ACTIVIDAD 2.

DETERMINANDO EL SERVICIO DE NOMBRES O

DIRECTORIOS

Instrucciones:
I.- La introduccin describe detalladamente las condiciones para establecer un
servicio de nombre o directorio ya sea un NIS, un LDAP, un DNS o archivos locales
en la red, como parte del diseo de una red segura.

a) NIS:
NIS proviene del ingls Network Information System que significa Servicio de Informacin
de Red, es el programa que se utiliza para hacer LAN (Local Area Network) en UNIX, lo
programa SUN Microsystems. Para comprender el funcionamiento de NIS se toma como
ejemplo el caso de una red LAN con ms de 100 clientes, sera demasiado tedioso crearle
una cuenta a cada usuario en cada equipo, para solucionar este problema se implementa
NIS.
NIS lleva a cabo su tarea manteniendo unas tablas de informacin de los grupos, usuarios
y hosts en su sistema. Anteriormente a estas tablas se les denominaba yellow pages,
pero por derechos de copyright se opto por cambiarles el nombre, an en algunos
sistemas aparecen bajo el directorio /var/yp, en otros /var/nis. Para que funcione un NIS
es necesario ejecutar un daemon para el NIS server y otro daemon para el NIS cliente, as
como un nombre privado para la red local.
A continuacin se muestra el procedimiento para implementar un NIS tomando como base
Red Hat Linux:
Crear el NIS Server
1. Crear el archivo /etc/defaultdomain y escribir el nombre que identificar la a red local
(Ej. linux.mate.uprm)
2. Ejecutar ypiint -m.
3. Ejecutar el script de inicializacin de NIS /etc/rc.d/init.d/ypserv start.

Crear el NIS Client

1. Crear el archivo /etc/defaultdomain y escribir el nombre de la red local (el mismo que se
escribi en el server).
2. Aadir en el archivo /etc/hosts el nombre de su server NIS (ipaddress server name).
3. Editar /etc/yp.conf y descomentar la lnea que dice servername y especificar el nombre
de su NIS server.
4. Ejecutar el script de inicializacin de NIS para el client:/etc/rc.d/init.d/ypbind start.
Cada vez que sea necesario que se modifique en el server el archivo de grupos, hosts o
passwords, es necesario ejecutar desde /var/yp el script make para que tenga efecto el
cambio en toda la red.

b) LDAP.
LDAP proviene de las siglas Lightweight Directory Access Protocol que significa Protocolo
Ligero de Acceso a Directorios, es un protocolo a nivel de aplicacin que permite el
acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacin
en un entorno de red. Adems se le considera como una base de datos a la que es
posible realizarle consultas.
En este caso se plasmar el procedimiento para instalar el denominado OpenLDAP en
Linux, esta aplicacin es una implementacin libre y de cdigo abierto del protocolo LDAP,
es liberada bajo su propia licencia OpenLDAP Public License, es un protocolo de
comunicacin independiente de la plataforma.
Procedimiento de instalacin y con figuracin de OpenLDAP en un servidor Ubuntu
1.- Instalar OpenLDAP en el servidor con la siguiente instruccin, adems de proporcionar
y confirmar la contrasea de administrador.
sudo apt-get install slapd ldap-utils
2.- Configuracin bsica de OpenLDAP modificando el archivo /etc/hosts para lo cual se
utilizar el editor nano.
sudo nano /etc/hosts
Una vez dentro del archivo se aadir una nueva lnea que relacione la direccin IP
esttica del servidor con los nombres lgicos que tiene previsto utilizar, por ejemplo:
192.168.1.10 ldapserver.gricelda.local

ldapserver

Al terminar pulsar Ctrl + x para salir y guardar los cambios al archivo. Ahora ser
necesario instalar la librera NSS para LDAP, esta permite acceder y configurar distintas

bases de datos utilizadas para almacenar cuentas de usuario, para realizarlo se utiliza la
siguiente instruccin:
sudo apt-get install libnss-ldap -y
Al instalar libnss-ldap se nos proporcionar el paquete de configuracin de autenticacin
de LDAP, as que seguramente se iniciar durante el proceso el asistente que nos
solicitar paso a paso la informacin que necesita para llevar a cabo su correcta
configuracin, dicha informacin es la siguiente:
Como primero paso solicita la direccin Uri del servidor LDAP, la cul proporcionaremos
de la siguiente manera:
ldapi:///192.168.1.10
A continuacin escribiremos el nombre global nico tal y como lo escribimos al principio,
por ejemplo:
dc= gricelda,dc=local
Despus ser necesario indicar la versin del protocolo LDAP que se utilizar, a menos
que se disponga en la red de clientes muy antiguos, lo normal es elegir el valor ms alto
que se muestre en pantalla.
Como siguiente paso ser necesario que indiquemos si las utilidades PAM debern
comportarse del mismo modo que cuando cambiamos contraseas locales, lo que
significa que las contraseas se guardarn en un archivo independiente que slo podr
ser ledo por el superusuario. En este caso seleccionaremos la opcin Yes y pulsamos la
tecla Intro.
Ahora el sistema nos preguntar si deseamos que sea necesario identificarse para
realizar consultas en la base de datos de LDAP, para lo cual elegiremos la opcin No y
pulsaremos la tecla Intro.
Ya slo queda indicar el nombre de la cuenta LDAP que tendr privilegios para realizar
cambios en las contraseas. Como antes, deberemos escribir un nombre global nico
(Distinguished Name DN) siguiendo las indicaciones que se aplicaron al principio
(cn=admin,dc=gricelda,dc=local). Por ltimo el asistente solicita la contrasea que usar
la cuenta anterior que deber coincidir y que habremos de confirmar, despus de escribir
la contrasea presionamos la tecla Intro.
Si acaso se presenta un error o es necesario ejecutar una modificacin ser necesario
ejecutar el siguiente comando:
sudo dpkg-reconfigure ldap-auth-config
3.- Configurar la autenticacin para los clientes.

