compartir basta con dar click derecho en el archivo/directorio deseado y seleccionar "compartir"

Unix En unix (aunque ya existen ambientes graficos) tradicionalmente se realiza a través de archivos

Linux: /etc/exports

/home/carlos 192.168.0.1(rw)

Solaris: /etc/dfs/dfstab

root:scanner:/etc/dfs>more dfstab

# Place share(1M) commands here for automatic execution # on entering init state 3. # # Issue the command '/etc/init.d/nfs.server start' to run the NFS # daemon processes and the share commands, after adding the very

# first entry to this file. # # share [-F fstype] [ -o options] [-d "<text>"] <pathname> [resource] # .e.g, # share -F nfs -o rw=engineering -d "home dirs" /export/home2

Montando/importando directorios de otras máquinas

Conceptos Importantes:

Filesystem: tipo del sistema de archivos del directorio a importar Device (dispositivo): dispositivo o directorio que se quiere importar.

ej. /dev/hda3 , /home/lolo, acadaplic:/home/carlos Mount Point (punto de montaje): directorio donde vamos a ver los que estamos

importando (de preferencia que NO sea el raíz)

Windows Nuevamente la interfaz nos ayuda para realizar esta actividad Existen varias opciones para montar un directorio de otra maquina:

1) Si las máquinas son parte de nuestra intranet podemos ir al Vecindario o Neighbourhood y buscar por grupo, máquina y directorios.

2) En otro caso podemos buscar la maquina desde el explorador de archivos o bien utilizar la opción "Conectar a unidad de Red" en el menú de "Herramientas". Se nos pedirá la ruta o path a importar asi como el usuario y password respectivos ej: \\192.168.0.23\directorio username: abcde password: xxxxxxx Y opcionalmente podemos seleccionar si queremos importar ese directorio cada vez que entremos a la máquina

Unix (Linux y Solaris) Existen 2 tipos de montaje en unix: los temporales y los permanentes

Para montar temporalmente (solo durante la sesión) se utilizan los comandos mount y umount

mount [-a] [ -t fstype] [-o options ] device dir

-a= monta todo lo que este en los archivos fstab (en Solaris existe el comando mountall)

fstype= ext2, ext3, ufs, nfs, smbfs, vfat, swap, etc options (separadas por comas)= rw , ro, uid=value device= dispositivo físico a montar

dir= directorio donde se localizará el filesystem (debe estar creado)

ej: mount -t iso9660 /dev/cdrom /mnt/cdrom mount -t nfs www.linux.com:/directorio /mnt/directorio

umount [-a] [-f] [-t fstype] mountpoint | device

-a desmonta todo lo que está definido en /etc/fstab o /etc/vfstab -f forza el desmontaje, aún si está en uso el filesystem

ej. umount -a -f umount /mnt/cdrom

Para montar permanentemente tenemos que configurar algunos archivos que permitan el montaje al arrancar la máquina:

Linux : /etc/fstab

[root@pcproal etc]# more fstab

LABEL=/ / ext3 defaults 1 1

LABEL=/boot /boot ext3 defaults 1 2

none /dev/pts devpts gid=5,mode=620 0 0

none /proc proc defaults 0 0

none /dev/shm tmpfs defaults 0 0

/dev/hda2 swap swap defaults 0 0

/dev/cdrom /mnt/cdrom iso9660 noauto,owner,kudzu,ro 0

0

/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0

Contenido de cada línea: Dispositivo a montar Punto de Montaje Tipo de sistema de archivos Opciones de Montaje Dump fsck

Solaris : /etc/vfstab

root:scanner:/etc>more vfstab

#device device mount FS fsck mount mount

#to mount to fsck point type pass at boot options

#

#/dev/dsk/c1d0s2 /dev/rdsk/c1d0s2 /usr ufs 1 yes -

fd - /dev/fd fd - no -

/proc - /proc proc - no -

/dev/dsk/c0t0d0s1 - - swap - no -

/dev/dsk/c0t0d0s0 /dev/rdsk/c0t0d0s0 / ufs 1 no -

/dev/dsk/c0t0d0s3 /dev/rdsk/c0t0d0s3 /tmp ufs 2 yes -

/dev/dsk/c0t0d0s4 /dev/rdsk/c0t0d0s4 /var/tmp ufs 2 yes -

filer0:/vol/vol0/home - /scanner nfs - yes -

superadminaplic:/home/34/vol301 - /archivos/vol301 nfs - yes -

centia:/centia01 - /centia01 nfs - yes -

centia:/centia03 - /centia03 nfs - yes -

Contenido de cada línea:

Dispositivo a montar Dispositivo donde se ejecutará el comando fsck Punto de Montaje Tipo de sistema de archivos fsck pass (1 o -) Mount at boot (bandera usada por mountall) Opciones de Montaje

Montando con Automounter

El hecho de tener muchos sistemas de archivos, ya sean locales o externos implica un costo en el rendimiento de la máquina, por ello unix posee una variante a lovisto anteriormente que se conoce como Automounter, montar/importar sobre demanda.

Tenemos un archivo principal (auto.master o auto_master) el cual contiene las especificaciones del punto de montaje para lo que se quiere montar (ej. /misc) y que está especificado en otro archivo (ej. /etc/auto.misc)

[carlos@pcproal /etc]$ more auto.master

# $Id: auto.master,v 1.2 1997/10/06 21:52:03 hpa

Exp $

# Sample auto.master file

# Format of this file:

# mountpoint map options

# For details of the format look at autofs(8).

/misc /etc/auto.misc --timeout=60

En el archivo incluído por el automaster se definen los montajes de manera muy similar a los archivos "tab" mencionados anteriormente

[carlos@pcproal /etc]$ more auto.misc

# $Id: auto.misc,v 1.2 1997/10/06 21:52:04 hpa Exp $

# This is an automounter map and it has the following format

# key [ -mount-options-separated-by-comma ] location

# Details may be found in the autofs(5) manpage

#cd -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom

# the following entries are samples to pique your imagination

#linux -ro,soft,intr ftp.example.org:/pub/linux #boot -fstype=ext2 :/dev/hda1

#floppy -fstype=auto :/dev/fd0 #floppy -fstype=ext2 :/dev/fd0

#e2floppy -fstype=ext2 :/dev/fd0 #jaz -fstype=ext2 :/dev/sdc1

#removable -fstype=ext2 :/dev/hdd

centia01 -fstype=nfs,hard centia.udlap.mx:/centia01 centia03 -fstype=nfs,hard centia.udlap.mx:/centia03

De manera que el montaje quedaría: /misc/centia01

Nota: a diferencia de fstab y vfstab aqui el punto de montaje no debe ser creado por el administrador, se crea sobre demanda

Samba (www.samba.org)

Samba es una aplicación para unix que permite compartir archivos entre plataformas unix y windows a traves de la red Nota: si lo que queremos es compartir una "partición" de algun disco local, entonces se puede utilizar simplemente el mount

Dos componentes principales

Servidor de Samba Interfaz web de administración Swat , (normalmente en el puerto 901)

Comandos comunes para la manipulación de archivos

file Determina el tipo de archivo

chown Cambia los id del dueño y del grupo de un archivo

chmod

Descripción r,w,x para archivos

r Poder leer el contenido del archivo.

w Modificar el contenido del archivo.

x Ejecutar, si se trata de un executable/script.

