Conceptos Avanzados del Directorio Activo

1
Conceptos Avanzados del Directorio Activo

• David Cervigón Luna
• Microsoft IT Pro Evangelist
• davidce_at_microsoft.com
• http//blogs.technet.com/davidcervigon

Jose Parada Gimeno Microsoft IT Pro
Evangelist jparada_at_microsoft.com http//blogs.tech
net.com/padreparada
2
Webcasts grabados sobre Directorio Activo

• Conceptos Básicos de Directorio Activo
• http//msevents-eu.microsoft.com/CUI/WebCastEventD
  etails.aspx?EventID118766352EventCategory3cult
  urees-ESCountryCodeES

3
AGENDA

• Tipos de Cuentas
• Tipos y ámbitos de Grupos
• Tipos de Confianzas
• Niveles funcionales
• Aprovisionamiento de usuarios
• Sintaxis LDAP y búsquedas en el Directorio
• Mecanismos de Autenticación y Tokens de seguridad
• Kerberos

4
Tipos de Cuentas de Directorio Activo

• Cuentas de usuario Es un objeto almacenado en el
  Directorio Activo que permite su inicio de sesión
  único en la red
• Cuentas locales
• Cuentas de dominio
• Cuentas Integradas (Built-in)
• Cuentas de Equipos. Ofrecen una forma de
  autenticar y auditar a los equipos que acceden a
  la red y a recursos del dominio.
• Cuentas de grupos Colección de usuarios, equipos
  y otros grupos. Su principal objetivo es
  simplificar la administración

5
User Principal Name

• En Active Directory, cada cuenta de usuario tiene

• Un nombre de inicio de sesión de usuario.
• Un nombre de inicio de sesión de usuario
  anterior a Windows 2000

• Un sufijo UPN (User Principal Name, segun RFC
  822)

UPN nombre_de_inicio_de_sesión_at_Sufijo_UPN
6
Cómo agregar Sufijos UPN

• En la consola de Dominios y confianzas del
  Directorio Activo

• juanp_at_empresa.es
• ó
• juanp_at_grupoempresas

7
Service Principal Names

• Cada cuenta de equipo creada en Directorio Activo
  tiene

• Un nombre completo relativo.
• Un nombre de equipo de versiones anteriores a
  Windows 2000.

• Un nombre de host DNS.
• Un sufijo DNS principal (FQDN)
• JuanXP_at_empresa.com

8
Service Principal Names (cont.)

• Atributo de valores múltiples que identifican los
  servicios ofrecidos por el equipo, de cara a una
  autenticación mutua por parte de otro equipo

9
Nombrado de Objetos

• Se puede hacer referencia a cada objeto de
  Directorio Activo con varios nombres diferentes.
  Directorio Activo crea a partir de los datos
  durante la creación del objeto
• El nombre completo relativo LDAP identifica
  unívocamente al objeto dentro su contenedor
  principal.
• CNJuanP
• El nombre completo LDAP es globalmente único.
• CNJuanP, OUUsers, DCempresa, DCes
• El nombre canónico se crea de la misma manera
  que el nombre completo, pero se representa con
  una notación diferente.
• Empresa.com/Users/JuanP
• Objetos principales de Seguridad (Security
  Principals) Son objetos del directorio que
  tienen asignados un Identificados único de
  seguridad (SID)

10
Tipos de Grupos

• Grupos de Distribución
• Utilizados por aplicaciones de correo (p.e
  Microsoft Exchange Server 2000/2003)
• No pueden ser usados para especificar controles
  de acceso a recursos.
• Grupos de Seguridad
• Asignación de derechos (funciones que se pueden
  desempeñar)
• Asignación de permisos de acceso a recursos
• Permiten anidación, es decir, meter unos grupos
  dentro de otros.
• Ambos tipos de grupo pueden ser de tres ámbitos
  distintos
• Locales de Dominio
• Global
• Universal

11
Grupos Locales de Dominio

• Pueden contener
• Grupos Universales, Globales, Locales de su
  dominio
• Usuarios de cualquier dominio del bosque
• Pueden pertenecer a otro grupo Local de Dominio
• Solo son visibles en su propio dominio
• Sólo pueden asignarse a permisos de recursos del
  dominio en el que existe
• Se utilizan para asignar permisos a recursos
  existentes en el dominio en donde se esta creando
  el grupo

12
Grupos Globales

• Pueden contener
• Usuarios, Grupos y equipos de su propio dominio
• Otros grupos globales
• Pueden pertenecer a Grupos Locales, Universales o
  Globales del mismo dominio
• Son visibles desde cualquier dominio del bosque
  en los que se confíe.
• Pueden asignarse a recursos de cualquier dominio
  de confianza del bosque
• Se utilizan para organizar usuarios o grupos de
  usuarios

13
Grupos Universales

• Pueden contener
• Usuarios y equipos de cualquier dominio del
  bosque
• Grupos globales o universales de cualquier
  dominio del bosque
• Pueden pertenecer a otros grupos universales y a
  grupos Locales de Dominio.
• Son visibles desde todos los dominios del bosque
• Pueden asignarse a recursos que apliquen a todos
  los dominios del bosque.
• Se usan para asignar permisos a recursos
  relacionados en todos los dominios del bosque,
  anidando en ellos grupos globales.

