Laboratorio # 5: Creación y Configuración de la Zona HQ y Grupos de Sistemas

En este laboratorio

• Usaremos la consola Access Manager para crear la zona llamada HQ
• Se definirá la configuración de identidades UNIX por defecto para la zona
• Se crearán los Roles de Sistemas (Computer Roles) para los sistemas de bases de datos y servicios Web.
  
  
  Encienda el CC para ver la transcripción en Español.

Para crear la zona HQ

1. Ingrese al sistema CLIENT1 con Jessie (el administrador UNIX)
2. Abra la consola Centrify Access Manager (del escritorio)
3. En la ventana Connect to forest, seleccione OK
4. En la consola Access Manager, en el lado izquierdo, haga click derecho en Zones y seleccione Create New Zone.
5. En zone name, escriba HQ y presione el botón next.
6. En la página de compatibilidad (Agent Compatibility page) vamos a seleccionar Hierarchical Zone.
   En este blog no se contemplarán las zonas Clásicas.
7. En la ventana Management Model, seleccione Standard Zone, presione Next y luego Finish.

 Configure la configuración por defecto de las identidades UNIX de la zona

1. En el panel izquierdo, expanda Zones, y luego la zona HQ.
2. Haga click derecho a esta zona (HQ), seleccione properties y seleccione la pestaña de  User Defaults.
3. En el campo UID,  abra el menú desplegable y seleccione auto-private group.  Siga a la pestaña Group Defaults
4. En el campo GID, abra el menú desplegable y seleccione Generate GID from SID
5. Seleccione OK, esto cerrará las propiedades.

Nota:  Estos son los valores por defecto, las identidades se pueden modificar en cualquier momento.

Añada los Roles de Computadoras (Computer Roles) para los Servidores de Bases de Datos y Servidores Web

1. En el panel izquierdo, expanda Zones > HQ > Authorization
2. Haga click derecho en Computer Roles y seleccione "Create Computer Role" 
3. En el nombre (name), escriba Database Servers
4. En la opción de computers group, haga click en el menú desplegable y seleccione <...>
5. En la ventana de Find Objects, digite UNIX y presione el botón Find Now.
6. En los resultados, haga doble click al grupo UNIX Database Servers y seleccione OK
   Repita el mismo proceso para los servidores Web, con el nombre Web Servers con el grupo de AD UNIX Web Servers. 

Laboratorio # 4: Instalación Centrify Standard Edition

En este laboratorio:

• Se instalará la consola Centrify Access Manager
• Se configura la consola Access Manager y especificaremos la carpeta OU para Licencias y Zonas
• Se verificarán las extensiones del programa Active Directory Users and Computers (ADUC) en el sistema CLIENT1

   
(presione el botón CC para ver la traducción al español)

Install the Centrify Standard Suite Access Manager

1. Ingrese al sistema CLIENT1 con el usuario Bryant Wheeler (Administrador de Windows)
2. Lanze el Windows Explorer y a bra a la carpeta  \\APP1\Files.  Copie la carpeta con los fuentes de instalación de Centrify en el escritorio (para no instalar usando la red).
3. Abra la carpeta DirectManage64 (o 32) y lanze el programa Setup.
4. En la ventana Welcome, presione next, seleccione "Agree" en los términos de la licencia, presione next, ingrese el nombre de su compañía, presione next. 
5. En la página de componentes, de-seleccione "Direct Manage Access - Utilities" y presione next.
6. Presione Next en la ventana Destination folder
7. Presione next y haga un check en Disable Publisher verification page  (nuestro laboratorio no tiene acceso al internet)
8. Presione next en la página resumen (summary) y next para iniciar a instalación.  Presione Finish cuando esta termine.

Configuración Inicial de Access Manager

1. Abra el programa Centrify DirectManage Access Manager (Access Manager) del escritorio.
2. Presione OK en la ventana "Connect to forest".
3. Presione siguiente (Next) en las ventanas Welcome y User Credentials
4. En la página Specify Licenses containers, presione browse y especifique la carpeta OU  Licenses OU bajo la Carpeta OUUNIX y presione next.  Haga click a Yes en la ventana que aparece.  (Todos los usuarios tendrán acceso de lectura a esta carpeta OU)
5. En la ventana Install license keys, ingrese la llave proporcionada por Centrify o use la llave de 30 días y presione next.
6. En la ventana Default Zone containers, presione browse y selecione Zones (bajo UNIX), presione next.
7. Quite el check en la ventana Delegation (no es necesario ya que las computadoras van a otra carpeta), y presione next.
8. Presione siguiente en la ventana AD notification handler.
9. Seleccione el check en la ventana Activate Pages y presione next, presione next en la ventana Summary, y luego presione Finish.