Descripción r,w,x para directorios

r Permite ver el listado "ls" de archivos contenidos en el directorio. Si se

desea usar este permiso, siempre deberá también usarse "x".

w Permite agregar, eliminar o renombrar archivos en el directorio.

x

Permite hacer "cd" al directorio y utilizar los archivos contenidos en él; si no

se tiene el permiso "r" sólo se pueden usar pero no se pueden ver los

archivos contenidos en el directorio, habría que saberse la ruta ej: "more

directorio/archivo.txt".

Modifica los permisos de un archivo o directorio Modo Simbólico U (Owner) G (group) O (Others) -rwxr--r-- 1 carlos carlos 932 Aug 24 20:23 steps.txt ej. chmod u+rwx,g+w,o+x steps.txt -rwxrw-r-x 1 carlos carlos 932 Aug 24 20:23 steps.txt

Permiso adicional (visible en el bit the execute)

User Permission File Permission + Execute (on) Permission + Execute (off)

Owner setuid (s) Executable s S

Group setgid (s) Executable s l

Others sticky bit (t) Directory t T

ej. chmod u+s script.sh

-rwsr-xr-x 1 carlos mail 932 Aug 24 20:23 script.sh

(El script se correrá con permisos de 'carlos')

ej. chmod g+s script.sh -rwxr-lr-x 1 carlos mail 932 Aug 24 20:23 script.sh (El script se correrá con permisos de 'mail')

ej. chmod o+wt directory drwxr-xrwt 1 carlos carlos 932 Aug 24 20:23 directory (En 'directory' cualquiera puede escribir, pero solo el dueño de cada archivo, el dueño de 'directory' y root podrán borrarlos)

Modo Absoluto (Octal)

Octal Value Permission Ad Permission

4 Read setuid

2 Write setgid

1 Execute sticky bit

Por ejemplo si queremos modificar un archivo de manera que U (Owner) Lectura+Ejecución+Escritura=7

G (group) Lectura+Ejecución=5 O (Others) Lectura=4 chmod 754 archivo.txt

Para permisos adicionales (setuid + setgid) chmod 6754 archivo.txt

grep Busca expresiones regulares en la entrada

ln Creación de ligas, simbólicas o duras

ls Listado de archivos en un directorio

cp Copiar archivos o directorios

mv Mueve o renombra un archivo

more Visualizador de un archivo hacia adelante

less Visualizador de un archivo hacia adelante y hacia atrás

head Ver el encabezado (primeras líneas de un archivo)

tail Ver la cola (últimas líneas de un archivo)

find Busca archivos con cierto criterio (nombre, fecha) en una ruta dada

> Redireccionamiento hacia un archivo nuevo

ej. ls > archivo.txt

>> Redireccionamiento hacia un archivo existente (append)

ej. ls >> archivo.txt

Respaldos (Backups)

Full Backups

Respaldo de toda la información que se ha generado Consume mucho tiempo el realizar estos respaldos Gran gasto de dispositivos para respaldos

Incremental Backups (daily backups)

Unicamente se respaldan los archivos nuevos o que han cambiado desde el último full backup

Sun Mon Tue Wed Thu Fri Sat

Week 1 F I I I I I I

Week 2 F I I I I I I

Week 3 F I I I I I I

Week 4 F I I I I I I

Differential Backups

Unicamente se respaldan los archivos nuevos o que han cambiado desde el último backup, a cualquier nivel

Sun Mon Tue Wed Thu Fri Sat

Week 1 F D D D D D D

Week 2 F D D D D D D

Week 3 F D D D D D D

Week 4 F D D D D D D

Mezcla de Full, Incremental y Differential Backups

Sun Mon Tue Wed Thu Fri Sat

Week 1 F D D I D D D

Week 2 F D D I D D D

Week 3 F D D I D D D

Week 4 F D D I D D D

Otra posibilidad de la mezcla de varios tipos:

Cómo se realizan los respaldos ?

Se utilizan los comandos

Debemos definir los niveles si queremos hacer backups incrementales o diferenciales, para ello se puede emplear la fecha o bien directamente la opción de los niveles (comandos de dump)

Calendarizarlos, usando alguna herramienta como "crontab"

Comandos para realizar respaldos

tar o La más antigua utilería para respaldar archivos en cintas

Solaris ufsdump/ufsrestore Linux dump/restore

o Herramientas de bajo nivel que interactúan directamente con el filesystem cpio

o cp con I/O, es una versión más nueva que las anteriores y permite el agregar o recuperar solo algunos archivos del respaldo

mt o Comando para la manipulación de la cinta

Notas:

1.- No olvidar los comandos de Compresión

compress zcat gzip

SEGURIDAD DE RED

Clasificación de Respaldos

Copias de Información, comúnmente llamados (Backups).

Duplicados de Información en linea (Implementación RAID)

Copias de Información (Backups)

Estos respaldos son sólo duplicados de archivos que se guardan en "Tape Drives" de alta capacidad

(30-40 GB aprox). Los archivos que son respaldados pueden variar desde archivos del sistema

operativo, bases de datos , hasta archivos de un usuario común. Existen varios tipos de Software que

automatizan la ejecución de estos respaldos, pero el funcionamiento básico de estos paquetes depende

del denominado archive bit .

Este archive bit indica un punto de respaldo y puede existir por archivo o al nivel de "Bloque de

Información" (típicamente 4096 bytes), esto dependerá tanto del software que sea utilizado para los

respaldos así como el archivo que sea respaldado.

Este mismo archive bit es activado en los archivos (o bloques) cada vez que estos sean modificados y

es mediante este bit que se llevan acabo los tres tipos de respaldos comúnmente utilizados :

Respaldo Completo ("Full"): Guarda todos los archivos que sean especificados al tiempo de

ejecutarse el respaldo. El archive bit es eliminado de todos los archivos (o bloques), indicando que

todos los archivos ya han sido respaldados.

Respaldo de Incremento ("Incremental"): Cuando se lleva acabo un Respaldo de Incremento, sólo

aquellos archivos que tengan el archive bit serán respaldados; estos archivos (o bloques) son los que

han sido modificados después de un Respaldo Completo. Además cada Respaldo de Incremento que

se lleve acabo también eliminará el archive bit de estos archivos (o bloques) respaldados.

Respaldo Diferencial ("Differential"): Este respaldo es muy similar al "Respaldo de Incremento" ,

la diferencia estriba en que el archive bit permanece intacto.

