1. UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO
FACULTAD INTEGRAL DEL CHACO
UNIDAD DE POSTGRADO
POLITICAS PROCEDIMIENTOS
PARA EL CONTROL DE ACCESO AL
S. O.
ELABORADO POR: Galindo F. Urzagaste H.
Joel A. Padilla R.
Yohana Y. Salces
Mariselva Pantoja
|
Luis C. Barbeyto
2. ÍNDICE DE CONTENIDOS
1. RESUMEN EJECUTIVO: ________________________________________________ 4
2. INTRODUCCION _____________________________________________________ 4
3. OBJETIVO: __________________________________________________________ 5
4. ALCANCE ___________________________________________________________ 5
5. Caso de estudio _____________________________________________________ 5
6. POLÍTICAS DE SEGURIDAD: ____________________________________________ 7
4.1. Privilegios de Usuarios ____________________________________________________ 7
4.2. Autenticación ___________________________________________________________ 8
4.3. Software _______________________________________________________________ 8
4.4. Tiempo Inactividad en las Terminales ________________________________________ 9
4.5. Autorización ___________________________________________________________ 10
5. PROCEDIMIENTOS: __________________________________________________ 11
5.1. Control de acceso al sistema operativo. _____________________________________ 11
5.2. Procedimientos de conexión de terminales. ____________________________________ 11
5.3. Identificación y autenticación de usuario. ____________________________________ 12
5.4. Sistema de gestión de contraseñas. ___________________________________________ 12
5.5. Uso de los servicios del sistema. _____________________________________________ 13
5.6. Desconexión automática de terminales. _______________________________________ 13
5.7. Limitación del tiempo de conexión. ___________________________________________ 13
6. Anexos: ___________________________________________________________ 14
6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS __________________ 14
6.2. Procedimiento para identificación y autentificación de los usuarios _______________ 15
6.3. Procedimiento para sistema de gestión de contraseñas _________________________ 16
6.4. Procedimiento para privilegios de usuarios ___________________________________ 17
6.5. Procedimiento para inactividad de terminales ________________________________ 17
6.6. Procedimiento para limitar el tiempo de conexión _____________________________ 17
7. Instructivos ________________________________________________________ 18
3. 7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final. ___________ 18
7.2. CONFIGURANDO EL DOMINIO _________________________________________________ 22
1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente _________________ 22
2. Creando el Samba Provider, en una terminal ejecutamos: ___________________________ 22
3. Iniciamos el SAMBA 4 AD DC __________________________________________________ 23
4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal: ___________ 23
5. Configurando el DNS _________________________________________________________ 23
6. Instalando y configurando Kerberos _____________________________________________ 24
7.3. Configurar el cliente Windows al Dominio ________________________________________ 24
8. REFERENCIAS BIBLIOGRAFICAS: _______________________________________ 26
4. CONTROL DE ACCESOS AL SISTEMA OPERATIVO
1. RESUMEN EJECUTIVO:
El presente proyecto se estable las bases para mejorar el control de acceso de los usuarios al
sistema operativo para una PYME en nuestro caso de estudio para los sistemas operativos
LINUX CENTOS y WINDOWS XP, el mismo que será aplicado mediante el uso de políticas
institucionales para el manejo de los recursos de las terminales.
Por ello en el presente documento se presentan las políticas aplicadas al control de acceso
al sistema operativo como así también los procedimientos que se tienen que realizar para
un mejor manejo de los recursos de la PYME. Estos procedimientos permitirán al
administrador de sistemas configurar adecuadamente los grupos y privilegios de cada uno
de los usuarios que acceden al servidor. También se incluye un manual de instalación de
software utilizados, que servirán de guía para que la empresa ponga en funcionamiento esta
solución posible y de esta manera mejorar sus funcionalidades.
