martes, 31 de diciembre de 2013

Conceptos Básicos: Cómo se identifican los usuarios en los sistemas UNIX y en el Directorio Activo

En UNIX: Identificadores Únicos y demás....


Los usuarios en UNIX  son identificados en el sistema por un identificador único (UID, siglas en Inglés);  sin embargo una identidad completa en UNIX consta de mucho más.  Como observación, para ser una estructura tan sencilla, ha pasado la prueba del tiempo:
  1. Login o nombre de usuario:  es el nombre de la cuenta en un formato legible.  El login debe planearse debido a las limitaciones de ciertas distribuciones de UNIX (como AIX y HP-UX).  
  2. UID:  identificador único (unique identifier o UID en inglés)r.  El número que asigna el sistema operativo a los archivos y carpetas;  procesa permisos y demás. Típicamente los UID del O al 100 son reservados.  La cuenta de súper usuario (root) tiene el UID 0.
  3. Identificador de Grupo (Group ID o GID en Inglés):  Es el grupo primario del usuario.  En sistemas modernos existe el concepto de auto-grupo.  Esto indica que el grupo del usuario es el mismo UID.
  4. Campo GECOS (descripción):  Este es un campo para descripción.  Puede ser el nombre completo del usuario, su título o extensión telefónica. 
  5. Carpeta o directorio de Inicio (Home en Inglés): Ubicación de los archivos del   usuario Usualmente/home o  /exports/home o el estándar de la empresa.
  6. Intérprete de Comandos (o Shell en Inglés):  El intérprete de comandos para el usuario final.  Requiere de planificación ya que no todos los intérpretes se instalan pro defecto en todos los sistemas.
La identidad de los usuarios en sistemas independientes es almacenada en el archivo /etc/passwd.  El formato es el siguiente:  (los dos puntos son el separador)

nombre de usuario : contraseña cifrada (no se usa): UID : GID : Campo GECOS : Carpeta de Inicio : Intérprete de comandos

Ejemplo:
nombre de usuario: juan.perez
UID/GID: 305
GECOS: Juan A. Perez
Inicio: /home/jim
Intérprete: /bin/bash
juan.perez::305:305:Juan A. Perez:/home/juan.perez:/bin/bash
Excelente simplicidad!!!!

En Directorio Activo:  ¿Qué es el UPN?

En el Directorio Activo, las cosas funcionan de manera diferente ya que este es un servicio de directorio LDAP  esto quiere decir que hay muchos campos que deben mucho al legado del estándar x.500:

Notas:  Cuando se crea un usuario en el AD, solo hay que especificar el nombre de usuario, el primer nombre, iniciales, apellido y contraseña.  Sin embargo, es un poco más complejo porque crea los siguientes campos:
  1. El User Principal Name o UPN en Inglés:  es el identificador en el formato de <usuario>@nombre del dominio
  2. sAMAccountName: este campo es el nombre corto (<20 caracteres)
  3. Identificador Unico (o System Identifier, SID en inglés):   En el AD se le llama "Object SID". Continene el identificador del dominio más un identificador global.
Al observar en mas detalles el usuario, podemos ver mucho más información:

Dn: CN=Juan Perez,OU=IT,OU=Staff,DC=contoso,DC=com
accountExpires: 9223372036854775807 (never);
badPasswordTime: 0 (never);
badPwdCount: 0;
cn: Jim Brown;
codePage: 0;
countryCode: 0;
displayName: Juan Perez;
distinguishedName: CN=Juan Perez,OU=IT,OU=Staff,DC=contoso,DC=com;
dSCorePropagationData: 0x0 = (  );
givenName: Jim;
instanceType: 0x4 = ( WRITE );
lastLogoff: 0 (never);
lastLogon: 0 (never);
logonCount: 0;
name: Juan Perez;
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=contoso,DC=com;
objectClass (4): top; person; organizationalPerson; user;
objectGUID: 6698f079-e870-43be-9c14-02260dfbafff;
objectSid: S-1-5-21-3571224596-3006733700-3057749774-1297;
primaryGroupID: 513 = ( GROUP_RID_USERS );
pwdLastSet: 12/10/2013 9:28:34 PM Eastern Standard Time;
sAMAccountName: juan.perez;
sAMAccountType: 805306368 = ( NORMAL_USER_ACCOUNT );
sn: Brown;
userAccountControl: 0x200 = ( NORMAL_ACCOUNT );
userPrincipalName: juan.perez@contoso.com;
uSNChanged: 282804;
uSNCreated: 282799;
whenChanged: 12/10/2013 9:28:34 PM Eastern Standard Time;
whenCreated: 12/10/2013 9:28:34 PM Eastern Standard Time;

