POLITICAS PROCEDIMIENTOS PARA EL CONTROL DE ACCESO AL S. O.

|

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO FACULTAD INTEGRAL DEL CHACO

UNIDAD DE POSTGRADO

ELABORADO POR: Galindo F. Urzagaste H.Joel A. Padilla R.Yohana Y. Salces Mariselva Pantoja Luis C. Barbeyto

ÍNDICE DE CONTENIDOS

1. RESUMEN EJECUTIVO:_________________________________________________3

2. INTRODUCCION_______________________________________________________4

3. OBJETIVO:___________________________________________________________4

4. ALCANCE____________________________________________________________4

5. Caso de estudio_______________________________________________________4

6. POLÍTICAS DE SEGURIDAD:______________________________________________6

4.1. Privilegios de Usuarios______________________________________________________6

4.2. Autenticación_____________________________________________________________7

4.3. Software_________________________________________________________________8

4.4. Tiempo Inactividad en las Terminales_________________________________________8

4.5. Autorización______________________________________________________________9

5. PROCEDIMIENTOS:___________________________________________________10

5.1. Control de acceso al sistema operativo._______________________________________10

5.2. Procedimientos de conexión de terminales._____________________________________10

5.3. Identificación y autenticación de usuario._____________________________________11

5.4. Sistema de gestión de contraseñas.____________________________________________11

5.5. Uso de los servicios del sistema._______________________________________________12

5.6. Desconexión automática de terminales.________________________________________13

5.7. Limitación del tiempo de conexión.____________________________________________13

6. Anexos:____________________________________________________________13

6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS___________________13

6.2. Procedimiento para identificación y autentificación de los usuarios________________15

6.3. Procedimiento para sistema de gestión de contraseñas__________________________16

6.4. Procedimiento para privilegios de usuarios____________________________________16

6.5. Procedimiento para inactividad de terminales__________________________________17

6.6. Procedimiento para limitar el tiempo de conexión______________________________17

7. Instructivos_________________________________________________________17

7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final._____________177.2. CONFIGURANDO EL DOMINIO__________________________________________________21

1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente___________________212. Creando el Samba Provider, en una terminal ejecutamos:____________________________213. Iniciamos el SAMBA 4 AD DC____________________________________________________224. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal:_____________225. Configurando el DNS__________________________________________________________226. Instalando y configurando Kerberos______________________________________________23

7.3. Configurar el cliente Windows al Dominio_________________________________________23

8. REFERENCIAS BIBLIOGRAFICAS:_________________________________________25

CONTROL  DE ACCESOS AL SISTEMA OPERATIVO

1. RESUMEN EJECUTIVO:

El presente proyecto se estable las bases para mejorar el control de acceso de los usuarios al sistema operativo para una PYME en nuestro caso de estudio para los sistemas operativos LINUX CENTOS y WINDOWS XP, el mismo que será aplicado mediante el uso de políticas institucionales para el manejo de los recursos de las terminales.

Por ello en el presente documento se presentan las políticas aplicadas al control de acceso al sistema operativo como así también los procedimientos que se tienen que realizar para un mejor manejo de los recursos de la PYME. Estos procedimientos permitirán al administrador de sistemas configurar adecuadamente los grupos y privilegios de cada uno de los usuarios que acceden al servidor. También se incluye un manual de instalación de software utilizados, que servirán de guía para que la empresa ponga en funcionamiento esta solución posible y de esta manera mejorar sus funcionalidades.

Debido al caso de estudio realizado de la PYME comercial, todo el presente documento se centra la utilización de software libre que permitirá reducir el gasto de presupuesto destinado a las TI de la misma empresa. Por otro lado la información será centralizada en un servidor de datos basado en LINUX CENTOS, para el proyecto se utilizó la versión 6.4

Para dar una posible solución al caso de estudio se instaló y configuro un controlador de dominio basado en un servidor samba en Linux Centos para realizar la conexión de ambos sistemas operativos y administrar los usuarios registrados en el dominio. Por otro lado se utilizó el software WEBMIN para establecer los roles de los usuarios como así también la forma de cómo se conectara a la terminal y el tiempo de actividad de cada una de ellas.