Se utilizar auth-client-config, un script que nos permite modificar los archivos de

configuracin de PAM y NSS. Para conseguirlo, se ejecutar el siguiente comando en la
terminal:
sudo auth-client-config -t nss -p lac_ldap
El significado de los dos atributos seleccionados es el siguiente:
-t nss, con el que se le indica que los archivos que se van a modificar son los
correspondientes a NSS.
-p lac_ldap, con el que indicamos que se indica que los datos para la configuracin debe
tomarlos del archivo lac_ldap. Este archivo se habr generado durante la ejecucin de
ldap-auth-config en el punto anterior.
A continuacin, deberemos actualizar la configuracin de las polticas de autenticacin
predeterminadas de PAM, lo que conseguimos con el siguiente comando:
sudo pam-auth-update
Cuando nos proporcione una pantalla informativa sobre la funcin de los mdulos PAM,
presionaremos Intro para continuar. En la pantalla a continuacin elegiremos cules
mdulos disponibles se desean habilitar, de manera predeterminada aparecen marcados
por lo tanto se volver a pulsar Intro.
Una vez acabada la configuracin automtica, podremos hacer algunos cambios
complementarios editando el archivo /etc/ldap.conf. Para lograrlo, se recurrir, como
siempre, al editor nano y ejecutaremos lo siguiente:
sudo nano /etc/ldap.conf

Cundo se abra el editor, podremos ajustar algunos de los valores del documento, pero,
sobre todo, comprobaremos que son correctos los siguientes datos:
host 192.168.1.10 base
dc=gricelda,dc=local
uri ldapi://192.168.1.10/
rootbinddn cn=admin,dc=gricelda,dc=local
ldap_version 3
bind_policy soft
Slo nos quedar pulsar Ctrl + x para salir y asegurarnos de guardar los cambios en el
archivo.

4.- Configurar el demonio SLAPD.

SLAPD (Standalone LDAP Daemon) es un programa multiplataforma, que se ejecuta en
segundo plano, atendiendo las solicitudes de autenticacin LDAP que se reciban en el
servidor.
El ltimo paso en la configuracin del servidor LDAP ser establecer algunos parmetros
en la configuracin de este demonio. Para conseguirlo, es necesario ejecutar el siguiente
comando, como es habitual, el comando deber ejecutarse con privilegios de
superusuario:
sudo dpkg-reconfigure slapd
La primera pantalla que se muestra, acta como medida de seguridad, para asegurarse
de que no se hacen cambios por error. Hay que tener cuidado porque la pregunta se hace
al revs, es decir, pregunta si queremos omitir la configuracin del servidor (el objetivo
ser impedir que se elija S sin pensar lo que hacemos). En este caso, lgicamente,
deberemos elegir la opcin No y pulsamos la tecla Intro.
A continuacin, deberemos escribir el nombre DNS que utilizamos para crear el DN base
(Distinguished Name) del directorio LDAP. En nuestro caso, escribiremos
gricelda.local y pulsaremos la tecla Intro.
Despus, escribiremos el nombre de la entidad en la que estamos instalando el directorio
LDAP. Para este ejemplo, escribiremos gricelda y pulsaremos la tecla Intro. En el
siguiente paso, deberemos escribir la contrasea de administracin del directorio. La
contrasea debe coincidir con la que escribimos en el apartado Instalar OpenLDAP en el
servidor, como es habitual, deberemos escribirla dos veces para evitar errores
tipogrficos.
A continuacin, elegiremos el motor de la base de datos que usaremos para el directorio.
Se recomienda HDB porque nos permitir, en el futuro, cambiar los nombres de los
subrboles si fuese necesario. Si HDB no aparece elegida de forma predeterminada, la
seleccionaremos con la tecla <tabulador> para desplazarnos. Cuando sea correcto,
pulsamos la tecla Intro.
Lo siguiente que nos pregunta el asistente es si queremos que se borre la base de datos
anterior del directorio cuando terminemos la configuracin de slapd. Igual que antes,
usamos la tecla <tabulador> para elegir No y pulsamos Intro.
Como se ha decidido no borrar la base de datos antigua, el asistente preguntar si se
cambiara de sitio. Para evitar confusiones entre las dos bases de datos (nueva y
antigua), elegiremos la opcin S y pulsaremos Intro.
En algunas redes, con clientes muy antiguos, puede ser necesario mantener la versin 2
del protocolo LDAP. Por ese motivo, antes de terminar, el asistente nos pregunta

queremos permitir el protocolo LDAPv2. En la mayora de los casos, la respuesta ser

