Buscar
Más buscado   Comunidades   Preguntas
Inicio / Wikis / Tutoriales / Control de Accesos - Autenticación Windows NT

Control de Accesos - Autenticación Windows NT

(4 opiniones)
Tutorial creado por Zonagratuita. Extraido de: http://www.zonagratuita.com
08 de Agosto de 2005
ProtocolosRedesAdministración de sistemas

5 - Autenticación Windows NT

5. Autenticación Windows NT

5.1. Esquema general

Windows NT es un sistema operativo que utiliza autenticación de acceso a los objetos siguiendo una organización tipo DAC (Discretionary Access Controls). Así los propietarios de los objetos definen los permisos y derechos de los usuarios y grupos de usuarios.

Para iniciar el sistema operativo se necesita pasar un control de usuario protegido por contraseñas y después para acceder a máquinas remotas también se examina la identidad del usuario. La organización de los accesos a máquinas de la red tiene un sistema de gestión único en Windows NT y este trabajo analiza este tipo de sistema.

El sistema de acceso a máquinas remotas se puede hacer según dos métodos diferentes, es así porque se intentan cumplir dos objetivos:

  • La compatibilidad con sistemas anteriores de Microsoft, como: Windows 95, Windows 3.11 o DOS y sencillez para entornos con pocas máquinas.

    • Crear un método de gestión centralizada donde las contraseñas no se deben actualizar en todas las máquinas de un mismo grupo de trabajo.

    • Así el acceso a recursos de red se puede montar siguiendo uno de estos modelos:
  • Trabajo en grupo. Este sistema implementa una red de igual a igual (peer-to-peer) que permite una gestión ágil para entornos con pocas máquinas, además de no necesitar la intervención de un Windows NT Server.

  • Dominios. Un servidor centraliza todos los accesos a los servidores y clientes de su grupo, llamado dominio.

5.2. Modelo de trabajo en grupo

Este modelo es mucho más difícil de gestionar y se debe utilizar en los siguientes casos:

    • Redes pequeñas con pocas máquinas y pocos usuarios, donde la creación de dominios es más complicada que la gestión de las bases de datos de usuarios.

    • • Redes donde máquinas Windows 95, Windows 3.11 o DOS deben compartir o acceder a recursos remotos.
  • Redes Windows NT donde todos los sistemas operativos son WorkStation y no hay Servers. Aunque se aconseja instalar Servers si la red es un poco grande.

Este modelo permite dos métodos de compartir recursos:

  • Método compartido.

  • Método de usuarios.

El método compartido está pensado para máquinas con Windows 95 aunque se puede utilizar en Windows NT Workstation. El usuario local define los objetos que quiere compartir y les puede asignar una contraseña pero no un nombre de usuario. La contraseña de un objeto compartido es la misma para todos los usuarios. Cuando se accede a un objeto protegido el servidor siempre pide una contraseña con independencia del usuario. Este sistema es muy poco seguro porque implica el reparto de contraseñas a todos los usuarios que pueden acceder. (Ver Figura 5.2.1)

Realizar la gestión del método compartido se complica mucho si hay varios recursos, sobre todo porque:

  • Puede haber tantas contraseñas como recursos, por lo tanto, el usuario debe guardar la gestión de muchas contraseñas. Además se deben transmitir personalmente a cada usuario y esto comporta un gran peligro.

  • Cualquier usuario puede dejar recursos de su máquina personal al acceso de cualquiera. Así la seguridad de las máquinas está en manos del usuario y no del gestor de red, por lo tanto puede haber múltiples agujeros y plataformas en la red sin que el gestor lo sepa.

Es aconsejable sólo utilizar este sistema en casos de necesidad y prohibirlo para los usuarios de grandes redes.

El método de usuarios necesita una máquina Windows NT o un servidor NetWare. Los accesos se realizan por nombre de usuario y contraseña. La base de datos de usuarios se guarda en una máquina NT o NetWare, el nombre de esta máquina se debe indicar en todas las que quieren compartir recursos utilizando esa base de datos. Para compartir recursos se asigna cada recurso a los usuarios de la base de datos.

Cuando se accede a un recurso la máquina cliente envía los datos que el usuario introdujo para abrir la sesión en su máquina local, con estos datos se comprueba si puede acceder o no. Así no se debe dar la contraseña cada vez que se accede a un recurso (Ver Figura 5.2.2).

