lunes, 6 de octubre de 2014

Conceptos Básicos: Qué constituye una Identidad en la Nube

Qué constituye una Identidad en la Nube

¡¡Hola!! desde Panamá.  Estamos visitando esta meca centroamericana como participantes e la conferencia Latinoamericana ISACA CACS/ISRM 2014.
También tuvimos el privilegio de ser charlistas en la sesión de Identidad en la nube, la nueva seguridad.

Introducción

Esta nueva serie se enfoca en la Identidad como Servicio en la nube (IdaaS).  Como saben, Centrify tiene dos lineas de producto:  Server Suite y User Suite.  El primer tópico es entender la composición de la identidad en la nube.  A nivel básico, puede ser tan simple como un identificador y una contraseña, sin embargo en la práctica esto no se traduce en aplicaciones con mucho valor.

¿Cuál es el problema con identidades en la nube?

Las aplicaciones SaaS extienden las fronteras de IT de la empresa ya que estas ofrecen sus servicios fuera e la empresa transportadas vía el Internet.  Esto implica que el suministro (alta/baja) eficiente es imperativo.  Una vez un usuario sale de la empresa, si no hay un proceso rápido y consistente de baja del usuario se produce una exposición al riesgo de fuga de información.  Este es el problema más básico, sin embargo es solo parte de la historia.  Cualquier aplicación que ofrece valor agregado tendrá requerimientos más complejos que van más allá de la identidad y la Federación (SSO):

  • Asignación de licencias:  este tópico afecta los costos de la aplicación.  La manera que su proceso se asegure que las licencias sean gestionadas y recicladas de manera adecuada puede impactar el costo de licenciamiento.
    En este ejemplo, pueden ver los costos de Google Apps.
  • Gestión de Roles, Perfiles o Grupos:  Dependiendo de la aplicación, el rol o perfil define los parámetros o derechos dentro de la aplicación.  Este es el principio de una seguridad adecuada
     
    Salesforce usa los perfiles (profile) para los accesos basados en roles.
  • Autenticación Multifactor (MFA) y verificación de dos pasos:  Estas capacidades son cada vez más necesarias, ayudan a complementar las directivas y políticas.  Los ataques recientes a sistemas de consumidor son ejemplos de esta necesidad.
    Múltiples factores de autenticación y verificación de dos pasos son imperantes
  • Políticas:  Cada proveedor SaaS tiene diferentes contextos y maneras de lidiar con las directivas y políticas.  Sin embargo ¿no sería conveniente tener un marco de referencia o modelo consistente que funcione en todos los puntos finales (estaciones, móviles)?
    Los proveedores SaaS tienen diferentes modelos de directivas
  • Apoyo a la Gestión de Móviles (MDM), Aplicaciones Móviles y SSO Móvil:  Esta capacidad se hace imprescindible a medida que los móviles son una parte más importante en el arsenal del trabajador de la información.
    MDM, MCM, y SSO Móvil son más prevalentes

¿Existe una solución consolidada amigable al Directorio Activo?

La pregunta final es la siguiente - ¿existe una solución que puede resolver esta problemática con infraestructura actual (AD) y sin la necesidad de sincronizar información privilegiada?   

¡Si!

De eso se trata Centrify User Suite.  En los siguientes artículos vamos a explorar ejemplos prácticos con Google Apps, Office 365 and Salesforce. El  primer artículo va a tratar sobre el concepto de Federación.

miércoles, 5 de marzo de 2014

Laboratorio # 5: Creación y Configuración de la Zona HQ y Grupos de Sistemas

En este laboratorio
  • Usaremos la consola Access Manager para crear la zona llamada HQ
  • Se definirá la configuración de identidades UNIX por defecto para la zona
  • Se crearán los Roles de Sistemas (Computer Roles) para los sistemas de bases de datos y servicios Web.


    Encienda el CC para ver la transcripción en Español.
Para crear la zona HQ
  1. Ingrese al sistema CLIENT1 con Jessie (el administrador UNIX)
  2. Abra la consola Centrify Access Manager (del escritorio)
  3. En la ventana Connect to forest, seleccione OK
  4. En la consola Access Manager, en el lado izquierdo, haga click derecho en Zones y seleccione Create New Zone.
  5. En zone name, escriba HQ y presione el botón next.
  6. En la página de compatibilidad (Agent Compatibility page) vamos a seleccionar Hierarchical Zone.
    En este blog no se contemplarán las zonas Clásicas.
  7. En la ventana Management Model, seleccione Standard Zone, presione Next y luego Finish.
 Configure la configuración por defecto de las identidades UNIX de la zona
  1. En el panel izquierdo, expanda Zones, y luego la zona HQ.
  2. Haga click derecho a esta zona (HQ), seleccione properties y seleccione la pestaña de  User Defaults.
  3. En el campo UID,  abra el menú desplegable y seleccione auto-private group.  Siga a la pestaña Group Defaults
  4. En el campo GID, abra el menú desplegable y seleccione Generate GID from SID
  5. Seleccione OK, esto cerrará las propiedades.
Nota:  Estos son los valores por defecto, las identidades se pueden modificar en cualquier momento.

