Red de rea local.

Administracin y gestin
(primera parte)
Autor: Editorial McGraw-Hill

1
mailxmail - Cursos para compartir lo que sabes
Presentacin del curso
Curso de informtica sobre redes, administracin de servidores y transmisin de
datos. Conoce la administracin y gestin de una red de rea local, las principales
tareas y responsabilidades del administrador de red, la organizacin y los servidores
de la red, y sigue el anlisis de los parmetros que sustentan el rendimiento de una
red.
Estudiaremos las conexiones externas a la red, el sistema de acceso a la red, el
majejo de la base de datos y la asignacin de nombres y direcciones; tambin las
cuentas de usuarios, los derechos de acceso a la red, las cuentas de grupo, los
perfiles de usuario, los sistemas globales de acceso y el directorio activo de
Microsoft.
Aprende con este curso de la editorial McGraw-Hill, fragmento del l i bro: CEO -
Redes de rea local" del autor A. Abad. Puedes descubrir ms libros de McGraw-Hill
en: www.mhe.es.
2
mailxmail - Cursos para compartir lo que sabes
1. Red de rea local. El adminstrador de la red
Introduccin
En la Unidad anterior estudiamos la configuracin de un servidor para que corriera
distintos tipos de protocolos coexistiendoentre s, analizando las preguntas
habituales que se suelen hacer en tiempo de instalacin o posteriormente en
laconfiguracin del sistema.
Llegados a este punto, una vez que el servidor est en marcha y los distintos
protocolos de conexin configurados, tanto enel servidor como en los clientes, es
necesaria la definicin de los servicios, modos de acceso y parmetros de los
sistemasde ficheros de cada servidor o de todo su conjunto; es decir, hay que darle
forma al conjunto de servidores y clientes demodo que faciliten su utilizacin a los
usuarios autorizados. Todas estas funciones son propias de la administracin,
gestin y seguridad de los sistemas en red de rea local.
El administrador de la red
La persona encargada de las tareas de administracin, gestin y seguridad en los
equipos conectados a la red y de la red ensu conjunto, tomada como una unidad
global, es el administrador de red. Este conjunto abarca tanto a servidores como a
lasestaciones clientes, el hardware y el software de la red, los servicios de red, las
cuentas de usuario, las relaciones de lared con el exterior, etctera.
Algunas de estas tareas han sido previamente explicadas: configuracin de
protocolos, instalacin del NOS, diseo eimplementacin del cableado, etc. No
obstante, aparecen funciones nuevas que se apoyan en las anteriormente citadas y
queestudiaremos a continuacin.
De entre las muchas funciones que se le pueden asignar al administrador de red
vamos a destacar algunas de ellas, por laespecial importancia que revisten:
- Instalacin y mantenimiento de la red. Es la funcin primaria del administrador.
No basta con instalar el NOS en losequipos, sino que adems hay que garantizar su
correcto funcionamiento con el paso del tiempo. Ello exige tener lasherramientas
adecuadas y los conocimientos necesarios para realizar esta funcin.
- En ocasiones, estos conocimientos slo se pueden adquirir en los departamentos
de formacin de las compaassuministradoras del hardware y software de las
redes o entidades similares. El trabajo propio de mantenimiento puede serrealizado
por miembros de la propia empresa, o bien contratar estos servicios con terceras
empresas (outsourcing).
- Determinar las necesidades y el grado de utilizacin de los distintos servicios de la
red, as como los accesos de losusuarios a la red.
- Diagnosticar los problemas y evaluar las posibles mejoras.
- Documentar el sistema de red y sus caractersticas.
3
mailxmail - Cursos para compartir lo que sabes
- Informar a los usuarios de la red.
Nota: Este curso forma parte del libro "CEO - Redes de rea local" del autor A.
Abad, publicado por la editorial McGraw-Hill (ISBN: 84-481-9974-X).
4
mailxmail - Cursos para compartir lo que sabes
2. Red de rea local. Organizacin y servidores de la
red
Organizacin de la red
Corresponde al administrador de la red, como tarea especialmente importante, la
decisin de planificar qu ordenadorestendrn la funcin de servidores y cules la
de estaciones clientes, de acuerdo con las necesidades existentes en
cadadepartamento u organizacin.
Del mismo modo, se ocupar de las relaciones con otros departamentos, grupos o
dominios de red, en lo que se refiere a lautilizacin de los recursos de otros
grupos, as como de la comunicacin entre los diferentes dominios de gestin.
