UNIDAD 1.

Administración de cuentas, recursos, usuarios y de grupos

1.1 Introducción a la administración de cuentas y

recursos
Administración de cuentas de usuarios y acceso a recursos

La administración de cuentas de usuario y grupos es una parte esencial de la

administración de sistemas dentro de una organización. Pero para hacer esto efectivamente,
un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario
y los grupos y cómo funcionan.

La razón principal para las cuentas de usuario es verificar la identidad de cada individuo
utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la
utilización personalizada de recursos y privilegios de acceso.

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos

dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a
menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones
lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo,
si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar
en un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder
a recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa
para la administración de recursos y acceso.

Administración de cuentas de usuarios

Como se indicó anteriormente, las cuentas de usuarios es la forma a través de la cual se

identifica y autentifica a un individuo con el sistema. Las cuentas de usuarios tienen
diferentes componentes. Primero, está el nombre de usuario. Luego, está la contraseña,
seguida de la información de control de acceso.

El nombre de usuario

¿Desde el punto de vista del sistema, el nombre de usuario es la respuesta a la pregunta “quién
es usted?". Como tal, los nombres de usuarios tienen un requerimiento principal — deben ser
únicos. En otras palabras, cada usuario debe tener un nombre de usuario que sea diferente a
todos los otros usuarios en ese sistema.

Debido a este requerimiento, es vital determinar — por adelantado — cómo se crean los
nombres de usuario. De lo contrario, puede encontrarse en la posición de ser forzado a
reaccionar cada vez que un nuevo usuario solicita una cuenta. Lo que necesita es una
convención de nombres para sus cuentas de usuarios.

Convenio de nombres

Mediante la creación de un convenio de nombres para los usuarios, puede ahorrarse varios
problemas. En vez de inventar nombres cada vez (y darse cuenta de que cada vez se hace
más difícil crear un nombre razonable), haga un poco de trabajo de antemano para preparar
una convención a utilizar para todas las cuentas siguientes. Su convenio de nombres puede
ser muy simple, o solamente su descripción puede tomar muchas páginas.

La naturaleza exacta de su convenio de nombres debe tomar varios factores en cuenta:

 El tamaño de su organización
 La estructura de su organización
 La naturaleza de su organización

El tamaño de su organización importa, pues dicta cuántos usuarios puede soportar su

convención para nombres. Por ejemplo, una compañía muy pequeña quizás pueda permitir
que todo el mundo utilice su primer nombre. Para una organización mucho más grande, este
convenio no funciona.

La estructura de la organización también puede tener influencia sobre el convenio de nombres

más apropiado. Para organizaciones con una estructura bien definida puede ser adecuado
incluir elementos de esa estructura en la convención de nombres. Por ejemplo, puede incluir
los códigos de los departamentos como parte del nombre de usuario.

La naturaleza completa de su organización también puede significar que algunas

convenciones son más apropiadas que otras. Una organización que maneja datos
confidenciales puede decidirse por una convención que no indica ningún tipo de información
personal que pueda vincular al individuo con su nombre. En una organización de este tipo,
el nombre de usuario de Maggie McOmie podría ser LUH3417.

He aquí algunas convenciones de nombres que otras organizaciones han utilizado:

 Primer nombre (jorge, carlos, pedro, etc.)

 Apellido (perez, obregon, ramirez, etc)
 Primera inicial, seguido del apellido (jperez, cobregon, pramirez, etc.)
 Apellido, seguido del código del departamento (perez029, obregon454, ramirez191, etc.)
Manejar colisiones

Las colisiones son un hecho — no importa cuanto lo intente, eventualmente se encontrará

tratando con colisiones. Debe planear para las colisiones en su convención de nombres. Hay
muchas formas de hacer esto:

 Añadiendo números en secuencia al nombre de usuario en colisión (perez, perez1, perez2,

etc.)

 Añadiendo datos específicos al usuario al nombre de usuario en colisión (perez, eperez,

ekperez, etc.)