Añada los Roles de Computadoras (Computer Roles) para los Servidores de Bases de Datos y Servidores Web
  1. En el panel izquierdo, expanda Zones > HQ > Authorization
  2. Haga click derecho en Computer Roles y seleccione "Create Computer Role" 
  3. En el nombre (name), escriba Database Servers
  4. En la opción de computers group, haga click en el menú desplegable y seleccione <...>
  5. En la ventana de Find Objects, digite UNIX y presione el botón Find Now.
  6. En los resultados, haga doble click al grupo UNIX Database Servers y seleccione OK
    Repita el mismo proceso para los servidores Web, con el nombre Web Servers con el grupo de AD UNIX Web Servers. 

martes, 14 de enero de 2014

Conceptos Básicos: Las Zonas de Centrify

¿Qué son las Zonas (Zones)?

  • De acuerdo al diccionario de la Real Academia Española:
    f. "Extensión considerable de terreno cuyos límites están determinados por razones administrativas, políticas, etc"
  • Un nombre de mercadeo de una tecnología (12etc.)
  • Un mecanismo para establecer modelos de gobernación de seguridad (accesos y privilegios) para sistemas UNIX y Linux (también Windows!) con el Directorio Activo y las soluciones de Centrify.
La tercera opción es la mejor, pero la respuesta es un componente de las tres definiciones. En el contexto de la gestión de accesos y privilegios, las zonas de Centrify son como carpetas que almacenan información de identidad e información sobre los privilegios de los usuarios.  Las zonas combinan el uso de Directorio Activo, la especificación RFC 2307, técnicas propias de Centrify y la metodología de Windows Authorization Manager para permitir la implementación de estos principios:

  1. El principio de mínimo acceso:  el usuario final solo debe poder acceder sistemas relacionados a sus funciones en la empresa.
  2. El principio de mínimos privilegios:  el usuario final solo debe tener los privilegios necesarios para ejecutar sus funciones en la empresa.
  3. El principio de separación de funciones:  controles que requieren que más de una pueda ejecutar ciertas funciones para prevenir error o fraude. 
Estos principios se pueden implementar usando el control de accesos basado en roles (Role Based Access Controls, RBAC en inglés).  Las zonas permiten la gestión de identidades en UNIX (login, UID, GID, Home, Shell, etc.) 

Reutilización de Procesos
Una capacidad no muy conocida de las Zonas es que permiten que las organizaciones reutilicen sus procesos existentes para la alta/baja y cambio de identidades UNIX, administración de accesos y gestión de privilegios.  El proceso es la práctica de agregar, remover o combinar las membresías en grupos de seguridad del Directorio Activo.  Por años este mismo proceso se ha utilizado para otorgar privilegios, proporcionar acceso a carpetas de red o impresoras de red, servicios de Exhange o Sitios de Sharepoint, entre otros.

¿Qué quiere decir esto? Simplicidad de la Integración
La integración entre Centrify y cualquier otra solución que proporcione servicios de gestión de identidades, aprovisionamiento y gestión de privilegios es bastante sencilla ya que no requiere agentes o conectores dedicados.  CUALQUIER solución de esta índole tiene la abilidad de integrarse al Directorio Activo y proporciona las funciones de alta y baja de usuarios a los grupos de seguridad del Directorio Activo (independientemente del producto o vendedor: Oracle, Courion, Microsoft FIM, Sailpoint, etc.) 

La Historia de las Zonas de Centrify
Las zonas eran de dos dimensiones (planas), a esto se le llama zonas clásicas (classic zones);  las limitaciones de las zonas planas es que su administración requería de mucho esfuerzo.  Esto cambió hace unos años con la introducción de zonas jerárquicas (hierarchical zones ó HZ).  El gran poder de las zonas se extendió al implementar la gestión de accesos y privilegios, y desde el año 2013 las zonas pueden establecer gobernación de acceso y privilegio tanto a sistemas UNIX como Windows!!!!  Esto tiene altas implicaciones para las empresas que desean incrementar su seguridad y hacerlo de manera fiduciaria.
Nota de Moderación:  El autor opina que las zonas clásicas deben ser expiradas del producto.  Este blog no poporciona soluciones con zonas clásicas.

¿Cuáles son las reglas de diseño para las Zonas de Centrify?


  • Una sola zona combinada con roles de computador (Computer Roles) debe satisfacer la necesidad de la mayoría de las organizaciones.  Sin embargo, es posible que existan normativas, razones legales o administrativas que impliquen la creación de zonas paralelas o subzonas (por ejemplo: reglas de la unión Europea, Separación de funciones, la normativa de tarjetas de pago, etc.)
  • Cada zona que se utilice para controlar acceso a los sistems UNIX debe tener definida sus reglas para el control de identidades UNIX (UID, GID, login, Shell, GECOS).  La consola Access Manager proporciona múltiples opciones, pero la más común es:
    • El login es la cuenta de usuario del AD samAccountName  (username)
    • UID/GID la mejor opción es generar un número único basado en el SID.  El SID es el SystemIdentifier en el AD.
    • El campo GECOS usualmente es el Display Name del AD (Nombre + Apellido)
    • Los campos Home y Shell usan variables para especificar lo que defina el sistema.  Esto puede ser bastante conveniente.
  • Para cada zona dedicada para UNIX, los mecanismos de aprovisionamiento deben ser planeados (manual, automático, etc)
  • Las identidades se otorgan al nivel de la zona.  Las desviaciones y cambios a nivel de la sub-zona y sistema se consideran excepciones al proceso.
  • Los privilegios (RBAC) se otorgan al idealmente nivel del grupo de sistemas;  cualquier desviación es una excepción.
Como hemos definido en este blog, el diseño de una zona se debe acatar a la metodología de Planear-Ejecutar-Verificar y Ajustar


¿Qué es el modo AutoZone?


