Mecanismos de autenticacin centralizados

En la autenticacin centralizada los usuarios y sus claves se ubican en un repositorio central, las diferentes aplicaciones se configuran para identificar este lugar y hacer la autenticacin contra el repositorio. Para nuestro caso las claves estarn ubicadas dentro de un servidor de directorio LDAP, pero en general podran estar almacenadas en un archivo de texto plano o en una base de datos relacional entre otros mtodos de almacenamiento de informacin.

LDAP Lightweight Directory Access Protocol -LDAP-, es un protocolo cliente servidor hecho para acceder a un servicio de directorio en el modelo TCP/IP. Est basado en el protocolo X.500 un protocolo estndar para los servicios de directorio en el modelo OSI. Un directorio LDAP es similar a una base de datos, pero tiende a contener informacin ms descriptiva. La informacin en un directorio es consultada muchas ms veces de lo que es modificada; como consecuencia, los directorios no tienen esquemas de "roll-back" que las bases de datos usan por el alto-volumen de actualizaciones. Las actualizaciones del directorio son tpicamente simples cambia todo o nada. Los directorios pueden ser afinados para dar una contestacin rpida a las bsquedas de grandes volmenes de datos. Ellos pueden tener la habilidad de replicar la informacin en varios sitios para aumentar la disponibilidad y la confiabilidad, mientras se mantiene un tiempo mnimo en la contestacin

PAM Los programas que conceden accesos a usuarios en un sistema utilizan autenticacin para verificar sus identidades. Histricamente, cada programa tiene su forma particular de realizar la autenticacin. Bajo FreeBSD muchos programas son configurados para usar un proceso de autenticacin centralizado llamado PAM (Pluggable Authentication Modules). PAM utiliza una arquitectura conectable y modular, que otorga al administrador del sistema de una gran flexibilidad en establecer las polticas de autenticacin para el sistema.

En la mayora de los casos, el archivo de configuracin PAM predeterminado para una aplicacin que soporta PAM es suficiente. Sin embargo, a veces queremos almacenar los usuarios en una base de datos para centralizar algunos servicios. Ventajas PAM PAM ofrece las ventajas siguientes:

Un esquema de autenticacin comn que se puede usar con una gran variedad de aplicaciones. Gran flexibilidad y control de la autentificacin tanto para los administradores de sistemas como para los desarrolladores de la aplicacin. PAM es un mecanismo exible para la autenticacin de usuarios. Permite el desarrollo de programas independientes del mecanismo de autenticacin Ofrece al administrador la posibilidad de implementar complejas polticas de autenticacin para cada servicio. Ofrece un esquema de autenticacin centralizado. Permite a los desarrolladores de aplicaciones abstraerse de los mecanismos de autenticacin. Facilita el mantenimiento de las aplicaciones

Mecanismos de Autenticacin Descentralizados.

El Control de acceso de usuario descentralizado trata la red como un enlace de comunicaciones transparente y el procedimiento de apertura de sesin usual lo realiza el computador destino. Naturalmente, se debe tener en cuenta la seguridad relativa a las contraseas que se transmiten sobre la red. En muchas redes, pueden utilizarse dos niveles de control de acceso. Los computadores individuales proporcionan un servicio de apertura de sesin para proteger sus recursos y aplicaciones especficas. Adems, la re, como un toro, puede proporcionar proteccin para restringir el acceso a la red a usuarios autorizados. Este esquema de dos niveles es deseable para el caso en el que la red conecta computadores remotos y, simplemente, proporciona un medio de acceso al terminal. En una red ms uniforme de computadores, puede ejecutarse alguna poltica de acceso centralizada en un centro de control de Red

Token de seguridad
Un token de seguridad (tambin token de autenticacin o token criptogrfico) es un dispositivo electrnico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticacin. Los tokens electrnicos tienen un tamao pequeo que permiten ser cmodamente llevados en el bolsillo o la cartera y son normalmente diseados para atarlos a un llavero. Los tokens electrnicos se usan para almacenar claves criptogrficas como firmas digitales o datos biomtricos, como las huellas digitales. Algunos diseos se hacen a prueba de alteraciones, otros pueden incluir teclados para la entrada de un PIN. Existe ms de una clase de token. Estn los bien conocidos generadores de contraseas dinmicas "OTP" (One Time Password) y la que comnmente denominamos tokens USB, los cuales no solo permiten almacenar contraseas y certificados, sino que permiten llevar la identidad digital de la persona.

Derechos de acceso

Una vez que se ha identificado a cada usuario con acceso a la red, se pueden arbitrar sus derechos de acceso. Corresponde al administrador determinar el uso de cada recurso de la red o las operaciones que cada usuario puede realizar en cada estacin de trabajo. Ejemplo de estas operaciones son el derecho de acceso a un servidor o a otro equipo a travs de la red, forzar el apagado de otro equipo remotamente, reiniciar un equipo, cambiar la hora del sistema, etctera. Cada recurso, servicio o utilidad tiene, de este modo, una informacin asociada que le indica quin puede utilizarlos o ejecutarlos y quin carece de privilegios sobre ellos. No hay que confundir derechos con permisos: - Un derecho autoriza a un usuario o a un grupo de usuarios a realizar determinadas operaciones sobre un servidor o estacin de trabajo. - Un permiso o privilegio es una marca asociada a cada recurso de red: ficheros, directorios, impresoras, etc., que regulan qu usuario tiene acceso y de qu manera. De esta forma, los derechos se refieren a operaciones propias del sistema operativo, por ejemplo, el derecho a hacer copias de seguridad. Sin embargo, un permiso se refiere al acceso a los distintos objetos de red, por ejemplo, derecho a leer un fichero concreto. Los derechos prevalecen sobre los permisos. Por ejemplo, un operador de consola tiene derecho para hacer una copia de seguridad sobre todo un disco; sin embargo, puede tener restringido el acceso a determinados directorios de usuarios porque se lo niega un permiso sobre esos directorios: podr hacer la copia de seguridad, puesto que el derecho de backup prevalece a la restriccin de los permisos. La asignacin de permisos en una red se hace en dos fases: a) En primer lugar, se determina el permiso de acceso sobre el servicio de red; por ejemplo, se puede asignar el permiso de poderse conectar a un disco de un ordenador remoto. Esto evita que se puedan abrir unidades remotas de red sobre las que despus no se tengan privilegios de acceso a los ficheros que contiene, lo que puede sobrecargar al servidor. b) En segundo lugar, deben configurarse los permisos de los ficheros y directorios (o carpetas) que contiene ese servicio de red. Dependiendo del sistema operativo de red, las marcas asociadas al objeto de red varan, aunque en general podemos encontrar las de lectura, escritura, ejecucin, borrado, privilegio de cambio de permisos, etctera. En redes en las que hay que hacer coexistir sistemas operativos de red de distintos fabricantes, hay que determinar los permisos para cada uno de ellos.

Permiso de acceso

Se aplica a: Windows Server 2008, Windows Server 2008 R2 El permiso de acceso se configura en la ficha Introduccin de cada directiva de red en el servicio de servidor de directivas de redes (NPS). Le permite configurar la directiva para conceder o denegar acceso a los usuarios si las condiciones y restricciones de la directiva de red coinciden con la solicitud de conexin. La configuracin del permiso de acceso tiene el efecto siguiente:

Conceder acceso. El acceso se concede si la solicitud de conexin cumple las condiciones y restricciones configuradas en la directiva. Denegar acceso. El acceso se deniega si la solicitud de conexin cumple las condiciones y restricciones configuradas en la directiva.