Respaldo Archivos en Respaldo Archive Bit Ventajas Desventajas

Completo

("Full") Todos

Eliminado en

todos los

archivos

Con este respaldo

únicamente es

posible recuperar

toda la información

Tiempo de Ejecución

De Incremento

("Incremental")

Archivos conarchive

bitactivo.(Aquellos que hayan

cambiado desde el último

Respaldo Completo)

Eliminado en

los archivos

que se

respaldan

Velocidad

Requiere del último

Respaldo Completo y de

todos los Respaldos de

Incremento que le siguieron

para recuperar el Sistema

Diferencial

("Differential")

Archivos conarchive

bitactivo.(Aquellos que hayan

cambiado desde el último

Respaldo Completo)

Intacto

Sólo requiere del

último Respaldo

Completo y del

último respaldo

Diferencial

Ocupa mayor espacio en

discos comparado con

Respaldos de Incremento

Secuencia de Respaldo GFS (Grandfather-Father-Son)

Esta secuencia de respaldo es una de las más utilizadas y consiste en Respaldos Completos cada

semana y Respaldos de Incremento o Diferenciales cada día de la semana. Suponiendo la siguiente

semana:

Domingo (1) Lunes (2) Martes (3) Miércoles (4) Jueves (5) Viernes (6) Sábado (7)

Diferencial/

de Incremento

o NADA

Diferencial/

de Incremento

Diferencial/

de Incremento

Diferencial/

de Incremento

Diferencial/

de Incremento

Completo

Diferencial/

de Incremento

o NADA

Domingo (8) Lunes (9) Martes (10) Miércoles (11) Jueves (12) Viernes (13) Sábado (14)

Diferencial/

de Incremento

o NADA

Diferencial/

de Incremento

Diferencial/

de Incremento

Diferencial/

de Incremento

Diferencial/

de Incremento

Completo

Diferencial/

de Incremento

o NADA

En caso de fallar el Sistema en Jueves(12):

Será necesario el Respaldo completo del Viernes(6) y :

Si se utilizaron Respaldos Diferenciales: Sólo el Respaldo Diferencial del Miércoles(11).

Si se utilizaron Respaldos de Incremento: Se necesitaran todos los Respaldos de Incremento desde el

Sábado(7) hasta el Miércoles(11)

Claro esta que los respaldos completos de cada Viernes pasan a formar parte del "Archivo" mensual

de Información.

Duplicado de Información en Linea (RAID)

RAID ("Redundant Array of Inexpensive Disks") en términos sencillos es: un conjunto de 2 o más

"Discos Duros" que operan como grupo y logran ofrecer una forma más avanzada de respaldo ya

que:

Es posible mantener copias en linea ("Redundancy").

Agiliza las operaciones del Sistema (sobre todo en bases de datos .)

El sistema es capaz de recuperar información sin intervención de un Administrador.

Existen varias configuraciones de Tipo RAID, sin embargo, existen 4 tipos que prevalecen en muchas

Arquitecturas:

RAID-0 : En esta configuración cada archivo es dividido ("Striped") y sus fracciones son colocadas

en diferentes discos. Este tipo de implementación sólo agiliza el proceso de lectura de archivos, pero

en ningún momento proporciona algún tipo de respaldo ("redundancy").

RAID-1 : En orden ascendente, este es el primer tipo de RAID que otorga cierto nivel de respaldo;

cada vez que se vaya a guardar un archivo en el sistema éste se copiara integro a DOS discos (en

linea), es por esto que RAID-1 también es llamado "Mirroring".

Además de proporcionar un respaldo en caliente ("hot") en dado caso de fallar algún disco del grupo

, RAID-1 también agiliza la lectura de archivos (si se encuentran ocupadas las cabezas de un disco

"I/O") ya que otro archivo puede ser leído del otro disco y no requiere esperar a finalizar el "I/O" del

primer disco.

RAID-3 : Esta configuración al igual que RAID-0 divide la información de todos los archivos

("Striping") en varios discos, pero ofrece un nivel de respaldo que RAID-0 no ofrece. En RAID-0 si

falla un disco del grupo, la Información no puede ser recuperada fácilmente, ya que cada disco del

grupo contiene una fracción del archivo, sin embargo RAID-3 opera con un disco llamado "de

paridad" ("parity disk").

Este "disco de paridad" guarda fracciones de los archivos necesarias para recuperar toda su

Información, con esto, es posible reproducir el archivo que se perdió a partir de esta información de

paridad.

RAID-5 : El problema que presenta RAID-3 es que el "disco de paridad" es un punto critico en el

sistema; que ocurre si falla el disco de paridad ?

Para resolver este problema RAID-5, no solo distribuye todos los archivos en un grupo de discos

("Striping"), sino también la información de paridad es guardada en todos los discos del sistema

("Striping"). Este configuración RAID suele ser usada en sistemas que requieren un "alto nivel" de

disponibilidad, inclusive con el uso de "Hot-Swappable Drives" es posible substituir y recuperar la

Información de un disco dañado, con mínima intervención del Administrador y sin la necesidad de

configurar o dar "reboot" al sistema.

Autenticación Autenticación

o autentificación

es el acto de establecimiento o confirmación de algo (o alguien) como

auténtico. La autenticación de un objeto puede significar (pensar) la confirmación de su procedencia,

mientras que la autenticación de una persona a menudo consiste en verificar su identidad. La

autenticación depende de uno o varios factores.

Métodos de autenticación

Los métodos de autenticación están en función de lo que utilizan para la verificación y estos se dividen

en tres categorías:

Sistemas basados en algo conocido. Ejemplo, un password (Unix) o passphrase (PGP).

Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta

inteligente(smartcard), dispositivo usb tipo epass token, smartcard o dongle criptográfico.

Sistemas basados en una característica física del usuario o un acto involuntario del mismo:

Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares.

Características de autenticación

Cualquier sistema de identificación ha de poseer unas determinadas características para ser viable:

Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en

los sistemas menos seguros).

Económicamente factible para la organización (si su precio es superior al valor de lo que se

intenta proteger, tenemos un sistema incorrecto).

Soportar con éxito cierto tipo de ataques.

Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen.

Mecanismo general de autenticación

La mayor parte de los sistemas informáticos y redes mantienen de uno u otro modo una relación de

identidades personales (usuarios) asociadas normalmente con un perfil de seguridad, roles y permisos.

La autenticación de usuarios permite a estos sistemas asumir con una seguridad razonable que quien se

está conectando es quien dice ser para que luego las acciones que se ejecuten en el sistema puedan ser

referidas luego a esa identidad y aplicar los mecanismos de autorización y/o auditoría oportunos.

El primer elemento necesario (y suficiente estrictamente hablando) por tanto para la autenticación es la

existencia de identidades biunívocamente identificadas con un identificador único (valga la redundancia).

Los identificadores de usuarios pueden tener muchas formas siendo la más común una sucesión de

caracteres conocida comúnmente como login.

El proceso general de autenticación consta de los siguientes pasos:

1. El usuario solicita acceso a un sistema.

2. El sistema solicita al usuario que se autentique.

3. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad

de la identificación.

4. El sistema valida según sus reglas si las credenciales aportadas son suficientes para

dar acceso al usuario o no.