No.
Despus de este ltimo paso, se cierra el asistente y volvemos a la consola. Ahora
podemos ver en la pantalla que la base de datos antigua se ha guardado en
/var/backups y que el resto de la configuracin se ha realizado con xito. Con esto
habremos terminado la configuracin del servidor LDAP. Ahora est listo para autenticar
usuarios.
5.- Crear la estructura del directorio.
Una vez configurado el servidor, ser necesario configurar la estructura bsica del
directorio. Es decir, se creara la estructura jerrquica del rbol (DIT Directory Information
Tree).
Una de las formas ms sencillas de aadir informacin al directorio es utilizar archivos
LDIF (LDAP Data Interchange Format). En realidad, se trata de archivos en texto plano,
pero con un formato particular que es necesario conocer poder construirlos
correctamente. El formato bsico de una entrada es de la siguiente manera:
# comentario
dn: <nombre global nico>
<atributo>: <valor>
<atributo>: <valor>
...
A continuacin se muestra la explicacin del contenido de este archivo:
-

Las lneas que comienzan con un carcter # son comentarios.

<atributo> puede ser un tipo de atributo como cn o objectClass, o puede incluir
opciones como cn;lang_en_US o userCertificate;binary.

Entre dos entradas consecutivas debe existir siempre una lnea en blanco. Si una lnea
es demasiado larga, ser necesario repartir su contenido entre varias, siempre que las
lneas de continuacin comiencen con un carcter de tabulacin o un espacio en blanco.
Por ejemplo, las siguientes lneas son equivalentes:
dn: uid=jlopez, ou=medio, dc=somebooks, dc=es
dn: uid=jlopez, ou=medio,
dc=somebooks, dc=es
Tambin podemos asignar varios valores a un mismo atributo utilizando varias lneas:

cn: Juan Jose Lopez

cn: Juan Lopez

Con esta informacin en mente, crearemos un archivo que contenga los tipos de objeto
bsicos del directorio. Comenzaremos por abrir un editor de textos, por ejemplo nano,
indicndole el nombre de nuestro archivo:
sudo nano ~/base.ldif
En este ejemplo se le ha llamado base.ldif, pero, lgicamente, es posible llamarlo como le
resulte ms apropiado al usuario.
Una vez abierto el editor, escribiremos un contenido como este:
dn: ou=usuarios,dc=gricelda,dc=local
objectClass: organizationalUnit
ou: usuarios

dn: ou=grupos,dc=gricelda,dc=local
objectClass: organizationalUnit
ou: grupos

Lgicamente, en cada lugar donde aparecen los valores dc=gricelda,dc=local deberemos

sustituirlos por los valores correctos en cada implementacin. Cuando hayamos
terminado de escribirlo, slo nos quedar pulsar Ctrl + x para salir y asegurarnos de
guardar los cambios en el archivo.
Deberemos aadir la informacin a la base de datos OpenLDAP. Como sabemos, esto se
hace con el comando ldapadd:
sudo ldapadd -x -D cn=admin,dc=gricelda,dc=local -W -f base.ldif
Para ejecutar el comando, deberemos escribir la contrasea de administracin de LDAP.

6.- Aadir un usuario y un grupo.

El mtodo para aadir nuevos usuarios y grupos al rbol es muy similar a lo visto en el
punto anterior, ya que consiste en crear un nuevo archivo ldif y, a continuacin, integrarlo
en la base de datos con ldapadd.
Procedimiento para aadir un usuario:
Utilizar el editor nano:
sudo nano ~/usuario.ldif
Abrimos el editor de textos indicndole el nombre del archivo que vamos a crear.
Por supuesto, es posible cambiar el nombre usuario.ldif por el que te resulte ms
adecuado en su caso. En el rea de trabajo del editor, escribiremos un contenido como
este:
dn: uid=gsaucedo,ou=usuarios,dc=gricelda,dc=local
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: gsaucedo
sn: Saucedo
givenName: Gricelda
cn: Gricelda Saucedo
displayName: Gricelda Saucedo
uidNumber: 1000
gidNumber: 10000
userPassword: mi_password
gecos: Gricelda Saucedo
loginShell: /bin/bash
homeDirectory: /home/gsaucedo
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7

shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
mail: gricelda.saucedo@gricelda.com
postalCode: 98400
o: gricelda
initials: GS

