martes, 7 de enero de 2014

Laboratorio # 1: Preparando el Laboratorio Base de Pruebas de Microsoft para Centrify

Resumen del Laboratorio

En este laboratorio, modificaremos el Laboratorio Base de Pruebas de Microsoft para:
  1. Implementar un recordatorio de expiración de contraseña 30 días antes de su expiración.
  2. Implementar una advertencia de login para los usuarios
  3. Asignar la subred 10.0.0.0/24 Subnet al Sitio de Active Directory (Default-First-Site-Name)
  4. Cambiar el nombre del sitio a "CorpHQ"
  5. Crear nombres DNS tipo "A"  para los sistemas UNIX y Linux.
  6. Crear una zona DNS de búsquedas reversa (reverse-lookup) en corp.contoso.com para la subred  (10.0.0./24)
  7. Instalar e habilitar las herramientas de administración remota del servidor para Windows 7 SP1 en el sistema  CLIENT1
  8. Instalar los programas PuTTY y WinSCP en el sistema CLIENT1 
  9. Crear usuarios de prueba
  10. Obtener y copiar los productos de Centrify para Servidores en la carpeta Files del servidor APP1
Los roles de los servidores en el laboratorio son los mismos
  • DC1 es la controladora del dominio, DNS, DHCP y la autoridad certificadora
  • APP1 es el primer servidor de aplicaciones, contiene la lista de certificados revocados y una carpeta compartida (Files)
  • CLIENT1 es un cliente.  Para nuestro propósito, será el sistema para los administradores de sistemas.  Se usará el cliente PuTTY para acceder a los sistemas con SSH, también se instalarán las consolas de Centrify.

Requerimientos del Laboratorio
  • Solo se requieren los sistemas  DC1, APP1 y CLIENT1

Para modificar los objetos de Directivas de Grupo

En DC1
Para habilitar el recordatorio de expiración de contraseña 30 días antes de su expiración.
  1. Ir a Start, click a Administrative Tools y abra Group Policy Management.
  2. En la consola de la izquierda, abra corp.contoso.com\Domains\corp.contoso.com.
  3. En los detalles, haga click derecho a  Default Domain Policy, y seleccione Edit.
  4. En el lado izquierdo del Editor dirijase a  Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options
  5. En el lado derecho, en los detalles, abra Interactive Logon: Prompt user to change password before expiration
  6. En la pestaña de  Security Policy Setting, seleccione Define this policy setting, y digite 30 (days) y presione OK.

Para implementar una advertencia de login
  1. Abra el objeto Interactive logon:  Message text for users attempting to log on GPO 
  2. Haga un chequeo y copie el siguiente texto:
    "This computer system is for authorized use only. Users have no explicit or implicit expectation of privacy.Any or all uses of this system and all data on this system may be intercepted, monitored, recorded, copied, audited, inspected, and disclosed to authorized sites and law enforcement personnel, as well as authorized officials of other agencies. By using this system, the user consent to such disclosure at the discretion of authorized site personnel"
  3. Presione OK y cierre el editor de directivas de grupo.
Para renombrar el sitio de directorio activo
  1. Abra Start - Administrative Tools y haga click en Active Directory Sites and Services.
  2. En el lado izquierdo, expanda sites y haga click derecho a Subnets.
  3. En la ventana New Object - Subnet , bajo el prefijo, inserte: 10.0.0.0/24 y seleccione click the "Default-First-Site-Name" luego presione OK. 
  4. En el lado izquierdo, abra Sites, y haga click derecho en "Default-First-Site-Name" y seleccione Rename.
  5. Cambie el nombre a CorpHQ
  6. Cierre el programa Active Directory Sites and Services
Para crear una zona DNS de búsqueda reversa para la subred 10.0.0.0.
  1. Abra Start -Administrative Tools, y haga click en DNS Manager.
  2. En el lado izquierdo, abra el servidor DC1,  haga click derecho en Reverse-lookup zones y seleccione New Zone.
  3. Presione Next y Next en la ventana Zone Type (Primary / Stored in AD), presione next en la ventana Replication Scope, presione Next en la ventana Reverse-lookup Type (IPV4)
  4. En el campo Network ID, escriba 10.0.0 y presione Next
  5. Presione Next en la Dynamic Update Page y luego presione Finish.
  6. Deje el programa DNS Manager abierto para las siguientes tareas
Para crear nombres tipo A para los sistemas UNIX/Linux

Las direcciones IP de los sistemas son:

Sistema
Dirección IP
Rol
CEN1
10.0.0.151
Sistema de Bases de Datos
SUSE1
10.0.0.152
Sistema servidor Web
SOL1
10.0.0.153
Servidor de Utilidades