Control de acceso

Un ejemplo familiar es el control de acceso. Un sistema informático supuesto para ser utilizado

solamente por aquellos autorizados, debe procurar detectar y excluir el desautorizado. El acceso a él por

lo tanto es controlado generalmente insistiendo en un procedimiento de la autentificación para establecer

con un cierto grado establecido de confianza la identidad del usuario, por lo tanto concediendo esos

privilegios como puede ser autorizado a esa identidad. Los ejemplos comunes del control de acceso que

implican la autenticación incluyen:

Retirar de dinero de un cajero automático.

Control de un computador remoto sin Internet.

Uso de un sistema Internet banking.

Sin embargo, observar que mucha de la discusión sobre estos asuntos es engañosa porque los términos

se utilizan sin la precisión. Parte de esta confusión puede ser debido “al tono de la aplicación de ley” de

mucha de la discusión. Ninguna computadora, programa de computadora, o poder del usuario de la

computadora “confirman la identidad” de otro partido. No es posible “establece” o “probar” una identidad,

cualquiera. Hay ediciones difíciles que están al acecho debajo de qué aparece ser una superficie directa.

Es solamente posible aplicar una o más pruebas que, si están pasadas, se han declarado previamente

para ser suficientes proceder. El problema es determinarse qué pruebas son suficientes, y muchos tales

son inadecuadas. Tienen sido muchos casos de tales pruebas que son spoofed con éxito; tienen por su

falta demostrada, ineludible, ser inadecuadas. Mucha gente continúa mirando las pruebas -- y la decisión

para mirar éxito en pasar -como aceptable, y para culpar su falta en “sloppiness” o “incompetencia” de

parte alguien. El problema es que la prueba fue supuesta para trabajar en la práctica -- no bajo

condiciones ideales de ningún sloppiness o incompetencia-y no. Es la prueba que ha fallado en tales

casos. Considerar la caja muy común de un email de la confirmación a el cual deba ser contestado para

activar una cuenta en línea de una cierta clase. Puesto que el email se puede arreglar fácilmente para ir

a o para venir de direcciones falsas y untraceable, éste es justo sobre la menos autenticación robusta

posible. El éxito en pasar esta prueba significa poco, sin consideración alguna hacia sloppiness o

incompetencia.

Autenticación por multifactor

Los factores de la autenticación para los seres humanos se clasifican, generalmente, en cuatro casos:

Algo que el usuario es (ejemplo, la huella digital o el patrón retiniano), la secuencia de ADN

(hay definiciones clasificadas de cuál es suficiente), el patrón de la voz (otra vez varias

definiciones), el reconocimiento de la firma, las señales bio-eléctricas únicas producidas por

el cuerpo vivo, u otro identificador biométrico).

Algo que el usuario tiene (ejemplo, tarjeta de la identificación, símbolo de la seguridad,

símbolo del software o teléfono celular)

Algo que el usuario sabe (ejemplo, una contraseña, una frase o un número de identificación

personal (el PIN) del paso).

Algo que el usuario hace (ejemplo, reconocimiento de voz, firma, o el paso).

y

Autenticación mediante dos factores "algo que tengo" la llave + "algo que sé" un número de

PIN (token criptográfico)

Autenticación triple factor "algo que tengo" el dispositivo criptográfico + "algo que sé" una

clave de autenticación tipo PIN (al token criptográfico) + "quién soy" la huella dactilar que me

permite autenticarme al dispositivo de forma unívoca.

Una combinación de métodos se utiliza a veces, ejemplo, una tarjeta de banco y un PIN, en este caso se

utiliza el término “autenticación del dos-factor”. Históricamente, las huellas digitales se han utilizado

como el método más autoritario de autenticación, pero procesos legales recientes en los E.E.U.U. y a

otra parte han levantado dudas fundamentales sobre fiabilidad de la huella digital. Otros métodos

biométricos son prometedores (las exploraciones retinianas y de la huella digital son un ejemplo), pero

han demostrado ser fácilmente engañados en la práctica. En un contexto de los datos de la

computadora, se han desarrollado protocolos de desafío-respuesta que permiten el acceso si el que se

quiere autenticar responde correctamente a un desafío propuesto por el verificador. Hay protocolos

desafío-respuesta basados en algoritmos criptográficos llamándose protocolos criptográficos de desafío-

respuesta. La seguridad de los protocolos criptográficos de desafío-respuesta se basa en la seguridad de

los algoritmos criptográficos que usa.

Autenticación

El Authentication fue definido por Arnnei Speiser en 2003 mientras que la Web basó el servicio que

proporciona en la autenticación de usuarios finales que tienen acceso (Login) a un servicio de Internet.

La Autenticación es similar a la verificación de la tarjeta de crédito para los Web site del eCommerce. La

verificación es hecha por un servicio dedicado que reciba la entrada y vuelva la indicación del éxito o de

fallo. Por ejemplo, un usuario final desea entrar en su Web site. Él consigue entrar en una página Web

de la conexión que requiere para acceso, su user-id y una contraseña o a los sitios asegurados y su

contraseña a la vez. La información se transmite al servicio del eAuthentication como pregunta. Si el

servicio vuelve éxito, permiten al usuario final entrar en el servicio de esa página Web con sus privilegios

como usuario.

Autenticación de usuarios en Unix

Autenticación clásica

En un sistema Unix habitual cada usuario posee un nombre de entrada al sistema o login y una clave o

password; ambos datos se almacenan generalmente en el fichero /etc/passwd. Este archivo contiene

una línea por usuario donde se indica la información necesaria para que los usuarios puedan conectar al

sistema y trabajar en él, separando los diferentes campos mediante `:'.

Al contrario de lo que mucha gente cree, Unix no es capaz de distinguir a sus usuarios por su nombre de

entrada al sistema. Para el sistema operativo lo que realmente distingue a una persona de otra (o al

menos a un usuario de otro) es el UID del usuario en cuestión; el login es algo que se utiliza

principalmente para comodidad de las personas (obviamente es más fácil acordarse de un nombre de

entrada como toni que de un UID como 2643, sobre todo si se tienen cuentas en varias máquinas, cada

una con un UID diferente).