Debido al caso de estudio realizado de la PYME comercial, todo el presente documento se
centra la utilización de software libre que permitirá reducir el gasto de presupuesto
destinado a las TI de la misma empresa. Por otro lado la información será centralizada en un
servidor de datos basado en LINUX CENTOS, para el proyecto se utilizó la versión 6.4
Para dar una posible solución al caso de estudio se instalóy configuro un controlador de
dominio basado en un servidor samba en Linux Centos para realizar la conexión de ambos
sistemas operativos y administrar los usuarios registrados en el dominio. Por otro lado se
utilizó el software WEBMIN para establecer los roles de los usuarios como así también la
forma de cómo se conectara a la terminal y el tiempo de actividad de cada una de ellas.
2. INTRODUCCION
El manejo de la información en toda organización, institución o empresa, es de vital
importancia, y en estos últimos tiempos el uso de la tecnología crece de una forma abismal,
es por eso que el uso eficiente de recursos tecnológicos nos permitan tener un resguardo
adecuado de la información en todos los sentidos, debido a que existen diversos factores
que interfieren en la obtención de información no autorizada por parte de terceros.
Este documento contiene las políticas, procedimientos informáticos institucionales, que son
aplicables a todas las Direcciones de la empresa del caso de estudio y en general a la
estructura organizativa de la Consultora. Por otro lado se muestra las posibles mejoras que
se puedan realizar en la empresa con el objetivo de mejorar la calidad de servicio que se
5. brinda y el acceso a la información sea más eficiente y confiable posible, manteniendo en
todo momento las tecnologías de seguridad de la información.
La finalidad de este documento es que junto a otro material relacionado, sirva como un
instrumento de consulta permanente y como guía especializada, para las áreas usuarias e
interesadas dentro de la Empresa.
3. OBJETIVO:
Evitar el acceso no autorizado a los sistemas operativos mediante la implementación
de seguridad en los accesos de usuarios por medio de técnicas de autenticación y
autorización clientes.
4. ALCANCE
La Política definida en este documento se aplica a todas las formas de acceso de aquellos
usuarios a quienes se les haya otorgado permisos sobre el Sistema Operativo.
Nos permitirá:
Establecer Privilegios a los usuarios de acuerdo las necesidades que tengan:
Monitorear los intentos de acceso exitosos y fallidos de los usuarios al sistema
operativo:
Conocer que existe un límite de intentos erróneos al sistema.
Establecer el tiempo de Inactividad de una terminal
Controlar que solo existan Software permitidos por la Organización.
Conocer que formulario utilizar y como completarlo.
5. CASO DE ESTUDIO
El presente proyecto se basa en el estudio de una PYME comercial en el cual se pretende
mejorar la manera de administrar los datos que se generan dentro de la empresa.
Situación actual:
El sistema que se maneja dentro de la empresa está constituido por un servidor CENTOS y
clientes WINDOWS XQ, los mismos que están conectados en una sola red, dentro del
servidor se encuentra instalado la aplicación SAI que maneja un servidor de base de datos
informix, utiliza un ROUTERBC042 para enlazar la central con la sucursal, y a través del
mismo crea una VPN para acceso remoto.
Cuenta con dos servidores de ISP los mismos que son de COTAS y ENTEL, las que brindan
internet a los administradores de sistema.
6. Dentro de esta estructura de la PYME se pretende mejorar la forma de administración de la
información a través de políticas, procedimientos e instructivos, a continuación se presenta
un modelo que permita mejorar dicha administración.
Situación ideal:
Para el caso propuesto se presenta una posible solución para mejorar la administración de
la información que se genera dentro de la PYME.
Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no
autorizados a los sistemas operativos, tales medios deberian tener la capacidad para:
Autenticar usuarios autorizados, de acuerdo con una politica definida de control de
acceso;
Registrar intentos exitosos y fallidos de autenticación del sistema;
Registrar el uso de privilegios especiales del sistema;
Emitir alarmas cuando se violan las políticas de seguridad del sistema;
Suministrar medios adecuados para la autenticación:
Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
7. 6. POLÍTICAS DE SEGURIDAD:
4.1. PRIVILEGIOS DE USUARIOS
Se debe dar privilegios a usuarios para impedir accesos no autorizados, esto se lo puede
realizar mediante la implementación de un Controlador de Dominios.