Este método evita el tráfico de contraseñas del método compartido pero aunque mejora la gestión no se puede considerar un sistema centralizado. Presenta los siguientes problemas:

  • Cualquier usuario puede dejar recursos de su máquina a disposición de quien quiera. Esto permite tener máquinas no controladas que pueden ser agujeros o plataformas para otros ataques.

  • Los usuarios se deben dar de alta en su máquina y en la base datos para los recursos. Si hay muchas bases de datos los cambios de contraseña se deben actualizar en todas.

  • Las máquinas DOS o Windows 95 no tienen seguridad de acceso físico, así cualquiera puede acceder con cualquier nombre de usuario y copiar los ficheros internos del disco duro.

  • Sólo se puede utilizar desde máquinas Windwos NT donde la base de datos local tiene el mismo usuario que la remota. Por lo tanto o sólo utilizan una máquina o se deben dar de alta en todas y así se pierde la ventaja de sistema centralizado.

Igualmente si se decide utilizar este método es aconsejable que el gestor de red controle las máquinas que pueden compartir recursos y prohiba a las otras dejar recursos para acceso remoto.

5.3. Modelo de dominios

Es el modelo de gestión centralizada ofrecido por Windows NT. Como mínimo debe haber un Windows NT Server para cada dominio.

La base de datos de usuarios se guarda en el controlador de dominios (PDC) y se duplica en los controladores secundarios (BDCs). Todos los controladores deben ser Windows NT Server. La duplicación se realiza para mantener el acceso si el PDC cae y para no concentrar todos los accesos en la misma máquina (reparto de carga), frecuentemente los BDCs actualizan la base de datos, que puede ser únicamente los cambios o toda.

Los objetivos de los dominios son:

  • Centralizar el control de accesos a las máquinas clientes. Así un usuario de un dominio se puede conectar a cualquiera de las máquinas de ese dominio, no hace falta que se dé de alta en la base de datos de todas.

  • Gestionar el acceso a los recursos de manera ordenada. Desde la base de datos del dominio se puede acceder a los recursos de tu propio dominio sin necesidad de volver a entrar la contraseña.

Cuando un usuario inicia una sesión en su máquina local puede introducir el nombre del dominio de esta máquina o entrar de forma local. Si entra por el domino, la máquina envía al controlador de dominio el nombre de usuario y la contraseña y el PDC realiza el control de accesos. Así el nivel acceso a las máquinas locales y los servidores no depende de la base de datos local, es independiente de la máquina de acceso y, por lo tanto, un sistema centralizado, siempre que la máquina de inicio de sesión esté dentro del mismo dominio. (Ver Figura 5.3.1)

Dentro de una sesión de dominio, para acceder a un servidor del mismo dominio, la máquina local envía el nombre de usuario y la contraseña que el servidor comprueba en su base de datos. Si son servidores del dominio no PDC ni BDC pueden tener una base de datos de usuarios propia o utilizar la del dominio, pero nunca las dos. La contraseña sólo se introduce al iniciar la sesión.

Igualmente se puede acceder en un servidor de dominio habiendo entrado a la máquina local sin especificar dominio, pero el usuario y la contraseña deben estar dados de alta en el servidor.

En resumen el sistema de dominios mejora respecto a los de trabajo en grupo:

  • Se puede acceder al servidor desde cualquier máquina que pertenezca al dominio, no hay dependencia de la máquina de acceso.

  • La base de datos local de acceso de las máquinas se puede centralizar en el controlador de dominio.

  • El inicio de sesión dentro de un dominio asegura que se podrá acceder a los servidores del mismo dominio.

Los usuarios de un dominio se pueden conectar con servidores de otros dominios mediante las relaciones de confianza.

5.4. Relaciones de confianza entre dominios

Las relaciones de confianza permiten a los usuarios de un dominio acceder a recursos de otros dominios. Se pueden establecer relaciones unidireccionales (uno confía en el otro) o bidireccionales (confianza mutua). Otra solución sería dar de alta a los usuarios en todos los dominios que necesitan pero esto rompería el modelo centralizado ya que las contraseñas se deberían actualizar en varios controladores. Así

con relaciones de confianza un usuario sólo debe estar en una base de datos y puede acceder a varios dominios.