2. INTRODUCCION

El manejo de la información en toda organización, institución o empresa, es de vital importancia, y en estos últimos tiempos el uso de la tecnología crece de una forma abismal, es por eso que el uso eficiente de recursos tecnológicos nos permitan tener un resguardo adecuado de la información en todos los sentidos, debido a que existen diversos factores que interfieren en la obtención de información no autorizada por parte de terceros. Este documento contiene las políticas, procedimientos informáticos institucionales, que son aplicables a todas las Direcciones de la empresa del caso de estudio y en general a la estructura organizativa de la Consultora. Por otro lado se muestra las posibles mejoras que

se puedan realizar en la empresa con el objetivo de mejorar la calidad de servicio que se brinda y el acceso a la información sea más eficiente y confiable posible, manteniendo en todo momento las tecnologías de seguridad de la información.

La finalidad de este documento es que junto a otro material relacionado, sirva como un instrumento de consulta permanente y como guía especializada, para las áreas usuarias e interesadas dentro de la Empresa.

3. OBJETIVO:

Evitar el acceso no autorizado a los sistemas operativos mediante la implementación de seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización clientes.

4. ALCANCE

La Política definida en este documento se aplica a todas las formas de acceso de aquellos usuarios a quienes se les haya otorgado permisos sobre el Sistema Operativo. Nos permitirá:

Establecer Privilegios a los usuarios de acuerdo las necesidades que tengan:

Monitorear los intentos de acceso exitosos y fallidos de los usuarios al sistema operativo:

Conocer que existe un límite de intentos erróneos al sistema.

Establecer el tiempo de Inactividad de una terminal

Controlar que solo existan Software permitidos por la Organización.

Conocer que formulario utilizar y como completarlo.

5. CASO DE ESTUDIO

El presente proyecto se basa en el estudio de una PYME comercial en el cual se pretende mejorar la manera de administrar los datos que se generan dentro de la empresa.

Situación actual: El sistema que se maneja dentro de la empresa está constituido por un servidor CENTOS y clientes WINDOWS XQ, los mismos que están conectados en una sola red, dentro del servidor se encuentra instalado la aplicación SAI que maneja un servidor de base de datos informix, utiliza un ROUTE RBC042 para enlazar la central con la sucursal, y a través del mismo crea una VPN para acceso remoto.

Cuenta con dos servidores de ISP los mismos que son de COTAS y ENTEL, las que brindan internet a los administradores de sistema. Dentro de esta estructura de la PYME se pretende mejorar la forma de administración de la información a través de políticas, procedimientos e instructivos, a continuación se presenta un modelo que permita mejorar dicha administración. Situación ideal: Para el caso propuesto se presenta una posible solución para mejorar la administración de la información que se genera dentro de la PYME.Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos, tales medios deberian tener la capacidad para:

Autenticar usuarios autorizados, de acuerdo con una politica definida de control de acceso;

Registrar intentos exitosos y fallidos de autenticación del sistema; Registrar el uso de privilegios especiales del sistema; Emitir alarmas cuando se violan las políticas de seguridad del sistema; Suministrar medios adecuados para la autenticación: Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

6. POLÍTICAS DE SEGURIDAD:

3.1. PRIVILEGIOS DE USUARIOS

Se debe dar privilegios a usuarios para impedir accesos no autorizados, esto se lo puede realizar mediante la implementación de un Controlador de Dominios. Para iniciar al registro correspondiente de los usuarios en el sistema se tiene como principal definir cuáles son los privilegios que existen dentro del sistema.

