Tecnologo
Páginas: 7 (1685 palabras)
Publicado: 3 de abril de 2013
Active Directory (AD) es el nombre utilizado por Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores, además es una manera de manejar todos los elementos de una red, incluidos ordenadores, grupos, usuarios, dominios, políticas de seguridad, y cualquier tipo de objetos definidos para el usuario.
Utiliza distintos protocolos(principalmente protocolo LDAP, DNS, DHCP, kerberos...).
LDAP (Protocolo Ligero de Acceso a Directorios) Es un conjunto de protocolos abiertos usados para acceder información guardada centralmente a través de la red. Está basado en el estándar X.500 para compartir directorios.
X.500 es un conjunto de estándares de redes de ordenadores de la ITU-T sobre servicios de directorio.
Protocolo de software quepermite a cualquier persona localizar organizaciones, individuos y otros recursos, como archivos y dispositivos de una red, ya sea en Internet o en una intranet empresarial. LDAP también se considera una base de datos a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica.
Habitualmente, LDAP almacena lainformación de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc).
La versión actual es LDAPv3, que está especificada en una serie de Internet Engineering Task Force (IETF) Standard Track Request for Comments (RFCs) como se detalla en eldocumento RFC 4510.
Kerberos Es un protocolo de seguridad muy difundido en entornos Unix, aunque adoptado también por otros sistemas operativos como Windows 2000. Kerberos es un sistema de autentificación de usuarios, que posee un doble objetivo:
Impedir que las claves sean enviadas a través de la red, con el consiguiente riesgo de su divulgación.
Centralizar la autentificación de usuarios,manteniendo una única base de datos de usuarios para toda la red.
La arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de Sesión, Ticket y Autenticador.
Las claves de sesión se utilizan para minimizar el uso de las claves secretas de los diferentes agentes.
El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de unservidor; garantiza que el cliente ha sido autenticado recientemente. Este ticket incluye el nombre del cliente C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesión KS asociada para uso de cliente y servidor.
El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la comunicación; sólopuede ser utilizado una vez.
Como funciona el kerberos
A continuación se describe someramente el protocolo. Se usaran las siguientes abreviaturas:
AS = Authentication Server
TGS = Ticket Granting Server
SS = Service Server.
En resumen el funcionamiento es el siguiente: el cliente se autentica a sí mismo contra el AS, así demuestra al TGS que está autorizado para recibir un ticket deservicio (y lo recibe) y ya puede demostrar al SS que ha sido aprobado para hacer uso del servicio kerberizado.
En más detalle:
Un usuario ingresa su nombre de usuario y password en el cliente
El cliente genera una clave hash a partir del password y la usará como la clave secreta del cliente.
El cliente envía un mensaje en texto plano al AS solicitando servicio en nombre del usuario. Nota: ni laclave secreta ni el password son enviados, solo la petición del servicio.
El AS comprueba si el cliente está en su base de datos. Si es así, el AS genera la clave secreta utilizando la función hash con la password del cliente encontrada en su base de datos. Entonces envía dos mensajes al cliente:
Mensaje A: Client/TGS session key cifrada usando la clave secreta del usuario
Mensaje B:...
Utiliza distintos protocolos(principalmente protocolo LDAP, DNS, DHCP, kerberos...).
LDAP (Protocolo Ligero de Acceso a Directorios) Es un conjunto de protocolos abiertos usados para acceder información guardada centralmente a través de la red. Está basado en el estándar X.500 para compartir directorios.
X.500 es un conjunto de estándares de redes de ordenadores de la ITU-T sobre servicios de directorio.
Protocolo de software quepermite a cualquier persona localizar organizaciones, individuos y otros recursos, como archivos y dispositivos de una red, ya sea en Internet o en una intranet empresarial. LDAP también se considera una base de datos a la que pueden realizarse consultas.
Un directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica.
Habitualmente, LDAP almacena lainformación de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc).
La versión actual es LDAPv3, que está especificada en una serie de Internet Engineering Task Force (IETF) Standard Track Request for Comments (RFCs) como se detalla en eldocumento RFC 4510.
Kerberos Es un protocolo de seguridad muy difundido en entornos Unix, aunque adoptado también por otros sistemas operativos como Windows 2000. Kerberos es un sistema de autentificación de usuarios, que posee un doble objetivo:
Impedir que las claves sean enviadas a través de la red, con el consiguiente riesgo de su divulgación.
Centralizar la autentificación de usuarios,manteniendo una única base de datos de usuarios para toda la red.
La arquitectura de Kerberos está basada en tres objetos de seguridad: Clave de Sesión, Ticket y Autenticador.
Las claves de sesión se utilizan para minimizar el uso de las claves secretas de los diferentes agentes.
El ticket es un testigo expedido a un cliente del servicio de tickets de Kerberos para solicitar los servicios de unservidor; garantiza que el cliente ha sido autenticado recientemente. Este ticket incluye el nombre del cliente C, para evitar su posible uso por impostores, un periodo de validez { t1 , t2 } y una clave de sesión KS asociada para uso de cliente y servidor.
El autenticador es un testigo construido por el cliente y enviado a un servidor para probar su identidad y la actualidad de la comunicación; sólopuede ser utilizado una vez.
Como funciona el kerberos
A continuación se describe someramente el protocolo. Se usaran las siguientes abreviaturas:
AS = Authentication Server
TGS = Ticket Granting Server
SS = Service Server.
En resumen el funcionamiento es el siguiente: el cliente se autentica a sí mismo contra el AS, así demuestra al TGS que está autorizado para recibir un ticket deservicio (y lo recibe) y ya puede demostrar al SS que ha sido aprobado para hacer uso del servicio kerberizado.
En más detalle:
Un usuario ingresa su nombre de usuario y password en el cliente
El cliente genera una clave hash a partir del password y la usará como la clave secreta del cliente.
El cliente envía un mensaje en texto plano al AS solicitando servicio en nombre del usuario. Nota: ni laclave secreta ni el password son enviados, solo la petición del servicio.
El AS comprueba si el cliente está en su base de datos. Si es así, el AS genera la clave secreta utilizando la función hash con la password del cliente encontrada en su base de datos. Entonces envía dos mensajes al cliente:
Mensaje A: Client/TGS session key cifrada usando la clave secreta del usuario
Mensaje B:...
Leer documento completo
Regístrate para leer el documento completo.