En el programa DNS Manager:
  1. En el lado izquierdo, expanda el servidor DC1 y expanda Forward-lookup Zones
  2. En el lado izquierdo, haga click derecho en la zona corp.contoso.com y seleccione New Host (A or AAA)
  3. En la ventana New Host, escriba el nombre del sistema (por ejemplo CEN1)
  4. Escriba la dirección IP del sistema correspondiente (por ejemplo: 10.0.0.151)
  5. Seleccione el check-box Check the Create associated pointer (PTR) y pressione el botón Add Host
  6. Repita hasta que se completen todos los sistemas.
  7. Cierre el programa DNS manager y cierre la sesión en el sistema DC1

Instale y habilite las Herramientas de Administración Remotas con SP1 en el sistema CLIENT1
  1. Entre al sistema CLIENT1 con una cuenta administrativa del dominio CORP.CONTOSO.COM
  2. Descargue las herramientas RSAT SP1.
    http://download.microsoft.com/download/4/F/7/4F71806A-1C56-4EF2-9B4F-9870C4CFD2EE/Windows6.1-KB958830-x64-RefreshPkg.msu 
  3. Inicie la instalación y presione Yes cuando aparezca la pregunta.
  4. Presione el botón I Accept para iniciar la instalación.  Cuando la instalación termine, presione close.
  5. Para habilitar las herramientas administrativas del directorio activo (ADUC, GPMC, etc), abra el Control Panel y haga click en Programs and Features
  6. En el lado izquierdo, seleccione "Turn Windows features on or off
  7. Expanda Feature Administration Tools y haga un check a Group Policy Management
  8. Expand los nodos Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools and y haga un check en:
    AD DS Snap-ins and command-line tools
    AD LDS Snap-ins and command-line tools
  9. Presione OK
  10. Mantenga la sesión en el sistema CLIENT1.
Descargue los programas PuTTY y WinSCP en el sistema CLIENT1
  1. Descargue el programa PuTTY
  2. Instale PuTTY, siguiendo las instrucciones.
  3. En la ventana "Select Additional tasks", haga un check en "Create Desktop Icons for all users".
  4. Descargue WinSCP
  5. Instale WinSCP, siguiendo las instrucciones.
    Cerciórese que no seleccione ningún componente en la página Google Chrome
  6. Mantenga la sesión en el sistema CLIENT1.
Creación de Usuarios de Prueba
 Primero, hay que crear la OU llamada Staff. 
  1. Abra Start > Administrative Tools > Active Directory Users and Computers
  2. En el lado izquierdo, haga click derecho en el dominio corp.contoso.com, seleccione New->Organizational Unit
  3. En la ventana New Object, en el campo Name escriba Staff y presione OK.
Creación de los usuarios en la OU Staff.
  1. Haga click derecho en la OU Staff, seleccione New->User
  2. Complete Primer Nombre (First Name), Apellido (Last Name) basado en la lista, y en user logon name, use este formato:  <firstname>.<lastname>
    Por ejemplo: bryant.wheeler y presione Next
  3. En la ventana siguiente, quite el check en "user must change password at next logon"
  4. Haga click a Next y a Finish
Lista de Usuarios:

Nombre
Cargo
Grupos
Bryant Wheeler
Windows Administrator
Domain Admins
Domain Users
Jessie Matthews
UNIX Administrator
Domain Users
Cora Rodriguez
IT Security Analyst
Domain Users
Courtney Larson
IT Manager
Domain Users
Jeremy Silva
DBA UNIX
Domain Users
Ramon Jimenez
DBA UNIX
Domain Users
Doyle Russell
Web Administrator
Domain Users
Matt Sims
Web Administrator
Domain Users
Cassandra Lindsey
External Auditor
Domain Users
Ralph Baldwin
Internal Auditor
Domain Users

 Coloque a Bryant en el grupo Domain Admins.
  1. Abra la OU Staff
  2. Haga doble click en el usuario Bryant Wheeler y dirigase al tab Member of
  3. Presione Add y escriba Domain Admins presione OK dos veces.
  4. Cierre el programa Active Directory Users and Computers.
 Obtenga y copie el programa y los agentes de Centrify Server Suite software
  1. Para obtener el programa Centrify Server Suite, solicite una prueba aquí: request a trial.
  2. Descargue los programas de Centrify:
    a) Consolas:  http://www.centrify.com/support/package-info.asp?fn=centrify-suite-2013.3-mgmt-ent-win64.zip
    b) Agente para CentOS 64bit: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-rhel3-x86_64.tgz
    c) Agente para Solaris x86: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-sol9-x86.tgz
    d) Agente para SUSE 64bit: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-suse9-x86_64.tgz
  3. Copie estos archivos en la carpeta Files del servidor APP1
    Esto  hará que los archivos estén disponibles en la red bajo la carpeta de red \\app1\files.

No hay comentarios:

Publicar un comentario