AutoZone (AZ) es un modo de operación del agente de Centrify que permite que los sistemas UNIX, Linus o Mac ingresen al dominio sin restricciones de acceso para cualquier usuario del dominio AD local (o dominios confiados); efectivamente el sistema actua como una estación de trabajo normal.
El modo AutoZone es el único modo de operación de Centrify Express para UNIX/Linux;  aunque este escenario es deseable en algunas instancias, no se alinea con el principio de minimo acceso, o sea que sistemas con información u operaciones sensitivas no deben ser implementados en este modo de operación.

Otras desventajas del modo AutoZone son: 
  • Hay que ser cuidadoso con la planeación.  En dominios con decenas de miles de usuarios las operaciones de cacheo son intensivas al desempeño del sistema. La regla es que si hasy mas de 1500 usuarios en el dominio, hay que establecer filtros o moverse a modo de Zonas.
  • El modo AutoZone (express) no permite la manipulación de datos de identidad (login, UID, GID, etc)
  • AutoZone no proporciona la gestión basada en roles (RBAC).  No hay agrupación de sistemas, etc.\
Este modo de operación será contemplado de manera limitada en este blog.

lunes, 13 de enero de 2014

Laboratorio # 4: Instalación Centrify Standard Edition

En este laboratorio:

  • Se instalará la consola Centrify Access Manager
  • Se configura la consola Access Manager y especificaremos la carpeta OU para Licencias y Zonas
  • Se verificarán las extensiones del programa Active Directory Users and Computers (ADUC) en el sistema CLIENT1
   
(presione el botón CC para ver la traducción al español)


Install the Centrify Standard Suite Access Manager

  1. Ingrese al sistema CLIENT1 con el usuario Bryant Wheeler (Administrador de Windows)
  2. Lanze el Windows Explorer y a bra a la carpeta  \\APP1\Files.  Copie la carpeta con los fuentes de instalación de Centrify en el escritorio (para no instalar usando la red).
  3. Abra la carpeta DirectManage64 (o 32) y lanze el programa Setup.
  4. En la ventana Welcome, presione next, seleccione "Agree" en los términos de la licencia, presione next, ingrese el nombre de su compañía, presione next. 
  5. En la página de componentes, de-seleccione "Direct Manage Access - Utilities" y presione next.
  6. Presione Next en la ventana Destination folder
  7. Presione next y haga un check en Disable Publisher verification page  (nuestro laboratorio no tiene acceso al internet)
  8. Presione next en la página resumen (summary) y next para iniciar a instalación.  Presione Finish cuando esta termine.
Configuración Inicial de Access Manager
  1. Abra el programa Centrify DirectManage Access Manager (Access Manager) del escritorio.
  2. Presione OK en la ventana "Connect to forest".
  3. Presione siguiente (Next) en las ventanas Welcome y User Credentials
  4. En la página Specify Licenses containers, presione browse y especifique la carpeta OU  Licenses OU bajo la Carpeta OUUNIX y presione next.  Haga click a Yes en la ventana que aparece.  (Todos los usuarios tendrán acceso de lectura a esta carpeta OU)
  5. En la ventana Install license keys, ingrese la llave proporcionada por Centrify o use la llave de 30 días y presione next.
  6. En la ventana Default Zone containers, presione browse y selecione Zones (bajo UNIX), presione next.
  7. Quite el check en la ventana Delegation (no es necesario ya que las computadoras van a otra carpeta), y presione next.
  8. Presione siguiente en la ventana AD notification handler.
  9. Seleccione el check en la ventana Activate Pages y presione next, presione next en la ventana Summary, y luego presione Finish.
Verificación de la Pestaña Centrify en ADUC
  1. Abra Start > All Programs > Administrative Tools  y haga click en el programa Active Directory Users and Computers (ADUC)
  2. Navegue a la OU llamada Staff OU y haga doble-click en la cuenta de Bryant.
  3. Verifique que existe una pestaña llamada Centrify en las propiedades del usuario.

domingo, 12 de enero de 2014

Laboratorio # 3 - Preparación del Directorio Activo

En este laboratorio

  1. Vamos a crear una Carpeta Organizadora (OU) llamada UNIX para almacenar el resto de los objetos y vamos a delegar la administración al Administrador de Sistemas UNIX.
  2. Vamos a crear las Sub-Carpetas: Licenses (para las licencias), Zones (para las zonas), Roles (para los grupos que almacenan los roles), UNIX Groups (para los grupos UNIX), Servers (para los objetos de sistemas) y Computer Groups (para los grupos de computadoras).
  3. Vamos a crear los grupos de seguridad necesitados en el Directorio Activo para la asignación de roles y agrupación de computadoras.