Para iniciar al registro correspondiente de los usuarios en el sistema se tiene como principal
definir cuáles son los privilegios que existen dentro del sistema.
Encargado de ventas
Administrador de sucursales
Administrador de sistemas
Encargado de TI
Por otro lado dependiendo de la actividad a realizar por el usuario se asignara los
correspondientes privilegios de accesos, y como así también de las aplicaciones instaladas.
Para ello se consideran las siguientes políticas de seguridad.
4.1.1. La activación y desactivación de usuarios de sistemas operativos estará a cargo del
personal técnico del Área de TI.
4.1.2. En la activación de usuarios de sistemas operativos, se crearán identificadores de
usuario utilizando el estándar de la letra inicial del nombre seguida del primer
apellido.
4.1.3. Siempre que los sistemas operativos utilizados lo permitan, deberá controlarse el
número de intentos de ingreso fallidos. Luego de tres intentos, deberá bloquearse
la cuenta del usuario y no permitir su ingreso al sistema. La cuenta debe estar
bloqueada por 30 minutos y el administrador de seguridad podría desbloquearla
antes por solicitud del usuario involucrado.
4.1.4. En el caso que el sistema operativo lo permita, se deberán implementar las
bitácoras de seguimiento a los accesos, donde se registren los ingresos al sistema y
los intentos fallidos.
4.1.5. El responsable por la seguridad revisará periódicamente esta bitácora y reportará
a su Jefatura cualquier anomalía que encuentre. La información de esta bitácora
debe estar disponible para cualquier autoridad que lo requiera.
4.1.6. La activación y desactivación de usuarios de los sistemas de información estará a
cargo del personal técnico del Área de TI.
4.1.7. Para otorgarle acceso a las diferentes aplicaciones del sistema, de acuerdo con las
funciones que debe desempeñar el usuario, la jefatura correspondiente deberá
hacer la solicitud formal al encargado de seguridad.
4.1.8. En toda transacción que se realice en el sistema se deberá grabar el nombre del
usuario, la fecha y la hora en que se realizó.
8. 4.2. AUTENTICACIÓN
Aquí se puede utilizar una política de un segundo factor de autenticación, con el objetivo de
utilizar claves robustas en el procedimiento de inicio de sesión, en base a dos o más de los
factores: algo que tengo (tarjeta de coordenadas), algo que soy (biometría) y/o algo que sé
(password).
4.2.1. Las contraseñas deberán tener una longitud mínima de 12 caracteres
alfanuméricos (alfabéticos, numéricos y especiales, como por ejemplo %$&/()”!).
La longitud depende de la importancia de la información protegida, normalmente
de 12-16 caracteres.
4.2.2. Las contraseñas caducarán de forma automática cada 45 días como máximo, y
cumplido dicho plazo, el sistema obligará al usuario a cambiar su contraseña. La
periodicidad marcada depende del nivel de información protegida, lo habitual es
30-60 días.
4.2.3. Un usuario quedará bloqueado al cabo de x intentos de acceso fallidos. Esta
medida protege al sistema frente a ataques de fuerza bruta o muchos intentos
fallidos. El número de intentos suele estar entre 2-3.
4.2.4. Los administradores de áreas deben solicitar formalmente la apertura,
modificación o cierre de las cuentas de usuario. Cuando sea solicitada una
apertura, deben indicar el perfil que se le debe asignar.
4.2.5. El encargado de seguridad informática no cambiará ninguna clave de acceso, si no
es por solicitud expresa de su dueño. En caso de ser necesario y a solicitud de la
administración se congelarán los accesos de un usuario específico.
4.2.6. El Área de TI establecerá los mecanismos adecuados para el control, verificación y
monitoreo de cambios en passwords, número de sesiones activas, seguridad
lógica, física de todas las actividades relacionadas con el uso de tecnologías de
información.
