Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Unidad VI Usando Open Directory
OBJETIVOS <ul><li>Usar Open Directory y Directory Service para configurar políticas de búsqueda Open Directory. </li></ul>...
Introducción <ul><li>En este capitulo se mostrara como un servicio de directorios puede ayudar a manejar usuarios y recurs...
¿Qué es un Servicio de Directorio? <ul><li>Un servicio de directorio provee un repositorio central para los usuarios de co...
¿Qué es Open Directory? <ul><li>Es la arquitectura del Servicio de Directorios Apple, incluida en Mac OS X y Mac OS X Serv...
 
Características <ul><li>Posee un Dominio de Directorio en donde se almacena la información de las políticas, usuarios y pr...
Servicios de Directorio y  Dominios de Directorio <ul><li>Open Directory actúa como intermediario entre las aplicaciones y...
Open Directory y Workgroup Manager
Autentificación UNIX <ul><li>Por años, los sistemas UNIX han almacenado la información administrativa en una colección de ...
Funcionamiento de Open Directory <ul><li>Open Directory no utiliza los archivos de configuración del directorio /etc. </li...
Componentes <ul><li>Open Directory está basado en OpenLDAP, una implementación OpenSource del Lightweight Directory Access...
Componentes <ul><li>Open Directory almacena la información del directorio en la base de datos Berkeley DB. </li></ul><ul><...
Estructura de un Directorio LDAP <ul><li>En un directorio LDAP, los registros son ordenados en forma de un árbol jerárquic...
Configuración de Open Directory <ul><li>Usando Server Admin usted tiene la posibilidad de configurar en estos modos: </li>...
Nota:  Para configurar nuestro servidor como un Open Directory Master, es importante tener correctamente configurado el se...
Pasos para la Configuración <ul><li>Determinar el tipo de servidor: Standalone, Replica, Master, Connected.  </li></ul><ul...
Practica Configurar un  Open Directory Master
Información LDAP sobre DHCP <ul><li>Una vez que se ha configurado un servidor Open Directory Master, se debe configurar el...
Configurando un Open Directory Replica <ul><li>Los clientes se pueden conectar a una réplica Open Directory para proveer u...
Métodos de Autentificacion en Mac OS X Server <ul><li>Open Directory ofrece una gran variedad de opciones para autentifica...
Políticas de Contraseñas <ul><li>Kerberos y el Servidor OD Password, refuerzan las políticas de contraseñas. </li></ul><ul...
Creando Backups para los archivos Open Directory <ul><li>Se puede utilizar el Server Admin para crear una copia de segurid...
Resolución de Problemas <ul><li>Debido a que OD incluye algunos servicios, existen también algunos archivos Log, para cont...
Resolución de Problemas  <ul><li>Para resolver problemas con el servicio de directorios, verificar lo siguiente: </li></ul...
Resolución de problemas (Kerberos) <ul><li>Utilizar el comando  changeip  (v10.5) para verificar el FQDN del servidor Open...
Practica Replicación y Políticas de Contraseñas
¿Preguntas?
Upcoming SlideShare
Loading in …5
×