Verificación de la Pestaña Centrify en ADUC

1. Abra Start > All Programs > Administrative Tools  y haga click en el programa Active Directory Users and Computers (ADUC)
2. Navegue a la OU llamada Staff OU y haga doble-click en la cuenta de Bryant.
3. Verifique que existe una pestaña llamada Centrify en las propiedades del usuario.

Laboratorio # 3 - Preparación del Directorio Activo

En este laboratorio

1. Vamos a crear una Carpeta Organizadora (OU) llamada UNIX para almacenar el resto de los objetos y vamos a delegar la administración al Administrador de Sistemas UNIX.
2. Vamos a crear las Sub-Carpetas: Licenses (para las licencias), Zones (para las zonas), Roles (para los grupos que almacenan los roles), UNIX Groups (para los grupos UNIX), Servers (para los objetos de sistemas) y Computer Groups (para los grupos de computadoras).
3. Vamos a crear los grupos de seguridad necesitados en el Directorio Activo para la asignación de roles y agrupación de computadoras.

Para crear la Carpeta Organizadora y Delegar los permisos

(presione el botón CC para ver la transcripción en español)

1. Ingrese al sistema CLIENT1 con el usuario Bryant Wheeler (Administrador de Windows)
2. Abra Start > All Programs > Administrative Tools  y haga click en el programa Active Directory Users and Computers (ADUC)
3. En el lado izquierdo, haga click derecho en el dominio corp.contoso.com  y seleccione New > Organizational Unit
4. Ingrese el nombre UNIX y presione OK
5. En el menú View, seleccione Advanced Features (esto habilitará la pestaña de seguridad)
6. Haga click derecho en la carpeta UNIX y seleccione Properties.   En la pestaña Security, presione el botón Advanced.
7. En la pestaña Permissions presione Add. En la caja Object name, ingrese el nombre Jessie.Matthews y presione el botón check names (esto resolverá el nombre) y presione OK.
8. En la ventana permission entry, haga un check bajo la opción Full Control en la columna Allow y presione OK tres veces.
9. Cierre el programa ADUC y la sesión del sistema CLIENT1.

Ahora, el usuario Jessie (Administrador de sistemas  UNIX) tiene acceso administrativo a los objetos bajo esta OU.  El tendrá la capacidad de crear objetos, integrar sistemas al dominio, manipular identidades UNIX, etc, siempre y cuando sea bajo esta OU.

Creación de las siguientes Carpetas OU
(Licences, Zones, Roles, Servers, UNIX Groups)

(presione el botón CC para ver la transcripción en español)

1. Ingrese al sistema CLIENT1 con el usuario Jessie Matthews  (Administrador UNIX)
2. Abra Start > All Programs > Administrative Tools  y haga click en el programa Active Directory Users and Computers (ADUC)
3. En el lado izquierdo, expanda el dominio corp.contoso.com y haga click derecho en la OU UNIX y seleccione  New > Organizational Unit
4. Ingrese el nombre Licenses y presione OK.  
5. Repita los pasos 3 y 4 para:

• Licenses: contenedor para almacenar la información de licencias de Centriy (ya creada)
• Zones: Para almacenar las zonas.  Las zonas son como folders que guardan sistemas, usuarios, grupos e información de autorización.
• Servers:  para almacenar los objetos de sistemas UNIX/Linux ingresados al dominio
• Roles:  para almacenar los grupos de seguridad que se usarán para almacenar roles
• UNIX groups:  para almacenar los grupos de seguridad asociados a grupos UNIX
• Computer Groups:  para almacenar los grupos de seguridad usados para agrupar sistemas.

Creación de los Grupos de Seguridad (Roles y Grupos de Computadoras)

1. Haga click derecho en la OU llamada Roles (bajo UNIX) y seleccione New > Group
2. Ingrese el nombre UNIX Super Users y presione OK.  (A este grupo pertenecerán los súper usuarios)
3. Haga click derecho en la OU llamada Roles (bajo UNIX) y seleccione New > Group
4. Ingrese el nombre UNIX Regular Users y presione OK. (A este grupo pertenecerán los usuarios normales)
5. Haga click derecho en la OU llamada Computer Groups (bajo UNIX) y seleccione New > Group
6. Ingrese el nombre UNIX Database Servers y presione OK. (A este grupo pertenecerán los sistemas bases de datos)
7. Haga click derecho en la OU llamada Computer Groups (bajo UNIX) y seleccione New > Group
8. Ingrese el nombre UNIX Web Servers y presione OK. (A este grupo pertenecerán los sistemas web)