Para crear la Carpeta Organizadora y Delegar los permisos


(presione el botón CC para ver la transcripción en español)
  1. Ingrese al sistema CLIENT1 con el usuario Bryant Wheeler (Administrador de Windows)
  2. Abra Start > All Programs > Administrative Tools  y haga click en el programa Active Directory Users and Computers (ADUC)
  3. En el lado izquierdo, haga click derecho en el dominio corp.contoso.com  y seleccione New > Organizational Unit
  4. Ingrese el nombre UNIX y presione OK
  5. En el menú View, seleccione Advanced Features (esto habilitará la pestaña de seguridad)
  6. Haga click derecho en la carpeta UNIX y seleccione Properties.   En la pestaña Security, presione el botón Advanced.
  7. En la pestaña Permissions presione Add. En la caja Object name, ingrese el nombre Jessie.Matthews y presione el botón check names (esto resolverá el nombre) y presione OK.
  8. En la ventana permission entry, haga un check bajo la opción Full Control en la columna Allow y presione OK tres veces.
  9. Cierre el programa ADUC y la sesión del sistema CLIENT1.
Ahora, el usuario Jessie (Administrador de sistemas  UNIX) tiene acceso administrativo a los objetos bajo esta OU.  El tendrá la capacidad de crear objetos, integrar sistemas al dominio, manipular identidades UNIX, etc, siempre y cuando sea bajo esta OU.


Creación de las siguientes Carpetas OU
(Licences, Zones, Roles, Servers, UNIX Groups)


(presione el botón CC para ver la transcripción en español)
  1. Ingrese al sistema CLIENT1 con el usuario Jessie Matthews  (Administrador UNIX)
  2. Abra Start > All Programs > Administrative Tools  y haga click en el programa Active Directory Users and Computers (ADUC)
  3. En el lado izquierdo, expanda el dominio corp.contoso.com y haga click derecho en la OU UNIX y seleccione  New > Organizational Unit
  4. Ingrese el nombre Licenses y presione OK.  
  5. Repita los pasos 3 y 4 para:

  • Licenses: contenedor para almacenar la información de licencias de Centriy (ya creada)
  • Zones: Para almacenar las zonas.  Las zonas son como folders que guardan sistemas, usuarios, grupos e información de autorización.
  • Servers:  para almacenar los objetos de sistemas UNIX/Linux ingresados al dominio
  • Roles:  para almacenar los grupos de seguridad que se usarán para almacenar roles
  • UNIX groups:  para almacenar los grupos de seguridad asociados a grupos UNIX
  • Computer Groups:  para almacenar los grupos de seguridad usados para agrupar sistemas.

Creación de los Grupos de Seguridad (Roles y Grupos de Computadoras)

  1. Haga click derecho en la OU llamada Roles (bajo UNIX) y seleccione New > Group
  2. Ingrese el nombre UNIX Super Users y presione OK.  (A este grupo pertenecerán los súper usuarios)
  3. Haga click derecho en la OU llamada Roles (bajo UNIX) y seleccione New > Group
  4. Ingrese el nombre UNIX Regular Users y presione OK. (A este grupo pertenecerán los usuarios normales)
  5. Haga click derecho en la OU llamada Computer Groups (bajo UNIX) y seleccione New > Group
  6. Ingrese el nombre UNIX Database Servers y presione OK. (A este grupo pertenecerán los sistemas bases de datos)
  7. Haga click derecho en la OU llamada Computer Groups (bajo UNIX) y seleccione New > Group
  8. Ingrese el nombre UNIX Web Servers y presione OK. (A este grupo pertenecerán los sistemas web)

Laboratorio # 2: Implementando los sistemas UNIX/Linux en el Laboratorio Base

En este laboratorio
  1. Se instalarán los sistemas CentOS 6.5, SUSE 10 SP3 y Solaris 5.10
  2. Se verificarán las configuraciones de red (TCP/IP) y del servicio SSH de los sistemas UNIX/Linux.
  3. Se modificarán los sistemas para que no lanzen los ambientes gráficos
  4. Se verificará que el servicio Name Server Cache Daemon (NSCD) funciona automáticamente.
  5. Se crearán usuarios locales en los sistemas y se habilitará la facilidad sudo::
    Dos usuarios en cada sistema y Jessie Matthews (jmatthews):
    Dos usuarios en el sistema de base de datos (CEN1); Jeremy Silva (jsilva) & Ramon Jimenez (rjimenez)
    Dos usuarios en el sistema web  (SUSE1); Doyle Russell (drussell) & Matt Sims (msims)
    A los usuarios centrifying, jmatthews se asignarán al grupo wheel group para que puedan elevar privilegios con sudo.
  6. Se comprobará la conectividad entre el sistema CLIENT1 y los sistemas usando el cliente SSH PuTTY 
  7. Se copiarán los agentes de Centrify en la plataforma correspondiente
Requerimientos del laboratorio

Instalación de los sistemas UNIX/Linux

Los sistemas en esta guía:
  • CentOS 6.5 (CEN1) con dirección IP 10.0.0.151
  • Novell SUSE 10 (SUSE1) con dirección IP  10.0.0.152
  • Solaris 5.10 x86 (SOL1) con dirección IP  10.0.0.153  

Para configurar los Sistemas UNIX/Linux
Siga las instrucciones para cada plataforma:
En el sistema CEN1
  1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  super usuario y abra una terminal.
  2. Verifique si el sistema está corriendo el servicio NetworkManager (NM)
    service NetworkManager status
    NetworkManager (pid ####) is running

