ACTIVE DIRECTORY

Active Directory (AD) o Directorio Activo son los términos que utiliza Microsoft para
referirse a su implementación de servicio de directorio en una red distribuida de
computadoras. Utiliza distintos protocolos, principalmente LDAP, DNS, DHCP y
Kerberos.
De forma sencilla se puede decir que es un servicio establecido en uno o varios
servidores en donde se crean objetos tales como usuarios, equipos o grupos, con el
objetivo de administrar los inicios de sesión en los equipos conectados a la red, así
como también la administración de políticas en toda la red.
Su estructura jerárquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de
recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una
organización entera. Un Active Directory almacena información de una organización en
una base de datos central, organizada y accesible. Pueden encontrarse desde
directorios con cientos de objetos para una red pequeña hasta directorios con millones
de objetos.

Un recurso muy importante en las empresas enfocadas al trabajo mediante terminales

informáticos, es el uso de usuarios y permisos. Como se puede entender, en un entorno
de trabajo en donde existan más de 300 equipos interconectados mediante una red
LAN dividida en subredes, la configuración de los sistemas operativos en cuanto a
usuarios, premisos de acceso y bandejas de correo no se puede hacer por los métodos
tradicionales de ir uno a uno por los equipos.

Para ello, lo que realmente necesitamos es un ordenador o servidor que se dedique a

estas funciones de creación de usuarios y asignación de permisos. Es precisamente
aquí en donde entra en juego Active Directory. Veamos entonces de que se trata este
software o herramienta.
¿Qué es?

Active Directory o también llamado AD o Directorio Activo, es una herramienta

perteneciente a la empresa de Microsoft que proporciona servicios de directorio
normalmente en una red LAN.

Lo que es capaz de hacer este directorio activo es proporcionar un servicio ubicado en

uno o varios servidores capaces de crear objetos como usuarios, equipos o grupos para
administrar las credenciales durante el inicio de sesión de los equipos que se conectan
a una red. Pero no solamente sirve para esto, ya que también podremos administrar las
políticas de absolutamente toda la red en la que se encuentre este servidor. Esto
implica, por ejemplo, la gestión de permisos de acceso de usuarios, bandejas de correo
personalizadas, etc.

Fundamentalmente está orientada al uso profesional, en entornos de trabajo con

importantes recursos informáticos en donde se necesario administrar gran cantidad de
equipos en cuanto a actualizaciones o instalación de programas o la creación de
archivos centralizados para poder acceder a los recursos de forma remota desde las
estaciones de trabajo.

Como se puede ver, es la forma ideal de centralizar muchos de los componentes típicos
de una red LAN sin necesidad de ir equipo por equipo y evitando que los usuarios
puedan hacer lo que quieran en una red.
¿Cómo funciona?

Los protocolos de red que utiliza Active Directory son principalmente LDAP, DHCP,
KERBEROS y DNS. Básicamente tendremos una especie de base de datos en la que
se almacena información en tiempo real acerca de las credenciales de autenticación de
los usuarios de una red. Esto permite que todos los equipos estén sincronizados bajo
un elemento central. Veamos por ejemplo que hace Active Directory cuando un usuario
de esta base de datos se registra en un equipo:

En el servidor Active Directory tendremos un usuario (objeto) compuesto por los típicos
atributos que denotan su presencia, como son, el campo “Nombre”, el campo “Apellido”,
“Email”, etc.

Además este usuario pertenecerá a un grupo determinado, el cual tiene determinados

privilegios como el acceso a impresores de red que están almacenadas con un campo
“Nombre”, “Fabricante”, etc.

El equipo cliente, está en comunicación con este servidor, así que el usuario, cuando
arranca el equipo encontrará una pantalla de bloqueo como si de cualquier sistema se
tratase. Cuando ponga su usuario y contraseña, este no estará físicamente en el
equipo, sino que estará ubicado en este servidor.

El cliente solicitará las credenciales al servidor Active Directory para que este las
verifique, y si existen, enviará la información relativa al usuario al equipo cliente.

En este momento el usuario iniciará sesión de forma aparentemente normal en su

equipo. Tendrá sus archivos personales típicos almacenados en el disco duro. Pero
según el grupo al que pertenezca, también tendrá acceso a recursos de la red como la
impresora.
¿Qué pasa si el equipo de trabajo se rompe?
Pues bastante menos de lo que pasaría si el usuario estuviera en el equipo. Con Active
Directory, lo único que tendríamos que hacer es irnos a otro equipo conectado a la red y
autenticarnos de forma normal y corriente con nuestro usuario. Dispondremos de la
misma configuración que teníamos en el otro equipo. Obviamente no tendremos los
archivos que teníamos en el disco duro físico del otro ordenador, pero al menos
podremos trabajar de forma completamente normal.
Dominio en Active Directory

Si hablamos de Active Directory también estamos

hablando de un dominio, ya que, prácticamente es el
mismo concepto. Aunque expresado en términos
generales.

Un dominio en Active Directory es un conjunto de

ordenadores conectados a una red los cuales cuentan
con un equipo servidor para administrar las cuentas de
usuario y credenciales de la red. Hasta aquí es todo
igual, lo que ocurre es que en una red no solamente
podremos tener un dominio, sino varios de ellos. Estos
dominios no necesariamente tienen que estar en
contacto unos con otros, es más si por ejemplo un
dominio (A) tiene acceso a otros dos dominios (B y C),
esto no implica que C tenga acceso a B.

Se puede decir que Active Directory es también un controlador de dominio, ya que

podremos crear distintos dominios y gestionas lo permisos e interacción en cada uno de
ellos. A esta relación entre dominios se le denomina relación de confianza o trust.

Confianza

La confianza es la relación existente entre dos dominios, dos árboles o dos bosques.
Existen diversos tipos:

Confianza transitiva: son las confianzas automáticas que existen entre dominios de AD.
Existen tanto hacia un lado como hacia el otro A <-> B

Confianza de acceso directo: es una confianza explícita que se define para dos
dominios, de forma que podamos acceder directamente de uno a otro.

Objeto

Un objeto es el nombre genérico que utilizamos para referirnos cualquier componente

dentro de un directorio. Los objetos se dividen en tres tipos distintos:
  Usuarios: son las credenciales de acceso a estaciones de trabajo.
 Recursos: serán los elementos a los que cada usuario podrá acceder según sus
permisos. Pueden ser carpetas compartidas, impresores, etc.
 Servicios: son las funcionalidades a las que cada usuario puede acceder, por
ejemplo, el correo electrónico.