Laboratorio # 2: Implementando los sistemas UNIX/Linux en el Laboratorio Base

En este laboratorio

1. Se instalarán los sistemas CentOS 6.5, SUSE 10 SP3 y Solaris 5.10
2. Se verificarán las configuraciones de red (TCP/IP) y del servicio SSH de los sistemas UNIX/Linux.
3. Se modificarán los sistemas para que no lanzen los ambientes gráficos
4. Se verificará que el servicio Name Server Cache Daemon (NSCD) funciona automáticamente.
5. Se crearán usuarios locales en los sistemas y se habilitará la facilidad sudo::
   Dos usuarios en cada sistema y Jessie Matthews (jmatthews):
   Dos usuarios en el sistema de base de datos (CEN1); Jeremy Silva (jsilva) & Ramon Jimenez (rjimenez)
   Dos usuarios en el sistema web  (SUSE1); Doyle Russell (drussell) & Matt Sims (msims)
   A los usuarios centrifying, jmatthews se asignarán al grupo wheel group para que puedan elevar privilegios con sudo.
6. Se comprobará la conectividad entre el sistema CLIENT1 y los sistemas usando el cliente SSH PuTTY 
7. Se copiarán los agentes de Centrify en la plataforma correspondiente

Requerimientos del laboratorio

• Los requerimientos de la configuración base de los laboratorios de pruebas (DC1, APP1 y CLIENT1)
• Una máquina virtual con Centos 6.5 VM llamada CEN1
  http://wiki.centos.org/Download 
  Es posible que tenga que descargar el paquete NCSD para CentOS.
• Una máquina virtual con Novell SUSE 10 VM llamada SUSE1
  https://www.suse.com/LinuxPackages/packageRouter.jsp?product=server&version=10&service_pack=sp3&architecture=x86_64&package_name=index_all
• Una máquina virtual con Solaris 5.10 VM llamada SOL1
  http://www.oracle.com/technetwork/server-storage/solaris10/downloads/index.html

Instalación de los sistemas UNIX/Linux

Los sistemas en esta guía:

• CentOS 6.5 (CEN1) con dirección IP 10.0.0.151
• Novell SUSE 10 (SUSE1) con dirección IP  10.0.0.152
• Solaris 5.10 x86 (SOL1) con dirección IP  10.0.0.153  

Para configurar los Sistemas UNIX/Linux
Siga las instrucciones para cada plataforma:

En el sistema CEN1

1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  super usuario y abra una terminal.
2. Verifique si el sistema está corriendo el servicio NetworkManager (NM)
   service NetworkManager status
   NetworkManager (pid ####) is running
   Nota: Siga los pasos apropiados si no usa el NetworkManager
3. Edite el archivo /etc/sysconfig/network con:HOSTNAME=cen1.corp.contoso.com
4. Copie la dirección MAC del interfaz: (Ejemplo eth0 with the Mac address 00.0c.29.2b.b7.ca)
   ifconfig eth0 | grep HWaddr
   eth0   Link encap: Ethernet  HWaddr  00:0C:29:2B:B7:CA
5.  Edite (o cree) el archivo /etc/sysconfig/network-scripts/ifcfg-<interfaz> y ingrese (o edite) las siguientes lineas:  (con el ejemplo anterior)
   DEVICE=eth0
   NM_CONTROLLED=yes
   ONBOOT=yes
   HWADDR=00:0C:29:2B:B7:CA
   IPADDR=10.0.0.151
   NETMASK=255.255.255.0
   DNS1=10.0.0.1
6. Reinicie el servicio de la red:
   service network restart
7. Verifique la configuración (hostname, configuración DNS, prueba ping test a crl.corp.contoso.com)
   # hostname
   cen1.corp.contoso.com
   # cat /etc/resolv.conf    (busque las siguientes lineas)
   search corp.contoso.com
   nameserver 10.0.0.1
   # ping crl
   PING crl.corp.contoso.com (10.0.0.3) 56(84) bytes of data.
   64 bytes crl.corp.contoso.com (10.0.0.3): icmp_seq=1 ttl=128 time=17.2 ms
   Esto verifica que la configuración de la red está correcta y que el sistema tiene configurado a DC1 como su servidor DNS.
8. Cerciórese que el servidor SSH está corriendo:
   chkconfig | grep ssh
9. Si el servicio está apagado en los niveles de operación 3 y 5, habilite con este comando:
   chkconfig sshd on --level 35
10. Instale y habilite el servicio NCSD: 
    rpm -Uvh nscd-2.12-1.132.el6.x86_64.rpm
    chkconfig nscd on --level 35
    service nscd start
11. Asegúrese que el servidor SSH está configurado para la autenticación con el módulo PAM y que la opción de ChallengeResponse está habilitada.  En el archivo /etc/ssh/sshd_config edite las siguientes lineas:
    UsePAM  yes
    ChallengeResponseAuthentication yes
    