4.2.7. Para evitar situaciones de peligro, se desactivarán o bloquearán las cuentas de
usuario a aquellas personas que estén en vacaciones, con permisos o
incapacidades mayores a una semana, para lo cual debe informar la dirección
respectiva.
4.3. SOFTWARE
Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales
sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para ello se
consideran las siguientes políticas para el uso correcto del software.
4.3.1. El Área de TI es la responsable de la instalación de los programas de software en
cada una de las computadoras de la Empresa.
9. 4.3.2. Queda completamente prohibido que los usuarios realicen instalaciones de
cualquier tipo de software en sus computadoras. De requerir un software específico
debe solicitarse al Área de TI para que se valore la necesidad de su instalación.
4.3.3. Todo software que se instale en las computadoras de los empleados deberá contar
con su respectiva licencia y su instalación deberá ser autorizada por el Área de TI.
4.3.4. El personal del Área de TI deberá mantener un inventario de software y programas
instalados en cada una de las computadoras. Este inventario deberá revisarse y
actualizarse una vez al año.
4.3.5. Para la administración y el manejo seguro de la información que se almacena en los
computadores y para evitar su utilización por personas no autorizadas, se utilizarán
los Sistemas operativos que ofrezcan mayor seguridad, en nuestro caso Linux Centos
y Windows XP.
4.4. TIEMPO INACTIVIDAD EN LAS TERMINALES
Para las terminales utilizadas por la Organización se debe definir un período de tiempo de
inactividad. En áreas públicas o no cubiertas por el sistema de seguridad de la Organización
deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad
previamente definido, para impedir el acceso a estas por usuarios no autorizados.
4.4.1. Se otorgara un tiempo limitado de 10 minutos de inactividad de una terminal,
posteriormente se procederá al bloqueo correspondiente de la misma.
4.4.2. Por motivos de refrigerios, reuniones cada usuario pondrá el equipo en suspensión
con la opción de bloqueo de inicio de sesión, y luego el sistema pida nuevamente
una contraseña de usuario para el ingreso, para evitar posibles ingresos de personas
cercanas a la empresa (familiares, amigos).
4.4.3. Siempre que sea técnicamente posible, se debe automatizar el procedimiento de
bloqueo de identificadores de usuario, en los casos que se refieren a continuación, y
según la clasificación de los sistemas ó el perfil de las cuentas afectadas.
Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos:
Por caducidad de los identificadores.
Por inactividad de los identificadores
Por intento de acceso fallido, utilizando dicho identificador en más de cinco
intentos fallidos.
Por baja temporal.
Por baja definitiva (lo cual implicará la eliminación del identificador).
10. 4.5. AUTORIZACIÓN
Para que exista un correcto control, el acceso a los recursos (ficheros, aplicaciones, bases de
datos, sistema operativo, configuración, etc.) debe ser autorizado por los propietarios de los
recursos.
4.5.1. Las solicitudes de autorización, serán ejecutadas por los administradores de dichos
recursos siguiendo las normativas impuestas por cada Responsable.
4.5.2. Como regla general, los usuarios únicamente tendrán acceso a los recursos necesarios
para el ejercicio de sus funciones. Cualquier otro requerimiento al respecto se tramitará
siguiendo el circuito de excepciones.
4.5.3. Independientemente del tipo de acceso, interno o externo, dicho acceso debe ser
autorizado previamente siempre por el propietario/responsable del recurso.
4.5.4. Los usuarios que requieran acceder a los recursos de los sistemas de información deberán
seguir las siguientes pautas:
El Responsable del Área de cada usuario, solicitará su requerimiento, mediante una
solicitud de autorización con al menos los siguientes datos:
o Nombre y apellidos del solicitante.
o Fecha.
o Sistemas a los que se solicita el acceso, así como el acceso requerido a cada uno.
o Motivo de solicitud.
o Autorización del propietario del recurso.
El Responsable asignado procesará la solicitud cumpliendo las siguientes reglas:
o Verificar que la solicitud esté correctamente cumplimentada.
o Comprobar que la solicitud y asignación de perfiles, no interfiere con la Política de
Seguridad o esquema de segregación de funciones establecidas.