Note la cantidad de campos adicionales que fueron creados., muchos de estos son internos para el servicio de directorio como el DN.  Este es el formato x.500 de la ubicación del objeto de usuario.  Básicamente explica que el objeto está bajo una carpeta llamada IT Staff.
Dependiendo de la versión del esquema (schema en Inglés) del Directorio Activo, es posible que se incluyan mas campos por defecto.  Por ejemplo, si el esquema contiene las extensiones del servidor de correos Microsoft Exchange, dependiendo de las reglas una dirección de correo electrónico sea configurada.  Note que el correo electrónico no es necesariamente igual al campo UserPrincipalName.

Entonces, ¿Qué es el Esquema?
Bajo el contexto de las bases de datos, un esquema (o diccionario de datos) define los campos (o atributos) que se pueden definir para un tipo de objeto.  Por ejemplo, las páginas blancas tienen un esquema muy sencillo:
Apellido, Primer Nombre, Inicial
Dirección
Número de teléfono

Si se decide mañana que el correo electrónico debe ser incluido en las páginas blancas, entonces se debe extender el esquema de esta base de datos.  Hay que considerar:

  • ¿Cuántos caracteres son permitidos antes del símbolo de arroba (@)?
  • ¿Se va a verificar la validez del dominio de correos?
Estas dos simples preguntas tienen impacto en el tamaño del almacenamientos y el proceso de implementación.  Sin embargo, si mañana resulta ser que la inclusión del correo electrónico es una mala idea por lo dinámico de esta información, pues hay que eliminar este campo.  En el caso de servicios de directorio, la decisión no es trivial (y en algunos casos imposible)

En una entrada anterior, propuse que el Administrador de Sistemas Windows se preocupa por el potencial uso de extensiones al esquema de AD.  Esta es la razón:  Si se extiende el esquema y la solución falla, ya el directorio no se puede restaurar al estado original y el espacio es parte del esquema.

La preocupación del administrador es muy válida ya que no es hasta que la solución ha sido probada en producción que se puede evaluar su éxito.
El beneficio de usar a Centrify es que usa el esquema nativo del directorio activo.  Desde la versión 31 (incluida en Windows Server 2003 R2) la especificación RFC 2307 fue incluida en el esquema del AD.  O sea que no hay preocupaciones para el administrador.

sábado, 28 de diciembre de 2013

La Gestión de Acceso e Identidades en Plataformas Abiertas (UNIX/Linux) - Un Problema con Múltiples Constituyentes


Administrador de Sistemas UNIX y Linux

  • Me preocupo de no poder acceder a los sistemas si el Directorio Activo no está disponible.
  • Me preocupo que la integración con el nuevo directorio será muy intrusa y afectará la confiabilidad de los sistemas UNIX y Linux
  • Me preocupo que el nuevo esquema de gestión de privilegios hará inflexible el uso de los privilegios de super usuario.
  • Me precupa que no tendré herramientas de linea de comando para automatizar las funciones del trabajo. 
  • Le dedico mucho tiempo a producir reportes y requerimientos de auditoría y seguridad  (atestación)
  • Me preocupa que el nuevo de modelo de gestión implicará que dependeré del grupo de gestión de Windows para hacer funciones triviales.
  • ¿Tendré que limpiar los accesos (chown) una vez este producto quede implementado?
Administrador de Sistemas Windows

  • Me preocupa que la nueva solución requiera extensiones propietarias al esquema del Directorio Activo.
  • Me preocupa la integridad de las controladoras de dominio
  • Me preocupa que los sistemas UNIX demanden memoria y ciclos del procesador por conexiones persistentes (LDAP) a las controladoras del dominio.
  • Me preocupa la carga de trabajo adicional ya que el equipo que administra los sistemas UNIX/Linux serán mis clientes.
Analista o Gerente de Seguridad