    Si hay lineas con los valores negativos, estas deben ser comentadas (con el signo de libra #) de lo contrario la última linea procesada será la configuración efectiva.
12. Hay que crear los usuarios administrativos y los DBAs:
    useradd -m -c "Centrifying User" centrifying
    useradd -m -c "Jeremy Silva" jsilva
    useradd -m -c "Ramon Jimenez" rjimenez
    useradd -m -c "Jesse Matthews" jmatthews (usuario administrativo)
13. Para otorgar privilegios administrativos a Jessie y Centrifying
    usermod -G wheel centrifying
    usermod -G wheel jmatthews
14. Configure Sudo en el sistema
    vi /etc/sudoers
    Solo hay que quitar el comentario a la linea del grupo wheel.
    %wheel ALL=(ALL)       ALL
    Grabe el archivo.

En el sistema SUSE1

1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  super usuario y abra una terminal.
2. Edite el archivo /etc/hostname (o copie uno nuevo si no existe) con esta linea:
   suse1
3. Edite el archivo /etc/hosts.  Escriba el nombre del sistema en la linea correspondiente:
   127.0.0.1       localhost  suse1
4. Edite el archivo /etc/resolv.conf  y añada estas lineas:
   search corp.contoso.com
   nameserver 10.0.0.1
5.  Edite (o cree) el archivo /etc/sysconfig/network-scripts/ifcfg-<interfaz> y ingrese (o edite) las siguientes lineas:  (con el interfaz eth0)
   DEVICE=eth0
   ONBOOT=yes
   IPADDR=10.0.0.152
   NETMASK=255.255.255.0
6. Reinicie el servicio de red:
   service network restart
7. Verifique la configuración (hostname, configuración DNS, prueba ping test a crl.corp.contoso.com)
   # hostname
   suse1
   # cat /etc/resolv.conf    (busque las siguientes lineas)
   search corp.contoso.com
   nameserver 10.0.0.1
   # ping crl
   PING crl.corp.contoso.com (10.0.0.3) 56(84) bytes of data.
   64 bytes crl.corp.contoso.com (10.0.0.3): icmp_seq=1 ttl=128 time=17.2 ms
   
   Esto verifica que la configuración de la red está correcta y que el sistema tiene configurado a DC1 como su servidor DNS.


8. Cerciórese que el servidor SSH está corriendo:
   chkconfig | grep ssh
9. Si el servicio está apagado en los niveles de operación 3 y 5, habilite con este comando:
   chkconfig sshd on --level 35
10. Cerciórese que el servicio NCSD está corriendo
    
    chkconfig --list | grep nscdnscd      0:off  1:off  2:off  3:on   4:off  5:on   6:off
11. Si el servicio está apagado en los niveles de operación 3 y 5, habilite con este comando:
    chkconfig nscd on --level 35
12. Asegúrese que el servidor SSH está configurado para la autenticación con el módulo PAM y que la opción de ChallengeResponse está abilitada.  En el archivo /etc/ssh/sshd_config edite las siguientes lineas:
    UsePAM  yes
    ChallengeResponseAuthentication yes
    
    Si hay lineas con los valores negativos, estas deben ser comentadas (con el signo de libra #) de lo contrario la última linea procesada será la configuración efectiva.
13. Hay que crear los usuarios administrativos y los Usuarios Web:
    useradd -m -c "Centrifying User" centrifying
    useradd -m -c "Doyle Russell" drussell
    useradd -m -c "Matt Simms" msimms
    useradd -m -c "Jesse Matthews" jmatthews
    Nota:  el comando useradd está en /usr/sbin en caso que no esté en el path.
14. Para otorgar privilegios administrativos a Jessie y Centrifying
    usermod -G wheel centrifying
    usermod -G wheel jmatthews
15. Configure Sudo en el sistema
    vi /etc/sudoers
    Solo hay que quitar el comentario a la linea del grupo wheel.
    %wheel ALL=(ALL)       ALL
    Grabe el archivo.