 Añadiendo información adicional de la organización al nombre de usuario (perez, perez029,

perez454, etc.)

Es necesario tener un método para resolver las colisiones como parte de cualquier convención
de nombres. Sin embargo, hace más difícil para alguien fuera de la organización determinar
el nombre de usuario de un individuo. Por lo tanto, la desventaja de las convenciones de
nombres es que hace más probable el envío de correos electrónicos a las direcciones
equivocadas.

Contraseñas

Si el nombre de usuario responde a la pregunta "¿Quién es usted?", la contraseña es la

respuesta a la pregunta que inevitablemente sigue:

"Demuéstralo!"

En términos más prácticos, una contraseña proporciona una forma de probar la autenticidad
de la persona que dice ser el usuario con ese nombre de usuario. La efectividad de un esquema
basado en contraseñas recae en gran parte sobre varios aspectos de la contraseña:

 La confidencialidad de la contraseña
 La resistencia de adivinar la contraseña
 La resistencia de la contraseña ante un ataque de fuerza bruta

Las contraseñas que efectivamente toman en cuenta estos problemas se conocen como
contraseñas robustas, mientras que aquellas que no, se les llama débiles. Es importante para
la seguridad de la organización crear contraseñas robustas, mientras más robustas sean las
contraseñas, hay menos oportunidades de que estas sean descubiertas o que se adivinen. Hay
dos opciones disponibles para reforzar el uso de contraseñas robustas:

 El administrador del sistema puede crear contraseñas para todos los usuarios.
 El administrador del sistema puede dejar que los usuarios creen sus propias contraseñas, a
la vez que se verifica que las contraseñas sean lo suficientemente robustas.
Al crear contraseñas para todos los usuarios asegura que estas sean robustas, pero se vuelve
una tarea pesada a medida que crece la organización. También incrementa el riesgo de que
los usuarios escriban sus contraseñas.

Por estas razones, la mayoría de los administradores de sistemas prefieren dejar que los
usuarios mismos creen sus contraseñas. Sin embargo, un buen administrador de sistemas
tomará los pasos adecuados para verificar que las contraseñas sean robustas.

Las contraseñas deberían ser tan difíciles de adivinar como sea posible. Una contraseña
robusta es aquella que un atacante no podrá adivinar, aún si el atacante conoce bien al
usuario.

Un ataque de fuerza bruta sobre una contraseña implica el intento metódico (usualmente a
través de un programa conocido como password-cracker) de cada combinación de caracteres
posible con la esperanza de que se encontrará la contraseña correcta eventualmente. Una
contraseña robusta se debería construir de manera tal que el número de contraseñas
potenciales a probar sea muy grande, forzando al atacante a tomarse un largo tiempo
buscando la contraseña.

Una contraseña corta es débil porque es mucho más susceptible a un ataque de fuerza bruta.
Para ilustrar esto, considere la tabla siguiente, en el que se muestran el número de contraseñas
potenciales que deben ser evaluadas en un ataque de fuerza bruta. (Se asume que las
contraseñas consisten solamente de letras en minúsculas.)

Para lograr establecer contraseñas robustas o seguras se requiere lo siguiente:

 Que sea lo más larga posible. Mientras más larga la contraseña, menos es la probabilidad
de que tenga éxito un ataque de fuerza bruta. Por lo tanto, si su sistema operativo lo soporta,
establezca un largo mínimo para las contraseñas de sus usuarios relativamente largo.

 Que sea alfanumérica, combinando el uso de mayúsculas y minúsculas, y de ser posible

que adicione caracteres no alfanuméricos como: &, -, @, etc.
 Que implemente períodos de vigencia, es decir, que se le pida al usuario cambiarla al
término de un período establecido de tiempo.