    Nota: Siga los pasos apropiados si no usa el NetworkManager
  3. Edite el archivo /etc/sysconfig/network con:HOSTNAME=cen1.corp.contoso.com
  4. Copie la dirección MAC del interfaz: (Ejemplo eth0 with the Mac address 00.0c.29.2b.b7.ca)
    ifconfig eth0 | grep HWaddr
    eth0   Link encap: Ethernet  HWaddr  00:0C:29:2B:B7:CA
  5.  Edite (o cree) el archivo /etc/sysconfig/network-scripts/ifcfg-<interfaz> y ingrese (o edite) las siguientes lineas:  (con el ejemplo anterior)
    DEVICE=eth0
    NM_CONTROLLED=yes
    ONBOOT=yes
    HWADDR=00:0C:29:2B:B7:CA
    IPADDR=10.0.0.151
    NETMASK=255.255.255.0
    DNS1=10.0.0.1
  6. Reinicie el servicio de la red:
    service network restart
  7. Verifique la configuración (hostname, configuración DNS, prueba ping test a crl.corp.contoso.com)
    # hostname
    cen1.corp.contoso.com
    # cat /etc/resolv.conf    (busque las siguientes lineas)
    search corp.contoso.com
    nameserver 10.0.0.1
    # ping crl
    PING crl.corp.contoso.com (10.0.0.3) 56(84) bytes of data.
    64 bytes crl.corp.contoso.com (10.0.0.3): icmp_seq=1 ttl=128 time=17.2 ms

    Esto verifica que la configuración de la red está correcta y que el sistema tiene configurado a DC1 como su servidor DNS.
  8. Cerciórese que el servidor SSH está corriendo:
    chkconfig | grep ssh
  9. Si el servicio está apagado en los niveles de operación 3 y 5, habilite con este comando:
    chkconfig sshd on --level 35
  10. Instale y habilite el servicio NCSD: 
    rpm -Uvh 
    nscd-2.12-1.132.el6.x86_64.rpm
    chkconfig nscd on --level 35
    service nscd start
  11. Asegúrese que el servidor SSH está configurado para la autenticación con el módulo PAM y que la opción de ChallengeResponse está habilitada.  En el archivo /etc/ssh/sshd_config edite las siguientes lineas:
    UsePAM  yes
    ChallengeResponseAuthentication yes

    Si hay lineas con los valores negativos, estas deben ser comentadas (con el signo de libra #) de lo contrario la última linea procesada será la configuración efectiva.
  12. Hay que crear los usuarios administrativos y los DBAs:
    useradd -m -c "Centrifying User" centrifying
    useradd -m -c "Jeremy Silva" jsilva
    useradd -m -c "Ramon Jimenez" rjimenez
    useradd -m -c "Jesse Matthews" jmatthews (usuario administrativo)
  13. Para otorgar privilegios administrativos a Jessie y Centrifying
    usermod -G wheel centrifying
    usermod -G wheel jmatthews
  14. Configure Sudo en el sistema
    vi /etc/sudoers
    Solo hay que quitar el comentario a la linea del grupo wheel.
    %wheel ALL=(ALL)       ALL
    Grabe el archivo.
En el sistema SUSE1
  1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  super usuario y abra una terminal.
  2. Edite el archivo /etc/hostname (o copie uno nuevo si no existe) con esta linea:
    suse1
  3. Edite el archivo /etc/hosts.  Escriba el nombre del sistema en la linea correspondiente:
    127.0.0.1       localhost  suse1
  4. Edite el archivo /etc/resolv.conf  y añada estas lineas:
    search corp.contoso.com
    nameserver 10.0.0.1
  5.  Edite (o cree) el archivo /etc/sysconfig/network-scripts/ifcfg-<interfaz> y ingrese (o edite) las siguientes lineas:  (con el interfaz eth0)
    DEVICE=eth0
    ONBOOT=yes
    IPADDR=10.0.0.152
    NETMASK=255.255.255.0
  6. Reinicie el servicio de red:
    service network restart
  7. Verifique la configuración (hostname, configuración DNS, prueba ping test a crl.corp.contoso.com)
    # hostname
    suse1
    # cat /etc/resolv.conf    (busque las siguientes lineas)
    search corp.contoso.com
    nameserver 10.0.0.1
    # ping crl
    PING crl.corp.contoso.com (10.0.0.3) 56(84) bytes of data.
    64 bytes crl.corp.contoso.com (10.0.0.3): icmp_seq=1 ttl=128 time=17.2 ms

    Esto verifica que la configuración de la red está correcta y que el sistema tiene configurado a DC1 como su servidor DNS.