En el Sistema SOL1

En un sistema Solaris,hay que cambiar estos archivos para cambiar la configuración de red:

/etc/nodename

/etc/hostname.interface

/etc/inet/hosts
/etc/inet/ipnodes

/etc/defaultdomain

/etc/netmasks

/etc/defaultrouter 

/etc/resolv.conf 

/etc/nsswitch.conf 

 No se configurará el default gateway (default router) por ahora

1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  super usuario y abra una terminal.
2. Si el sistema está configurado para usar DHCP, borre el archivo /etc/dhcp.<interface> (por ejemplo: dhcp.e1000g0)
3. Edite el nombre del nodo en el archivo the /etc/nodename con esta linea
   sol1
4. Edite el nombre del sistema en el archivo /etc/hostname.<interface>  file (e.g e1000g0  /etc/hostname.e1000g0) con esta linea:
   sol1
5. Edite el archivo /etc/inet/ipnodes  y añada esta linea
   10.0.0.153    sol1
6. Edite el archivo  /etc/inet/hosts  y añada esta linea
   10.0.0.153    sol1
   también modifique esta linea
   127.0.0.1 localhost sol1
   Cerciórese que no hay "localhost.localdomain"
7. Edite el archivo /etc/defaultdomain file  (hay que crear el archivo si no existe), sólo escriba esta linea:
   corp.contoso.com
8. Edite el archivo /etc/netmasks y añada esta linea
   10.0.0.0    255.255.255.0
9. Edite el archivo/etc/resolv.conf file añada estas lineas:
   search corp.contoso.com
   nameserver 10.0.0.1
10. Verifique que el archivo /etc/nsswitch.conf está configurado para resolver nombres usando DNS.  Añada la entrada 'dns' si es necesario.  Puede verificar esto con el comando
    cat /etc/nsswitch.conf | grep dns  
    Los resultados deben ser asi (editelo si es necesario)
    hosts:    files dns
    ipnodes:  files dns
11. Probablemente tendrá que reiniciar el sistema (si cambió el archivo /etc/nsswitch.conf o reiniciar la red
    svcadm restart physical
12. Verifique la configuración (hostname, configuración DNS, prueba ping test a crl.corp.contoso.com)# hostnamesuse1
    # cat /etc/resolv.conf    (busque las siguientes lineas)
    search corp.contoso.comnameserver 10.0.0.1
    # ping crlcrl is alive
    
    Esto verifica que la configuración de la red está correcta y que el sistema tiene configurado a DC1 como su servidor DNS.
13. Verifique que el servicio NCSD está corriendo:
    $svcs \*name-service-cache\*STATE          STIME    FMRIonline         Dec_24   svc:/system/name-service-cache:default
14. Hay que crear los usuarios administrativos:
    useradd -m centrifying
    useradd -m -c "Jesse Matthews" jmatthews

Modifique los equipos para que inicien en modo de interfaz gráfico

No usaremos los ambientes gráficos (GUI) ya que estos se usarán con el propósito de servidores

En los sistemas CEN1 y SUSE1

1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  súper-usuario y abra una terminal
2. Edite el archivo /etc/inittab
   id:3:initdefault:
3. Reinicie el equipo para que arranque en modo multi-usuario de servidor.

 En el sistema SOL1

1. Ingrese al sistema con con una cuenta que pueda elevar con sudo o con  súper-usuario y abra una terminal
2. Deshabilite el ambiente gráfico
   /usr/dt/bin/dtconfig -d
3.  El escritorio CDE o Java desktop ha sido deshabilitado, reinicie el equipo para que arranque en modo multi-usuario de servidor.

Pruebe la conectividad con el cliente PuTTY

1. Inicie en el equipo CLIENT1 con el usuario jessie.matthews.
2. Abra  el programa PuTTY y pruebe conexiones a todos los sistemas con su nombre (no con su dirección IP)
3. Opcional:  Grabe la sesión para cada equipo.

Nota:  No se recomienda que se permita el acceso de la cuenta de super usuario (root) con una terminal SSH.  Si prefiere hacer esto en su laboratorio (no es recomendado para que no se desarrollen malos habitos), hay que cerciorarse que el parámetro PermitRootLogin  está habilitado en el archivo de configuración del servidor SSH (/etc/ssh/sshd_config).