PRUEBA3

2,345 views

Published on

Published in: Technology, News & Politics
  • Be the first to comment

  • Be the first to like this

PRUEBA3

  1. 1. Unidad VI Usando Open Directory
  2. 2. OBJETIVOS <ul><li>Usar Open Directory y Directory Service para configurar políticas de búsqueda Open Directory. </li></ul><ul><li>Usar Workgroup Manager para crear cuentas de usuarios de red. </li></ul><ul><li>Use Open Directory para autenticar una cuenta de usuario. </li></ul><ul><li>Configure el directorio NetInfo local. </li></ul><ul><li>Configure puntos de montaje de red a través del Workgroup Manager. </li></ul>
  3. 3. Introducción <ul><li>En este capitulo se mostrara como un servicio de directorios puede ayudar a manejar usuarios y recursos en la red. </li></ul><ul><li>Aprenderá como integrar Open Directory con otros servicios de directorios en un ambiente mezclado. </li></ul><ul><li>Levantar y manejar directorios y cuentas usuarios con Server Admin, Workgroup Manager y Directory Utility. </li></ul><ul><li>Open diretory es versátil cuando trata de interactuar con otros servicios de directorios, tales como Active Directory, eDirectory y Network Information Server (NIS). </li></ul>
  4. 4. ¿Qué es un Servicio de Directorio? <ul><li>Un servicio de directorio provee un repositorio central para los usuarios de computadores y recursos de red en una organización. </li></ul><ul><li>Por ejemplo: si cada computadora en una red tiene su propia base de datos de autenticación, el usuario debería recordar los diferentes password para cada computadora. </li></ul><ul><li>Esto nos da un esquema de cuentas de usuario inconsistente a través del tiempo. </li></ul><ul><li>El servicio de directorios no solo almacena el nombre de usuario y contraseña, sino que también almacena: preferencias de las cuentas, configuraciones. </li></ul>
  5. 5. ¿Qué es Open Directory? <ul><li>Es la arquitectura del Servicio de Directorios Apple, incluida en Mac OS X y Mac OS X Server. </li></ul><ul><li>Para la seguridad en el Login, Open Directory incluye una autoridad en la autentificacion que usa: Simple Authentication and Security Layer (SASL) y Kerberos. </li></ul><ul><li>Usando SASL, Open Directory puede asegurar el almacenamiento y validez de contraseñas del usuario que desea autenticarse en los computadores o recursos de la red. </li></ul><ul><li>Se puede usar Open Directory para definir políticas como: “Expiración de Password”, “Mínima longitud del password” y “Manejo de uso de preferencias”. </li></ul>
  6. 7. Características <ul><li>Posee un Dominio de Directorio en donde se almacena la información de las políticas, usuarios y procesos del software. </li></ul><ul><li>Se puede utilizar para autenticar usuarios Windows, servicios de archivos y de impresión. </li></ul><ul><li>Se puede integrar con Samba 3 el cual permite actuar como un Windows Primary Domain Controller (PDC) o Backup Domain Controller (BDC) </li></ul><ul><li>Tiene servicios de descubrimiento como: Bonjour, AppleTalk, Service Location Protocol (SLP) y Server Message Block (SMB) </li></ul>
  7. 8. Servicios de Directorio y Dominios de Directorio <ul><li>Open Directory actúa como intermediario entre las aplicaciones y los procesos del software del sistema y los Dominios de Directorio, que son los que almacenan la información. </li></ul><ul><li>Un Dominio de Directorio almacena la información en una base de datos de alto rendimiento. </li></ul>
  8. 9. Open Directory y Workgroup Manager
  9. 10. Autentificación UNIX <ul><li>Por años, los sistemas UNIX han almacenado la información administrativa en una colección de archivos en el directorio /etc: </li></ul><ul><li>Este esquema requiere que todos los computadores tengan sus propios archivos de configuración. </li></ul>
  10. 11. Funcionamiento de Open Directory <ul><li>Open Directory no utiliza los archivos de configuración del directorio /etc. </li></ul><ul><li>En lugar de esto, si se requiere realizar un proceso, Open Directory realiza una búsqueda de la información y la retorna, sin tener en cuenta en donde se va almacenar esta información. </li></ul>
  11. 12. Componentes <ul><li>Open Directory está basado en OpenLDAP, una implementación OpenSource del Lightweight Directory Access Protocol (LDAP), usado para acceder a datos en un servicio de directorios. </li></ul><ul><li>Gracias a ser una arquitectura OpenSource, esta incluye plug-ins para diferentes tipos de directorios, incluyendo Active Directory, eDirectory, NetInfo y NIS. </li></ul><ul><li>Versiones anteriores de Mac OS X y Mac OS X Server usaban el protocolo NetInfo para servicios de directorios. </li></ul><ul><li>Desde la versión 10.3 este protocolo fue remplazado con LDAP en Mac OS X Server. </li></ul>