Para cifrar las claves de acceso de sus usuarios, el sistema operativo Unix emplea un criptosistema

irreversible que utiliza la función estándar de C crypt, basada en el algoritmo DES. Para una descripción

exhaustiva del funcionamiento de crypt. Esta función toma como clave los ocho primeros caracteres de la

contraseña elegida por el usuario (si la longitud de ésta es menor, se completa con ceros) para cifrar un

bloque de texto en claro de 64 bits puestos a cero; para evitar que dos passwords iguales resulten en un

mismo texto cifrado, se realiza una permutación durante el proceso de cifrado elegida de forma

automática y aleatoria para cada usuario, basada en un campo formado por un número de 12 bits (con lo

que conseguimos 4096 permutaciones diferentes) llamado salt. El cifrado resultante se vuelve a cifrar

utilizando la contraseña del usuario de nuevo como clave, y permutando con el mismo salt, repitiéndose

el proceso 25 veces. El bloque cifrado final, de 64 bits, se concatena con dos bits cero, obteniendo 66

bits que se hacen representables en 11 caracteres de 6 bits cada uno y que, junto con el salt, pasan a

constituir el campo password del fichero de contraseñas, usualmente /etc/passwd. Así, los dos primeros

caracteres de este campo estarán constituidos por el salt y los 11 restantes por la contraseña cifrada

Problemas del modelo clásico

Los ataques de texto cifrado escogido constituyen la principal amenaza al sistema de autenticación de

Unix; a diferencia de lo que mucha gente cree, no es posible descifrar una contraseña, pero es muy fácil

cifrar una palabra junto a un determinado salt, y comparar el resultado con la cadena almacenada en el

fichero de claves. De esta forma, un atacante leerá el fichero /etc/passwd (este fichero ha de tener

permiso de lectura para todos los usuarios si queremos que el sistema funcione correctamente), y

mediante un programa adivinador (o crackeador) cifrará todas las palabras de un fichero denominado

diccionario (un fichero ASCII con un gran número de palabras de cualquier idioma o campo de la

sociedad: historia clásica, deporte, cantantes...), comparando el resultado obtenido en este proceso con

la clave cifrada del fichero de contraseñas; si ambos coinciden, ya ha obtenido una clave para acceder al

sistema de forma no autorizada.

Shadow Password

Otro método cada día más utilizado para proteger las contraseñas de los usuarios el denominado

Shadow Password u oscurecimiento de contraseñas. La idea básica de este mecanismo es impedir que

los usuarios sin privilegios puedan leer el fichero donde se almacenan las claves cifradas.

Envejecimiento de contraseñas

En casi todas las implementaciones de Shadow Password actuales se suele incluir la implementación

para otro mecanismo de protección de las claves denominado envejecimiento de contraseñas (Aging

Password). La idea básica de este mecanismo es proteger los passwords de los usuarios dándoles un

determinado periodo de vida: una contraseña sólo va a ser válida durante un cierto tiempo, pasado el

cual expirará y el usuario deberá cambiarla.

Realmente, el envejecimiento previene más que problemas con las claves problemas con la transmisión

de éstas por la red: cuando conectamos mediante mecanismos comotelnet, ftp o rlogin a un sistema

Unix, cualquier equipo entre el nuestro y el servidor puede leer los paquetes que enviamos por la red,

incluyendo aquellos que contienen nuestro nombre de usuario y nuestra contraseña.

Otros métodos

Algo por lo que se ha criticado el esquema de autenticación de usuarios de Unix es la longitud, para

propósitos de alta seguridad, demasiado corta de sus claves; lo que hace años era poco más que un

planteamiento teórico, actualmente es algo factible: sin ni siquiera entrar en temas de hardware

dedicado, seguramente demasiado caro para la mayoría de atacantes, con un supercomputador es

posible romper claves de Unix en menos de dos días.

Un método que aumenta la seguridad de nuestras claves frente a ataques de intrusos es el cifrado

mediante la función conocida como bigcrypt() o crypt16(), que permite longitudes para las claves y los

salts más largas que crypt y sin embargo, aunque se aumenta la seguridad de las claves, el problema

que se presenta aquí es la incompatibilidad con las claves del resto de Unices que sigan utilizando crypt;

este es un problema común con otras aproximaciones que también se basan en modificar el algoritmo de

cifrado, cuando no en utilizar uno nuevo.

PAM

PAM (Pluggable Authentication Module) no es un modelo de autenticación en sí, sino que se trata de un

mecanismo que proporciona una interfaz entre las aplicaciones de usuario y diferentes métodos de

autenticación, tratando de esta forma de solucionar uno de los problemas clásicos de la autenticación de

usuarios: el hecho de que una vez que se ha definido e implantado cierto mecanismo en un entorno, es

difícil cambiarlo. Mediante PAM podemos comunicar a nuestra aplicaciones con los métodos de

autenticación que deseemos de una forma transparente, lo que permite integrar las utilidades de un

sistema Unix clásico (login, ftp, telnet...) con esquemas diferentes del habitual password: claves de un

solo uso, biométricos, tarjetas inteligentes...

La gran mayoría de las aplicaciones de linux usan estos métodos (PAM) para autenticarse frente al

sistema, ya que una aplicación preparada para PAM (PAM-aware) puede cambiar el mecanismo de

autenticación que usa sin necesidade de recompilar los fuentes. Incluso se puede llegar a cambiar el

sistema de autenticación local sin siquiera tocar las aplicaciones existentes.

PAM viene `de serie' en diferentes sistemas Unix, tanto libres como comerciales, y el nivel de abstracción

que proporciona permite cosas tan interesantes como kerberizar nuestra autenticación (al menos la parte

servidora) sin más que cambiar la configuración de PAM, que se encuentra bien en el fichero

/etc/pam.conf o bien en diferentes archivos dentro del directorio /etc/pam.d/

PAM trabaja con cuatro tipos separados de tareas de administración: authentication, account, session, y

password. La asociación del esquema de administración preferido con el comportamiento de la

aplicación se hace mediante archivos de configuración. Las funciones de administración las hacen

módulos que se especifican en el archivo de configuración. Más adelante se explicara brevemente la

sintaxis del archivo de configuración ya que se va fuera del alcance de este artículo.

Cuando una aplicación preparada para PAM inicia, se activa su comunicación con la API de PAM. Entre

otras cosas esto fuerza la lectura del archivo de configuración: /etc/pam.conf. Alternativamente puede ser

que se inicie la lectura de los archivos de configuración bajo /etc/pam.d/ (cuando existe un archivo de

configuración correcto bajo este directorio, se ignora el archivo /etc/pam.conf)

Sintaxis del archivo de configuración

El archivo (/etc/pam.conf) está formado por una lista de reglas (típicamente una por línea). Cada regla es

un conjunto de campos separados por espacios (los tres primeros son case-sensitives):

service type control module-path module-arguments

La sintaxis de los archivos bajo /etc/pam.d/ es igual salvo que no existe el campo "service". En este caso

"service" es el nombre del archivo en el directorio /etc/pam.d/ (el nombre del archivo debe estar en

minúsculas) Usualmente service es el nombre del servicio o aplicación comúnmente usado, ejemplo de

esto son login, su y ssh.

type específica a que grupo de administración está asociada la regla. Las entradas válidas son:

account: este módulo maneja la cuenta sin basarse en autenticación. Típicamente se usa

para restringir/permitir el acceso a un servicio basado en la hora o quizas desde donde se

loguea el usuario (ej.: root solo se puede loguear desde consola

auth: provee mecanismo de autenticación (el usuario es quien dice ser).

password: este módulo es requerido para modificar la password del usuario.

session: este módulo esta asociado con hacer tareas previas y/o posteriores al inicio del

servicio mismo (pueden ser cosas como montar un directorio, activar logueos, etc).