  8. Cerciórese que el servidor SSH está corriendo:
    chkconfig | grep ssh
  9. Si el servicio está apagado en los niveles de operación 3 y 5, habilite con este comando:
    chkconfig sshd on --level 35
  10. Cerciórese que el servicio NCSD está corriendo

    chkconfig --list | grep nscd
    nscd      0:off  1:off  2:off  3:on   4:off  5:on   6:off
  11. Si el servicio está apagado en los niveles de operación 3 y 5, habilite con este comando:
    chkconfig nscd on --level 35
  12. Asegúrese que el servidor SSH está configurado para la autenticación con el módulo PAM y que la opción de ChallengeResponse está abilitada.  En el archivo /etc/ssh/sshd_config edite las siguientes lineas:
    UsePAM  yes
    ChallengeResponseAuthentication yes

    Si hay lineas con los valores negativos, estas deben ser comentadas (con el signo de libra #) de lo contrario la última linea procesada será la configuración efectiva.
  13. Hay que crear los usuarios administrativos y los Usuarios Web:
    useradd -m -c "Centrifying User" centrifying

    useradd -m -c "Doyle Russell" drussell
    useradd -m -c "Matt Simms" msimms
    useradd -m -c "Jesse Matthews" jmatthews
    Nota:  el comando useradd está en /usr/sbin en caso que no esté en el path.
  14. Para otorgar privilegios administrativos a Jessie y Centrifying
    usermod -G wheel centrifying
    usermod -G wheel jmatthews
  15. Configure Sudo en el sistema
    vi /etc/sudoers
    Solo hay que quitar el comentario a la linea del grupo wheel.
    %wheel ALL=(ALL)       ALL
    Grabe el archivo.
En el Sistema SOL1

En un sistema Solaris,hay que cambiar estos archivos para cambiar la configuración de red:
/etc/nodename
/etc/hostname.interface
/etc/inet/hosts
/etc/inet/ipnodes
/etc/defaultdomain
/etc/netmasks
/etc/defaultrouter 
/etc/resolv.conf 
/etc/nsswitch.conf 
 No se configurará el default gateway (default router) por ahora
  1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  super usuario y abra una terminal.
  2. Si el sistema está configurado para usar DHCP, borre el archivo /etc/dhcp.<interface> (por ejemplo: dhcp.e1000g0)
  3. Edite el nombre del nodo en el archivo the /etc/nodename con esta linea
    sol1
  4. Edite el nombre del sistema en el archivo /etc/hostname.<interface>  file (e.g e1000g0  /etc/hostname.e1000g0) con esta linea:
    sol1
  5. Edite el archivo /etc/inet/ipnodes  y añada esta linea
    10.0.0.153    sol1
  6. Edite el archivo  /etc/inet/hosts  y añada esta linea
    10.0.0.153    sol1
    también modifique esta linea
    127.0.0.1 localhost sol1
    Cerciórese que no hay "localhost.localdomain"
  7. Edite el archivo /etc/defaultdomain file  (hay que crear el archivo si no existe), sólo escriba esta linea:
    corp.contoso.com
  8. Edite el archivo /etc/netmasks y añada esta linea
    10.0.0.0    255.255.255.0
  9. Edite el archivo/etc/resolv.conf file añada estas lineas:
    search corp.contoso.com
    nameserver 10.0.0.1
  10. Verifique que el archivo /etc/nsswitch.conf está configurado para resolver nombres usando DNS.  Añada la entrada 'dns' si es necesario.  Puede verificar esto con el comando
    cat /etc/nsswitch.conf | grep dns  
    Los resultados deben ser asi (editelo si es necesario)
    hosts:    files dns
    ipnodes:  files dns
  11. Probablemente tendrá que reiniciar el sistema (si cambió el archivo /etc/nsswitch.conf o reiniciar la red
    svcadm restart physical
  12. Verifique la configuración (hostname, configuración DNS, prueba ping test a crl.corp.contoso.com)# hostnamesuse1
    # cat /etc/resolv.conf    (busque las siguientes lineas)

    search corp.contoso.com
    nameserver 10.0.0.1
    # ping crl
    crl is alive

    Esto verifica que la configuración de la red está correcta y que el sistema tiene configurado a DC1 como su servidor DNS.
  13. Verifique que el servicio NCSD está corriendo:
    $
    svcs \*name-service-cache\*STATE          STIME    FMRIonline         Dec_24   svc:/system/name-service-cache:default
  14. Hay que crear los usuarios administrativos:
    useradd -m centrifying
    useradd -m -c "Jesse Matthews" jmatthews

Modifique los equipos para que inicien en modo de interfaz gráfico
No usaremos los ambientes gráficos (GUI) ya que estos se usarán con el propósito de servidores

En los sistemas CEN1 y SUSE1
  1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  súper-usuario y abra una terminal
  2. Edite el archivo /etc/inittab
    id:3:initdefault:
  3. Reinicie el equipo para que arranque en modo multi-usuario de servidor.
 En el sistema SOL1
  1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  súper-usuario y abra una terminal
  2. Deshabilite el ambiente gráfico
    /usr/dt/bin/dtconfig -d
  3.  El escritorio CDE o Java desktop ha sido deshabilitado, reinicie el equipo para que arranque en modo multi-usuario de servidor.