Información de control de acceso

Junto con un nombre de usuario y contraseña, las cuentas de usuario también contienen
información de acceso. Esta información toma formas diferentes de acuerdo al sistema
operativo utilizado. Sin embargo, los tipos de información a menudo incluyen:

 Identificación específica al usuario global al sistema

 Identificación específica al grupo global al sistema
 Lista de los grupos/capacidades adicionales a los cuales el usuario es miembro
 Información de acceso por defecto a aplicar para todos los archivos y recursos creados por
el usuario

En algunas organizaciones, la información de control de acceso quizás nunca se necesite

tocar. Este caso es más frecuente con estaciones de trabajo personales y sistemas
independientes, por ejemplo. Otras organizaciones, particularmente aquellas que hacen uso
extensivo de los recursos compartidos al largo de la red entre diferentes grupos de usuarios,
requieren que la información de control de acceso se modifique con frecuencia.

Administración de recursos de usuarios

La creación de cuentas de usuario solamente es una parte del trabajo de un administrador de

sistemas. La administración de recursos también es esencial. Por lo tanto, debe considerar
tres puntos:

 ¿Quién puede acceder a los datos compartidos?

 ¿Dónde los usuarios acceden a esos datos?
 ¿Qué barreras se colocan para prevenir el abuso de los recursos?

¿Quién puede acceder a los datos compartidos?

El acceso de un usuario a una aplicación dada, archivo o directorio es determinado por los
permisos aplicados a esa aplicación, archivo o directorio.

Además, a menudo es útil si se pueden aplicar diferentes permisos para diferentes clases de
usuarios. Por ejemplo, el almacenamiento compartido debería ser capaz de prevenir la
eliminación accidental (o maliciosa) de archivos de usuarios por otros usuarios, a la vez que
se permite que el propietario de los archivos tenga acceso completo a los mismos.
Otro ejemplo es el acceso asignado al directorio principal de un usuario. Solamente el
propietario del directorio principal debería poder crear y ver los archivos que se encuentran
allí. Se debería negar el acceso a todos los otros usuarios (a menos que el usuario desee lo
contrario). Esto incrementa la privacidad del usuario y previene de la posible apropiación
incorrecta de archivos personales.

Pero hay muchas situaciones en las que múltiples usuarios pueden necesitar acceso al mismo
conjunto de recursos en una máquina. En este caso, puede ser necesaria la creación de grupos
compartidos

Grupos y datos compartidos

Como se mencionó en la introducción, los grupos son construcciones lógicas que se pueden
usar para vincular cuentas de usuario para un propósito específico.

Cuando se administran grupos dentro de una organización, es prudente identificar los datos
a los que ciertos departamentos deben tener acceso, los datos que se deben negar a otros y
que datos deberían ser compartidos por todos. Esto ayuda en la creación de una estructura de
grupos adecuada, junto con los permisos apropiados para los datos compartidos.

Por ejemplo, asuma que el departamento de cuentas por cobrar debe mantener una lista de
las cuentas morosas. Esta lista debe ser compartida con el departamento de cobros. Si el
personal de cuentas por cobrar y el personal de cobranzas se colocan como miembros de un
grupo llamado cuentas, esta información se puede colocar entonces en un directorio
compartido (propiedad del grupo cuentas) con permisos de grupo para leer y escribir en el
directorio.

Determinar la estructura de un grupo

Algunos de los retos con los que se encuentra un administrador de sistemas cuando crean
grupos son:

 ¿Qué grupos crear?

 ¿A quién colocar en un grupo determinado?
 ¿Qué tipo de permisos deberían tener estos recursos compartidos?

Para estas preguntas se necesita un enfoque con sentido común. Una posibilidad es reflejar
la estructura de su compañía cuando se creen grupos. Por ejemplo, si hay un departamento
de finanzas, cree un grupo llamado finanzas y haga a todo el personal de finanzas parte de
ese grupo. Si la información financiera es muy confidencial para toda la compañía, pero es
vital para los empleados senior, entonces otorgue a estos permisos a nivel de grupo para el
acceso a los directorios y los datos utilizados por el departamento de finanzas añadiéndolos
al grupo finanzas.
También es bueno pecar por el lado de la precaución cuando se otorguen permisos para los
usuarios. De esta forma, hay menos probabilidades de que los datos confidenciales caigan en
las manos incorrectas.