Unidad organizativa

Una unidad organizativa en Active Directory es un

contenedor de objetos como impresoras, usuarios, grupos
etc., organizados mediante subconjuntos estableciendo así
una jerarquía.

Con las unidades organizativas podremos ver de un

vistazo la jerarquía de nuestro dominio y poder asignar
permisos fácilmente según los objetos contenidos.

Árbol

Un árbol es un conjunto de dominios, los cuales dependen de una raíz común y están
organizados en una determinada jerarquía, también llamada DNS común.

Gracias a esta estructura identificaremos mejor unos dominios de otros, por ejemplo, si
tuviéramos el dominio ProfReview.web y Review.ProfReview.web podríamos saber
perfectamente que ambos pertenecen al mismo árbol de dominio. Pero si en cambio
tuviéramos ProfReview.web y Ayuda. Linux.web, sabríamos que no pertenecen al
mismo árbol.

Mediante un árbol, podremos

dividir en partes un Directorio
Activo para una mejor gestión
de los recursos. Un usuario
que pertenezca a un dominio,
también será reconocido por
los dominios que pertenezcan al dominio principal.

Bosque

Si subimos un escalón en la
jerarquía, nos encontramos con un
bosque. En un bosque nos
encontramos con todos los
dominios existentes contenidos en
él. Cada dominio dentro de un
bosque contará con determinadas
relaciones de confianza transitivas o
intransitivas que están construidas
automáticamente. Pero que
nosotros podremos gestionar a
nuestro gusto.

En un bosque existirán distintos árboles de dominio con, por supuesto, diferentes

nombres. Un bosque, siempre tiene al menos un dominio raíz dentro de él, por lo que,
cuando instalamos nuestro primer dominio, también estamos creando la raíz de un
árbol y encima la raíz de un bosque.
Requisitos para crear un Active Directory

Active Directory es una herramienta orientada a servidores y empresas, por lo que

Windows 10 por ejemplo, no dispone de esta funcionalidad. Entonces, para poder hacer
esto, debemos tener las siguientes cosas:

 Windows server: vamos a necesitar una versión del sistema operativo orientado
a servidores de Microsoft. Podremos utilizar las versiones de Windows server
2000, 2003, 2008 y 2016.
 Protocolo TCP/IP instalado y con una dirección IP fija configurada en nuestro
equipo servidor.
 Tener instalado un servidor DNS en el servidor, esto normalmente ya viene
disponible.
 Tener un sistema de archivos compatible con Windows, en este caso NTFS.

Como podemos ver, Active Directory es una herramienta muy importante de cara a la
centralización de recursos en un entorno de trabajado basado en equipos informáticos.
Gracias a él, no tendremos la necesidad de realizar el mantenimiento individualizado en
las estaciones de trabajo, ya que todo será gestionable desde un servidor central o
varios. Además, la estructura es muy intuitiva para así facilitar la asignación de
permisos y recursos.

Por otro lado, se debe tener presente que Active directory es un sistema de dominio con
licencia de pago perteneciente a Microsoft. Existen aplicaciones gratuitas que también
ofrecen este tipo funcionalidades como per ejemplo Open LDAP, Mandriva Directory
Server o incluso Samba. Y es por esto que las empresas cada vez más están optando
por estas soluciones para no tener la necesidad de pagar licencias de software.
PROTOCOLO LDAP
El protocolo LDAP es muy utilizado actualmente por empresa que apuestan por el
software libre al utilizar distribuciones de Linux para ejercer las funciones propias de un
directorio activo en el que se gestionarán las credenciales y permisos de los
trabajadores y estaciones de trabajo en redes LAN corporativas en conexiones
cliente/servidor.
¿Qué es?

LDAP son las siglas de Protocolo Ligero de Acceso a Directorio, o en inglés Lightweight
Directory Access Protocol). Se trata de un conjunto de protocolos de licencia abierta
que son utilizados para acceder a la información que está almacenada de forma
centralizada en una red. Este protocolo se utiliza a nivel de aplicación para acceder a
los servicios de directorio remoto.

Un directorio remoto es un conjunto de objetos que están organizados de forma

jerárquica, tales como nombre claves direcciones, etc. Estos objetos estarán
disponibles por una serie de clientes conectados mediante una red, normalmente
interna o LAN, y proporcionarán las identidades y permisos para esos usuarios que los
utilicen.

LDAP está basado en el protocolo X.500 para compartir directorios, y contiene esta
información de forma jerarquizada y mediante categorías para proporcionarnos una
estructura intuitiva desde el punto de vista de la gestión por parte de los
administradores. Es, por así decirlo, una guía telefónica, pero con más atributos y
credenciales. En este caso utilizamos el término directorio para referirnos a la
organización de estos objetos.

De forma general, estos directorios se utilizan básicamente para contener información

virtual de usuarios, para que otros usuarios accedan y dispongan de información acerca
de los contactos que están aquí almacenados. Pero es mucho más que esto, ya que es
capaz de comunicarse de forma remota con otros directorios LDAP situados en
servidores que pueden estar en el otro lado del mundo para acceder a la información
disponible. De esta forma se crea una base de datos de información descentralizada y
completamente accesible.

La versión actual se denomina LDAPv3 y se encuentra definida en una hoja de

documentación RFC 4511 accesible de forma pública.
Funcionamiento
LDAP es un protocolo basado en la conexión entre cliente y servidor. En el servidor
LDAP se almacenarán los datos relativos al directorio, el cual podrá usar una amplia
variedad de bases de datos para este almacenamiento, llegando a ser de grandes
dimensiones.

El funcionamiento de acceso y administración es muy similar a Active Directory de

Windows. Cuando el cliente LDAP se conecta con el servidor, podrá realizar dos
acciones básicas, bien consultar y obtener información del directorio, o modificarla.

Si un cliente consulta la información el servidor LDAP puede conectarla directamente si

tienen un directorio alojado en él, o bien redirigir la solicitud hasta otro servidor que
efectivamente tenga esta
información. Este podrá ser local, o
remoto.