Copiado del agente de Centrify en los Sistemas

1. En el sistema CLIENT1, en el Explorador de Windows y abra la carpeta de red \\APP1\Files
2. Abra el programa WinSCP
3. Establezca una conexión a CEN1 con un usuario privilegiado.  Crear una nueva carpeta llamada Temp en el sistema de archivo raiz (/)
4. Abra /Temp
5. Tome el archivo centrify-suite-2013.3-rhel3-x86_64.tgz de la carpeta  \\APP1\Files y copiela la carpeta /temp en la ventana WinSCP, confirme la copia.
6. Repita el proceso en los sistemas siguientes:
   centrify-suite-2013.3-sol9-x86.tgz va en la carpeta /temp de SOL1
   centrify-suite-2013.3-suse9-x86_64.tgz va en la carpeta  /temp de SUSE1
7. Cierre la sesión en CLIENT1

Estado final del Laboratorio

Laboratorio # 1: Preparando el Laboratorio Base de Pruebas de Microsoft para Centrify

Resumen del Laboratorio

En este laboratorio, modificaremos el Laboratorio Base de Pruebas de Microsoft para:

1. Implementar un recordatorio de expiración de contraseña 30 días antes de su expiración.
2. Implementar una advertencia de login para los usuarios
3. Asignar la subred 10.0.0.0/24 Subnet al Sitio de Active Directory (Default-First-Site-Name)
4. Cambiar el nombre del sitio a "CorpHQ"
5. Crear nombres DNS tipo "A"  para los sistemas UNIX y Linux.
6. Crear una zona DNS de búsquedas reversa (reverse-lookup) en corp.contoso.com para la subred  (10.0.0./24)
7. Instalar e habilitar las herramientas de administración remota del servidor para Windows 7 SP1 en el sistema  CLIENT1
8. Instalar los programas PuTTY y WinSCP en el sistema CLIENT1 
9. Crear usuarios de prueba
10. Obtener y copiar los productos de Centrify para Servidores en la carpeta Files del servidor APP1

Los roles de los servidores en el laboratorio son los mismos

• DC1 es la controladora del dominio, DNS, DHCP y la autoridad certificadora
• APP1 es el primer servidor de aplicaciones, contiene la lista de certificados revocados y una carpeta compartida (Files)
• CLIENT1 es un cliente.  Para nuestro propósito, será el sistema para los administradores de sistemas.  Se usará el cliente PuTTY para acceder a los sistemas con SSH, también se instalarán las consolas de Centrify.

Requerimientos del Laboratorio

• Solo se requieren los sistemas  DC1, APP1 y CLIENT1

Para modificar los objetos de Directivas de Grupo

En DC1

Para habilitar el recordatorio de expiración de contraseña 30 días antes de su expiración.

1. Ir a Start, click a Administrative Tools y abra Group Policy Management.
2. En la consola de la izquierda, abra corp.contoso.com\Domains\corp.contoso.com.
3. En los detalles, haga click derecho a  Default Domain Policy, y seleccione Edit.
4. En el lado izquierdo del Editor dirijase a  Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options
5. En el lado derecho, en los detalles, abra Interactive Logon: Prompt user to change password before expiration
6. En la pestaña de  Security Policy Setting, seleccione Define this policy setting, y digite 30 (days) y presione OK.

Para implementar una advertencia de login

1. Abra el objeto Interactive logon:  Message text for users attempting to log on GPO 
2. Haga un chequeo y copie el siguiente texto:
   "This computer system is for authorized use only. Users have no explicit or implicit expectation of privacy.Any or all uses of this system and all data on this system may be intercepted, monitored, recorded, copied, audited, inspected, and disclosed to authorized sites and law enforcement personnel, as well as authorized officials of other agencies. By using this system, the user consent to such disclosure at the discretion of authorized site personnel"
3. Presione OK y cierre el editor de directivas de grupo.

Para renombrar el sitio de directorio activo

1. Abra Start - Administrative Tools y haga click en Active Directory Sites and Services.
2. En el lado izquierdo, expanda sites y haga click derecho a Subnets.
3. En la ventana New Object - Subnet , bajo el prefijo, inserte: 10.0.0.0/24 y seleccione click the "Default-First-Site-Name" luego presione OK. 
4. En el lado izquierdo, abra Sites, y haga click derecho en "Default-First-Site-Name" y seleccione Rename.
5. Cambie el nombre a CorpHQ
6. Cierre el programa Active Directory Sites and Services

Para crear una zona DNS de búsqueda reversa para la subred 10.0.0.0.