Cuando hayamos terminado de escribirlo, slo restar pulsar Ctrl + x para salir y
asegurarnos de guardar los cambios en el archivo. Con esto ya es posible cargar el nuevo
usuario en el directorio. Slo es necesario escribir el siguiente comando:
sudo ldapadd -x -D cn=admin,dc=gricelda,dc=local -W -f usuario.ldif
Despus de escribir la contrasea de administracin de LDAP, podremos comprobar que
el usuario se ha aadido correctamente.

c) DNS.
DNS proviene de Domain Name System que en espaol significa Sistema de Nombres de
Dominio. Un servidor DNS es un sistema que nos permite usar nombres de dominio en
lugar de direcciones IP. Su principal ventaja es que para nosotros es mucho ms fcil
recordar un nombre que una direccin IP.
El servidor DNS ms utilizado es Bind, a continuacin se mostrar el procedimiento de
instalacin genrico, sin embargo se encuentra basado en Ubuntu 10.04 Server.
Los valores que debemos tener claros antes de comenzar son Direccin IP del servidor,
nombre del servidor y el dominio que se va a crear, siendo en este ejemplo los siguientes:
Direccin IP del servidor: 192.168.2.1
Nombre del servidor: servidor
Dominio que vamos a crear: sliceoflinux.lan
Estos valores deberemos sustituirlos por los que sean necesarios en cada caso.
Los pasos para instalar y configurar Bind en Ubuntu Server son los siguientes:

1.- Actualizar la informacin de los repositorios con el siguiente comando:

sudo aptitude update

2.- Instalar el servidor DNS Bind9:
sudo aptitude install bind9
3.- Se realiza una copia de seguridad del archivo que se va a modificar:
sudo cp /etc/bind/named.conf.local{,.original}
Este comando permite ahorrar mucho tiempo.
4.- Editamos el archivo /etc/bind/named.conf.local con el siguiente comando:
sudo nano /etc/bind/named.conf.local
Y se aade el siguiente contenido:
zone "sliceoflinux.lan" {
type master;
file "db.sliceoflinux.lan";
};
zone "2.168.192.in-addr.arpa" {
type master;
file "db.192.168.2";
};
Para guardar el archivo debemos pulsar la combinacin de teclas Control+O y para
salir Control+X.
5.- Para comprobar la sintaxis de los archivos de configuracin ejecutamos el siguiente
comando:
named-checkconf
Si no aparece nada, la sintaxis de los archivos de configuracin es correcta. Eso no
significa que no haya ningn error, slo que no hay errores de sintaxis. Si se hubiese
cometido un error de sintaxis, nos aparecera indicado junto a la lnea en la que ocurre.
6.- Creamos el archivo /var/cache/bind/db.sliceoflinux.lan:
sudo nano /var/cache/bind/db.sliceoflinux.lan
E incluimos el siguiente contenido:

$ORIGIN sliceoflinux.lan.
$TTL 86400 ; 1 dia
@

IN
1

SOA

servidor

postmaster (

; serie

6H

; refresco (6 horas)

1H

; reintentos (1 hora)

2W

; expira (2 semanas)

3H

; mnimo (3 horas)

)
NS

servidor

servidor A

192.168.2.1

El contenido del archivo es bastante especial, aqu es necesario aadir todos los equipos
de la red que se desea mantener identificados.
7.- Comprobamos la zona que acabamos de crear (sliceoflinux.lan):
named-checkzone sliceoflinux.lan /var/cache/bind/db.sliceoflinux.lan
En esta ocasin siempre aparecer una salida, ya sea para indicar que todo est bien
(OK) o algn error.
8.- A continuacin creamos el archivo /var/cache/bind/db.192.168.2 para la zona inversa:
sudo nano /var/cache/bind/db.192.168.2
E incluimos el siguiente contenido:
$ORIGIN 2.168.192.in-addr.arpa.
$TTL 86400
@

IN
1

; 1 dia
SOA

servidor

; serie

6H

; refresco (6 horas)

1H

; reintentos (1 hora)

2W

; expire (2 semanas)

postmaster (

3H

; mnimo (3 horas)

)
NS
1

PTR

servidor.sliceoflinux.lan.
servidor.sliceoflinux.lan.