Encargado de ventas

Administrador de sucursales

Administrador de sistemas

Encargado de TI

Por otro lado dependiendo de la actividad a realizar por el usuario se asignara los correspondientes privilegios de accesos, y como así también de las aplicaciones instaladas. Para ello se consideran las siguientes políticas de seguridad.

3.1.1. La activación y desactivación de usuarios de sistemas operativos estará a cargo del personal técnico del Área de TI.

3.1.2. En la activación de usuarios de sistemas operativos, se crearán identificadores de usuario utilizando el estándar de la letra inicial del nombre seguida del primer apellido.

3.1.3. Siempre que los sistemas operativos utilizados lo permitan, deberá controlarse el número de intentos de ingreso fallidos. Luego de tres intentos, deberá bloquearse la cuenta del usuario y no permitir su ingreso al sistema. La cuenta debe estar bloqueada por 30 minutos y el administrador de seguridad podría desbloquearla antes por solicitud del usuario involucrado.

3.1.4. En el caso que el sistema operativo lo permita, se deberán implementar las bitácoras de seguimiento a los accesos, donde se registren los ingresos al sistema y los intentos fallidos.

3.1.5. El responsable por la seguridad revisará periódicamente esta bitácora y reportará a su Jefatura cualquier anomalía que encuentre. La información de esta bitácora debe estar disponible para cualquier autoridad que lo requiera.

3.1.6. La activación y desactivación de usuarios de los sistemas de información estará a cargo del personal técnico del Área de TI.

3.1.7. Para otorgarle acceso a las diferentes aplicaciones del sistema, de acuerdo con las funciones que debe desempeñar el usuario, la jefatura correspondiente deberá hacer la solicitud formal al encargado de seguridad.

3.1.8. En toda transacción que se realice en el sistema se deberá grabar el nombre del usuario, la fecha y la hora en que se realizó.

3.2. AUTENTICACIÓN

Aquí se puede utilizar una política de un segundo factor de autenticación, con el objetivo de utilizar claves robustas en el procedimiento de inicio de sesión, en base a dos o más de los factores: algo que tengo (tarjeta de coordenadas), algo que soy (biometría) y/o algo que sé (password).

3.2.1. Las contraseñas deberán tener una longitud mínima de 12 caracteres alfanuméricos (alfabéticos, numéricos y especiales, como por ejemplo %$&/()”!). La longitud depende de la importancia de la información protegida, normalmente de 12-16 caracteres.

3.2.2. Las contraseñas caducarán de forma automática cada 45 días como máximo, y cumplido dicho plazo, el sistema obligará al usuario a cambiar su contraseña. La periodicidad marcada depende del nivel de información protegida, lo habitual es 30-60 días.

3.2.3. Un usuario quedará bloqueado al cabo de x intentos de acceso fallidos. Esta medida protege al sistema frente a ataques de fuerza bruta o muchos intentos fallidos. El número de intentos suele estar entre 2-3.

3.2.4. Los administradores de áreas deben solicitar formalmente la apertura, modificación o cierre de las cuentas de usuario. Cuando sea solicitada una apertura, deben indicar el perfil que se le debe asignar.

3.2.5. El encargado de seguridad informática no cambiará ninguna clave de acceso, si no es por solicitud expresa de su dueño. En caso de ser necesario y a solicitud de la administración se congelarán los accesos de un usuario específico.

3.2.6. El Área de TI establecerá los mecanismos adecuados para el control, verificación y monitoreo de cambios en passwords, número de sesiones activas, seguridad lógica, física de todas las actividades relacionadas con el uso de tecnologías de información.

3.2.7. Para evitar situaciones de peligro, se desactivarán o bloquearán las cuentas de usuario a aquellas personas que estén en vacaciones, con permisos o incapacidades mayores a una semana, para lo cual debe informar la dirección respectiva.

3.3. SOFTWARE

Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para ello se consideran las siguientes políticas para el uso correcto del software.

