Una identidad es, en su sentido más amplio, una representación de una entidad que realizara acciones en la red empresarial. Por ejemplo si un usuario desea acceder a un documento compartido en un servidor.
Este documento normalmente estará protegido por una lista de control de acceso o ACL manejada por el sistema de gestión de seguridad del sistema operativo en el que se detalla los usuarios y dispositivos que pueden tener acceso a este recurso.
En el momento que un usuario necesita acceder a este documento el sistema operativo del cliente utiliza sus credenciales para solicitar acceso al recurso para lo cual el sistema operativo en el servidor debe comparar las credenciales del usuario con las almacenadas en su lista de control de acceso para garantizar o negar el acceso a este.
Computadoras, grupos, servicios y otros objetos también necesitan realizar operaciones en la red empresarial por lo tanto también deber ser representados por sus identidades; una identidad es un conjunto de parámetros únicos que posee un objeto. Valores tales como nombre de usuario o el SID (security indentifier) y el password son almacenados en una base de datos que permitirá la autenticación de estos objetos en la red.
Uno de los componentes principales de un sistema IDA es el almacén de identidades.
El almacén de datos de active directory o en ingles Active Directory data store también conocido como el directorio es un almacén de identidades. El directorio por sí mismo es almacenado y manejado por el controlador de dominio el cual realiza el rol de AD DS (Active directory Domain Services).
El controlador de dominio no permitirá el acceso a ningun recurso a usuarios que no tenga permisos almacenados en las listas de ACL de los recursos.
Autenticación Kerberos
En un dominio un protocolo llamado Kerberos es usado para autenticar a los usuarios. Cuando un usuario inicia sesión en un dominio, Kerberos entrega un paquete de información a este llamado el TGT o ticket Granted ticket. Antes de que una entidad pueda acceder a un recurso de la red, una petición de Kerberos es enviada al controlador de dominio junto con el TGT que identifica a la entidad que quiere hacer uso del recurso. El controlador de dominio entonces envía a la entidad un ticket llamado ticket de servicio el cual es presentado ante el servidor que posee el recurso al que se desea acceder y confirma que la entidad que solicita el recurso fue autenticada y validada por el almacén de identidades. Este proceso de autenticación se produce en el inicio de sesión y garantiza la identidad de una entidad en todo el dominio y habilita a los usuarios y dispositivos para adquirir tickets de servicio.
Control de Acceso:
La infraestructura de IDA protege la confidencialidad de los datos en la red empresarial al proveer un mecanismos de gestión de listas de control de Acceso granular por medio del almacén de identidades así un administrador podrá permitir o denegar el acceso a los recursos almacenados en el almacén de identidades de IDA en el caso de Windows Server el directorio activo.
Auditoria:
La infraestructura IDA también permite que la empresa pueda auditar lo sucedido con respecto a sus recursos de red y así poder rastrear a los responsables de diferentes actividades.
El almacén de identidades no es el único componente que incluye Windows server 2008 para la implementación de la infraestructura IDA. En la figura de la parte superior se muestran algunos componentes que incluye Windows server 2008 para la implementación de IDA.
Conclusión:
LA infraestructura IDA o Identification and Acces es uno de los pilares fundamentales de una dominio Microsoft y sobre este sistema de autenticación esta implementadas muchas de las tecnologías que pueden ayudar a una compañía a ser más productivas.
Esta infraestructura permite el acceso a recursos utilizando un único inicio de sesión y garantiza que los administradores puedan aplicar listas de control de acceso de manera centralizada sobre los usuarios, los equipos y demás entidades de un Dominio.
En próximas entregas de este Blog hablaremos de los otros servicios que componen IDA
Escrito por Carlos Andrés Arango
Correo: darkhunter.mail@gmail.com
Bibliografia MCTS - self paced training kit exam 70-640 configuring windows server 2008 Microsoft press
No hay comentarios:
Publicar un comentario