El nmero 1 se corresponde con el ltimo dgito de la direccin IP del servidor

(192.168.2.1).
9.- Se procede a comprobar la zona inversa recin creada:
named-checkzone 2.168.192.in-addr.arpa /var/cache/bind/db.192.168.2
Al igual que antes obtendremos un mensaje para indicarnos tanto si la zona es correcta
como si no lo es.
10.- Reiniciamos el servicio:
sudo service bind9 restart
Si todo va bien, veremos que est OK.
11.- Revisar el log para comprobar que todo ha ido bien. Aunque se puede hacer con el
comando tail, es preferible hacerlo con less porque permite ver todo el contenido del
mismo:
less /var/log/syslog
Para salir deberemos pulsar la tecla q.
12.- Editar el archivo /etc/resolv.conf para que el servidor resuelva las peticiones DNS:
Sudo nano /etc/resolv.conf
Cambiando el primero de los servidores DNS por la IP del nuestro:
nameserver 192.168.2.1
nameserver 8.8.8.8
13.- Probar el servidor de nombres:
dig sliceoflinux.lan

14.- Probar la resolucin inversa:

dig -x 192.168.2.1

d) Archivos Locales.
A continuacin se muestra el procedimiento para configurar el protocolo TCP/IP en un
host que se ejecute en modo de archivos locales.
1.- Asuma el rol de administrador principal, o convirtase en superusuario, la funcin de
administrador principal incluye el perfil de administrador principal.
2.- Cambie al directorio /etc.
3.- Compruebe que se haya configurado el nombre de host correcto en el archivo
/etc/nodename. Al especificar el nombre de host de un sistema durante la instalacin
de Oracle Solaris, dicho nombre se especifica en el archivo /etc/nodename.
Asegrese de que la entrada del nombre de nodo sea el nombre de host correcto para el
sistema.
4.- Compruebe que exista un archivo /etc/hostname.interfaz para cada interfaz de
red del sistema.
Para obtener la sintaxis del archivo e informacin bsica sobre el archivo
/etc/hostname.interfaz, es necesario que consulte Aspectos bsicos sobre la
administracin de interfaces fsicas.
El programa de instalacin de Oracle Solaris requiere la configuracin de al menos una
interfaz durante la instalacin. La primera interfaz que se configura automticamente se
convierte en la interfaz de red principal. El programa de instalacin crea un archivo
/etc/hostname. interfaz para la interfaz de red principal y otras interfaces que
configure de modo opcional durante la instalacin.

Si ha configurado interfaces adicionales durante la instalacin, compruebe que cada

interfaz tenga un archivo /etc/hostname. interfaz correspondiente. No es necesario
configurar ms de una interfaz durante la instalacin de Oracle Solaris. Sin embargo, si
ms adelante desea agregar ms interfaces al sistema, debe configurarlas manualmente.
Para Solaris 10 11/06 y las versiones anteriores, compruebe que las entradas del archivo
/etc/inet/ipnodes sean actuales. El programa de instalacin de Oracle Solaris 10
crea el archivo /etc/inet/ipnodes. Este archivo contiene el nombre de nodo y las
direcciones IPv4, as como la direccin IPv6, si es pertinente, de cada interfaz que se
configure durante la instalacin.
Utilice el formato siguiente para las entradas del archivo /etc/inet/ipnodes:

IP-address node-name nicknames...

Los apodos son nombres adicionales por los que se conoce una interfaz.
6.- Compruebe que las entradas del archivo /etc/inet/hosts sean actuales.
7.- Escriba el nombre de dominio completo de host en el archivo /etc/defaultdomain.
Por ejemplo, supongamos que el host tenere es parte del dominio
deserts.worldwide.com. Por tanto, debera escribir deserts.worldwide.com en
/etc/defaultdomain.
8.- Escriba el nombre de enrutador en el archivo /etc/defaultrouter.
9.- Escriba el nombre del enrutador predeterminado y sus direcciones IP en el archivo
/etc/inet/hosts.
10.- Agregue la mscara de red para su red, si es preciso:
- Si el host obtiene la direccin IP de un servidor DHCP, no es necesario especificar la
mscara de red.
- Si ha configurado un servidor NIS en la misma red que este cliente, puede agregar
informacin de netmask en la base de datos adecuada del servidor.
- Para las dems condiciones, haga lo siguiente:
a) Escriba el nmero de red y la mscara de red en el archivo
/etc/inet/netmasks.
Use el siguiente formato:
network-number netmask
Por ejemplo, para el nmero de red de clase C 192.168.83, escribira:
192.168.83.0

255.255.255.0

Para las direcciones CIDR, convierta el prefijo de red en la representacin decimal

con punto equivalente.

b) Cambie el orden de bsqueda de las mscaras de red en /etc/nsswitch.conf,

para que se busquen los archivos locales en primer lugar:
netmasks:

files nis

11.- Reinicio el sistema.

II.- Con base en la informacin recabada realiza lo siguiente:

Una descripcin sobre las consideraciones generales para establecer un servicio
de nombre o directorio.