3.3.1. El Área de TI es la responsable de la instalación de los programas de software en cada una de las computadoras de la Empresa.

3.3.2. Queda completamente prohibido que los usuarios realicen instalaciones de cualquier tipo de software en sus computadoras. De requerir un software específico debe solicitarse al Área de TI para que se valore la necesidad de su instalación.

3.3.3. Todo software que se instale en las computadoras de los empleados deberá contar con su respectiva licencia y su instalación deberá ser autorizada por el Área de TI.

3.3.4. El personal del Área de TI deberá mantener un inventario de software y programas instalados en cada una de las computadoras. Este inventario deberá revisarse y actualizarse una vez al año.

3.3.5. Para la administración y el manejo seguro de la información que se almacena en los computadores y para evitar su utilización por personas no autorizadas, se utilizarán los Sistemas operativos que ofrezcan mayor seguridad, en nuestro caso Linux Centos y Windows XP.

3.4. TIEMPO INACTIVIDAD EN LAS TERMINALES

Para las terminales utilizadas por la Organización se debe definir un período de tiempo de inactividad. En áreas públicas o no cubiertas por el sistema de seguridad de la Organización deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad previamente definido, para impedir el acceso a estas por usuarios no autorizados.

3.4.1. Se otorgara un tiempo limitado de 10 minutos de inactividad de una terminal, posteriormente se procederá al bloqueo correspondiente de la misma.

3.4.2. Por motivos de refrigerios, reuniones cada usuario pondrá el equipo en suspensión con la opción de bloqueo de inicio de sesión, y luego el sistema pida nuevamente una contraseña de usuario para el ingreso, para evitar posibles ingresos de personas cercanas a la empresa (familiares, amigos).

3.4.3. Siempre que sea técnicamente posible, se debe automatizar el procedimiento de bloqueo de identificadores de usuario, en los casos que se refieren a continuación, y según la clasificación de los sistemas ó el perfil de las cuentas afectadas.

Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos:

Por caducidad de los identificadores.

Por inactividad de los identificadores

Por intento de acceso fallido, utilizando dicho identificador en más de cinco intentos fallidos.

Por baja temporal.

Por baja definitiva (lo cual implicará la eliminación del identificador).

3.5. AUTORIZACIÓN

Para que exista un correcto control, el acceso a los recursos (ficheros, aplicaciones, bases de datos, sistema operativo, configuración, etc.) debe ser autorizado por los propietarios de los recursos.

3.5.1. Las solicitudes de autorización, serán ejecutadas por los administradores de dichos recursos siguiendo las normativas impuestas por cada Responsable.

3.5.2. Como regla general, los usuarios únicamente tendrán acceso a los recursos necesarios para el ejercicio de sus funciones. Cualquier otro requerimiento al respecto se tramitará siguiendo el circuito de excepciones.

3.5.3. Independientemente del tipo de acceso, interno o externo, dicho acceso debe ser autorizado previamente siempre por el propietario/responsable del recurso.

3.5.4. Los usuarios que requieran acceder a los recursos de los sistemas de información deberán seguir las siguientes pautas:

El Responsable del Área de cada usuario, solicitará su requerimiento, mediante una solicitud de autorización con al menos los siguientes datos:

o Nombre y apellidos del solicitante.

o Fecha.

o Sistemas a los que se solicita el acceso, así como el acceso requerido a cada uno.

o Motivo de solicitud.

o Autorización del propietario del recurso.

El Responsable asignado procesará la solicitud cumpliendo las siguientes reglas:

o Verificar que la solicitud esté correctamente cumplimentada.

o Comprobar que la solicitud y asignación de perfiles, no interfiere con la Política de Seguridad o esquema de segregación de funciones establecidas.

3.5.5. Será responsabilidad de los administradores de sistemas ejecutar solamente aquellas solicitudes que hayan sido autorizadas de acuerdo a los que se indica en el apartado anterior de este procedimiento.