  12. 13. Componentes <ul><li>Open Directory almacena la información del directorio en la base de datos Berkeley DB. </li></ul><ul><li>Esta base es Open Source y está optimizada para manejar peticiones y consultas de una manera rápida. </li></ul><ul><li>Asimismo Berkeley provee un alto rendimiento al momento de indexar cientos de miles de registros de usuarios. </li></ul><ul><li>Open Directory también incorpora otras tecnologías Open Source, como Kerberos, que implementa una fuerte seguridad en la autenticación utilizando Single Sign-On. </li></ul><ul><li>Se puede integrar el servicio de DHCP con LDAP para configurar los clientes automáticamente, dándoles acceso a los recursos de red, servicios de autenticación, puntos compartidos y preferencias. </li></ul>
  13. 14. Estructura de un Directorio LDAP <ul><li>En un directorio LDAP, los registros son ordenados en forma de un árbol jerárquico. </li></ul><ul><li>La estructura más común está basada en nombres de dominio de Internet. </li></ul><ul><li>Cada entrada puede representar a un usuario, grupo o computador. </li></ul><ul><li>El resto de objetos se colocan debajo de la raíz. </li></ul><ul><li>Cada entrada está referenciada por su DN (distinguished name), el cual está compuesto por: </li></ul><ul><li>El nombre de la entrada o RDN (Relative distinguished name). </li></ul><ul><li>Concatenando los nombres de las entradas de sus ancestros. </li></ul><ul><li>Ejemplo: Entrada Anne Johnson </li></ul><ul><li>RDN: uid=anne </li></ul><ul><li>DN: uid=anne, cn=users, dc=example, dc=com </li></ul>
  14. 15. Configuración de Open Directory <ul><li>Usando Server Admin usted tiene la posibilidad de configurar en estos modos: </li></ul><ul><ul><li>Standalone Server. No provee información de directorio a otras computadoras. </li></ul></ul><ul><ul><li>Server connected to a directory system. El servidor provee servicios que requieran cuentas y usuario y autenticación, pero las cuentas son configuradas en otro servidor. </li></ul></ul><ul><ul><li>Open Directory Replica. El servidor aloja un réplica de un directorio, la réplica es sincronizada periódicamente con el maestro. </li></ul></ul><ul><ul><li>Open Directory Master. El servidor provee un servicio de directorios, autenticación a otros sistemas de manera centralizada. </li></ul></ul>
  15. 16. Nota: Para configurar nuestro servidor como un Open Directory Master, es importante tener correctamente configurado el servicio de DNS, ya que Kerberos necesita los registros DNS para la resolución de nombres del servidor que está alojando el servicio de directorios. Asistente de Configuración de Open Directory
  16. 17. Pasos para la Configuración <ul><li>Determinar el tipo de servidor: Standalone, Replica, Master, Connected. </li></ul><ul><li>Configuración de la cuenta Administrador del Dominio Maestro . Diradmin. </li></ul><ul><li>Ingresar la información del Dominio Maestro . Kerberos Real y Search Base </li></ul><ul><li>Iniciar el servicio. </li></ul>
  17. 18. Practica Configurar un Open Directory Master
  18. 19. Información LDAP sobre DHCP <ul><li>Una vez que se ha configurado un servidor Open Directory Master, se debe configurar el cliente para que se conecte o se “ligue” al servidor. </li></ul><ul><li>En la versión 10.4 se utiliza la aplicación Directory Access, pero en la versión 10.5 se utiliza el Directory Utility los cuales cumplen con la misma función, conectarse a un servicio de directorio. </li></ul><ul><li>Este método puede consumir mucho tiempo configurando en cada maquina, por lo que se puede incluir en el servicio de DHCP la información del servidor LDAP. </li></ul><ul><li>Una vez que el servicio ha sido añadido, servidor LDAP pasa a ser un campo más de los servicios de búsqueda de los computadores clientes.(Dir IP, DNS, Router, etc.) </li></ul>
  19. 20. Configurando un Open Directory Replica <ul><li>Los clientes se pueden conectar a una réplica Open Directory para proveer un servicio de alta disponibilidad y gran escalabilidad de los servicios de directorio. </li></ul><ul><li>Una réplica se sincroniza automáticamente o en intervalos de tiempo específicos con el Open Directory Master. </li></ul><ul><li>Mientras exista un mayor número de réplicas los tiempos de respuesta de las peticiones al servicio de directorios serán más rápidos y eficientes. </li></ul><ul><li>Un Open Directory Master puede tener más de 32 réplicas y cada una de estás réplicas puede contener 32 réplicas más. </li></ul><ul><li>Mac OS X v10.5 utiliza la replicación en cascada, para crear una estructura de “2 capas”, en donde la primera capa es utilizada para transmitir las peticiones de la segunda capa y el OD master. </li></ul>