El tercer campo control especifica que hacer si falla el control aplicado. Existen dos sintaxis para este

campo, una sencilla de un campo y otra que especifica más de un campo dentro de corchetes rectos []

Para la básica, las opciones son:

required: indica que esta regla debe ser exitosa, de lo contrario el usuario no es autorizado a

correr el servicio. Si falla se devuelve el control al programa, pero antes se ejecutan todos

los módulos.

requisite: es como el required, pero devuelve el control al programa enseguida de fallar.

sufficient: Si este módulo se verifica, entonces (se devuelve) se le da el ok al programa y no

se sigue verificando los otros módulos.

optional: la falla o no de este módulo es solo importante si es el único existente.

El cuarto campo module-path especifica el path al módulo PAM asociado con la regla. Los módulos se

encuentran en /lib/security.

El quinto campo module-arguments es un conjunto de cero o más argumentos pasados al módulo

durante su invocación. Los argumentos varían según el módulo.

La configuración de los archivos de configuración bajo /etc/pam.d/ resulta ser más flexible (se evita tener

una archivo único enorme). Bajo este directorio se puede encontrar el archivo de confiuración personal

de un servicio particular como ser ssh. La única diferencia entre la sintaxis del archivo /etc/pam.conf es

que no existe el campo service.

La confidencialidad de la información, específicamente de los usuarios que utilizan Internet es fundamental. La realización de compras electrónicas, el ingreso de una tarjeta de crédito, la publicación de información confidencial de una empresa en Internet para que usuarios habilitados puedan accederla, el compartir información estratégica, el ingreso en sitios web de antecedentes personales, son solamente algunos ejemplos de contenido sensible que debe contar con las medidas de seguridad adecuadas para evitar problemas y no perder la privacidad y confianza.

Es importante que aquellos lugares, sucursales, sitios web, correos electrónicos en donde los usuarios deban ingresar información crítica, garanticen esta confidencialidad.

En general en los sitios web, de ingreso de información estratégica, tales como bancos, pagos en línea, registro de antecedentes, entre otros, la información es protegida a través de dos protocolos de seguridad:

Encriptación de Datos

Uso de Claves de Seguridad

Con respecto a la encriptación, corresponde a una tecnología que permite la transmisión segura de información, al codificar los datos transmitidos usando una fórmula matemática que "desmenuza" los datos. Sin el decodificador o llave para desencriptar, el contenido enviado luciría como un conjunto de caracteres extraños, sin ningún sentido y lógica de lectura. Esta codificación de la información puede ser efectuada en diferentes niveles de encriptación. Por lo general en los sitios web se utiliza el protocolo “SSL”, con cifrado de 128 bits e intercambio de 1024 bits.

Esto quiere decir que si el contenido es interceptado por alguien indebido, no podrá ser decodificado, o más aún la decodificación duraría tanto tiempo en realizarse, que de ser efectiva, la información ya no sería de utilidad.

CyberCenter, en su calidad de agencia Internet, asesora a sus clientes en los diferentes casos que se requiera resguardar

los datos de usuarios que utilicen algún sitio web que requiera confidencialidad de la información. En primer lugar, se debe identificar las áreas sensibles del sitio web. Posteriormente, se debe aplicar protocolos de seguridad a dichas secciones. Conforme a lo anterior, se utiliza encriptación de la data a través de SSL, como mecanismo de privacidad. La información de consulta por parte del usuario, se encuentra bajo un área segura, con protocolo de seguridad Secure Socket Layer (SSL) y mecanismos de encriptación apropiados.

El protocolo SSL, protege los datos transferidos mediante conexión http, es decir navegación web, utilizando encriptación provista por un Servidor Web de Seguridad. Una llave pública es empleada para encriptar los datos, y una llave privada se utiliza para descifrar o desencriptar la información.

CyberCenter ofrece desarrollos que permiten ofrecer las más sofisticadas alternativas de encriptación. Con soluciones rápidas y escalabes.

El certificado digital, es el que permite efectuar el proceso de desencriptación, y en general para servidores web, se utiliza lo siguiente:

Protocolo a utilizar SSL 3.0, RC4 con cifrado de 128 bits (alta); RSA con intercambio de 1024 bits.

Emisor Alguna Autoridad Certificadora adecuada; estas operan como notarías virtuales.

Algoritmo de Firma md5RSA

Período de Validez Anual

SOFTWARE DE APLICACIONES.

MySQL

MySQL es un gestor de bases de datos bastante popular y rápido. Normalmente lo puedes encontrar

instalado en los sitios de hosting.

Instalación

Para instalar MySQL, debes instalar los siguientes paquetes: mysql-server y mysql-client. Existe un

entorno gráfico del programa llamado mysql-admin, dependiente de los anteriores paquetes. Y

opcionalmente el paquete mysql-query-browser, que servirá para realizar consultas.

Configuración

Se te pedirá crear la contraseña del administrador cuando se instale el programa.

En versiones antiguas no se crea con la instalación. Debemos crearla manualmente, nada más instalar

el servidor. Para hacerlo teclea en un Terminal.

$ sudo /usr/bin/mysqladmin -u root password clavenueva

Puedes cambiar el archivo /etc/mysql/my.cnf para configurar las opciones básicas -- archivo de

registro, número de puerto, etc. Mira al archivo /etc/mysql/my.cnf para más detalles.

Una vez asignada una contraseña al administrador, puedes conectar con el servidor mySQL de la

manera siguiente:

$ mysql -h localhost -u root -p

Donde "localhost" és la dirección de tu host y "root" el nombre de usuario. A continuación introduce el

password de la base de datos. Te aparece la siguiente pantala:

Welcome to the MySQL monitor. Commands end with ; or \g.

Your MySQL connection id is 20 to server version: 5.0.24a-Debian_9ubuntu2-

log

Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

Para desconectar,

mysql> QUIT

Bye

Conexión desde un host remoto

Por defecto, MySQL no permite que cualquier usuario puede acceder a las bases de datos usando un

conexión TCP. Para que lo permita debes crear un usuario con los permisos correspondientes.

También tendrás que editar el fichero /etc/mysql/my.cnf y modificar la línea:

bind-address = 127.0.0.1

Cambiándola por la direccion IP del servidor, o en caso de que se quiera escuchar en todas las IPs:

bind-address = 0.0.0.0 o la IP que tengas en tu seridor si tienes

IP fija

Despues reinicia el servicio.

shell>cd etc/init.d

shell>./mysql restart

Para que todos los demás ordenadores tengan acceso al servidor. Para más seguridad puedes poner

solamente una lista de las IPs de los ordenadores que quieres que tengan acceso.

Si aún no te puedes conectar desde un ordenador remoto tendrás que editar el

fichero /etc/hosts.allow y añadir la línea:

mysqld: all

Gestión de usuarios

Crear un usuario

Para la creación de usuarios tendremos que conectarnos al servidor MySQL (ver más arriba) con un

usuario que tenga el permiso global CREATE USER o el permiso INSERTpara la base de datos mysql.