3.5.6. En ningún caso asignarán privilegios y accesos a usuarios sin una solicitud previa.3.5.7. Deberán resguardar todas las solicitudes tramitadas, y las pondrán a disposición en caso

de auditorías internas o externas, así como para el control interno.3.5.8. En el caso de que se autorice el acceso a recursos por un tiempo determinado, los

administradores deberán cuidar que éste se cumpla, eliminando los privilegios en el tiempo establecido.

4. PROCEDIMIENTOS:

Para llevar adelante las políticas establecidas por la empresa se emplean los siguientes procedimientos que nos permitirá realizar un trabajo de seguridad eficiente.

4.1. CONTROL DE ACCESO AL SISTEMA OPERATIVO.

Para Identificación Automática de Terminales se debería realizar una evaluación de riesgos a fin de determinar el método de protección adecuado para el acceso al Sistema Operativo. Si del análisis realizado surgiera la necesidad de proveer un método de identificación de terminales, se debería redactar un procedimiento que indique:a) El método de identificación automática de terminales utilizado (ver anexos).b) El detalle de transacciones permitidas por terminal.

5.2. PROCEDIMIENTOS DE CONEXIÓN DE TERMINALES.

Se debería definir un proceso de conexión seguro, este será diseñado para minimizar la oportunidad de acceso no autorizado. El procedimiento de identificación debería:

a) Mantener en secreto los identificadores de sistemas o aplicaciones hasta tanto se halla llevado a cabo exitosamente el proceso de conexión.

b) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a la computadora.

c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión.

d) Validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es correcta o incorrecta.

• Registrar los intentos no exitosos.• Impedir otros intentos de identificación, una vez superado el límite

permitido.• Desconectar conexiones de comunicaciones de datos

e) Limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido, el sistema debe finalizar la conexión.

g) Desplegar la siguiente información, al completarse una conexión exitosa:

• Fecha y hora de la conexión exitosa anterior.

• Detalles de los intentos de conexión no exitosos desde la última conexión exitosa.

4.2. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIO.

Se debería asignar a todos los usuarios, un identificador único (ID de usuario) Los identificadores de usuarios no darán ningún indicio del nivel de privilegio otorgado. En circunstancias excepcionales, cuando existe un claro beneficio para la Empresa, podría utilizarse un identificador compartido para un grupo de usuarios o una tarea específica. Para casos de esta índole, debería documentarse la justificación y aprobación del Propietario de la Información de que se trate. Si se utilizara un método de autenticación físico (por ejemplo autenticadores de hardware), debería implementarse un procedimiento que incluya:

a) Asignar la herramienta de autenticación.

b) Registrar los poseedores de autenticadores.

c) Rescatar el autenticador al momento de la desvinculación del personal al que se le otorgó.

d) Revocar el acceso del autenticador, en caso de compromiso de seguridad.

Ver anexo.

5.4. SISTEMA DE GESTIÓN DE CONTRASEÑAS.

Se debería establecer un sistema de administración de contraseñas, contemplando lo siguiente:

a) Imponer el uso de contraseñas individuales para determinar responsabilidades.

b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación para contemplar los errores de ingreso.

c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “Uso de Contraseñas”.

d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas, según lo señalado en el punto “Uso de Contraseñas”.

e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de identificación, en los casos en que ellos seleccionen sus contraseñas.

f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas.

g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas.

h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.

i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional.

j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.).

k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida.

Ver anexo.

5.5. USO DE LOS SERVICIOS DEL SISTEMA.

a) Utilizar procedimientos de autenticación para utilitarios del sistema.

b) Separar entre utilitarios del sistema y software de aplicaciones.

c) Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados.

d) Evitar que personas ajenas a la Empresa tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informáticas.

e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema.

f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado.

g) Registrar todo uso de utilitarios del sistema.

h) Definir y documentar los niveles de autorización para utilitarios del sistema.

i) Remover todo el software basado en utilitarios y software de sistema innecesarios.