1. Abra Start -Administrative Tools, y haga click en DNS Manager.
2. En el lado izquierdo, abra el servidor DC1,  haga click derecho en Reverse-lookup zones y seleccione New Zone.
3. Presione Next y Next en la ventana Zone Type (Primary / Stored in AD), presione next en la ventana Replication Scope, presione Next en la ventana Reverse-lookup Type (IPV4)
4. En el campo Network ID, escriba 10.0.0 y presione Next
5. Presione Next en la Dynamic Update Page y luego presione Finish.
6. Deje el programa DNS Manager abierto para las siguientes tareas

Para crear nombres tipo A para los sistemas UNIX/Linux

Las direcciones IP de los sistemas son:

Sistema	Dirección IP	Rol
CEN1	10.0.0.151	Sistema de Bases de Datos
SUSE1	10.0.0.152	Sistema servidor Web
SOL1	10.0.0.153	Servidor de Utilidades

En el programa DNS Manager:

1. En el lado izquierdo, expanda el servidor DC1 y expanda Forward-lookup Zones
2. En el lado izquierdo, haga click derecho en la zona corp.contoso.com y seleccione New Host (A or AAA)
3. En la ventana New Host, escriba el nombre del sistema (por ejemplo CEN1)
4. Escriba la dirección IP del sistema correspondiente (por ejemplo: 10.0.0.151)
5. Seleccione el check-box Check the Create associated pointer (PTR) y pressione el botón Add Host
6. Repita hasta que se completen todos los sistemas.
7. Cierre el programa DNS manager y cierre la sesión en el sistema DC1

Instale y habilite las Herramientas de Administración Remotas con SP1 en el sistema CLIENT1

1. Entre al sistema CLIENT1 con una cuenta administrativa del dominio CORP.CONTOSO.COM
2. Descargue las herramientas RSAT SP1.
   http://download.microsoft.com/download/4/F/7/4F71806A-1C56-4EF2-9B4F-9870C4CFD2EE/Windows6.1-KB958830-x64-RefreshPkg.msu 
3. Inicie la instalación y presione Yes cuando aparezca la pregunta.
4. Presione el botón I Accept para iniciar la instalación.  Cuando la instalación termine, presione close.
5. Para habilitar las herramientas administrativas del directorio activo (ADUC, GPMC, etc), abra el Control Panel y haga click en Programs and Features
6. En el lado izquierdo, seleccione "Turn Windows features on or off
7. Expanda Feature Administration Tools y haga un check a Group Policy Management
8. Expand los nodos Remote Server Administration Tools > Role Administration Tools > AD DS and AD LDS Tools and y haga un check en:
   AD DS Snap-ins and command-line tools
   AD LDS Snap-ins and command-line tools
9. Presione OK
10. Mantenga la sesión en el sistema CLIENT1.

Descargue los programas PuTTY y WinSCP en el sistema CLIENT1

1. Descargue el programa PuTTY
2. Instale PuTTY, siguiendo las instrucciones.
3. En la ventana "Select Additional tasks", haga un check en "Create Desktop Icons for all users".
4. Descargue WinSCP
5. Instale WinSCP, siguiendo las instrucciones.
   Cerciórese que no seleccione ningún componente en la página Google Chrome
6. Mantenga la sesión en el sistema CLIENT1.

Creación de Usuarios de Prueba

 Primero, hay que crear la OU llamada Staff. 

1. Abra Start > Administrative Tools > Active Directory Users and Computers
2. En el lado izquierdo, haga click derecho en el dominio corp.contoso.com, seleccione New->Organizational Unit
3. En la ventana New Object, en el campo Name escriba Staff y presione OK.

Creación de los usuarios en la OU Staff.

1. Haga click derecho en la OU Staff, seleccione New->User
2. Complete Primer Nombre (First Name), Apellido (Last Name) basado en la lista, y en user logon name, use este formato:  <firstname>.<lastname>
   Por ejemplo: bryant.wheeler y presione Next
3. En la ventana siguiente, quite el check en "user must change password at next logon"
4. Haga click a Next y a Finish

Lista de Usuarios:

Nombre	Cargo	Grupos
Bryant Wheeler	Windows Administrator	Domain Admins Domain Users
Jessie Matthews	UNIX Administrator	Domain Users
Cora Rodriguez	IT Security Analyst	Domain Users
Courtney Larson	IT Manager	Domain Users
Jeremy Silva	DBA UNIX	Domain Users
Ramon Jimenez	DBA UNIX	Domain Users
Doyle Russell	Web Administrator	Domain Users
Matt Sims	Web Administrator	Domain Users
Cassandra Lindsey	External Auditor	Domain Users
Ralph Baldwin	Internal Auditor	Domain Users

 Coloque a Bryant en el grupo Domain Admins.