Pruebe la conectividad con el cliente PuTTY
  1. Inicie en el equipo CLIENT1 con el usuario jessie.matthews.
  2. Abra  el programa PuTTY y pruebe conexiones a todos los sistemas con su nombre (no con su dirección IP)
  3. Opcional:  Grabe la sesión para cada equipo.
Nota:  No se recomienda que se permita el acceso de la cuenta de super usuario (root) con una terminal SSH.  Si prefiere hacer esto en su laboratorio (no es recomendado para que no se desarrollen malos habitos), hay que cerciorarse que el parámetro PermitRootLogin  está habilitado en el archivo de configuración del servidor SSH (/etc/ssh/sshd_config).
    Copiado del agente de Centrify en los Sistemas
    1. En el sistema CLIENT1, en el Explorador de Windows y abra la carpeta de red \\APP1\Files
    2. Abra el programa WinSCP
    3. Establezca una conexión a CEN1 con un usuario privilegiado.  Crear una nueva carpeta llamada Temp en el sistema de archivo raiz (/)
    4. Abra /Temp
    5. Tome el archivo centrify-suite-2013.3-rhel3-x86_64.tgz de la carpeta  \\APP1\Files y copiela la carpeta /temp en la ventana WinSCP, confirme la copia.
    6. Repita el proceso en los sistemas siguientes:
      centrify-suite-2013.3-sol9-x86.tgz va en la carpeta /temp de SOL1
      centrify-suite-2013.3-suse9-x86_64.tgz va en la carpeta  /temp de SUSE1
    7. Cierre la sesión en CLIENT1
    Estado final del Laboratorio


    martes, 7 de enero de 2014

    Laboratorio # 1: Preparando el Laboratorio Base de Pruebas de Microsoft para Centrify

    Resumen del Laboratorio

    En este laboratorio, modificaremos el Laboratorio Base de Pruebas de Microsoft para:
    1. Implementar un recordatorio de expiración de contraseña 30 días antes de su expiración.
    2. Implementar una advertencia de login para los usuarios
    3. Asignar la subred 10.0.0.0/24 Subnet al Sitio de Active Directory (Default-First-Site-Name)
    4. Cambiar el nombre del sitio a "CorpHQ"
    5. Crear nombres DNS tipo "A"  para los sistemas UNIX y Linux.
    6. Crear una zona DNS de búsquedas reversa (reverse-lookup) en corp.contoso.com para la subred  (10.0.0./24)
    7. Instalar e habilitar las herramientas de administración remota del servidor para Windows 7 SP1 en el sistema  CLIENT1
    8. Instalar los programas PuTTY y WinSCP en el sistema CLIENT1 
    9. Crear usuarios de prueba
    10. Obtener y copiar los productos de Centrify para Servidores en la carpeta Files del servidor APP1
    Los roles de los servidores en el laboratorio son los mismos
    • DC1 es la controladora del dominio, DNS, DHCP y la autoridad certificadora
    • APP1 es el primer servidor de aplicaciones, contiene la lista de certificados revocados y una carpeta compartida (Files)
    • CLIENT1 es un cliente.  Para nuestro propósito, será el sistema para los administradores de sistemas.  Se usará el cliente PuTTY para acceder a los sistemas con SSH, también se instalarán las consolas de Centrify.

    Requerimientos del Laboratorio
    • Solo se requieren los sistemas  DC1, APP1 y CLIENT1

    Para modificar los objetos de Directivas de Grupo

    En DC1
    Para habilitar el recordatorio de expiración de contraseña 30 días antes de su expiración.
    1. Ir a Start, click a Administrative Tools y abra Group Policy Management.
    2. En la consola de la izquierda, abra corp.contoso.com\Domains\corp.contoso.com.
    3. En los detalles, haga click derecho a  Default Domain Policy, y seleccione Edit.
    4. En el lado izquierdo del Editor dirijase a  Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options
    5. En el lado derecho, en los detalles, abra Interactive Logon: Prompt user to change password before expiration
    6. En la pestaña de  Security Policy Setting, seleccione Define this policy setting, y digite 30 (days) y presione OK.

    Para implementar una advertencia de login
    1. Abra el objeto Interactive logon:  Message text for users attempting to log on GPO 
    2. Haga un chequeo y copie el siguiente texto:
      "This computer system is for authorized use only. Users have no explicit or implicit expectation of privacy.Any or all uses of this system and all data on this system may be intercepted, monitored, recorded, copied, audited, inspected, and disclosed to authorized sites and law enforcement personnel, as well as authorized officials of other agencies. By using this system, the user consent to such disclosure at the discretion of authorized site personnel"
    3. Presione OK y cierre el editor de directivas de grupo.
    Para renombrar el sitio de directorio activo
    1. Abra Start - Administrative Tools y haga click en Active Directory Sites and Services.
    2. En el lado izquierdo, expanda sites y haga click derecho a Subnets.
    3. En la ventana New Object - Subnet , bajo el prefijo, inserte: 10.0.0.0/24 y seleccione click the "Default-First-Site-Name" luego presione OK. 
    4. En el lado izquierdo, abra Sites, y haga click derecho en "Default-First-Site-Name" y seleccione Rename.
    5. Cambie el nombre a CorpHQ
    6. Cierre el programa Active Directory Sites and Services
    Para crear una zona DNS de búsqueda reversa para la subred 10.0.0.0.
    1. Abra Start -Administrative Tools, y haga click en DNS Manager.
    2. En el lado izquierdo, abra el servidor DC1,  haga click derecho en Reverse-lookup zones y seleccione New Zone.
    3. Presione Next y Next en la ventana Zone Type (Primary / Stored in AD), presione next en la ventana Replication Scope, presione Next en la ventana Reverse-lookup Type (IPV4)
    4. En el campo Network ID, escriba 10.0.0 y presione Next
    5. Presione Next en la Dynamic Update Page y luego presione Finish.
    6. Deje el programa DNS Manager abierto para las siguientes tareas
    Para crear nombres tipo A para los sistemas UNIX/Linux