  20. 21. Métodos de Autentificacion en Mac OS X Server <ul><li>Open Directory ofrece una gran variedad de opciones para autentificar usuarios cuyas cuentas están almacenadas en un directorio LDAP, incluyendo Kerberos y muchos métodos de autentificacion que requieren los servicios de red. </li></ul><ul><li>Open Directory puede autenticar usuarios usando: </li></ul><ul><li>Single Sign-On con un Kerberos KDC incluido en Mac OS X Server </li></ul><ul><li>Contraseñas almacenadas en una Base de datos Open Directory Password Server. </li></ul><ul><li>Constraseñas guardadas en hash, incluyendo NT LAN Manager, NTLMv2, LAN Manager, son archivos que solo el root puede acceder. </li></ul><ul><li>Contraseñas encriptadas, almacendas en las cuentas de usuario. </li></ul><ul><li>Servidores LDAP que son de Apple. </li></ul>
  21. 22. Políticas de Contraseñas <ul><li>Kerberos y el Servidor OD Password, refuerzan las políticas de contraseñas. </li></ul><ul><li>Se puede manejar tiempos de expiración de contraseñas, deshabilitar la autenticación de usuarios, bloquear cuentas por ciertos días. </li></ul><ul><li>Las políticas de contraseñas no afectan a las cuentas de usuario administrador, ya que ellos pueden cambiar las políticas. </li></ul>
  22. 23. Creando Backups para los archivos Open Directory <ul><li>Se puede utilizar el Server Admin para crear una copia de seguridad de un Open Directory Master y los datos de Autenticación. </li></ul><ul><li>La copia de seguridad almacena los siguientes datos: </li></ul><ul><ul><li>Archivos de configuración y la base de datos LDAP. </li></ul></ul><ul><ul><li>La Base de datos OD Password Server. </li></ul></ul><ul><ul><li>La base de datos Kerberos y archivos de configuración. </li></ul></ul><ul><ul><li>Dominio Local NetInfo y la base de datos Shadow password. </li></ul></ul><ul><li>Esta copia de seguridad contiene las contraseñas de todos los usuarios que utilizan OD y directorio Local. </li></ul><ul><li>No es buena practica realizar copias de seguridad de una Réplica OD. </li></ul>
  23. 24. Resolución de Problemas <ul><li>Debido a que OD incluye algunos servicios, existen también algunos archivos Log, para controlar su correcto funcionamiento: </li></ul><ul><ul><li>Directory Services Server Log (Plug-ins cargados correctamente) </li></ul></ul><ul><ul><li>Directory Services Error Log (Fallas en la carga de Plug-ins) </li></ul></ul><ul><ul><li>LDAP Log </li></ul></ul><ul><ul><li>Password Service Server Log (Autenticación de usuarios) </li></ul></ul><ul><ul><li>Password Service Error Log </li></ul></ul><ul><ul><li>Password Service Replication Log </li></ul></ul><ul><li>Este tipo de logs tiene un nivel de complejidad alto, por lo que si no se tiene mucha experiencia es mejor publicarlo o consultarlo con Administradores que tengan mayor conocimiento en el tema. </li></ul>
  24. 25. Resolución de Problemas <ul><li>Para resolver problemas con el servicio de directorios, verificar lo siguiente: </li></ul><ul><li>Usar Directory Utility para verificar el método de autenticación LDAP del sistema. </li></ul><ul><li>Verificar las configuraciones de red. </li></ul><ul><li>Saber diferenciar entre un Administrador Local y un Administrador de Directorio. </li></ul>
  25. 26. Resolución de problemas (Kerberos) <ul><li>Utilizar el comando changeip (v10.5) para verificar el FQDN del servidor Open Directory. </li></ul><ul><li>Verificar que el servidor DNS resuelva correctamente las peticiones. </li></ul><ul><li>Kerberos utiliza un método de autenticación basado en tiempos de expiración (timestamps), por lo que se debe verificar la sincronización de las horas entre el cliente y el servidor. </li></ul><ul><li>Si existe una diferencia mayor a 5 minutos la autenticación puede fallar. Se puede utilizar el NTP (Network Time Protocol) </li></ul><ul><li>Reconfigurar el Open Directory Master. </li></ul><ul><li>Verificar los Kerberos Tickets, los cuales se encuentran ubicados en: (/System/Library/CoreServices) </li></ul><ul><li>Verificar que no existan tickets duplicados (Server Admin) </li></ul>
  26. 27. Practica Replicación y Políticas de Contraseñas
  27. 28. ¿Preguntas?

×