La sintaxis es la siguiente:

CREATE USER usuario IDENTIFIED BY 'password';

Eliminar un usuario

El usuario que usemos en la conexión debe tener el permiso global CREATE USER o el permiso DELETE

para la base de datos mysql. La sintaxis es la siguiente:

DROP USER usuario;

Dar permisos a un usuario

Los permisos pueden darse en varios niveles:

Nivel global

Nivel de base de datos

Nivel de tabla

La sintaxis es:

GRANT tipo_privilegio ON {nombre_tabla | * | *.* | nombre_bd.*} TO usuario;

Así para dar el permito SELECT al usuario pepe sería:

GRANT SELECT ON *.* TO pepe;

Quitar permisos a un usuario

La sintaxis es:

REVOKE tipo_privilegio ON {nombre_tabla | * | *.* | nombre_bd.*} FROM

usuario;

Gestión de las bases de datos

Crear una Base de datos

Para crear una base de datos nueva puedes hacerlo de, al menos, dos formas. Abre un Terminal y

ejecuta lo siguiente.

$ mysql -h servidor -u usuario -p

Enter password:

mysql> CREATE DATABASE nombre_de_la_base_de_datos;

quit

También puedes usar la orden mysqladmin.

$ mysqladmin -h servidor -u usuario -p create nombre_de_la_base_de_datos

Eliminar una Base de datos

Para eliminar una base de datos que ya no es necesaria en el sistema también tenemos, al menos,

dos métodos. En un ventana de Terminal ejecuta.

$ mysql -h servidor -u usuario -p

Enter password:

mysql> DROP DATABASE nombre_de_la_base_de_datos;

quit

También puedes obtener el mismo resultado con el comando mysqladmin.

$ mysqladmin -h servidor -u usuario -p drop nombre_de_la_base_de_datos

Hacer Backup de una Base de datos

Para hacer una copia de seguridad de una base de datos tiene el siguiente comando:

$ mysqldump -h servidor -u usuario -p nombre_de_la_base_de_datos > backup.sql

Para hacer una copia de seguridad de las bases de datos MySQL de un servidor puedes usar el

siguiente script:

#!/bin/bash

## BEGIN CONFIG ##

HOST=localhost

USER=usuario

PASS=secreto

BACKUP_DIR=Backup

## END CONFIG ##

if [ ! -d $BACKUP_DIR ]; then

mkdir -p $BACKUP_DIR

fi

# Backup de MySQL

MYSQL_DBS=$(mysqlshow -h $HOST -u $USER -p$PASS | awk ' (NR > 2) && (/[a-zA-

Z0-9]+[ ]+[|]/) && ( $0 !~ /mysql/) { print $2 }');

for DB in $MYSQL_DBS ; do

echo "* Backuping MySQL data from $DB@$HOST..."

mysqldump -h $HOST -u $USER -p$PASS $DB > $BACKUP_DIR/mysql_$DB.sql

done

Restaurar el Backup de una Base de datos

Para restaurar una base de datos creada anteriormente ejecuta en un Terminal.

$ mysql -h servidor -u usuario -p nombre_de_la_base_de_datos < backup.sql

La base de datos “nombre_de_la_base_de_datos” debe existir en el sistema antes de restaurar el fichero backup.sql. Si no sabes

como crear una base de datos lee Crear una Base de datos.

Recuperar la contraseña de ROOT del Servidor MySQL

Para recuperar,o mejor dicho resetear, la contraseña de ROOT del servidor MySQL se puede hacer lo

siguiente:

$ /etc/init.d/mysql stop

$ mysqld_safe --skip-grant-tables &

$ mysql -u root mysql

mysql> UPDATE user SET Password=PASSWORD('nueva_contraseña') WHERE

User='root';

mysql> FLUSH PRIVILEGES;

mysql> \q

$ killall mysqld;

$ /etc/init.d/mysql start

SERVIDORES WEB.

Introducción

El objetivo de toda organización radica en la obtención de más ganancias, mantenerse en el gusto de

sus clientes y por supuesto que el número de ellos incremente; es así como pequeñas, medianas y

grandes empresas buscan soluciones de marketing que le den ventajas competitivas sobre los

competidores locales, una de las estrategias que busca la obtención de nuevos clientes es la

exploración de nuevos mercados, actualmente estos no son solo buscados localmente, sino que

la tecnología provee otro camino como buscar en línea (internet), de ahí radica la importancia

del conocimiento de las plataformas tecnológicas que son utilizadas para dar el soporte a

los negocios electrónicos.

En este artículo se aborda el tema de los servidores web, una de las plataformas necesarias

para poder mantener a los sitios web que se dedican a los negocios electrónicos.

Desarrollo

Conceptos Básicos

Iniciaremos por definir lo que es un servidor, como su nombre lo indica, son los dispositivos de red que

brindan un servicio a otros dispositivos, a los cuales se les conoce como clientes. En general quien realiza

esta tarea es un software especializado, pero comúnmente se conoce como servidor al equipo físico donde

se ejecuta, el cual es el centro de la infraestructura de la red.

En redes pequeñas es común que un equipo brinde varios servicios simultáneamente como, por ejemplo,

un servidor de archivos el cual también es servidor de impresión.

Partiendo de esta definición, cualquier computadora en la red puede ser un servidor sin necesidad de

contar con un hardware o software en particular; aunque existen sistemas operativos especializados

(como Microsoft Windows Server, Debian GNU/Linux y SUN Solaris entre otros) los cuales fueron

diseñados específicamente para optimizar los recursos que se comparten a la red. De la misma manera,

existen equipos puntualmente creados para funcionar con grandes volúmenes de información, durante las

24hs y con mejor rendimiento y velocidad que el hardware de escritorio.

Los servidores se pueden clasificar en distintos tipos de los cuales podemos mencionar, los servidores de

archivos su función es la de centralizar la información de todos los usuarios de la red almacenando

archivos de usuario, los cuales acceden remotamente a los mismos. Los servidores de aplicaciones en

donde el servidor permite el procesamiento de datos de una aplicación de cliente. También existen

los servidores de correo en donde se mueven y almacenan el correo electrónico a través de las redes

corporativas (vía LANs y WANs) y a través de Internet. Los servidores de base de datos los cuales

poseen un tipo de software muy específico, dedicado a servir de interfaz entre la base de datos, el usuario

y las aplicaciones que la utilizan.

Servidores Web

Los servidores web son aquellos cuya tarea es alojar sitios y/o aplicaciones, las cuales son accedidas por

los clientes utilizando un navegador que se comunica con el servidor utilizando

el protocolo HTTP (hypertext markup language).

Básicamente un servidor WEB consta de un intérprete HTTP el cual se mantiene a la espera de peticiones

de clientes y le responde con el contenido según sea solicitado. El cliente, una vez recibido el código, lo

interpreta y lo exhibe en pantalla.