    Las direcciones IP de los sistemas son:

    Sistema
    Dirección IP
    Rol
    CEN1
    10.0.0.151
    Sistema de Bases de Datos
    SUSE1
    10.0.0.152
    Sistema servidor Web
    SOL1
    10.0.0.153
    Servidor de Utilidades

    En el programa DNS Manager:
    1. En el lado izquierdo, expanda el servidor DC1 y expanda Forward-lookup Zones
    2. En el lado izquierdo, haga click derecho en la zona corp.contoso.com y seleccione New Host (A or AAA)
    3. En la ventana New Host, escriba el nombre del sistema (por ejemplo CEN1)
    4. Escriba la dirección IP del sistema correspondiente (por ejemplo: 10.0.0.151)
    5. Seleccione el check-box Check the Create associated pointer (PTR) y pressione el botón Add Host
    6. Repita hasta que se completen todos los sistemas.
    7. Cierre el programa DNS manager y cierre la sesión en el sistema DC1

    Instale y habilite las Herramientas de Administración Remotas con SP1 en el sistema CLIENT1
    1. Entre al sistema CLIENT1 con una cuenta administrativa del dominio CORP.CONTOSO.COM
    2. Descargue las herramientas RSAT SP1.
      http://download.microsoft.com/download/4/F/7/4F71806A-1C56-4EF2-9B4F-9870C4CFD2EE/Windows6.1-KB958830-x64-RefreshPkg.msu 
    3. Inicie la instalación y presione Yes cuando aparezca la pregunta.
    4. Presione el botón I Accept para iniciar la instalación.  Cuando la instalación termine, presione close.
    5. Para habilitar las herramientas administrativas del directorio activo (ADUC, GPMC, etc), abra el Control Panel y haga click en Programs and Features
    6. En el lado izquierdo, seleccione "Turn Windows features on or off
    7. Expanda Feature Administration Tools y haga un check a Group Policy Management
    8. Expand los nodos Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools and y haga un check en:
      AD DS Snap-ins and command-line tools
      AD LDS Snap-ins and command-line tools
    9. Presione OK
    10. Mantenga la sesión en el sistema CLIENT1.
    Descargue los programas PuTTY y WinSCP en el sistema CLIENT1
    1. Descargue el programa PuTTY
    2. Instale PuTTY, siguiendo las instrucciones.
    3. En la ventana "Select Additional tasks", haga un check en "Create Desktop Icons for all users".
    4. Descargue WinSCP
    5. Instale WinSCP, siguiendo las instrucciones.
      Cerciórese que no seleccione ningún componente en la página Google Chrome
    6. Mantenga la sesión en el sistema CLIENT1.
    Creación de Usuarios de Prueba
     Primero, hay que crear la OU llamada Staff. 
    1. Abra Start > Administrative Tools > Active Directory Users and Computers
    2. En el lado izquierdo, haga click derecho en el dominio corp.contoso.com, seleccione New->Organizational Unit
    3. En la ventana New Object, en el campo Name escriba Staff y presione OK.
    Creación de los usuarios en la OU Staff.
    1. Haga click derecho en la OU Staff, seleccione New->User
    2. Complete Primer Nombre (First Name), Apellido (Last Name) basado en la lista, y en user logon name, use este formato:  <firstname>.<lastname>
      Por ejemplo: bryant.wheeler y presione Next
    3. En la ventana siguiente, quite el check en "user must change password at next logon"
    4. Haga click a Next y a Finish
    Lista de Usuarios:

    Nombre
    Cargo
    Grupos
    Bryant Wheeler
    Windows Administrator
    Domain Admins
    Domain Users
    Jessie Matthews
    UNIX Administrator
    Domain Users
    Cora Rodriguez
    IT Security Analyst
    Domain Users
    Courtney Larson
    IT Manager
    Domain Users
    Jeremy Silva
    DBA UNIX
    Domain Users
    Ramon Jimenez
    DBA UNIX
    Domain Users
    Doyle Russell
    Web Administrator
    Domain Users
    Matt Sims
    Web Administrator
    Domain Users
    Cassandra Lindsey
    External Auditor
    Domain Users
    Ralph Baldwin
    Internal Auditor
    Domain Users

     Coloque a Bryant en el grupo Domain Admins.
    1. Abra la OU Staff
    2. Haga doble click en el usuario Bryant Wheeler y dirigase al tab Member of
    3. Presione Add y escriba Domain Admins presione OK dos veces.
    4. Cierre el programa Active Directory Users and Computers.
     Obtenga y copie el programa y los agentes de Centrify Server Suite software
    1. Para obtener el programa Centrify Server Suite, solicite una prueba aquí: request a trial.
    2. Descargue los programas de Centrify:
      a) Consolas:  http://www.centrify.com/support/package-info.asp?fn=centrify-suite-2013.3-mgmt-ent-win64.zip
      b) Agente para CentOS 64bit: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-rhel3-x86_64.tgz
      c) Agente para Solaris x86: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-sol9-x86.tgz
      d) Agente para SUSE 64bit: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-suse9-x86_64.tgz
    3. Copie estos archivos en la carpeta Files del servidor APP1
      Esto  hará que los archivos estén disponibles en la red bajo la carpeta de red \\app1\files.