Si un cliente quiere modificar la

información del directorio, el
servidor comprobará si el usuario
que está accediendo a este
directorio tiene permisos de
administrador o no. Entonces, la
información y gestión de un
directorio LDAP se podrá hacer de forma remota.

El puerto de conexión para el protocolo LDAP es el TCP 389, aunque por supuesto, se
podrá modificar por el usuario y establecerlo en el que desee si así se lo indica al
servidor.

Cómo se almacena la información en LDAP

En un directorio LDAP podremos almacenar básicamente la misma información que en

un Active Directory de Windows. El sistema está basado en la siguiente estructura:

Entradas, llamadas objetos en Active Directory. Estas entradas son colecciones de

atributos con un Nombre Distinguido (DN) Este nombre se utiliza para dar un
identificador único e irrepetible a una entrada del directorio. Una entrada puede ser el
nombre de una organización y de ella colgarán unos atributos. También una persona
puede ser una entrada.

Atributos: los cuales poseen un tipo identificador y los correspondientes valores. Los
tipos se utilizan para identificar los nombres de atributos, por ejemplo “mail”, “name”,
“jpegPhoto”, etc. Algunos de los atributos que pertenecen a una entrada debe ser
obligatorios y otros opcionales.

LDIF: el Formato de Intercambio de Datos de LDAP es la representación en texto ASCII

de las entradas LDAP. Este debe ser el formato de los archivos que se utilicen para
importar información a un directorio LDAP. Cuando se escriba una línea en blanco,
significará el final de una entrada.

Árboles: Es la organización jerarquizada de entradas. Por ejemplo, en una estructura de

árbol podremos encontrar un país en la parte superior y como principal, y dentro de éste
tendremos los distintos estados que conforma el país. Dentro de cada estado podremos
enumerar los distritos, ciudadanos y direcciones de donde viven, y así sucesivamente.
Si aplicáramos esto a Internet y la informática, podríamos organizar un directorio LDAP
mediante un nombre de dominio que haría las funciones de árbol y de él colgarían los
distintos departamentos o unidades organizativas de una empresa, empleados etc. Y es
precisamente de esta forma como actualmente se forma los directorios, gracias al uso
de un servicio DNS, podremos asociar una dirección IP con un directorio LDAP para
poder acceder a él mediante el nombre de dominio.
Cómo se accede a la información en LDAP

Un ejemplo de entrada de un directorio de LDAP puede ser:

dn (domain name): nombre de entrada, pero no forma parte de la propia entrada.

dc: componente de dominio para identificar las partes del dominio donde se
almacena el directorio LDAP.

cn (common name): nombre de atributo para identificar el nombre de usuario, por

ejemplo

sn (surname): apellido del usuario

telephoneNumbre, mail…: identificar de nombre para el atributo teléfono y correo

electrónico.

objectClass: distintas entradas para definir las propiedades de los atributos

Un servidor LDAP, además de almacenar un árbol, puede contener subárboles

que incluyen entradas específicas del dominio principal. Además, puede
almacenar referencias a otros servidores de directorio para dividir el contenido si
es necesario.
Un servidor LDAP, además de almacenar un árbol, puede contener subárboles que
incluyen entradas específicas del dominio principal. Además, puede almacenar
referencias a otros servidores de directorio para dividir el contenido si es necesario.

Estructura de una URL de acceso en LDAP

Al efectuar conexiones remotas a un servidor LDAP, necesitaremos del uso de

direcciones URL para obtener información de éste. La estructura básica:

 Servidor o host: es la dirección IP o nombre de dominio del servidor LDAP.

 Puerto: el puerto de conexión del servidor, por defecto será el 389.
 DN: nombre distinguido para usar en la búsqueda.
 Atributos: es una lista de campos a devolver separados por comas.
 Ámbito o scope: es el ámbito de la búsqueda.
 Filtros: para filtra la búsqueda según el identificador del objeto, por ejemplo.
 Extensiones: serán las cadenas de caracteres extensiones de la URL en LDAP.
ldap://ldap.profesionalreview.com/cn=Jose%20Castillo,dc=profesionalreview,cd=com

Estamos buscando todos los usuarios que haya en la entrada de Jose Castillo en
profesionalreview.com.

Además de esta notación, también tendremos una versión de LADP con certificado de
seguridad SSL, cuyo identificador para la URL será “ldaps:”.

En la actualidad existen diversas herramientas que utilizan este protocolo para la

comunicación cliente servidor de un servicio de directorio. Lo más relevante es que
incluso Active Directory de Windows utiliza este protocolo de comunicación.

 OpenLDAP: es la implementación libre del protocolo LDAP. Tiene su propia

licencia y es compatible con otros servidores que utilicen el mismo protocolo. Es
utilizado por distintas distribuciones Linux y BSD.
 Active Directory: es un almacén de datos de directorio con licencia Microsoft e
implementado en sus sistemas operativos server desde Windows 2000.
Realmente bajo la estructura de Active Directory se encuentra un esquema
LDAPv3, por lo que también es compatible con otros sistemas que implemente
este protocolo en sus directorios.
 Red Hat Directory Server: es un servidor que también se basa en LDAP similar
a Active Directory, pero mediante una herramienta de código abierto. Dentro de
este directorio podremos almacenar objetos como usuarios claves, grupos,
políticas de permisos, etc.
 Apache Directory Server: otra de las grandes implementaciones que utilizan
LDAP es el directorio con licencia de Apache Software. Además, implementa
otros protocolos como Kerberos y NTP y cuenta con una interfaz de vistas
propias de las bases de datos relacionales.
 Novell Directory Services: este es el servidor de directorio propio de Novell
para gestionar el acceso a un almacén de recursos en uno o varios servidores
conectados en red. Se compone de una estructura de base de datos jerárquica
orientada a objetos en la que se almacenan todos los objetivos típicos de los
directorios.
 Open DS: terminamos esta lista con el directorio basado en java de SUN
Microsystems, que posteriormente se liberaría para todos los usuarios. Por
supuesto, está desarrollado en JAVA el necesitaremos el paquete Java Runtime
Environmet para que éste funcione.