4.5.5. Será responsabilidad de los administradores de sistemas ejecutar solamente aquellas
solicitudes que hayan sido autorizadas de acuerdo a los que se indica en el apartado
anterior de este procedimiento.
4.5.6. En ningún caso asignarán privilegios y accesos a usuarios sin una solicitud previa.
4.5.7. Deberán resguardar todas las solicitudes tramitadas, y las pondrán a disposición en caso
de auditorías internas o externas, así como para el control interno.
4.5.8. En el caso de que se autorice el acceso a recursos por un tiempo determinado, los
administradores deberán cuidar que éste se cumpla, eliminando los privilegios en el
tiempo establecido.
11. 5. PROCEDIMIENTOS:
Para llevar adelante las políticas establecidas por la empresa se emplean los siguientes
procedimientos que nos permitirá realizar un trabajo de seguridad eficiente.
5.1. CONTROL DE ACCESO AL SISTEMA OPERATIVO.
Para Identificación Automática de Terminales se debería realizar una evaluación de riesgos a
fin de determinar el método de protección adecuado para el acceso al Sistema Operativo. Si
del análisis realizado surgiera la necesidad de proveer un método de identificación de
terminales, se debería redactar un procedimiento que indique:
a) El método de identificación automática de terminales utilizado (ver anexos).
b) El detalle de transacciones permitidas por terminal.
5.2. PROCEDIMIENTOS DE CONEXIÓN DE TERMINALES.
Se debería definir un proceso de conexión seguro, este será diseñado para minimizar la
oportunidad de acceso no autorizado. El procedimiento de identificación debería:
a) Mantener en secreto los identificadores de sistemas o aplicaciones hasta tanto se halla
llevado a cabo exitosamente el proceso de conexión.
b) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a
la computadora.
c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el
procedimiento de conexión.
d) Validar la información de la conexión sólo al completarse la totalidad de los datos de
entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es
correcta o incorrecta.
• Registrar los intentos no exitosos.
• Impedir otros intentos de identificación, una vez superado el límite
permitido.
• Desconectar conexiones de comunicaciones de datos
e) Limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido,
el sistema debe finalizar la conexión.
g) Desplegar la siguiente información, al completarse una conexión exitosa:
• Fecha y hora de la conexión exitosa anterior.
• Detalles de los intentos de conexión no exitosos desde la última conexión
exitosa.
12. 5.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIO.
Se debería asignar a todos los usuarios,un identificador único (ID de usuario) Los
identificadores de usuarios no darán ningún indicio delnivel de privilegio otorgado. En
circunstancias excepcionales, cuando existe un claro beneficiopara la Empresa, podría utilizarse
un identificador compartido para un grupo de usuarios ouna tarea específica. Para casos de
esta índole, debería documentarse la justificación y aprobacióndel Propietario de la
Información de que se trate. Si se utilizara un método de autenticaciónfísico (por ejemplo
autenticadores de hardware), debería implementarse un procedimiento queincluya:
a) Asignar la herramienta de autenticación.
b) Registrar los poseedores de autenticadores.
c) Rescatar el autenticador al momento de la desvinculación del personal al que se leotorgó.
d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.
Ver anexo.
5.4. SISTEMA DE GESTIÓN DE CONTRASEÑAS.
Se debería establecer un sistema de administración de contraseñas, contemplando lo
siguiente:
a) Imponer el uso de contraseñas individuales para determinar responsabilidades.
b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido
el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación
para contemplar los errores de ingreso.
c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “Uso de
Contraseñas”.
d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus
propias contraseñas, según lo señalado en el punto “Uso de Contraseñas”.
e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de
identificación, en los casos en que ellos seleccionen sus contraseñas.
f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la
reutilización de las mismas.
g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.
h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de
aplicación.