  • Necesito que solo el personal adecuado tenga acceso a los sistemas del negocio en las plataformas UNIX/Linux (principio de menor acceso)
  • Necesito detener la práctica de compartir contraseñas de cuentas privilegiadas (como la de super usuario) y que estas se usen cuando sea necesario.
  • Necesito incrementar la responsabilidad del personal de TI
  • Necesito cerciorarme que el personal tiene los privilegios necesarios para su función (no más allá de lo necesario)
  • Necesito presentar a la gerencia y auditoría los reportes de acceso y privilegios de manera rápida, eficiente y sin conflictos de interés.
  • Hay que alinear el negocio con las regulaciones, normativas y mejores prácticas (ejemplos: ISO 27001, SOx, HIPAA, PCI, etc)
  • No estoy seguro que se puede determinar quién hizo ciertas acciones en algunos (hay incidencias de error de usuario y cambios fallidos)

 Gerente de Informática o Arquitecto

  • Me preocupa que se ha invertido mucho dinero en soluciones especializadas, pero cada una de ellas ha incrementado la complejidad de los proyectos.
  • Los proyectos no están produciendo los resultados a tiempo.
  • Me preocupa que los procesos como de restauración de contraseña, alta, baja de usuarios y la certificación de los accesos son complicados e impactantes al negocio.
  • Estoy sorprendido de la gran cantidad de infraestructura requerida por cada solución.
  • La gerencia ha incrementado la presión de que se ahorre dinero y hay mucha presión en los presupuestos.

viernes, 27 de diciembre de 2013

Conceptos Básicos: El Agente de Centrify

El Cliente de Centrify para Directorio Activo
Conocido por su nombre de producto: DirectControl (o adclient internamente) es el producto de integración con el Directorio Activo.  Este usa los servicios LDAP, Kerberos y de Normativa de Grupo.  El agente tiene más de 10 años en el mercado en los que ha incrementado el número de plataformas operativas y también proporciona servicios de gestión de usuarios privilegiados.

 

 Los módulos que constituyen el agente son los siguientes:
  • Módulo NSS:  Usa la facilidad NSS para presentar el AD como una fuente para passwd, group y shadow. 
  • Módulo PAM:  La autenticación es implementada mediante objeto compartido que usa Módulos de Autenticación (PAM)  
  • Librerías y Utilidades Kerberos:  Ofrece una implementación de MIT Kerberos compilada y probada con la implementación de Kerberos del Directorio Activo.
  • Motor de directivas de grupo:  Interpreta y procesa las directivas de grupo del AD en las plataformas UNIX, Linux y Macintosh (Mac OS X).
  • sudo preparado por Centrify:  Una versión de sudo que usa los roles definidos en el directorio activo.
  • Herramientas de la linea de comando:  Centrify ha implementado los comandos del agente (con el prefijo ad), de autorización (con el prefijo dz) y de auditoría (con el prefijo da).
  • Servidores proxy LDAP y NIS:  Estos servicios presentan la información del AD a sistemas que no pueden tener el agente instalado (como appliances o sistemas legado)
  • Depósito de credenciales fuera de linea:  Proporciona alto desempeño (ya que no requiere conexiones persistentes a las controladoras del dominio) y alta disponibilidad (en caso de que el AD no esté disponible, los usuarios pueden iniciar sesiones en los sistemas)
  • Módulos Externos:  Son servicios SSO facilities para servidores Apache, Tomcat, Java y bases de datos DB2.

Comunicación con el Directorio Activo
El agente usa los siguientes puertos de comunicación para conversar con el AD:
Port
Description
TCP 389
Servicio LDAP
TCP 3268
Catálogo Global (Global Catalog Search)
TCP 88
Servicio de Tickets de Kerberos (Kerberos TGT)
TCP 464
Cambios de contraseña en Kerberos
(Kerberos password changes (passwd, adpasswd))
TCP 123
Sincronización de Tiempo
(Network Time Protocol (NTP))
TCP 53
Cliente DNS
(DNS query for A and SRV records)
TCP 445
Opcional:  Protocolo CIFS para obtener objetos de normativa de grupo
(Optional:  SMB to read Group Policies)
Ephemeral Ports
Puertos efímeros requeridos para comunicacion.
(Required for communication)

Las comunicaciones entre el cliente de Centrify y las controladoras de dominio son mutuamente autenticadas y cifradas.  Para más información, ver este artículo.

jueves, 26 de diciembre de 2013

Conceptos Básicos: La Administración de Control de Accesos Tradicional en UNIX y Linux

Múltiples Capacidades-Múltiples Soluciones

Tradicionalmente los sistemas UNIX y Linux usan componentes separados para la implementación de servicios de directorio, resolución de nombres, autenticación, gestión de usuario privilegiado, auditoria y gestión de configuración. 
Nota de moderación: En este blog, se va a referir a la familia de sistemas operativos UNIX (incluyendo a Linux) como UNIX.