Estas son las características más interesantes e información más relevante sobre el
protocolo LDAP. Por supuesto trataremos de ir ampliando información con tutoriales
que vayamos sacando sobre este tema.
 SAMBA
Samba es un proyecto de software libre que implementa el protocolo de archivos
compartidos de Windows para Sistemas operativos de tipo UNIX. Este protocolo
anteriormente era conocido como SMB, catalogado luego como CIFS. De esta manera,
se vuelve realidad el hecho de que computadoras con GNU/Linux, Mac OS X o Unix en
general, sean vistos como servidores o se relacionen como clientes en las redes
basadas en Windows.
La creación de Samba es la idea de Andrew Tridgell. Es un proyecto que nació en 1991
cuando creó un programa servidor de archivos para su red local, la cual soportaba un
protocolo reconocido como DEC de Digital Pathworks. Aunque en ese momento el no lo
supo, dicho protocolo se convertiría en SMB luego.

¿Por qué usar Samba?

Samba, básicamente, es una suite de aplicaciones Unix que implementa el protocolo

SMB (Server Message Block). Este protocolo es empleado para operaciones cliente-
servidor en una red. Entonces, mediante el uso de este protocolo Samba le permite a
Unix establecen comunicación con productos Microsoft Windows a través del protocolo.
De esta manera, una maquina Unix con Samba puede ingresar a la red Microsoft,
mostrándose como Servidor y brindar los siguientes servicios:

 Compartir diversos sistemas de archivos.

 Compartir impresoras, con instalación en el servidor como en los clientes.
 Proveer unos visualizados de clientes en red, lo que facilitara la colaboración con
nuestros usuarios.
 Permite realizar verificación de clientes a través de un login contra un dominio
Windows.
 Proporcionar o asistir con un servidor de resolución de nombres WINS.

Funcionamiento

Hoy día, la Suite Samba incluye en su implementación un par de demonios

fundamentales. Estos son los encargados de proporcionar los recursos compartidos a
los clientes SMB en la red (también denominados como servicios).

Los demonios antes mencionados son:

SMBD: Es el demonio encargado de permitir la compartición de archivos e impresoras

sobre la red SMB, ademas de proporcionar verificación y otorgar autorización para el
acceso de clientes SMB.

NMBD: Es el demonio que se encarga de buscar a través del Windows Internet Name
Service (WINS), y brinda la ayuda necesaria mediante un visualizador.
Configuración

La configuración de Samba en Linux es realizada a través de la edición de un solo

archivo ubicado en /etc/samba/smb.conf.

A continuación, un ejemplo de una configuración básica:

¿Qué puede hacer Samba por mí?

Como fue mencionado anteriormente, Samba brinda toda la ayuda para que las
maquinas Windows y Unix puedan coexistir en una misma red. Sin embargo, podemos
puntualizar razones específicas por las cuales desearías instalar en tu red un servidor
Samba. A continuación las enumeramos:

1. Quieres ahorrar el gasto que genera pagar un servidor Windows NT para obtener
las funcionalidades que este nos proporcionan.
2. Deseas proporcionar un espacio común para realizar transferencias de datos
entre un Servidor NT hacia un Linux o viceversa.
3. Para compartir otros recursos como impresoras, entre clientes Windows y Linux.
4. Resulta útil para establecer comunicación a ficheros NT desde un servidor Linux.

Ejemplo:

Asumiremos que tenemos la siguiente configuración básica de red:

 Un servidor Samba en una máquina Linux, a esta la denominaremos hydra.

 Un par de clientes Windows, cuyos nombres serán phoenix y chimaera
 Todos conectados a través de red de área local (LAN).
 Adicionalmente, asumiremos también que hydra tiene una impresora de
inyección conectada y una compartición de disco denominada network (ambos
recursos pueden ser ofrecidos a las otras dos máquinas).

El gráfico representativo de esta red podemos verlo en la figura a continuación:

Como se puede observar, en esta red, cada una de las computadoras esta dentro del
mismo grupo de trabajo. Para quienes no estén relacionados con el termino, un Grupo
de Trabajo, es una etiqueta simple que identifica a un conjunto determinado de
maquinas / computadoras / equipos que pertenecen a una red SMB. En una misma red
pueden coexistir varios grupos de trabajo, pero para efectos del ejemplo solo
colocamos uno.
 TACACS+
TACACS (acrónimo de Terminal Access Controller Access Control System, en inglés
‘sistema de control de acceso mediante control del acceso desde terminales’). Es
un protocolo de autenticación remota privativo de Cisco, comúnmente usado en
redes Unix, que se usa para comunicarse con un servidor de autenticación. TACACS
permite a un servidor de acceso remoto comunicarse con un servidor de autenticación
para determinar si el usuario tiene acceso a la red. TACACS está documentado en
el RFC 1492.
Cifrado de paquetes
TACACS+ cifra todo el cuerpo del paquete pero deja un encabezado estándar de
TACACS+. Dentro del encabezado se encuentra un campo que indica si el cuerpo se
ha cifrado o no. Para facilitar el debugging, resulta útil que el cuerpo de los paquetes no
esté cifrado. Sin embargo, durante el funcionamiento normal, el cuerpo del paquete se
cifra completamente para lograr comunicaciones más seguras.
Autenticación y Autorización
TACACS+ usa la arquitectura AAA, la que separa a AAA. Esto permite soluciones de
autenticación separada que pueden todavía usar TACACS+ para autorización y conteo.
Por ejemplo, con TACACS+, es posible utilizar la autenticación de Kerberos y la
autorización TACACS+ y el conteo. Después de que un NAS se autentique en un
servidor de Kerberos, solicita la información de autorización de un servidor TACACS+
sin tener que volver a autenticarse. El NAS le informa al servidor TACACS+ que se ha
autenticado de manera exitosa en un servidor Kerberos y luego el servidor le
proporciona información de autorización.

TACACS+ ofrece soporte multiprotocolo.