13. i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado
unidireccional.
j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el
software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.).
k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure
que no se tenga acceso a información temporal o en tránsito de forma no protegida.
Ver anexo.
5.5. USO DE LOS SERVICIOS DEL SISTEMA.
a) Utilizar procedimientos de autenticación para utilitarios del sistema.
b) Separar entre utilitarios del sistema y software de aplicaciones.
c) Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y
autorizados.
d) Evitar que personas ajenas a la Empresa tomen conocimiento de la existencia y modo de
uso de los utilitarios instalados en las instalaciones informáticas.
e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema.
f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un
cambio autorizado.
g) Registrar todo uso de utilitarios del sistema.
h) Definir y documentar los niveles de autorización para utilitarios del sistema.
i) Remover todo el software basado en utilitarios y software de sistema innecesarios.
Ver anexo.
5.6. DESCONEXIÓN AUTOMÁTICA DE TERMINALES.
Se debería definir cuáles se consideran terminales de alto riesgo o que sirven a sistemas de
alto riesgo. Las mismas se apagarán después de un periodo definido de inactividad, por un
lapso que responderá a los riesgos de seguridad del área y de la información que maneje la
terminal. Para las PC’s, se debería implementar la desconexión por tiempo muerto, que limpie
la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de
red. Por otro lado, si un usuario debe abandonarsu puesto de trabajo momentáneamente,
activará protectores de pantalla con contraseñas a losefectos de evitar que terceros puedan
ver su trabajo o continuar con la sesión de usuario habilitada.Ver anexo.
5.7. LIMITACIÓN DEL TIEMPO DE CONEXIÓN.
14. Se debería implementar un control de esta índole para aplicaciones informáticas sensibles,
especialmente aquellas terminales instaladas en ubicaciones de alto riesgo. Entre los controles
que se deben aplicar, se enuncian:
a) Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o
sesiones interactivas periódicas de corta duración.
b) Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento
operativo de horas extras o extensión horaria.Ver anexo.
c) Documentar debidamente los agentes que no tienen restricciones horarias y las razones de
su autorización. También cuando el Propietario de la Información autorice excepciones para
una extensión horaria ocasional.
Ver anexo.
6. ANEXOS:
En este apartado se muestra los procedimientos y manuales con los que la PYME debe contar para mejorar
el control de la información que genera dentro de la empresa
6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS
Para iniciar el programa de administración de usuarios y roles de los mismos tiene que acceder al Sistema
operativo LINUX CENTOS, donde se tiene instalado el software de control de usuarios:
Acceso al sistema operativo LINUX CENTOS
Posteriormente el administrador abre el navegador en este caso Mozilla, y coloca el dominio que en este
caso es https://localhost:10000 y estable el puerto por el cual se tiene que conectar el administrador, y
establece su login y password de administración.
15. Una vez ingresado al sistema se encuentra todas las opciones de configuración y control del software de
administración y control de usuarios.
6.2. PROCEDIMIENTO PARA IDENTIFICACIÓN Y AUTENTIFICACIÓN DE LOS USUARIOS
En este procedimiento se expresa la forma como los usuarios se registran en el sistema para ello se siguen
los siguientes pasos :
1. En el administrador WEBMIN se va a la pestaña Sistema
2. Posteriormente a la opción usuarios y grupos del sistema
16. Una vez registrado el usuario se procede a registrarlo en el WEBMIN para ello se tiene que
ir a la pestaña donde dice:
Usuarios de webmin
Se elige la opción convertir usuarios UNIX a WEBMIN y se selecciona el o los usuarios a
asignar en el programa.
Figura 6. Clave de acceso de usuarios cifrada.
6.3. PROCEDIMIENTO PARA SISTEMA DE GESTIÓN DE CONTRASEÑAS
Para llevar adelante el sistema de gestión de claves de usuarios, el sistema de
administración WEBMIN utiliza el software de kerberos que es sistema de generación de
claves de acceso de usuarios. Por lo cual una vez asignada una contraseña el software lo
encripta esa clave.
Figura 7. Clave de acceso de usuarios cifrada.