1.- NIS.
Antes de empezar a configurar nada, hay una serie de cuestiones, es decir, realizar un
anlisis de necesidades y requisitos previo a empezar a instalar y configurar. Serie de
puntos a tener en cuenta:
Eleccin del nombre de dominio NIS:
Cuando un cliente NIS realiza peticiones, stas llegan a todas las mquinas (broadcast).
Dichas peticiones llevan un campo en donde se indica el nombre de dominio NIS al que
est configurado. Esto permitir el tener varios dominios NIS distintos en una misma red y
que los clientes se conecten con el adecuado.
Muchas organizaciones deciden utilizar su nombre de dominio de Internet como nombre
de dominio NIS; aunque no es muy recomendable ya que genera confusin a la hora de
tracear el trfico de la red en caso de necesitar resolver incidencias de red, realizar
estadsticas de uso o querer realizar algn tipo de filtrado de paquetera.
Para evitar estas posibles confusiones, lo mejor es que el nombre de dominio NIS sea un
nombre nico en nuestra red, y procurar que su nombre aporte informacin acerca del
grupo de mquinas que acoge, como puede ser el nombre del departamento en el que se
sitan las mquinas aadidas a dicho sistema.
Decir que, en algunos sistemas operativos como SunOS, utilizan como nombres de
dominio nombres de Internet. Es una restriccin a nivel de Sistema Operativo, con lo cual,
si se dispone de mquinas de este tipo, no tendremos que ceir a dicha restriccin.

Restricciones de acceso a usuarios:

Dentro de las mquinas clientes, podemos definir usuarios que no tendrn acceso al
dominio, que no nos interese tener en el dominio. Aunque este punto se podra considerar
a posteriori, s es bueno el definir una poltica de restriccin de acceso a NIS desde el
comienzo.
Evidentemente, de todos los puntos tratados hasta ahora, es el que menor impacto tiene a
la hora de cambiar configuraciones, ya que se afecta a usuarios concretos; no como en
los casos anteriores, en donde un cambio en el nombre de dominio supone reconfigurar
todos sus clientes; o donde cambiar el servidor maestro o montar nuevos esclavos
supone una instalacin nueva y una serie de pasos y pautas a seguir en funcin de los
procedimientos de la organizacin.
Configuraciones a mantener en los maestros NIS:
Puede no interesarnos tener toda la configuracin posible en nuestros servidores NIS.
Quizs slo nos interese el tener la configuracin de usuarios y grupos, pero no le tener
la configuracin de colas de impresin, por ejemplo. Es mejor definirlo en los primeros
pasos de la implantacin para no tener que reconfigurar tanto clientes como servidores
NIS.
Adecuacin de poltica de backups:
Es ms que recomendable el tener una copia de backup reciente de nuestros maestros.
En caso de tener esclavos, sera fcil recuperar la informacin mapeada a partir de la
copia local de otro de los servidores NIS, pero an as, es recomendable el tener una
copia de seguridad externa al sistema NIS; se podra dar el caso de corrupciones en la
configuracin y que se extendiera a varios servidores NIS haciendo que la copia que
restauremos pueda no ser la correcta. Cada organizacin definir este punto en funcin
de su poltica de backups.
Definicin de una poltica de seguridad:
Sobra decir lo importante de este punto. La informacin que contiene NIS es muy sensible
(nombre de usuarios, passwords, etc.).

2.- LDAP:
Los requisitos previos para instalar LDAP son los siguientes:
Exportacin del certificado de CA del servidor LDAP
La conexin SSL segura con el servidor LDAP requiere el certificado de CA del servidor
LDAP, que debe exportar a un archivo codificado en base64.
Habilitacin de la bsqueda annima en el directorio LDAP
Para realizar la autenticacin LDAP utilizando la bsqueda annima, se deben habilitar
stas en el directorio LDAP. La bsqueda annima est habilitada por defecto en
eDirectory e inhabilitada en Active Directory.
Active Directory: el objeto de usuario ANONYMOUS LOGON debe recibir los permisos de
lista y los accesos de lectura apropiados para los atributos sAMAccountName y
objectclass. En Windows Server 2003 hay que realizar una configuracin adicional.

3.- DNS.
Antes de iniciar la instalacin real, hay algunas cosas a tener en cuenta. En primer lugar,
puede que tenga que registrar un nombre de dominio DNS. Si desea que sus nombres de
host han de ser resueltos por los clientes en cualquier parte del mundo, necesita un
nombre registrado. Si es para uso interno, tambin puede utilizar un nombre privado que
no ha sido registrado. En ese caso, sigue siendo una buena idea utilizar un nombre que
no sea utilizado por alguien ms, pero usar uno que sea claramente reconocible como un
nombre local de slo DNS, como example.local.
Incluso si el nombre de dominio que desea utilizar est disponible slo a nivel interno,
puede conectar el servidor DNS a la jerarqua DNS en todo el mundo. Eso significa que su
servidor DNS interno puede salir y resolver nombres de Internet. De forma
predeterminada, un servidor DNS que no es capaz de resolver un nombre por s mismo
contactar con un servidor de nombres del dominio (DNS) raz o utilizara un promotor
para obtener externamente la informacin de resolucin del nombre. A continuacin, el
servidor DNS pondr en cach la informacin que ha encontrado para rpidamente
entregar la informacin requerida hacia una etapa posterior.