TACACS+ proporciona dos métodos para controlar la autorización de los comandos del
router por usuario o por grupo. El primer método es asignarle niveles de privilegio a los
comandos y hacer que el router verifique con el servidor TACACS+ si el usuario está
autorizado o no en ese nivel de privilegio específico. El segundo método es especificar
explícitamente los comandos permitidos en el servidor TACACS+, por usuario o por
grupo.
Tráfico
Debido a las diferencias previamente mencionadas entre TACACS+ y RADIUS, la
cantidad de tráfico generada entre el cliente y el servidor difiere. Estos ejemplos ilustran
el tráfico entre el cliente y el servidor para TACACS+ y RADIUS cuando se usan para la
administración del router con autenticación, autorización de exec, autorización de
comandos (la cual RADIUS no puede llevar a cabo), contabilización de exec y
contabilización de comandos (la cual RADIUS no puede llevar a cabo).
Ejemplo de tráfico de TACACS+
En este ejemplo se asume que la autenticación del inicio de sesión, la autorización
exec, la autorización de comandos, el exec iniciar-detener y los comandos fueron
implementados con TACACS cuando un usuario se conecta mediante Telnet a un
router, ejecuta un comando y sale del router (no están disponibles otros servicios de
administración):

--------
Los sistemas TACACS AAA se utilizan como un único punto de administración para configurar y
almacenar cuentas de usuario. A menudo se combinan con directorios y repositorios de administración, lo
que simplifica el mantenimiento de las cuentas de usuario final.
En la función de autorización del sistema AAA, los dispositivos de red con servicios de autenticación
pueden proporcionar un control detallado sobre las capacidades del usuario durante la sesión del usuario,
por ejemplo, establecer el control de acceso o la duración de la sesión. La aplicación de restricciones a
una cuenta de usuario puede limitar los comandos disponibles y los niveles de acceso.
Autenticación TACACS +proporciona un servidor central en el que puede permitir o denegar el acceso a
conmutadores y otros dispositivos compatibles con TACACS en su red. TACACS emplea una base de
datos central que crea múltiples conjuntos únicos de nombre de usuario y contraseña con sus niveles de
privilegio asociados. Los individuos pueden acceder a esta base de datos central a través del conmutador
desde un puerto de consola o mediante Telnet.
Ejemplo de operación TACACS +
TACACS + utiliza una jerarquía de autenticación que consiste en:
 contraseñas remotas asignadas en un servidor TACACS +
 contraseñas locales configuradas en el conmutador.
Un servidor TACACS + puede:
 Configure la autenticación de inicio de sesión para los privilegios de lectura /
escritura o de solo lectura.
 Administre la autenticación de los intentos de inicio de sesión por el puerto de la
consola o por Telnet.
 el valor predeterminado es las contraseñas asignadas localmente para el control de
autenticación en caso de una falla de conexión.
TACACS + no afecta:
 Acceso a WebAgent. Consulte Control de acceso a agentes web cuando se usa la
autenticación TACACS + .
Notas de funcionamiento
 Si configura administradores de IP autorizados en el conmutador, no es necesario
incluir ningún dispositivo utilizado como servidor TACACS + en la lista de
administradores autorizados. Es decir, el tráfico de autenticación entre un servidor
TACACS + y el conmutador no está sujeto a los controles autorizados del
administrador de IP configurados en el conmutador. Además, el conmutador no
intenta la autenticación TACACS + para una estación de administración que la lista
del administrador de IP autorizado excluye porque, independientemente de
TACACS +, el conmutador ya niega el acceso a dichas estaciones.
 Cuando TACACS + no está habilitado en el conmutador, o cuando el conmutador
solo los servidores TACACS + designados no son accesibles, establecer una
contraseña de operador local sin establecer también una contraseña de
administrador local no protege el conmutador del acceso a nivel de administrador
por parte de personas no autorizadas.
 Cuando se usa el copycomando para transferir una configuración a un servidor
TFTP, las claves de cifrado opcionales, específicas del servidor y globales en la
configuración TACACS no se incluyen en el archivo transferido. De lo contrario,
podría producirse una violación de la seguridad, permitiendo el acceso a la
información de nombre de usuario / contraseña de TACACS +.
Proceso de autenticación TACACS +

Configuración de autenticación TACACS +

Es importante probar el servicio TACACS + antes de implementarlo por

completo. Dependiendo del proceso y la configuración de parámetros que use para
configurar y probar la autenticación TACACS + en su red, podría bloquear
accidentalmente a todos los usuarios, incluido usted mismo, fuera del acceso a un
conmutador. Si bien la recuperación es simple, puede suponer un inconveniente que se
puede evitar. Para evitar un bloqueo involuntario en el conmutador, utilice un
procedimiento que configure y pruebe la protección TACACS + para un tipo de acceso
(por ejemplo, acceso Telnet), mientras mantiene abierto el otro tipo de acceso (consola,
en este caso) en caso de que falle el acceso Telnet debido a un problema de
configuración El siguiente procedimiento describe un procedimiento de configuración
general.
1. Familiarícese con los requisitos para configurar su aplicación de servidor TACACS +
para responder a las solicitudes del conmutador. (Consulte la documentación
proporcionada con el software del servidor TACACS +). Esto incluye saber si
necesita configurar una clave de cifrado; consulte Opciones de cifrado en el
conmutador.
2. Determine lo siguiente:
 Las direcciones IP de los servidores TACACS + que desea que use el
conmutador para la autenticación. Si va a utilizar más de un servidor, determine
qué servidor es su primera opción para los servicios de autenticación.
 El cifradoclave, si la hay, para permitir que el conmutador se comunique con el
servidor. Puede usar una clave global o una clave específica del servidor,
dependiendo de la configuración de cifrado en los servidores TACACS +.
 El número de intentos de inicio de sesión que permite antes de cerrar una
sesión de inicio de sesión. ( Predeterminado: 3
 El período en que desea que el conmutador espere una respuesta a una
solicitud de autenticación antes de probar con otro servidor.
 Los pares de nombre de usuario / contraseña que desea que use el servidor
TACACS + para controlar el acceso al conmutador.
  El nivel de privilegio que desea para cada par de nombre de usuario /
contraseña administrado por el servidor TACACS + para controlar el acceso al
conmutador.
 Los pares de nombre de usuario / contraseña que desea usar para la
autenticación local (un par cada uno para los niveles de operador y
administrador).
3. Planifique e ingrese la configuración del servidor TACACS + necesaria para admitir
la operación TACACS + para el acceso Telnet (inicio de sesión y habilitación) al
|conmutador. Esto incluye los conjuntos de nombre de usuario / contraseña para
iniciar sesión en el nivel de privilegio de operador (solo lectura) y los conjuntos para
iniciar sesión en el nivel de privilegio de administrador (lectura / escritura).