Enfocando la creación de la estructura de grupos de su organización de esta manera, se puede

satisfacer de forma segura y efectiva la necesidad de datos compartidos dentro de la
organización.

¿Dónde los usuarios acceden a los datos compartidos?

Cuando se comparten datos entre usuarios, es un práctica común tener un servidor central (o
grupo de servidores) que hacen ciertos directorios disponibles a otras máquinas en la red. De
esta forma los datos son almacenados en un lugar; no es necesario sincronizar los datos entre
múltiples máquinas.

Antes de asumir este enfoque, primero debe determinar cuáles son los sistemas a acceder a
los datos almacenados centralmente. Al hacer esto, tome nota de los sistemas operativos
utilizados por los sistemas. Esta información tiene un peso en su habilidad de implementar
este enfoque, pues su servidor de almacenamiento debe ser capaz de servir sus datos a cada
uno de los sistemas operativos en uso en su organización.

Lamentablemente, una vez que los datos son compartidos entre múltiples computadores en
una red, puede surgir el potencial para conflictos en la propiedad de un archivo.

Problemas globales de propiedad

El tener los datos almacenados centralmente y accesibles por múltiples computadores sobre
la red tiene sus ventajas. No obstante, asuma por un momento que cada una de esas
computadoras tiene una lista mantenida localmente de las cuentas de usuarios. ¿Qué tal si las
listas de usuarios en cada uno de estos sistemas no son consistentes con la lista de usuarios
en el servidor central?

Peor aún, ¿qué pasa si la lista de usuarios en cada uno de esos sistemas no son ni siquiera
consistentes unas con otras?

Mucho de esto depende sobre cómo se implementen los usuarios y los permisos de acceso en
cada sistema, pero en algunos casos es posible que el usuario A en un sistema pueda ser
conocido como B en otro. Esto se vuelve un verdadero problema cuando los datos son
compartidos entre sistemas, pues los datos que el usuario A tiene permitido acceder desde un
sistema también puede ser leído por el usuario B desde otro sistema.

Por esta razón, muchas organizaciones utilizan algún tipo de base de datos central de
usuarios. Esto asegura que no haya solapamientos entre las listas de usuarios en sistemas
diferentes.
Directorios principales

Otro problema que enfrentan los administradores de sistemas es si los usuarios deberían tener
directorios principales centralizados.

La ventaja principal de tener un directorio principal centralizado en un servidor conectado a

la red es que si un usuario se conecta a cualquier máquina en la red, podrá acceder a los
archivos en su directorio principal.

La desventaja es que, si la red se cae, los usuarios a lo largo de la organización no podrán

acceder a sus archivos. En algunas situaciones (tales como organizaciones que hacen gran
uso de portátiles), el tener directorios principales centralizados no es recomendable. Pero si
tiene sentido para su organización, la implementación de directorios principales puede hacer
la vida de un administrador mucho más fácil.

¿Qué barreras se colocan para prevenir el abuso de los recursos?

La organización cuidadosa de recursos y la asignación de permisos para los recursos

compartidos es una de las cosas más importantes que un administrador de sistemas puede
hacer para prevenir el abuso de recursos entre usuarios dentro de la organización. De esta
forma, aquellos que no deberían tener acceso a recursos confidenciales, se les niega el
acceso.

Pero no importa cómo su organización haga las cosas, la mejor guardia contra el abuso de
recursos siempre es la vigilancia permanente por parte del administrador del sistema.
Mantener los ojos abiertos a menudo es la única manera de evitar que una sorpresa
desagradable esté esperando por usted a la mañana siguiente.

Fuente Bibliografica

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-isa-es-4/ch-acctsgrps.html