Además los servidores pueden disponer de un intérprete de otros lenguajes de programación que ejecutan

código embebido dentro del código HTMLde las páginas que contiene el sitio antes de enviar el resultado

al cliente. Esto se conoce como programación de lado del servidor y utiliza lenguajes

como ASP, PHP, Perl y Ajax. Las ventajas de utilizar estos lenguajes radica en la potencia de los

mismos ejecutando tareas más complejas como, por ejemplo acceder a bases de datos abstrayendo al

cliente de toda la operación.

Servidores Web más utilizados

Encuesta Septiembre 2009 Netcraft

La grafica anterior es el resultado de la encuesta realizada por Netcraft en donde se muestra los

porcentajes del mes de septiembre de 2009 además de la comparación con semestres anteriores. La

encuesta fue realizada a 226,099,841 sitios web.

Al visitar la página web donde se muestran estos resultados observamos que más del 40% de

los servidores en el mundo son Apache, después de sigue el servidor IIS de Microsoft con más del 20% y

el resto se compone de otros servidores web como nginx, google, lighttpd entre otros.

A partir de los resultados que observamos en la gráfica, vamos a describir uno de los servidores web

mencionados, en este caso el servidor web apache, para entender porque se encuentra en el gusto de la

mayoría de los sitios web a nivel mundial.

Apache

Apache es uno de los servidores web más utilizados, posiblemente porque ofrece instalaciones sencillas

para sitios pequeños y si se requiere es posible expandirlo hasta el nivel de los

mejores productos comerciales. Además el servidor HTTP (Hypertext Transfer Protocol) y

de código abierto para las plataformas Windows, Mac OS X y UNIX (GNU, BSD, etc),

En cuanto a las características que posee Apache y que la llevo al éxito en la inserción y utilización en

ámbitos empresariales, tecnológicos y educativos:

Fundamentalmente corre sobre una multitud de plataformas y Sistemas Operativos.

Ofrece tecnología libre y de código abierto.

Es un servidor Web configurable y de diseño modular, capaz de extender su funcionalidad y

la calidad de sus servicios.

Trabaja en conjunto con gran cantidad de lenguajes de programación interpretados como PHP,

Perl, Java, JSP (Java Server Pages) y otros lenguajes de script, que son el complemento ideal para los

sitios web dinámicos.

Es posible configurar y personalizar cada uno de los mensajes de error que se pueden producir por la

utilización del servidor.

Contar con los archivos Log, en donde registra gran cantidad de información global del sistema,

errores producidos en un determinado tiempo, en la cual estos archivos son de gran importancia para

los administradores de sistemas y pueden influenciar de alguna manera las políticas de

seguridad debido a la gran cantidad de información que contiene.

Otra particularidad propia de Apache, es que al ser tan popular y utilizado, es posible encontrar gran

cantidad de documentos, ejemplos y ayuda en internet en todos los idiomas.

Si se utiliza para un sitio pequeño que solo contenga archivos en HTML, esto es, no requiera de

aplicaciones de servidor su funcionalidad es excelente, pero ¿qué sucede cuando se requiere

una aplicación de Servidor? La aplicación de servidor implica lo siguiente:

Cuando el servidor de páginas (Apache) recibe la requisición para "x" página éste reconoce cuando debe

enviar un documento estático (HTML) o ejecutar algún tipo de aplicación, en el diagrama se puede

observar que la solicitud de "x" página invoca un programa en Perl y este a su vez solicita información a

una base de datos, por lo tanto para llevar a cabo esta operación debieron iniciarse 2 procesos nuevos,

quizás esto no sea de gran importancia para un sitio de con pocas visitas diarias, de lo contrario si no se

tienen los suficientes recursos en cuanto a memoria y procesadores se refiere, seguramente caerá el

servidor o bien se queme el "Host" (computadora física) por la demanda excesiva. Apache tiene tanto

tiempo de desarrollo que han sido desarrolladas diferentes soluciones para evitar estas ineficiencias,

algunas:

Es capaz de utilizar otros interpretadores y lenguajes como "Tcl", "PhP" y "Python".

Puede conectarse directamente a una Base de datos.

Entre otras, posee diversos módulos que le permiten utilizar una gran gamma de lenguajes y

desarrollar funcionalidades avanzadas.

Cabe mencionar que muchos sitios de alto tráfico aún permanecen bajo este tipo de Arquitectura, en

ocasiones si se tienen los recursos suficientes continua siendo costeable esta metodología a migrar a otro

tipo de desarrollo, sin embargo, siempre es conveniente conocer otras alternativas.

Módulos

Un módulo en Apache es una manera de agrupar ciertas funcionalidades para el servidor, existen una gran

cantidad de módulos para utilizarse con Apache, una de las principales razones de emplear módulos, es

que no toda instalación requiere de las mismas funcionalidades.

Por lo tanto, si fueran incluidas todas las funcionalidades posibles en una versión única de Apache, esto lo

haría sumamente pesado en cuanto a requerimientos de Memoria RAM y espacio en Disco Duro, por esto

se opta por crear módulos e incluir en las versiones solo lo necesario.

Acceso remoto

Qué es el servicio de Acceso Remoto Este servicio le permitirá acceder a los recursos gestionados en la red de la Universidad de Oviedo. Una vez establecida la conexión, su ordenador estará virtualmente ubicado en la red de la Universidad. Esta conexión establece un “canal seguro” de comunicación, el cual permite que la información que viaje por la red entre su ordenador y la red de la Universidad lo haga en forma cifrada. Cual es el Coste de este Servicio

El coste del servicio es gratuito y no tiene coste anual ni de mantenimiento. Usted únicamente deberá pagar a su compañía telefónica el tiempo durante el cual permanezca conectado, a un coste de llamada local.

Quién puede disfrutar de este servicio Este servicio está disponible para todos el personal de la Universidad de Oviedo

Qué se necesita para poder conectarse Para conectarse a Internet desde casa necesita:

Un ordenador: PC, Macintosh, etc. Una línea telefónica analógica, digital (RDSI) o GSM. Un módem de 56Kbps (preferentemente externo) o un adaptador RDSI. Si su ordenador es

un portátil, puede usar un módem externo o un adaptador para teléfono móvil GSM. Software de conexión a Internet. Consiste básicamente en:

o Protocolos de acceso a la red y utilidades de automatización de la llamada. o Programas de explotación de Internet: navegadores, correo electrónico, etc.

Actualmente todos los ordenadores incluyen los programas necesarios para acceder a Internet, por lo que en la mayoría de los casos no será necesario instalar software adicional. Funcionalidad del acceso remoto Esta conexión de acceso remoto permite:

Conectarse a ordenadores situados en la red de la Universidad de Oviedo. Acceder a las Bases de Datos en CD-ROM de la Biblioteca Universitaria (dichas Bases de

Datos son de uso restringido y sólo se puede acceder a ellas desde dentro de la red de la Universidad).

Acceder a Publicaciones Periódicas, también restringidas al uso dentro de la Universidad. Descargar software del servidor "Druida". Disponer de la posibilidad de enviar correo corporativo desde el cliente habitual de

ofimática.