DNS
Las DNS son las siglas que forman la denominación Domain Name System o Sistema
de Nombres de Dominio y además de apuntar los dominios al servidor correspondiente,
nos servirá para traducir la dirección real, que es una relación numérica denominada IP,
en el nombre del dominio.
¿Para qué sirve?
Los DNS sirven para indicarle al usuario que teclea un dominio a que servidor debe ir a
recoger la página web que desea consultar.

Efectivamente las páginas web realmente están hospedadas bajo una dirección IP, por
ejemplo nuestra web www.digival.es realmente responde a la IP 85.112.29.231 pero
este sistema es capaz de convertir estos números en el nombre de
dominio www.digival.es. Recordar las IP de cada página web sería una trabajo
demasiado duro, por eso se creó el sistema de nombres de dominio, para permitir crear
términos y denominaciones más fáciles de recordar.

¿Cómo funcionan?
Que mejor que explicarlo con un ejemplo práctico, y con acciones que realizamos todos
los días. Siguiendo con el ejemplo de nuestra página web o de cualquier otra que se
haya contratado con nuestros planes de hosting web, supongamos que un usuario
desea acceder a ella, para lo cual, teclea en su navegador nuestro
dominio www.digival.es. Al pulsar la tecla enter, el navegador consultará con el servidor
DNS cuál es la dirección IP de nuestro dominio, y a su vez casará la información entre
la IP y el nombre de dominio, por último entregará al navegador la IP 85.112.29.231 que
podrá devolver nuestra página web a nuestro usuario.
Para evitar realizar constantes consultas al servidor DNS, el navegador guardará esta
información de forma temporal, de manera que se pueda servir la web sin realizar esa
consulta previa. Por eso en muchas ocasiones nos piden que actualicemos la consulta
con la tecla F5, para que el dominio vaya a la dirección IP más actual.¿Cómo se cambia
los DNS?
Es importante tener claro, que para cambiar las DNS de un dominio individual, es
necesario acudir a la sección “Dominios” y configurar las DNS del dominio
individualmente, bien escribiendo las nuevas que queremos asignar o bien eligiendo
entre las que tenemos grabadas en nuestra Área de Clientes.
Hay que tener cuidado con la gestión de DNS, pues como ya hemos explicado, de ellas
depende que funcione nuestro dominio, o lo que es lo mismo, nuestra web, nuestro
correo o nuestras aplicaciones y bases de datos.
El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena
información asociada a nombres de dominio en redes como Internet. Aunque como
base de datos el DNS es capaz de asociar diferentes tipos de información a cada
nombre, los usos más comunes son la asignación de nombres de dominio a direcciones
IP y la localización de los servidores de correo electrónico de cada dominio.
La asignación de nombres a direcciones IP es ciertamente la función más conocida de
los protocolos DNS. Por ejemplo, si la dirección IP del sitio Google es 216.58.210.163,
la mayoría de la gente llega a este equipo especificando www.google.com y no la
dirección IP. Además de ser más fácil de recordar, el nombre es más fiable.3 La
dirección numérica podría cambiar por muchas razones, sin que tenga que cambiar el
nombre del sitio web. Incluso, en el caso de que una página web utilice una red de
distribución de contenidos (Content delivery network o CDN, por sus siglas en inglés) por
medio del DNS el usuario recibirá la dirección IP del servidor más cercano según su
localización geográfica (cada CDN a su vez tiene sus propios servidores DNS).
Partes de un DNS
Un nombre de dominio usualmente consiste en dos o más partes (técnicamente
«etiquetas»), separadas por puntos cuando se las escribe en forma de texto. Por
ejemplo, www.ejemplo.com o es.wikipedia.org
 A la etiqueta ubicada más a la derecha se le llama dominio de nivel superior (en
inglés top level domain).
Como com en www.ejemplo.com u org en es.wikipedia.org
 Cada etiqueta a la izquierda especifica una subdivisión o subdominio. Nótese
que "subdominio" expresa dependencia relativa, no dependencia absoluta. En
teoría, esta subdivisión puede tener hasta 127 niveles, y cada etiqueta puede
contener hasta 63 caracteres, pero restringidos a que la longitud total del nombre
del dominio no exceda los 255 caracteres, aunque en la práctica los dominios
son casi siempre mucho más cortos.
  Finalmente, la parte más a la izquierda del dominio suele expresar el nombre de la
máquina (en inglés hostname). El resto del nombre de dominio simplemente
especifica la manera de crear una ruta lógica a la información requerida. Por
ejemplo, el dominio es.wikipedia.org tendría el nombre de la máquina "es",
aunque en este caso no se refiere a una máquina física en particular.
El DNS consiste en un conjunto jerárquico de servidores DNS. Cada dominio o
subdominio tiene una o más zonas de autoridad que publican la información acerca del
dominio y los nombres de servicios de cualquier dominio incluido. La jerarquía de las
zonas de autoridad coincide con la jerarquía de los dominios. Al inicio de esa jerarquía
se encuentra los servidores raíz: los servidores que responden cuando se busca resolver
un dominio de primer y segundo nivel.
Modo de uso
Los usuarios generalmente no se comunican directamente con el servidor DNS: la
resolución de nombres se hace de forma transparente por las aplicaciones del cliente
(por ejemplo, navegadores, clientes de correo y otras aplicaciones que usan Internet).
Al realizar una petición que requiere una búsqueda de DNS, la petición se envía al
servidor DNS local del sistema operativo. El sistema operativo, antes de establecer
alguna comunicación, comprueba si la respuesta se encuentra en la memoria caché. En
el caso de que no se encuentre, la petición se enviará a uno o más servidores DNS, el
usuario puede utilizar los servidores propios de su ISP, puede usar un servicio gratuito
de resolución de dominios o contratar un servicio avanzado de pago que por lo general
son servicios contratados por empresas por su rapidez y la seguridad que estos
ofrecen.
La mayoría de usuarios domésticos utilizan como servidor DNS el proporcionado por el
proveedor de servicios de Internet salvo quienes personalizan sus equipos o
enrutadores para servidores públicos determinados. La dirección de estos servidores
puede ser configurada de forma manual o automática mediante DHCP (IP dinámica).
En otros casos, los administradores de red tienen configurados sus propios servidores
DNS.
En cualquier caso, los servidores DNS que reciben la petición, buscan en primer lugar si
disponen de la respuesta en la memoria caché. Si es así, sirven la respuesta; en caso
contrario, iniciarían la búsqueda de manera recursiva. Una vez encontrada la respuesta,
el servidor DNS guardará el resultado en su memoria caché para futuros usos y
devuelve el resultado.
Típicamente el protocolo DNS transporta las peticiones y respuestas entre cliente y
servidor usando el protocolo UDP, ya que es mucho más rápido. Las ocasiones donde
se usa el protocolo TCP son: cuando se necesitan transportar respuestas mayores de
512 bytes de longitud (por ejemplo al usar DNSSEC) y cuando se intercambia
información entre servidores (por ejemplo al hacer una transferencia de zona), por
razones de fiabilidad.
Jerarquía
El espacio de nombres de dominio tiene una estructura arborescente. Las hojas y los
nodos del árbol se utilizan como etiquetas de los medios. Un nombre de dominio
completo de un objeto consiste en la concatenación de todas las etiquetas de un
camino. Las etiquetas son cadenas alfanuméricas (con '-' como único símbolo
permitido), deben contar con al menos un carácter y un máximo de 63 caracteres de
longitud, y deberá comenzar con una letra (y no con '-'). Las etiquetas individuales están
separadas por puntos. Un nombre de
dominio termina con un punto (aunque este
último punto generalmente se omite, ya
que es puramente formal). Un nombre de
dominio correctamente formado (FQDN,
por sus siglas en inglés), es por ejemplo
este: www.ejemplo.com. (Incluyendo el
punto al final).
Un nombre de dominio debe incluir todos los puntos y tiene una longitud máxima de 255
caracteres.
Un nombre de dominio se escribe siempre de derecha a izquierda. El punto en el
extremo derecho de un nombre de dominio separa la etiqueta raíz de la jerarquía. Este
primer nivel es también conocido como dominio de nivel superior (TLD, por sus siglas
en inglés).
Los objetos de un dominio DNS (por ejemplo, el nombre del equipo) se registran en un
archivo de zona, ubicado en uno o más servidores de nombres.
Tipos de servidores DNS
Estos son los tipos de servidores de acuerdo a su función:
Primarios o maestros: guardan los datos de un espacio de nombres en sus ficheros.
Secundarios o esclavos: obtienen los datos de los servidores primarios a través de una
transferencia de zona.
Locales o caché: funcionan con el mismo software, pero no contienen la base de datos
para la resolución de nombres. Cuando se les realiza una consulta, estos a su vez
consultan a los servidores DNS correspondientes, almacenando la respuesta en su
base de datos para agilizar la repetición de estas peticiones en el futuro continuo o libre.