A raz de la decisin sobre el nombre de dominio, es necesario pensar en el tipo de

servicios de DNS que desea ofrecer. En el enfoque ms simple, se puede instalar un
servidor de nombre DNS slo de cach. Este es un servidor DNS que no tiene una base
de datos con registros de recursos por s mismo, pero obtendr todo, desde los servidores
de nombres externos. La ventaja de implementar un servidor de nombres de slo
memoria cach es la velocidad, todo lo que se almacena en cach local no necesita ser
trado desde Internet.
Como alternativa, puede ejecutar un servidor maestro y, opcionalmente, uno o ms
servidores esclavos de nombres DNS. Cada dominio necesita al menos un servidor de
nombres maestro, que coordina los cambios de registros de recursos. Para fines de
redundancia y disponibilidad, un maestro puede ser soportado por uno o ms esclavos de
modo que en caso de que caiga el maestro, los esclavos estn todava disponibles para
servir a los registros de recursos a partir de la base de datos de DNS.
A continuacin, debe decidir si desea usar el DNS dinmico tambin. En DNS dinmico, el
servidor DHCP sincroniza su informacin con DNS. De esta manera, usted puede
asegurarse que una serie que se ha hecho de una nueva direccin IP tendr su
informacin actualizada en DNS tambin.
La ltima decisin a tomar es la seguridad. Si un servidor maestro de nombres DNS
actualiza la base de datos en un servidor de nombres esclavo, es bueno estar seguro de
que es el maestro el que est impulsando los cambios. Para garantizar la autenticidad del
otro host en las actualizaciones de DNS, pueden usarse las claves de firma de
transaccin. Como administrador, debe asegurarse de que estas teclas se configuran y
estn disponibles en todos los hosts que participan en la comunicacin DNS.

4.- Archivos locales.

Antes de configurar el protocolo TCP/IP, es necesario que se completen las tareas que se
enumeran a continuacin:
1. Disear la topologa de red.
2. Obtener un nmero de red del proveedor de servicios de Internet (ISP) o el Registro
Regional de Internet (RIR).

3. Planificar el esquema de direcciones IPv4 para la red. Si es preciso, incluir las

direcciones de subred.
4. Ensamblar el hardware de red en funcin de la topologa de red. Verificar que el
hardware funcione correctamente.
5. Asignar direcciones IPv4 y nombres de host a todos los sistemas de la red.
6. Ejecutar el software de configuracin que necesitan los enrutadores e interfaces de red,
si es preciso.
7. Determinar qu servicio de nombres o directorios utiliza la red: NIS, LDAP, DNS o
archivos locales.
8. Seleccionar nombres de dominio para la red, si es preciso.
En la implementacin de una red cules crees que sean los dispositivos que
deben ser empleados para que una red sea segura?
1.- Al implementar un NIS se debe considerar el alto nivel de dependencia que llegan a
tener los clientes respecto del servidor de NIS. Si el cliente no puede contactar con el
servidor NIS normalmente la mquina se queda en un estado totalmente inutilizable. La
carencia de informacin de usuarios y grupos provoca que las mquinas se bloqueen.
Con esto en mente debemos asegurarnos de escoger un servidor de NIS que no se
reinicie de forma habitual o uno que no se utilice para desarrollar. Si se dispone de una
red con poca carga puede resultar aceptable colocar el servidor de NIS en una mquina
donde se ejecuten otros servicios pero en todo momento se debe tener presente que si
por cualquier motivo el servidor de NIS quedara inutilizable afectara a todas las mquinas
de forma negativa.
2.- Existen una serie de mnimos a tener en cuenta a la hora de montar un servidor NIS ya
que va a ser un servidor al que accedan todos los clientes del dominio y que dependen de
l para poder loguear usuarios, cargar profiles, y dems configuraciones incluidas en
dicho servidor; por lo que se necesitar una mquina con cierta capacidad para soportar
el cmulo de peticiones. Debemos barajar dos posibilidades:
Si disponemos de mquinas que puedan actuar como servidores esclavos, plantearnos la
posibilidad de montar una serie de servidores esclavo. Esta decisin no debe estar
condicionada slo por la duplicidad del servicio NIS, sino tambin se debe aprovechar

esta circunstancia para ver la posibilidad del reparto de carga entre varios servidores NIS
(maestro y esclavos); algo que nos har reducir tiempos de respuesta y el tener la
informacin replicada en varias mquinas, soportando cadas de servidores NIS.