Ver anexo.

5.6. DESCONEXIÓN AUTOMÁTICA DE TERMINALES.

Se debería definir cuáles se consideran terminales de alto riesgo o que sirven a sistemas de alto riesgo. Las mismas se apagarán después de un periodo definido de inactividad, por un lapso que responderá a los riesgos de seguridad del área y de la información que maneje la terminal. Para las PC’s, se debería implementar la desconexión por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de red. Por otro lado, si un usuario debe abandonar su puesto de trabajo momentáneamente,

activará protectores de pantalla con contraseñas a los efectos de evitar que terceros puedan ver su trabajo o continuar con la sesión de usuario habilitada. Ver anexo.

5.7. LIMITACIÓN DEL TIEMPO DE CONEXIÓN.

Se debería implementar un control de esta índole para aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo. Entre los controles que se deben aplicar, se enuncian:

a) Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o sesiones interactivas periódicas de corta duración.

b) Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria. Ver anexo.

c) Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización. También cuando el Propietario de la Información autorice excepciones para una extensión horaria ocasional.

Ver anexo.

5. ANEXOS:

En este apartado se muestra los procedimientos y manuales con los que la PYME debe contar para mejorar el control de la información que genera dentro de la empresa

5.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS

Para iniciar el programa de administración de usuarios y roles de los mismos tiene que acceder al Sistema operativo LINUX CENTOS, donde se tiene instalado el software de control de usuarios:

Acceso al sistema operativo LINUX CENTOS

Posteriormente el administrador abre el navegador en este caso Mozilla, y coloca el dominio que en este caso es https://localhost:10000 y estable el puerto por el cual se tiene que conectar el administrador, y establece su login y password de administración.

Una vez ingresado al sistema se encuentra todas las opciones de configuración y control del software de administración y control de usuarios.

5.2. PROCEDIMIENTO PARA IDENTIFICACIÓN Y AUTENTIFICACIÓN DE LOS USUARIOS

En este procedimiento se expresa la forma como los usuarios se registran en el sistema para ello se siguen los siguientes pasos :

1. En el administrador WEBMIN se va a la pestaña Sistema2. Posteriormente a la opción usuarios y grupos del sistema

Una vez registrado el usuario se procede a registrarlo en el WEBMIN para ello se tiene que ir a la pestaña donde dice: Usuarios de webmin

Se elige la opción convertir usuarios UNIX a WEBMIN y se selecciona el o los usuarios a asignar en el programa.

Figura 6. Clave de acceso de usuarios cifrada.

5.3. PROCEDIMIENTO PARA SISTEMA DE GESTIÓN DE CONTRASEÑAS

Para llevar adelante el sistema de gestión de claves de usuarios, el sistema de administración WEBMIN utiliza el software de kerberos que es sistema de generación de claves de acceso de usuarios. Por lo cual una vez asignada una contraseña el software lo encripta esa clave.

Figura 7. Clave de acceso de usuarios cifrada.

5.4. PROCEDIMIENTO PARA PRIVILEGIOS DE USUARIOS

El administrador WEBMIN es el que permite generar los privilegios de los usuarios, el mismo que son asignados por el administrador de sistemas.

1. Ir a la opción usuarios de WEBMIN 2. Seleccionar el usuario 3. Ir a la opción Available Webmin modules

Figura 8. Privilegios de acceso de los usuarios.

5.5. PROCEDIMIENTO PARA INACTIVIDAD DE TERMINALES

El WEBMIN es el que permite definir el tiempo de inactividad de las terminales este en caso de vacaciones y salidas de los empleados.

Para ello ir a la opción del usuario y seleccionar el usuario correspondiente, les abrirá un ventana en el cual se podrá definir el tiempo de inactividad de la terminal.