NTP
El protocolo NTP (Network Time Protocol), más comúnmente conocido como NTP, es
un protocolo de Internet ampliamente utilizado para transferir el tiempo a través de una
red. NTP es normalmente utilizado para sincronizar el tiempo en clientes de red a una
hora precisa.
En términos simples NTP o Network Time Protocol, es un sistema que se utiliza para
sincronizar la hora del día a través de redes informáticas. Originalmente desarrollado
por David L. Mills de la Universidad de Delaware, NTP funciona mediante el uso de una
única fuente de tiempo, lo que le permite sincronizar la hora en todos los dispositivos
que forman parte de una red.
¿Qué es?
NTP es un protocolo basado en un sistema cliente-servidor. Provee a los clientes con
tres productos fundamentales: clock offset, round-trip delay y referencia de dispersión.
El offset especifica la diferencia entre la hora del sistema local y la referencia externa de
reloj. Round-trip delay especifica las latencias de tiempo medidas durante la
transferencias de paquetes dentro de la red. La referencia de dispersión de tiempo
especifica el máximo número de errores asociados con la información de tiempo
recibido de un reloj externo.

El protocolo tiene una estructura jerárquica. Un servidor Stratum 1, es

el servidor primario de referencia y se asienta en el más alto nivel de la jerarquía. Este
servidor primario está seguido de servidores secundarios de referencia y clientes. Un
servidor NTP primario generalmente se sincroniza mediante una referencia externa de
reloj, como puede ser un reloj de radio o GPS.

El protocolo NTP usa el protocolo UDP el cual es una parte integrada de la pila TCP/IP.
Actualmente, la versión actual que se está utilizando es NTP 4, y todas las versiones
son compatibles entre si, La única modificación entre la versión 3 y 4 es una variación
en la cabecera para acomodar IPv6.

Modos de operación
Un servidor NTP stratum 1 tiene tres modos de operación. Unicast, anycast y multicast.
El cliente inicia los modos unicast y anycast, y el servidor responde con un mensaje de
tiempo NTP con el que el cliente se sincroniza. Multicast es un modo de envío de
mensajes a solo ciertos elementos de la red, a diferencia de broadcast, el cual habla
con todos. A periodos regulares, el dominio es inundado por estos mensajes con
motivos de sincronización.

La fuente de tiempo para servidores NTP

La mayoría de las redes NTP confían en Tiempo Universal Coordinado (UTC) como su
fuente para la sincronización de tiempo. UTC se considera que es la mejor fuente por la
cual el mundo debe regular relojes y tiempo.

El beneficio único de la utilización de UTC para redes NTP es que sigue siendo la
misma sin ser afectado por zonas horarias. También, UTC mantiene su precisión a
través de numerosos relojes atómicos.

Los relojes atómicos que preservan la exactitud de UTC se encuentran en los

laboratorios nacionales de física. Desafortunadamente, estos dispositivos no se pueden
instalar en la sala de "promedio" del servidor con el fin de sostener la sincronización de
tiempo.
Sin embargo, con la implementación de un servidor de hora NTP, una fuente de UTC se
puede recibir como el servidor es capaz de recoger una señal de radio emitida por los
laboratorios de física o de la red de posicionamiento global (GPS).

¿Cuáles son las principales ventajas de NTP para las empresas?

Los principales beneficios de la implementación de un servidor NTP dentro de su

negocio incluyen:
 La sincronización de tiempo precisa de los dispositivos en cuestión de
milisegundos de cada otro
 La sincronización de tiempo a través de múltiples zonas horarias.