1. Abra la OU Staff
2. Haga doble click en el usuario Bryant Wheeler y dirigase al tab Member of
3. Presione Add y escriba Domain Admins presione OK dos veces.
4. Cierre el programa Active Directory Users and Computers.

 Obtenga y copie el programa y los agentes de Centrify Server Suite software

1. Para obtener el programa Centrify Server Suite, solicite una prueba aquí: request a trial.
2. Descargue los programas de Centrify:
   a) Consolas:  http://www.centrify.com/support/package-info.asp?fn=centrify-suite-2013.3-mgmt-ent-win64.zip
   b) Agente para CentOS 64bit: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-rhel3-x86_64.tgz
   c) Agente para Solaris x86: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-sol9-x86.tgz
   d) Agente para SUSE 64bit: http://www.centrify.com/support/download.asp?asset=centrify-suite-2013.3-suse9-x86_64.tgz
3. Copie estos archivos en la carpeta Files del servidor APP1
   Esto  hará que los archivos estén disponibles en la red bajo la carpeta de red \\app1\files.

Laboratorios: Metodología de los Laboratorios

Una de las metas de este blog es proporcionar ejemplos prácticos que se pueden implementar en un entorno de producción o de pruebas para resolver los desafíos de la gestión de accesos e identidades en las plataformas UNIX y Linux.  Para aprovechar el tiempo y tener una configuración estándar, la metodología utilizarán  herramientas disponibles en el Internet.

La problemática del negocio gobernarán los laboratorios
Las laboratorios están diseñados para resolver los problemas empresariales de infraestructura y gestión de TI.  Se desarrollará una progresión de problemas y módulos dependientes;  esto ayudará a la audiencia a tener modelos de referencia que se pueden llevar a ambientes de producción.  Cada problemática será presentada en la perspectiva de los administradores UNIX, analista de seguridad de la información y gerente de TI;  si hay algunos detalles que se deben enfocar del punto de vista del administrador de Windows, estos serán presentados en la respectiva fase (Planificación-Ejecución-Verificación-Ajustes).

La infraestructura de Windows y Directorio Activo
Microsoft Technet tiene un excelente recurso en su serie de laboratorios de pruebas Test Lab Guides.  Este contenido está en Inglés, sin embargo, proporciona un modelo estándar de configuración que se puede aprovechar para establecer un modelo de referencia.  Los ejemplos presentados en el blog serán basados en la e configuración base para Windows Server 2008 R2.  Aquí está el diagrama:

La configuración base proporciona:
- Un bosque de Directorio Activo funcional (corp.contoso.com)
- Una red interna (corpnet) 10.0.0.0/24
- Servicios de resolución de nombre (DNS)
- Sitios web y carpetas compartidas
- Una unidad certificadora con sus listas de revocación de certificados

DC1 es la controladora de dominio y unidad certificadora
APP1 es el servidor de aplicaciones
CLIENT1 es el cliente, la mayoría de la administración se hará desde esta computadora
Las consolas de Centrify serán instaladas en este computador.
Los sistemas EDGE and INET1 no son usados hasta mucho más tarde, o sea que con los tres básicos se puede iniciar.

Infraestructura UNIX/Linux

A pesar de que la infraestructura cambiará con el caso de uso, la estructura básica contiene 3 másquinas:
- CEN1, un sistema CentOS 64 bit con la versión personal de  IBM DB2 (Express) y el servidor web Apache
- SUSE1 un sistema SUSE 10 SP3 con la versión personal de Oracle
- SOL1 un sistema  Solaris 10.

Notas sobre la configuración base:

• En la página 14, la guía recomienda que se configure la directiva de grupo "Domain member: Maximum machine account password age" al vaor de 999.  Esto quiere decir que la contraseña de la cuenta de la computadora en el AD cambiará cada 3 años.  En un modelo de producción, por defecto ese valor es de 30 días.  Este tema tiene implicaciones en la autenticación mutual del sistema.
• Recomiendo cambiar el objeto de directiva de grupo "Interactive Logon: Prompt user to change password before expiration" a 30 días.  Esto cambiará el aviso a 30 días antes de su expiración.
• Configure un  aviso corporativo cambiando el GPO "Interactive logon:  Message text for users attempting to log on" 

Nuestro laboratorio final se verá así:

Solo hay subscribirse a la sección de laboratorios para ser notificado.