Una de las metas de este blog es proporcionar ejemplos prácticos que se pueden implementar en un entorno de producción o de pruebas para resolver los desafíos de la gestión de accesos e identidades en las plataformas UNIX y Linux. Para aprovechar el tiempo y tener una configuración estándar, la metodología utilizarán herramientas disponibles en el Internet.
La problemática del negocio gobernarán los laboratorios
Las laboratorios están diseñados para resolver los problemas empresariales de infraestructura y gestión de TI. Se desarrollará una progresión de problemas y módulos dependientes; esto ayudará a la audiencia a tener modelos de referencia que se pueden llevar a ambientes de producción. Cada problemática será presentada en la perspectiva de los administradores UNIX, analista de seguridad de la información y gerente de TI; si hay algunos detalles que se deben enfocar del punto de vista del administrador de Windows, estos serán presentados en la respectiva fase (Planificación-Ejecución-Verificación-Ajustes).
La infraestructura de Windows y Directorio Activo
Microsoft Technet tiene un excelente recurso en su serie de laboratorios de pruebas Test Lab Guides. Este contenido está en Inglés, sin embargo, proporciona un modelo estándar de configuración que se puede aprovechar para establecer un modelo de referencia. Los ejemplos presentados en el blog serán basados en la e configuración base para Windows Server 2008 R2. Aquí está el diagrama:
La configuración base proporciona:
- Un bosque de Directorio Activo funcional (corp.contoso.com)
- Una red interna (corpnet) 10.0.0.0/24
- Servicios de resolución de nombre (DNS)
- Sitios web y carpetas compartidas
- Una unidad certificadora con sus listas de revocación de certificados
DC1 es la controladora de dominio y unidad certificadora
APP1 es el servidor de aplicaciones
CLIENT1 es el cliente, la mayoría de la administración se hará desde esta computadora
Las consolas de Centrify serán instaladas en este computador.
Los sistemas EDGE and INET1 no son usados hasta mucho más tarde, o sea que con los tres básicos se puede iniciar.
Infraestructura UNIX/Linux
A pesar de que la infraestructura cambiará con el caso de uso, la estructura básica contiene 3 másquinas:
- CEN1, un sistema CentOS 64 bit con la versión personal de IBM DB2 (Express) y el servidor web Apache
- SUSE1 un sistema SUSE 10 SP3 con la versión personal de Oracle
- SOL1 un sistema Solaris 10.
Notas sobre la configuración base:
- En la página 14, la guía recomienda que se configure la directiva de grupo "Domain member: Maximum machine account password age" al vaor de 999. Esto quiere decir que la contraseña de la cuenta de la computadora en el AD cambiará cada 3 años. En un modelo de producción, por defecto ese valor es de 30 días. Este tema tiene implicaciones en la autenticación mutual del sistema.
- Recomiendo cambiar el objeto de directiva de grupo "Interactive Logon: Prompt user to change password before expiration" a 30 días. Esto cambiará el aviso a 30 días antes de su expiración.
- Configure un aviso corporativo cambiando el GPO "Interactive logon: Message text for users attempting to log on"
Solo hay subscribirse a la sección de laboratorios para ser notificado.
No hay comentarios:
Publicar un comentario