Software NTP ahora se utiliza en todo el mundo, permitiendo a las empresas a ser más
puntual cuando se trata de transacciones, sobre todo en línea. Redes NTP han
revolucionado los métodos de procesamiento de pago, la seguridad en línea y una
variedad de otras prácticas comerciales, la mejora de la eficiencia empresarial.
 SNTP

SNMP (Simple Network Management Protocol, Protocolo simple de administración de

red) es un protocolo que les permite a los administradores de red administrar
dispositivos de red y diagnosticar sus problemas. El protocolo SNMP tiene dos formas
de trabajar: polling y traps. El polling se apoya en enviar consultas remotas ya sea de
forma activa o bajo demanda, ejecutando una operación síncrona de consulta. Los
traps, sin embargo, son más bien mensajes que lanzan los dispositivos SNMP a una
dirección ya constituida, basándose en cambios o eventos, esta vez de forma
asíncrona.

El protocolo SNTP (Simple Network Time Protocol), es una versión simplificada de NTP.
Normalmente es utilizada donde la precisión y complejidad de NTP no es necesaria.
Ambos protocolos son compatibles e intercambiables, es decir, cualquier cliente SNTP
puede sincronizar con un servidor NTP.

Los instrumentos o dispositivos que aguantan SNMP incluyen routers, switches,

servidores, impresoras, módems y demás. Concede a los administradores, como
nosotros ahora mismo, supervisar el funcionamiento de la red, encontrar y solucionar
sus problemas. Planificar su crecimiento. Se forma de un grupo de normas para la
gestión de la red, comprendiendo una capa de aplicación del protocolo, una base de
datos de esquema, y un conjunto de objetos de datos. Las versiones de SNMP más
empleadas son SNMP versión 1 (SNMPv1) y SNMP versión 2 (SNMPv2).

En general, podemos decir que SNMP se utiliza para configurar dispositivos remotos.
La información de configuración puede lanzarse a cada host interconectado con la red
desde el sistema de administración. También se utiliza para supervisar el rendimiento
de la red en general. Se puede hacer un rastreo de la velocidad de procesamiento y las
capacidades de la red, y abastecerse de información acerca de las transferencias de
datos. Y por supuesto para detectar errores en la red o accesos inadecuados. Lo que
nos va a venir ahora mismo muy bien para dar con ese canalla. De hecho, también
podemos conformar alarmas que se desencadenen en los dispositivos de red cuando
se produzcan ciertos acontecimientos. Cuando se dispara una alarma, el dispositivo
envía una señal de suceso al sistema de administración y ya, ahorrando bastante
tiempo.
SMTP
El SMTP (Simple Mail Transfer Protocol o Protocolo para Transferencia Simple de
Correo) es un protocolo de comunicación que permite el envío de correos electrónicos
en internet.
Este protocolo se asocia normalmente con otros como POP3 o IMAP, siendo SMTP
utilizado para el correo de salida y POP3 o IMAP utilizado para el correo entrante.
¿Cómo funciona?
En la siguiente infografía vamos a ver, de forma simplificada, la explicación del proceso
de un envío de email por SMTP.

CONFIGURAR UNA CARPETA COMPARTIDA EN RED

Para compartir una carpeta en red
COMANDOS BASICOS WINDOWS
COMANDOS BASICOS CENTOS (LINUX)
Es un sistema operativo de código abierto, basado en la distribución Red Hat Enterprise
Linux, operándose de manera similar, y cuyo objetivo es ofrecer al usuario un software
de "clase empresarial" gratuito. Se define como robusto, estable y fácil de instalar y
utilizar.
Desde la versión 5, cada lanzamiento recibe soporte durante diez años, por lo que la
actual versión 7 recibirá actualizaciones de seguridad hasta el 30 de junio de 2024.
CentOS es una de las distribuciones consideradas clones de Red Hat Enterprise Linux.
CentOS usa yum como paquete de gestión de las actualizaciones, herramienta también
utilizada por la distribución Fedora.
En el año 2014 CentOS pasó a ser un proyecto patrocinado por Red Hat.
Particiones
DOMAIN CONTROLLER

POLITICAS DE GRUPOS (GPO)

Una GPO es básicamente una política que podremos crear y editar, obviamente
remover en cualquier momento, mediante la cual se permite establecer la configuración
en los diversos objetos a administrar como usuarios y equipos.

Una de las ventajas de las GPO es que pueden ser implementadas en cualquier tipo de
escenario y podremos usarlas para todo el dominio en general o solo para una unidad
organizativa, OU, en especial.

La implementación de una GPO ha sido diseñada para que sea implementada en redes
basadas en los Servicios de dominio de Active Directory (AD DS) de Windows Server.

Requisitos para usar las políticas de grupo en Windows Server 2016

Existen una serie de requisitos básicos y simples para usar e implementar de forma
correcta las políticas de grupo, estos son:

 La red local debe estar basada en AD DS, con esto indicamos que por lo menos un
servidor debe tener instalada la función de AD DS.
 Los equipos que vamos a administrar deben estar unidos al dominio y los usuarios
que gestionaremos deben usar las credenciales de dominio para iniciar sesión en
sus equipos directamente al dominio.
 Sera necesario contar con permisos para editar la Política de grupo en el dominio,
es decir, pertenecer al grupo de Administradores o de Administradores de Política
de grupo.

UNIDADES ORGANIZATIVAS
Las unidades organizativas permiten crear la jerarquía de nuestra organización. Su fin
es crear una estructura de "carpetas" que administrativamente organice nuestra
empresa. Por ejemplo, crearemos una unidad organizativa para cada sección o
departamento de mi empresa. Además, todos los usuarios y cuentas de equipo las
crearé o moveré a este nuevo sitio. De esta forma, cuando abramos la administración
del directorio activo veremos una estructura mucho más organizada que la
predeterminada.

GRUPOS
En un dominio, Microsoft Active Directory proporciona soporte para distintos tipos de
grupos y ámbitos de grupo. Los grupos de Microsoft Active Directory son contenedores
con otros objetos dentro de ellos como miembros. Estos objetos pueden ser objetos de
usuario, otros objetos de grupo, como anidamiento de grupo, y otros tipos de objetos,
como sistemas. El tipo de grupo determina el tipo de tarea que gestione con el grupo. El
ámbito de grupo determina si el grupo puede tener miembros de varios dominios o de
uno solo. En resumen:
 Los grupos suelen ser un conjunto de cuentas de usuario.
 Los miembros reciben el permiso otorgado a los grupos.
 Los usuarios pueden ser miembros de varios grupos.
 Los grupos pueden ser miembros de otros grupos, que son grupos anidados.