Servicios de Directorio en UNIX
Las plataformas UNIX han estado presentes en computación hace varias décadas; estas plataformas son la base del Internet, o sea que su legado es importante para la historia de la tecnología moderna;  con en nacimiento de las plataformas de código abierto la popularidad de estas plataformas ha crecido de manera exponencial.
Este legado implica que tanto las cosas buenas como los desafíos siguen presentes en la plataforma, por ejemplo los usuarios en sistemas UNIX existen:
  • Localmente en el archivo /etc/passwd, o
  • en un  sistema Network Information System (NIS), o
  • en un servicio de directorio dedicado LDAP (como OpenLDAP), o
  • en soluciones comerciales y hasta en el Directorio Activo
El Name Server Switch
Name Server Switch (o NSS, siglas en Inglés) es un mecanismo para proporcionar fuentes de configuración (incluyendo servicios de directorio) de manera que cada programa use la facilidad en vez de tener que ser compilado para cada servicio independiente.  Fue creado por Sun Microsysems (ahora Oracle) para el sistema operativo Solaris.  Es sumamente importante entender NSS ya que es una de los interfaces usados por Centrify para proporcionar servicios  con el Directorio Activo.  El archivo de configuración de NSS en las plataformas UNIX está ubicado en /etc/nsswitch.conf.

Servicios de Autenticación en UNIX
Al igual que los servicios de directorio, la autenticación en UNIX se puede efectuar de las siguientes maneras:
  • Localmente contra el archivo/etc/shadow
  • En un archivo remoto presentado por un dominio NIS
  • Con Kerberos (ejemplos: MIT Kerberos or Heimdal)
Los Pluggable Authentication Modules
Debido a la misma razón de existencia que NIS; Los Módulos de Autenticación Modular (siglas PAM en Inglés) permiten el uso de interfaces de programación para efectuar la autenticación mediante objetos compartidos.  Los módulos PAM se pueden apilar para acomodar múltiples fuentes ó aspectos de la autenticación.  Por ejemplo, un módulo de cuentas (account) puede verificar si la cuenta del usuario es válida en el directorio remoto, el módulo de contraseñas (password) puede verificar si la contraseña ingresada es correcta; el módulo de sesión (session) puede presentar un mensaje del sistema al usuario durante el inicio de sesión.  
Junto con NSS, Centrify usa un módulo PAM para proporcionar servicios de autenticación mediante la implementación de Kerberos del Directorio Activo.

Resolución de Nombres en UNIX/Linux
El servidor BIND es el estándar por defecto para proporcionar servicios DNS en UNIX. 
El cliente (basado en la plataforma) se configura mediante el archivo /etc/resolv.conf file.

Gestión de Usuarios Privilegiados en UNIX/Linux
Cuentas compartidas:
En UNIX, la cuenta de super usuari (root) es equivalente a un Dios.  Esta puede impersonar cualquier usuario y puede apoderarse de cualquier archivo o proceso.  Lamentablemente es muy común (hasta en empresas con alto nivel de madurez) que las credenciales del super usuario son compartidas por el personal de TI.  Esto se presta a abuso o error y es generalmente una mala práctica ya que minimiza la posibilidad de establecer la responsabilidad de las acciones del usuario final.
La práctica de usar cuentas compartidas es generalmente considerada como una mala práctica de seguridad que amerita un comentario de auditoría.
sudo
sudo es una utilidad de gestión de privilegios que permite al usuario final la ejecución de un programa en el contexto de seguridad de otro usuario.  Usa el archivo /etc/sudoers.  Esta práctica es bastante confiable y común.

Soluciones Comerciales:
En el mercado existe una variedad de soluciones para resolver el tema de la gestión de privilegios en UNIX.  En este blog noes enfocaremos en el uso del Directorio Activo y Centrify, sin embargo, otros productios incluyen:
  • Soluciones que ussan programación:  com PowerBroker de BeyondTrust
  • Bóvedas de contraseñas:  Como Cyber-Ark
  • A nivel de Kernel:  como Access Control de Computer Associates.

Contabilidad/Auditoría en UNIX/Linux
El syslog es el repositorio principal de mensajes e incluye los eventos de seguridad.  Nota importante, cuando se usa la cuenta de super usuario algunos eventos no son registrados en el syslog!!!!