5.6. PROCEDIMIENTO PARA LIMITAR EL TIEMPO DE CONEXIÓN

El sistema nos permite definir cuanto tiempo estará habilitada la terminal para el acceso de los usuarios.

Para ello nos vamos a la pestaña del usuario de webmin y seleccionamos el usuario a establecer el tiempo de actividad de la terminal.

6. INSTRUCTIVOS

6.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final.

1. Lo primero es descargar el paquete de instalación, para ello pueden ir a la dirección: http://downloads.sourceforge.net/project/webadmin/webmin/1.560/webmin-1.560.tar.gz

2. Luego si queremos utilizar webmin tenemos que instalar perl (un lenguaje de programacion usado por webmin) openssl (para acceder a las paginas de webmin de modo seguro) y perl-Net-SSLeay, una extension en perl para el uso de openssl. Instalamos los programas necesarios con el comando (distribucion centos):yum install perl openssl openssl-devel perl-Net-SSLeay

3. Creamos una carpeta donde vamos a instalar webminmkdir /usr/local/webmin

4. Nos posicionamos en la carpeta /usr/src y escribimos el siguiente comando:cd /usr/src

5. Decomprimimos el programa utilizando el siguiente comando:tar -xf webmin-1.560.tar.gz

6. Procedemos a ingresar a la carpeta creada:cd webmin-1.560

7. Luego iniciamos la instalación./setup.sh /usr/local/webmin

Le damos enter y continúa la instalación

Configuramos el número de puerto con el que saldrá en este caso le pusimos 250008. En teoría, esto ya está listo. Sin embargo, tenemos nos encontraremos con la siguiente advertencia

si accedemos desde Firefox:

Advertencia de seguridad de FirefoxPara que no nos vuelva a aparecer hacemos clic sobre “O puede añadir una excepción…“

9. A continuación hacemos clic sobre Añadir excepción…

Añadimos la excepción10. En el siguiente paso hacemos clic sobre Obtener certificado y después sobre Confirmar excepción

de seguridad.

Obtenemos el certificado y confirmamos la excepción11. Ahora ya podemos iniciar sesión en Webmin. Como nombre de usuario podemos usar root (si lo

tenemos habilitado) o cualquier usuario del sistema con privilegios de administrador.

Iniciamos la sesión en Webmin12. Y así accedemos a la interfaz de Webmin.

Página de inicio de Webmin¿Cómo? ¡Está en inglés! Bueno, tampoco es para tanto pero no vamos a terminar sin cambiar el idioma a español.

13. Para cambiar el idioma hacemos clic sobre Webmin en el menú de la izquierda, después en Webmin Configuration y, por último, sobre Language.

Accedemos a la configuración de Webmin14. Ahora en Display in language seleccionamos Spanish (ES) y hacemos clic en Change Language.

Cambiamos el idioma a Spanish (Español)15. Seguramente veremos parte de la interfaz en español pero no toda pero bastará con pulsar la tecla

F5 para actualizar la página. 16. Ya tenemos la interfaz de Webmin en español como podemos comprobar en el menú de la

izquierda.

6.2.CONFIGURANDO EL DOMINIO

1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente

yum install git-core git clone git://git.samba.org/samba.git samba-master shutdown -r now //Reiniciamos el Equipo cd samba-master ./configure --enable-debug --enable-selftest Make // compilamos Make Install // Instalamos Samba

2. Creando el Samba Provider, en una terminal ejecutamos:

/usr/local/samba/bin/samba-tool domain provision

Realm [MYDOMAIN.COM]: WUBI [mi Dominio]: (presionamos Enter)Server Role (dc, member, standalone) [dc]: (presionamos Enter)DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: (presionamos Enter)Administrator password: Contraseña del DominioRetype password: Contraseña del Dominio

Después de terminar nos mostrar lo siguiente:

Creating CN=MicrosoftDNS,CN=System,DC=WUBI,DC=comCreating DomainDnsZones and ForestDnsZones partitionsPopulating DomainDnsZones and ForestDnsZones partitions