Si no se dispone mquinas que puedan actuar como servidores esclavos, se tendr que
montar el maestro en una mquina estable, y definir una serie de polticas de
actualizacin y actuacin en la mquina, para que cada intervencin a realizar en ella, se
afecte lo menos posible a produccin. Tambin es recomendable el intentar descargar a
dicha mquina de dar otros servicios, en la medida de lo posible, para evitar que sea un
proceso ajeno al sistema NIS el que haga que se den problemas en la mquina.
3.- Routers de red.
Mediante un enfoque de sistemas, los routers de red que ofrecen servicios integrados
permiten a las empresas traspasar la responsabilidad de la seguridad y la confiabilidad
desde las computadoras y los usuarios individuales a la red en s. Esto ayuda a proteger a
las empresas contra el ingreso de virus, cdigo malicioso y otras infecciones que las
computadoras porttiles de los usuarios finales pueden adquirir inadvertidamente.
4.- Access Point.
Proporciona una mxima seguridad inalmbrica soportando autenticacin de usuarios
para servidores externos y, gracias a su servidor interno, el access point puede ser usado
como servidor de autenticacin en redes pequeas. Otras caractersticas de seguridad
incluidas en este equipo son el filtrado de direcciones MAC, desactivacin del broadcast
del SSID y soporte para los ltimos mecanismos de encriptacin inalmbricos.
Cmo determinaras las condiciones de implementacin en el diseo de una red
segura?
Es necesario hacer un anlisis de la empresa, segn el giro de la empresa identificaremos
que riesgos son ms altos y de esta manera definir una buena estrategia para descartar
los riesgos con mayor posibilidad de ser violentados. Debemos identificar que
necesitamos cuidar ms, algunos aspectos importantes a considerar seran los siguientes
riesgos:
-

La confidencialidad.
La integridad.
La autenticidad.
No-repudio.

La disponibilidad de los recursos y de la informacin.

Consistencia.
Control de acceso a los recursos.
Auditora.

Para hacer un anlisis de riesgos es recomendable utilizar una formula como la siguiente:
WRi = Ri *Wi
Donde:
WRi: es el peso del riesgo del recurso i (tambin lo podemos llamar ponderacin)
Ri: es el riesgo del recurso i
Wi: es la importancia del recurso i
En este anlisis es necesario considerar los siguientes recursos para asignarles un valor
de riesgo o de amenaza:
-

Hardware.
Software.
Datos.
Gente
Documentacin.
Accesorios.

As que depende del resultado de un anlisis de riesgos el conocer cules son las
vulnerabilidades de la empresa, entonces estaremos en condiciones de definir que
dispositivos usar en la red, la manera de configurarlos y que servicio de nombre o
directorio usar o configurar archivos locales.

II.- La conclusin explica detalladamente cul es la funcin de cada uno de los

criterios en el aseguramiento de dispositivos.
En la actualidad es muy cmodo crear una red WLAN en nuestro hogar o negocio, debido
a la gran cantidad de dispositivos mviles con los que se cuenta hoy en da, sin embargo
se debe tener mucha precaucin al momento de configurar los dispositivos de la red, por
ejemplo no se necesita ser un hacker para irrumpir en las redes, incluso en la actualidad
se comercializan routers en el mercado, que pueden hackear y conectarse a cualquier red
que use el mtodo de seguridad WEP.
Sin embargo una de las medidas que podemos utilizar es configurar el router al mtodo
de seguridad WPA2, cambiar la contrasea predeterminada, cambiar el identificador de
red (SSID) predeterminado, usar puntos de acceso y configurar el firewall de Windows.

Referencia Bibliogrfica
Curso de UNIX, Leccin 16: NIS. Recuperado el 04 de Octubre de 2014 de
http://www.uprm.edu/luis/courses/unix/leccion16.html
Instalar y configurar OpenLDAP en el servidor Ubuntu. Recuperado el 04 de Octubre de
2014 de http://somebooks.es/?p=3445
Instalar y configurar un servidor DNS con Ubuntu Server paso a paso. Recuperado el 05
de Octubre de 2014 de http://sliceoflinux.wordpress.com/2010/04/21/instalar-y-configurarun-servidor-dns-con-ubuntu-server-paso-a-paso/
Gua de administracin del sistema: servicios IP. Recuperado el 05 de Octubre de 2014 de
http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-64/index.html
NIS/YP.
Recuperado
el
05
de
Octubre
https://www.freebsd.org/doc/es/books/handbook/network-nis.html
NIS consideraciones previas.
Recuperado
http://techdefs.es/nis-consideraciones-previas/

el

05

de

de

2014

Octubre

de

2014

de
de

Consejos para configurar el servidor DNS en Empresas con RHEL. Recuperado el 05 de

Octubre de 2014 de http://searchdatacenter.techtarget.com/es/consejo/Consejos-paraconfigurar-el-servidor-DNS-en-Empresas-con-RHEL
Gua de administracin del sistema: servicios IP. Recuperado el 05 de Octubre de 2014
de http://docs.oracle.com/cd/E19957-01/820-2981/ipconfig-2a/index.html
Routers
de
red.
Recuperado
el
05
de
Octubre
http://www.cisco.com/web/LA/soluciones/la/network_routers/index.html

de

2014

Como proteger e impedir que puedan hackear y robar una conexin Wi-Fi a internet.
Recuperado el 05 de Octubre de 2014 de http://norfipc.com/articulos/como-protegerimpedir-puedan-hackear-robar-conexion-internet.html

de