17. 6.4. PROCEDIMIENTO PARA PRIVILEGIOS DE USUARIOS
El administrador WEBMIN es el que permite generar los privilegios de los usuarios, el mismo que son
asignados por el administrador de sistemas.
1. Ir a la opción usuarios de WEBMIN
2. Seleccionar el usuario
3. Ir a la opción Available Webmin modules
Figura 8. Privilegios de acceso de los usuarios.
6.5. PROCEDIMIENTO PARA INACTIVIDAD DE TERMINALES
El WEBMIN es el que permite definir el tiempo de inactividad de las terminales este en caso de vacaciones y
salidas de los empleados.
Para ello ir a la opción del usuario y seleccionar el usuario correspondiente, les abrirá un ventana en el cual
se podrá definir el tiempo de inactividad de la terminal.
6.6. PROCEDIMIENTO PARA LIMITAR EL TIEMPO DE CONEXIÓN
El sistema nos permite definir cuanto tiempo estará habilitada la terminal para el acceso de los usuarios.
18. Para ello nos vamos a la pestaña del usuario de webmin y seleccionamos el usuario a establecer el tiempo
de actividad de la terminal.
7. INSTRUCTIVOS
7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final.
1. Lo primero es descargar el paquete de instalación, para ello pueden ir a la dirección:
http://downloads.sourceforge.net/project/webadmin/webmin/1.560/webmin-1.560.tar.gz
2. Luego si queremos utilizar webmin tenemos que instalar perl (un lenguaje de programacion usado
por webmin) openssl (para acceder a las paginas de webmin de modo seguro) y perl-Net-SSLeay,
una extension en perl para el uso de openssl. Instalamos los programas necesarios con el
comando (distribucion centos):
yum install perl openssl openssl-devel perl-Net-SSLeay
3. Creamos una carpeta donde vamos a instalar webmin
mkdir /usr/local/webmin
4. Nos posicionamos en la carpeta /usr/src y escribimos el siguiente comando:
cd /usr/src
5. Decomprimimos el programa utilizando el siguiente comando:
tar -xf webmin-1.560.tar.gz
6. Procedemos a ingresar a la carpeta creada:
cd webmin-1.560
7. Luego iniciamos la instalación
./setup.sh /usr/local/webmin
Le damos enter y continúa la instalación
19. Configuramos el número de puerto con el que saldrá en este caso le pusimos 25000
8. En teoría, esto ya está listo. Sin embargo, tenemos nos encontraremos con la siguiente advertencia
si accedemos desde Firefox:
Advertencia de seguridad de Firefox
Para que no nos vuelva a aparecer hacemos clic sobre “O puede añadir una excepción…“
9. A continuación hacemos clic sobre Añadir excepción…
20. Añadimos la excepción
10. En el siguiente paso hacemos clic sobre Obtener certificado y después sobre Confirmar excepción
de seguridad.
Obtenemos el certificado y confirmamos la excepción
11. Ahora ya podemos iniciar sesión en Webmin. Como nombre de usuario podemos usar root (si lo
tenemos habilitado) o cualquier usuario del sistema con privilegios de administrador.
21. Iniciamos la sesión en Webmin
12. Y así accedemos a la interfaz de Webmin.
Página de inicio de Webmin
¿Cómo? ¡Está en inglés! Bueno, tampoco es para tanto pero no vamos a terminar sin cambiar el
idioma a español.
13. Para cambiar el idioma hacemos clic sobre Webmin en el menú de la izquierda, después en
Webmin Configuration y, por último, sobre Language.
Accedemos a la configuración de Webmin
22. 14. Ahora en Display in language seleccionamos Spanish (ES) y hacemos clic en Change Language.
Cambiamos el idioma a Spanish (Español)
15. Seguramente veremos parte de la interfaz en español pero no toda pero bastará con pulsar la tecla
F5 para actualizar la página.
16. Ya tenemos la interfaz de Webmin en español como podemos comprobar en el menú de la
izquierda.