Setting up sam.ldb rootDSE marking as synchronizedFixing provision GUIDsA Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.confOnce the above files are installed, your Samba4 server will be ready to useServer Role: active directory domain controllerHostname: sambaNetBIOS Domain: WUBIDNS Domain: wubi.comDOMAIN SID: S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx

shutdown -r now //Reiniciamos el Equipo

3. Iniciamos el SAMBA 4 AD DC

# /usr/local/samba/sbin/samba

4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal:

Verificamos que estamos trabajando con la versión correcta# /usr/local/samba/sbin/samba -VVersion 4.1.0pre1-GIT-c1fb37dVerificamos que estamos ejecutando el cliente correcto# /usr/local/samba/bin/smbclient --versionVersion 4.1.0pre1-GIT-c1fb37d

Ejecutamos lo siguiente para listar el Detalle de nuestro dominio

# /usr/local/samba/bin/smbclient -L localhost -U%

# /usr/local/samba/bin/smbclient -L localhost -U%Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d]

Sharename Type Comment

--------- ---- -------

netlogon Disk

sysvol Disk

IPC$ IPC IPC Service (Samba 4.1.0pre1-GIT-c1fb37d)

Domain=[WUBI] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d]

Server Comment

--------- -------

WUBI Master --------- -------

5. Configurando el DNS

Editamos el archivo /etc/named.conf

Incluimos al final del archivo lo siguiente

include "/usr/local/samba/private/named.conf";

6. Instalando y configurando Kerberos

En una Terminal Ejecutamos:

yum install glibc glibc-devel gcc python* libacl-devel krb5-workstation krb5-libs pam_krb5

Creamos un Backup del archivo de configuración

cp /usr/local/samba/share/setup/krb5.conf /etc/krb5.conf

Editamos el archivo y ponemos lo siguiente:

# gedit /etc/krb5.conf [libdefaults] default_realm = MYDOMAIN.COM dns_lookup_realm = false dns_lookup_kdc = true

7. Testeando KerberosUtilizamos el comando kinit

# kinit administrator@WUBI.COMPassword for administrator@WUBI.COM:Warning: Your password will expire in 41 days on Sun Feb 3 14:21:51 2013

6.3.Configurar el cliente Windows al Dominio

A continuación describiremos como agregar un cliente Windows al dominio WUBI

1) Haga clic en el icono "Mi PC" y seleccionar "Propiedades"

2) Desde "Configuración avanzada del sistema" clic el panel de la izquierda

3) Seleccione la pestaña "Nombre de equipo" y haga clic en "Cambio ..."

4) Seleccione 'Domain' opción e introduzca WUBI.

5) Cuando se solicita un nombre de usuario y contraseña, escriba "Administrador" como nombre de usuario e introduzca su contraseña. (Contraseña = la contraseña que utilizó cuando se ejecutó el

comando 'samba-herramienta provisión dominio').

6) Usted debe obtener un cuadro de mensaje que indica "Bienvenido al dominio WUBI '.

7) Haga clic en Aceptar en este cuadro de mensaje y la ventana Propiedades y, a continuación, se le indicará que reinicie el equipo.

8) Después de reiniciar debe ser presentado con el cuadro de diálogo de inicio de sesión normal

9) Seleccione el Dominio WUBI y a continuación debe autenticarse con el usuario creado en el Dominio

7. REFERENCIAS BIBLIOGRAFICAS:

http://www.centos.org/http://www.samba.org/samba/docs/http://www.webmin.com/docs.htmlhttp://www.iso27000.es/http://www.27000.org/iso-27002.htmhttp://wiki.centos.org/Manuals/ReleaseNotes/CentOS6.3http://sourceforge.net/projects/vufind/files/VuFind/1.4/vufind-1.4.tar.gz/downloadhttp://es.wikipedia.org/wiki/CentOS