Administración de Configuraciones on UNIX/Linux
Tradicionalmente, la gestión de configuración se consigue mediante el uso de programas o scripts creados por los administradores de sistemas.  Sin embargo esta técnica no es atractiva a las grandes empresas (a menos que sea una empresa tecnológica como Google o AOL que pueden comercializar los programas desarrollados internamente); por esto tienden a usar soluciones comerciales como Chef, Puppet, etc.

Conceptos Básicos: El Directorio Activo

Un Directorio Evolucionado
El Directorio Activo (o Active Directory (AD) en Inglés) es el servicio de directorio. Se introdujo en Windows 2000 como sucesor de NTDS 4.0 (Servicios de Directorio de Windows NT 4.0).  Microsoft tomo muy buenas decisiones al diseñar el AD, ya que combinó una infraestructura de autenticación basada en el protocolo Kerberos de MIT para aumentar sus capacidades.
El Servicio AD no solo almacena usuarios, computadoras, impresoras, carpetas compartidas, etc.; sino que también, desde la versión 31 (Windows Server 2003 R2) incluye las definiciones del esquema RFC 2307 (veremos este tema más adelante).

En resumen, el Directorio Activo de Microsoft proporciona:
  • Un servicio de directorio LDAP que tiene la capacidad de asegurar objetos con controles de acceso discrecional (objetos asegurables)
  • Una infraestructura de autenticación basada en Kerberos de MIT
  • Directiva de Grupo, para el reforzamiento de políticas de seguridad y gestión de configuraciones
  • Una Entidad de Certificación  que usa la directiva de grupo para la gestión de certificados digitales.
  • Una infraestructura altamente disponible y con capacidad de crecimiento para satisfacer las necesidades de las mas grandes empresas.
Conceptos Básicos del Directorio Activo
Para una explicación profunda, lea este artículo.  Los conceptos básicos son importantes para el aprendizaje del tema en general.
 
ComponenteDescripción
Unidades OrganizativasLas OU (siglas en Inglés) son como carpetas.  Se usan para organizar objetos en el directorio de manera consistente de acuerdo al modelo de gestión adoptado por la empresa.
DominiosLos dominios son contenedores que comparten una base de datos y políticas de seguridad en común.  Piense en ellos como una unidad de administración.  Cada dominio puede alojar millones de objetos.
Arboles de DominiosSon estructuras jerárquicas.  Tienen nombres contiguos, como en el esquema DNS.  Por ejemplo.  sub1.contoso.com y sub2.contoso.com son subdominios del arbol de dominio contoso.com
BosquesUn bosque es una instancia completa del AD.  Puede contener múltiples dominios y comparte la misma estructura global, esquema de la base de datos y configuración.  Los bosques son fronteras de seguridad.
Sitios y ServiciosLos sitios son colecciones de redes conectadas configuradas bajo conexiones de alta velocidad.  Comúnmente una WAN separa los sitios.
Los servicios se asocian a sitios, de manera que los clientes del directorio puedan conectarse a los servidores óptimos.




Resolución de Nombres
El Directorio Activo depende del servicio DNS para proporcionar resolución de nombre de sistemas a dirección IP.  Y el directorio posee la capacidad de almacenar la base de datos DNS dentro de la misma, esto hace que esta base de datos sea replicada y altamente disponible.  Sin embargo, es posible usar servidores como BIND para alojar las zonas del directorio activo, lo único que se requiere es la capacidad de usar "SRV records" para localizar los servidores del directorio.

Domain Controllers
Las Controladoras de Dominio (DC, siglas en Inglés) almacenan una copia de la base de datos del Directorio Activo.  Las DC retornan los resultados de búsquedas LDAP, procesan requerimientos de autenticación (Kerberos), presentan objetos de configuración (directiva de grupo) a los clientes del directorio.  Las comunicaciones entre las DC y los clientes son cifradas.  Hay varios tipos de DCs:
Çatálogos Globales - Contienen un subconjunto de los atributos de todos los objetos del bosque.
RODCs - Controladoras de dominio que son de solo escritura.
Maestras de Operaciones (FSMO en Inglés) - estas son DCs que tienen roles especiales.  Para más información vea este articulo.

Puntos de Conexión
De acuerdo a Microsoft Technet:   "Un punto de conexión representa una ó más instancias de un servicio que está disponible en la red" Centrify usa puntos de conexión de servicio para establecer múltiples instancias de identidades para objetos en el AD.
 