14
Tipos de Confianzas

• Transitividad
• Transitivas (T)
• Intransitivas (I)
• Dirección
• Bidireccionales (B)
• Unidireccionales (U)
• Confianzas por defecto
• Entre dominios (padres/hijos) Transitivas
  bidireccionales
• Entre raíces de árboles Transitivas
  bidireccionales
• Otros tipos de confianzas
• Externa Con NT 4.0 (I, U/B)
• Territorios Kerberos con sistemas no Windows
  (T/I, U/B)
• Bosque Entre bosques (T, U/B)
• Acceso Directo Para mejorar los tiempos de
  acceso entre dominios lejanos lógicamente (T,
  U/B)

15
Confianzas
Kerberos
NT 4.0
16
SID History y SID Filtering

• Cuando movemos un objeto
• En el dominio
• No hay cambios ni en SID ni en GUID
• En el Bosque
• Mismo GUID, cambio de SID
• Entre Bosques
• Cambian GUID y SID
• SID History
• Atributo con la lista de todos los SIDs que han
  estado alguna vez asignados a una cuenta de
  usuario.
• Permite la migración de usuarios manteniendo el
  acceso a los recursos del antiguo dominio.
• SID Filtering
• Se aplica por defecto a confianzas entre bosques
  o externas para evitar la suplantación de
  identidades de otros usuarios externos.
• NO se debe aplicar a confianzas entre dominios
  del mismo bosque

17
Niveles funcionales

• Niveles funcionales de Dominios Habilitan
  características que afectan a todo el dominio y a
  ese dominio solamente. Controla y depende de los
  sistemas operativos de los controladores de
  dominio de dicho dominio.
• Windows 2000 mixto (DCs en NT 4.0, 2000 y 2003)
• Windows 2000 nativo (DCs en 2000 y 2003)
• Windows Server 2003 (DCs en 2003)
• Windows Server 2003 interino (DCs en NT 4.0 y
  2003)
• Niveles funcionales de Bosques Habilitan
  características que afectan a todo el bosque.
  Controla y depende de los sistemas operativos de
  los controladores de dominio de todos los
  dominios del bosque.
• Windows 2000 (DCs en NT 4.0, 2000 y 2003)
• Windows Server 2003 (DCs en 2003)
• Windows Server 2003 interino (DCs en NT 4.0 y
  2003)

18
Niveles funcionales de Dominios

• Windows 2000 Mixto y Windows 2003 Interino
• Características por defecto
• Windows 2000 Nativo
• Grupos universales tanto para grupos de seguridad
  como de distribución
• Anidamiento de grupos
• Conversión de grupos habilitada. Seguridad ??
  Distribución
• SID History
• Windows Server 2003
• Autenticación selectiva, por la que se pueden
  especificar usuarios y grupos de otro bosque de
  confianza a los que se les permite autenticarse
  en nuestro bosque
• Capacidad de especificar el atributo userPassword
  como contraseña efectiva de objetos tipo User o
  InetOrgPerson
• Posibilidad de redirigir los contenedores Users y
  Computers a otras localizaciones bien conocidas
• Posibilidad de almacenar las políticas del
  Authorization Manager en el Directorio Activo
• Delegación obligada, basada en delegación de
  credenciales Kerberos
• Renombrado de DCs
• lastLogonTimestamp ? Replicado en el dominio

19
Niveles funcionales de Bosques

• Windows 2000
• Características por defecto
• Windows 2003 Interino
• Linked-value replication Cambios en la
  pertenencia a grupos se almacena y replica por
  los cambios individuales en lugar de por toda la
  pertenencia como un todo.
• Mejoras en los algoritmos y la escalabilidad del
  KCC. El Intersite Topology Generator (ISTG) ha
  sido mejorado para soportar bosques con mayor
  numero de sites.
• Windows Server 2003
• Capacidad de crear instancias de la clase
  dinámica auxiliar dynamicObject en la partición
  de Dominio
• Posibilidad de crear instancias de dos nuevos
  tipos de grupo. Básicos y basados en consultas,
  para la autenticación basada en roles.
• Desactivación y redefinición de atributos y
  clases en el Esquema
• Confianzas entre Bosques
• Renombrado de Dominios