Se puede iniciar una sesión en un dominio de confianza. Si el controlador propio de la máquina ve que el dominio es otro de confianza delega el control de acceso al controlador del dominio que ha pedido el usuario.

También se puede acceder a recursos de dominios de confianza. Cuando se accede a un servidor de otro dominio de confianza, éste envía el nombre de usuario y la contraseña al controlador del dominio del usuario. Si el controlador admite el acceso, el servidor del dominio de confianza también. (Ver Figura 5.4.1)

Las relaciones de confianza son muy peligrosas porque los servidores no controlan directamente quién accede sino que delegan este control. Por este motivo se deben diseñar bien y gestionar de una manera centralizada. Microsoft recomienda utilizar una estructura jerárquica con un dominio maestro en la cabeza que tiene relaciones de confianza unidireccionales con todos los dominios de trabajo.

5.5. Diferencias conceptuales con otros sistemas centralizados

El sistema de control de accesos Windows NT no es un sistema completamente centralizado respecto a otros como los de directorios, como el NDS de Novell, o Kerberos.

El mantenimiento del sistema de trabajo en grupo hace que la gestión sea complicada y permita la convivencia de diferentes controles de acceso en la misma red. Este problema se resolverá en las próximas versiones. La comparación se debe hacer entre el sistema de dominios y los otros.

Los objetivos del sistema de dominios son centralizar el control de accesos remoto y local mientras que los otros sistemas sólo controlan el remoto. Así en Kerberos o directorios se debe realizar un control de acceso local (o acceso libre) y después otro remoto.

Así las ventajas de cada sistema son:

  • Windows NT sólo utiliza un control de accesos para local y remoto.

  • Los sistemas de directorio y Kerberos permiten el acceso remoto desde cualquier máquina, no hace falta que sea del dominio.

Para solucionar este problema Windows NT ha creado las relaciones de confianza que permiten a máquinas de un dominio acceder a los otros. Pero son relaciones de bloque, o sea, o todos los usuarios o ninguno, no permiten casos personalizados.

Por el mismo motivo, los dominios de Windows deben crear una base de datos de usuarios en cada grupo (servidor y sus clientes). En cambio los otros sistemas pueden centralizar la base de datos de usuarios en una máquina y, si fuera necesario para descargar tránsito, pueden dejar réplicas totales o parciales en otras máquinas. En Windows NT esto se realizaría con un único dominio y muchos BDCs pero entonces los usuarios podrían acceder localmente a cualquier máquina cliente. (Ver Figura 5.5.1)

 

Servidor

Servidor Figura 5.5.1: Control de acceso Windows NT frente a otros de control remoto

Valora este capítulo: (4 opiniones)
Autor y licencia de 'Control de Accesos - Autenticación Windows NT'
Zonagratuita Extraído de: http://www.zonagratuita.com CopyLeft
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.

Opiniona sobre 'Control de Accesos - Autenticación Windows NT' (4)

Tu nombre debe tener tres caracteres como mínimo.
Es necesario que te des de alta con una cuenta de correo válida.
Es necesario que te des de alta con una cuenta de correo válida.
El contenido del título de tu opinión debe tener tres caracteres como mínimo.
Es obligatorio que selecciones una valoración del recurso.
El contenido del comentario de tu opinión debe tener tres caracteres como mínimo.

Opina sobre este tutorial
* Valoración:
* Nombre:
* Correo electrónico:
* Título:
* Comentario:

Wikis relacionados con 'Control de Accesos - Autenticación Windows NT'

Introducción a Windows NT
Windows NT presenta una arquitectura del tipo cliente-servidor. Los programas de aplicación son contemplados por... Más »
Instalación de Windows 98
Curso sobre instalación de Windows 98. Fácil y rápido!
Secretos de Windows XP
Pequeños trucos que mejoran y agilizan el uso de Windows XP.
NT OS Loader + Linux
Este documento describe el uso del Windows NT boot loader para arrancar Linux. Estos procedimientos... Más »
Eliminar archivos del arranque de Windows
Aprenderás a acelerar el arranque de tu ordenador y a eliminar algunos virus que se... Más »
¿Estás seguro de que deseas eliminar este capítulo?