Por ahora estos conceptos son suficientes.  Las secciones denominadas "Conceptos Básicos" cubrirán más temas de esta índole.

miércoles, 25 de diciembre de 2013

La Gestión de Control de Accesos e Identidades en Sistemas UNIX y Linux

Un gran desafío las organizaciones, sus capacidades y los proyectos

La mayoría de las soluciones de seguridad de IT proporcionan capacidades técnicas, sin embargo una gran cantidad de las organizaciones ven estas soluciones como proyectos que se implementan una vez y son olvidados.  Esto es un grave error, y hace que las soluciones en el área de Gestión de Identidades e Identidades sean difíciles de justificar.

¿Qué es una Capacidad?
 De acuerdo al diccionario de la RAE una de las definiciones de capacidad, es:  "Aptitud, talento, cualidad que dispone a alguien para el buen ejercicio de algo."  En el contexto organizacional de TI, una capacidad consta del siguiente triángulo:
Gente:  la capacidad cognitiva, entrenamiento o destreza que posee el personal para ejercer la capacidad.
Procesos:  las reglas organizacionales que gobiernan la capacidad.
Tecnología:  los activos tecnológicos (hardware, software, licencias, etc.) que proporcionan la capacidad.

Cualquier capacidad en el contexto de la seguridad de la información debe estar alineada con la política de seguridad de la empresa, y esta política responde a los riesgos del negocio.  Las políticas son solo enunciados, sin embargo, la implementación de las políticas pueden ser un simple control, procesos y hasta una capacidad que emplee un gran nivel de personal, procesos y tecnologías.

La Fragmentación de las Capacidades de TI
Este fenómeno ocurre cuando las capacidades son duplicadas (ya sea por falta de conocimiento, legado, políticas y luchas internas o para mantener el estatus quo); este fenómeno afecta de manera negativa la agilidad de la empresa y su eficiencia operacional.

Sobre los controles de seguridad
Los controles de seguridad son de origen preventivo, correctivo o detectivo y se implementan de manera administrativa, técnica y física.  Un control completo implementa la manera de prevenir el el riesgo de un suceso, la manera de recuperar ó corregir el suceso en caso de que pase e implementa mecanismos para detectar el suceso de manera posterior.

Controles de Acceso
Los controles de acceso son las capacidades de seguridad que facilitan la Autenticación, Autorización o Gestión de Privilegios, y la Auditoria.  En esta conversación nos limitaremos a los controles lógicos (no físicos).

La Autenticación verifica la identidad del usuario final usando factores.  El factor más común es el usuario y su contraseña (algo que sabe ó factor singular)
La Autorización, determina si el usuario (o sujeto) puede efectuar una acción o función hacia un objeto (o recurso).  En el contexto de sistemas operativos, esto implica controlar que se puede hacer en aplicaciones, recursos, etc.  Es parte de la gestión de privilegios.
La Audiroría es la contabilidad o registro de las acciones de un sujeto (o usuario).

¿Qué es un Servicio de Directorio?
 De acuerdo a Wikipedia, un servicio de directorio es software "aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una capa de abstracción entre los usuarios y los recursos compartidos".  Existen varios servicios de directorio, pero en este blog nos enfocaremos en el Directorio Activo (Active Directory) de Microsoft.

¿De que se trata este blog?
 El objetivo de este blog es la creación de información básica, casos de uso, requerimientos, soluciones, guías prácticas e información de referencia para ayudar personal de negocios, seguridad, y de sistemas a la implementación de la gestión de control de accesos e identidades en las plataformas UNIX y Linux usando el Directorio Activo de Microsoft y la edición estándar de Centrify.  En este proceso, se tratarán de mezclar las necesidades del negocio con las técnicas y de seguridad de la información.

Herramientas y Metodologías
En la sección práctica de este Blog, sse hará uso de las guías de Microsoft (Microsoft Test Lab Guides)  y de la metodología Planear-Ejecutar-Verificar-Ajustar (Plan-Do-Check-Adjust en Inglés).

Reconocimientos y Notas legales
 Active Directory, Forefront Identity Manager, SQL Server, Exchange Server son productos y marcas registradas de Microsoft Corporation
CentOS es una marca registrada del Proyecto CentOS.
Solaris es una marca registrada de Oracle Corporation
SUSE es una marca registrada de Novell Corporation
DirectControl, DirectAuthorize, DirectAudit, DirectSecure son marcas registradas de  Centrify Corporation