20
Aprovisionamiento de usuarios

• Para crear/modificar/borrar un solo usuario
• Usuarios y equipos de Directorio Activo
• DsAdd, DsMod, DsRm ? Scriptables
• Para crear/modificar/borrar múltiples usuarios
• Csvde
• Importa/Exporta usuarios desde/a un fichero .csv
• LDIFDE
• Utiliza ficheros de texto, con formato de líneas
  separadas para cada atributo, para crear,
  modificar o borrar objetos en el Directorio
  Activo
• ADSI Interfaz de programación para crear objetos
  en Directorio Activo vía desarrollo
• En todos los casos, se deben especificar al menos
  estos atributos
• DN,objectClass, sAMAccountName,
  userPrincipalName, displayName, userAccountControl

21
DEMO

• Creación de Usuarios
• Creación de Grupos
• Movimiento de usuarios entre dominios

22
Sintaxis LDAP

• Cómo se construye el DN (Distinguish Name
• CN Common Name.
• OU Unidad Organizativa
• DC Domain Component
• Ejemplos
• Dominio
• DCempresa,DCcom
• Controlador de Dominio
• CNDC1,OUDomain Controllers,DCempresa,DCcom
• Dominio hijo
• DCfilial,DCempresa,DCcom
• Site
• CNZonaCentro,CNSites,CNConfiguration,DCempresa
  ,DCcom
• Usuario
• CNAdministrador,CNUsers,DCempresa,DCcom

23
Búsquedas LDAP al directorio

• RootDSE es parte del estándar de LDAPv3.0
• Definido en RFC 2251
• Define la raíz de búsqueda en un servidor LDAP
• Muestra, entre otras cosas, las particiones
  básicas a las que se puede conectar un cliente
• Pasos
• Conexión con un servidor LDAP
• Por defecto devuelve RootDSE
• Antes de consultar hay que validar
• Opción bind con usuario y contraseña
• Buscar
• Definir el ámbito de la búsqueda (Base DN)
• Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
• Profundidad de la búsqueda (En el ámbito dado)
• Resultados a devolver (Qué atributos extraer)

24
DEMO Uso de LDP

• Lista de usuarios en una OU dada
• Obtener su GUID, SID, displayName y SID History
• Lista de todos los atributos que se replican al
  catálogo global

25
AutenticaciónSSPI Security Support Provider
Interface
Internet Explorer, Internet InformationServer
Directory-enabled appsusando ADSI
Mail, Chat, News
AplicaciónDCOM
Fichero Remoto
HTTP
LDAP
POP3, NNTP
Secure RPC
CIFS/SMB
SSPI
NTLM
Kerberos
Digest
SChannelSSL/TLS
26
Arquitectura LSA
27
Access Token y ACLs

• DACL Discretionary Access control List
• SACL System Access Control List
• ACE Access Control Entry

28
Que es Kerberos?

• Protocolo de Autenticación
• Usa Tickets
• Interoperabilidad con otros sistemas
• Basado en claves simétricas (secretos)
• Componentes
• Key Distribution Center (KDC)
• Almacena long term keys y genera Tickets
• Authentication Service (AS)
• Genera Ticket Granting Tickets (TGT)
• Ticket Granting Service (TGS)
• Genera Tickets de sesión.

29
Inicio de sesión Interactivo

• ltCtlgtltAltgtltSupgt

7. Autentica al equipo local usando el tiket de
Sesión
30
Inicio de sesión en red
4. El servidor verifica que el Ticket fue emitido
por el KDC (no requiere contacto)
5. El servidor autentica al cliente
31
Delegación Kerberos
3. Server1 verifica y autentica al cliente
4. Server1 hace una llamada a Server2 como cliente
7. El Server2 lo verifica y autentica al cliente
32
Próximas Webcasts sobre Directorio Activo

• La importancia de DNS para el Directorio Activo
• Replicación del Directorio Activo
• File Replication System (FRS)
• Uso avanzado de las políticas de Grupo
• Mejores Prácticas para un buen diseño del
  Directorio Activo
• Chequeo de salud del directorio Activo
• Mejores Prácticas en las operaciones de
  Directorio Activo
• Información de fechas y registro en
• http//www.microsoft.com/spain/technet/jornadas/we
  bcasts/default.asp

33
PREGUNTAS?
Jose Parada Gimeno Microsoft IT Pro
Evangelist jparada_at_microsoft.com http//blogs.tech
net.com/padreparada
David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon
34
REFERENCIAS

• Conceptos de Directorio Activo
• Niveles Funcionales de Directorio Activo
• Descripción de los Grupos
• Nomenclatura de objetos
• Descripción de las Confianzas
• Logon and Authentication Technologies
• Active Directory Core Concepts
• http//www.microsoft.com/windowsserver2003/technol
  ogies/directory/activedirectory/default.mspx
• Scripts para Directorio Activo

35
REFERENCIAS

• Libros