Mª José Serrano
Responsable Tecnológico
División de Grandes Organizaciones
Microsoft Corporation
Agenda
Beneficios
¿Qué es el Directorio Activo?
El Directorio Activo es una parte integral de
Windows 2000 Server que gestiona los
servicios esenciales del SO para toda la red:
Punto único para gestionar los distintos
objetos (usuarios, aplicaciones,
dispositivos...)
Repositorio centralizado para seguridad
(autentificación, autorizaciones,..)
Plataforma Abierta para desarrollo e
integración con otros sistemas
Arquitectura del DA
• Estructura Arbórea
Organización • Objetos en Contenedores
Jerárquica • Contenedores en Contenedores
Raíz
Raíz
Usuarios
Usuarios Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones
Docentes
Docentes Administración
Administración
= Contenedor
= Objeto
Raíz
Raíz
Usuarios
Usuarios Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones
Docentes
Docentes RRHH
RRHH
Name:
Name: Bob
Bob Jones
Jones
Email:
Email: bob@abc.com
bob@abc.com
Phone:
Phone: 555-1234
555-1234
SSN:
SSN: 456-78-9101
456-78-9101
DC1 DC5
DC4
DC3
Alta
Alta de
de
DC2
Alumna
Alumna::
DC6
Mª
Mª Jose
Jose
Usuarios
Usuarios Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones
Docentes
Docentes Administración
Administración Impresora
Impresora Color
Color en
en
Edifico
Edifico 66
Dar
Dar la
la App.
App. de
de Gestión
Gestión de
de
Alumnos
Alumnos aa Administación
Administación
Alumnos
Alumnos Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones
Lectivos
Lectivos Extranet
Extranet
Restringir
Restringir los
los Derechos
Derechos
de
de Acceso
Acceso aa Externos
Externos
Certificados
Certificados PKI
PKI
DA proporciona seguridad para servicios de Internet con
protección de datos mientras se facilita el acceso
Protocolos seguros, single sign-on
Windows 2000 Tarjeta Inteligente
Logon
SC
Lector
Lector
2 Pin de
Usuario 8 La tarjeta descifra el
Ticket usando la clave
privada, y autorizando
al LSA el login del
3 GINA pasa usuario 6 KDC verifica
el PIN a LSA el certificado y
consulta en AD
5 Kerberos envía el certificado
en petición de login al KDC
Kerberos
Kerberos
LSA 7 KDC devuelve Ticket cifrado con clave KDC
de sesión , que a su vez es cifrado
utilizando la clave pública del usuario
Windows 2000 PKI
Web Segura (Autenticación de Servidor)
Web
Segura
HTTP con SSL/TLS
Internet
Emisión de
Cliente Certificado
Relación de
confianza
Autoridad
Certificación
Windows 2000 PKI
Firma del Software (Authenticode)
HTTP Servidor
Web
Internet
Usuario
Relación de Publicación
confianza de Software
Certificado
de firmar
Codigo
Autoridad
Certificación
Lector
Cert SC
Desarrollador
Windows 2000 EFS
Cifrado de ficheros locales
Aplicación
Escritura: Lectura:
La reunión La reunión
de esta … de esta …
Texto en claro
Texto cifrado
A#2Cxs A#2Cxs
%k;0)a… %k;0)a…
Almacenamiento Local
Windows 2000 Kerberos
1. Cliente se
autentifica al
DC
Directorio
KDC Activo
(Autentificacion)
Ticket
Dispositivos
2. El servidor le
Controlador Dominio
asigna un ACL
Ticket al De Windows 2000 Ficheros
cliente Aplicaciones
ACL
Peticion Ticket
(Autorizacion) ACL
3. Cliente pide acceso a un
recurso y presenta su
ticket
4. Recurso
Users
Users Machines
Machines Devices
Devices Applications
Applications
Finance
Finance Personnel
Personnel
Derechos
Derechos:: Dar
Dar aa Adm.
Adm.
Fiananciera
Fiananciera más
más Ancho
Ancho
de
de Banda
Banda aa fin
fin de
de mes
mes
2 Modalidades
Distinguised (DN)
/
O=Internet/DC=COM/DC=Microsoft/CN=Alu
mno/CN=Pepe Perez