7.2. CONFIGURANDO EL DOMINIO
1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente
yum install git-core
git clone git://git.samba.org/samba.git samba-master
shutdown -r now //Reiniciamos el Equipo
cd samba-master
./configure --enable-debug --enable-selftest
Make // compilamos
Make Install // Instalamos Samba
2. Creando el Samba Provider, en una terminal ejecutamos:
/usr/local/samba/bin/samba-tool domain provision
Realm [MYDOMAIN.COM]: WUBI [mi Dominio]: (presionamos Enter)
Server Role (dc, member, standalone) [dc]: (presionamos Enter)
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
(presionamos Enter)
Administrator password: Contraseña del Dominio
Retype password: Contraseña del Dominio
Después de terminar nos mostrar lo siguiente:
Creating CN=MicrosoftDNS,CN=System,DC=WUBI,DC=com
23. Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at
/usr/local/samba/private/krb5.conf
Once the above files are installed, your Samba4 server will be ready to use
Server Role: active directory domain controller
Hostname: samba
NetBIOS Domain: WUBI
DNS Domain: wubi.com
DOMAIN SID: S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx
shutdown -r now //Reiniciamos el Equipo
3. Iniciamos el SAMBA 4 AD DC
# /usr/local/samba/sbin/samba
4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal:
Verificamos que estamos trabajando con la versión correcta
# /usr/local/samba/sbin/samba -V
Version 4.1.0pre1-GIT-c1fb37d
Verificamos que estamos ejecutando el cliente correcto
# /usr/local/samba/bin/smbclient --version
Version 4.1.0pre1-GIT-c1fb37d
Ejecutamos lo siguiente para listar el Detalle de nuestro dominio
# /usr/local/samba/bin/smbclient -L localhost -U%
# /usr/local/samba/bin/smbclient -L localhost -U%
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.0pre1-GIT-c1fb37d)
Domain=[WUBI] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d]
Server Comment
--------- -------
WUBI Master
--------- -------
5. Configurando el DNS
24. Editamos el archivo /etc/named.conf
Incluimos al final del archivo lo siguiente
include "/usr/local/samba/private/named.conf";
6. Instalando y configurando Kerberos
En una Terminal Ejecutamos:
yum install glibc glibc-devel gcc python* libacl-devel krb5-workstation krb5-libs pam_krb5
Creamos un Backup del archivo de configuración
cp /usr/local/samba/share/setup/krb5.conf /etc/krb5.conf
Editamos el archivo y ponemos lo siguiente:
# gedit /etc/krb5.conf
[libdefaults]
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
dns_lookup_kdc = true
7. Testeando Kerberos
Utilizamos el comando kinit
# kinit administrator@WUBI.COM
Password for administrator@WUBI.COM:
Warning: Your password will expire in 41 days on Sun Feb 3 14:21:51 2013
7.3. Configurar el cliente Windows al Dominio
A continuación describiremos como agregar un cliente Windows al dominio WUBI
1) Haga clic en el icono "Mi PC" y seleccionar "Propiedades"
2) Desde "Configuración avanzada del sistema" clic el panel de la izquierda
3) Seleccione la pestaña "Nombre de equipo" y haga clic en "Cambio ..."
4) Seleccione 'Domain' opción e introduzca WUBI.
5) Cuando se solicita un nombre de usuario y contraseña, escriba "Administrador" como nombre de
usuario e introduzca su contraseña. (Contraseña = la contraseña que utilizó cuando se ejecutó el
25. comando 'samba-herramienta provisión dominio').
6) Usted debe obtener un cuadro de mensaje que indica "Bienvenido al dominio WUBI '.
7) Haga clic en Aceptar en este cuadro de mensaje y la ventana Propiedades y, a continuación, se le
indicará que reinicie el equipo.
8) Después de reiniciar debe ser presentado con el cuadro de diálogo de inicio de sesión normal
9) Seleccione el Dominio WUBI y a continuación debe autenticarse con el usuario creado en el Dominio