En la actualidad es comn la utilizacin de servicios que se encuentran en el exterior
de la red, es decir, de aplicacionesque se instalan sobre el sistema operativo y que
ayudan al administrador a gestionar la red con procedimientospreestablecidos,
atendiendo a los eventos que se producen mediante un sistema de alarmas.
Adems, los usuarios se benefician de estos servicios remotos de modo
transparente, debido al avance que han tenido losprotocolos y aplicaciones de
capas superiores.
La tendencia en los NOS contempla la posibilidad de utilizar los recursos de red
(ficheros, impresoras, programas, etc.) sinpreocuparse de su localizacin fsica en
la red.
A. Servidores de la red
Cuando se establece una estrategia de red es importante, en primer lugar, realizar
una buena eleccin de los servidores conlos que se contar. El nmero y
prestaciones de los servidores de red estn en funcin de las necesidades de
acceso,velocidad de respuesta, volumen de datos y seguridad en una organizacin.
Las caractersticas tcnicas de los servidores de acuerdo con la funcin que vayan a
desempear es un tema que ya ha sidoestudiado.
El nmero de servidores determina en gran medida la configuracin de la red.
Efectivamente, si slo disponemos de un nicoservidor, ste debe ser compartido
por toda la organizacin. Sin embargo, si se dispone de varios servidores cabe
laposibilidad de arbitrar distintas configuraciones.
A pesar de que la carga de trabajo en una organizacin no exija ms de un servidor,
puede ser recomendable la existencia devarios servidores, por razones de
seguridad, de reparto de flujo de datos, de localizacin geogrfica, etctera.
En este sentido, los NOS disponen de herramientas de trabajo en red para establecer
dominios o grupos que pueden compartirconfiguraciones de acceso y seguridad.
Tambin incorporan capacidades de administracin centralizada de los nodos de la
red.
5
mailxmail - Cursos para compartir lo que sabes
Cuanto mayor es el nmero de servidores de una red, mayor es la carga
administrativa, incrementndose tambin los costes demantenimiento. Por tanto,
en una red no debe haber ms servidores que los necesarios.
El crecimiento de la red hace que paulatinamente se vayan incrementando el nmero
de servidores, lo que provoca queocasionalmente haya que replantearse la
asignacin de servicios a servidores de modo que se instalen servidores ms
grandespero en menor nmero. A esta operacin se le denomina consolidacin de
servidores.
6
mailxmail - Cursos para compartir lo que sabes
3. Red de rea local. Estaciones clientes
B. Estaciones clientes
En las estaciones de trabajo se han de instalar y configurar todos los protocolos
necesarios para la conexin a cuantosservidores necesiten los usuarios. Por
ejemplo, habr que instalar TCP/IP si se desea hacer una conexin hacia mquinas
UNIX, NetBEUI para realizar conexionessencillas a servidores Microsoft e IPX para la
conexin con servidores Novell, aunque ya hemos estudiado en la Unidadanterior
que el mundo informtico habla, en general, TCP/IP.
Si instalamos ms protocolos de los que realmente se utilizarn haremos un
consumo excesivo e intil de memoria central, as como una sobrecarga en el
software de red de las estaciones, lo que ralentizar tanto los procesos informticos
como los decomunicaciones.
Tambin hay que asegurarse de que si una aplicacin tiene previsto utilizar un
interfaz de aplicaciones concreto, porejemplo, NetBIOS, debe estar instalado, ya
que de lo contrario la aplicacin de usuario no podr gestionar las unidades dered
remotas. ste sera el trabajo tpico de un redirector, como ya se vea en la Unidad
anterior.
El administrador debe valorar el modo en que trabajarn los usuarios, con
informacin local o centralizada. Podemosencontrarnos con tres tipos de
configuraciones para los clientes:
- Los programas y aplicaciones estn instalados en el disco duro local de la estacin
y no son compartidos por la red. Cadausuario tiene una copia de cada aplicacin.
Los datos residen tambin de modo habitual en el disco local, aunque es
posiblecentralizar la informacin en los servidores.
- Los programas estn instalados en el servidor y todos los usuarios acceden al
servidor para disparar sus aplicaciones. Portanto, se instala una nica copia de las
aplicaciones, lo que ahorra espacio en disco. Hay que tener en cuenta, no
obstante,que no todas las aplicaciones permiten esta operativa de trabajo. Los
datos de usuario pueden seguir estando distribuidos porlas estaciones clientes,
aunque tambin pueden residir en el servidor.
Hay un caso particular de esta configuracin: los clientes ligeros o las estaciones
que no poseen disco local (o queposeyndolo, no lo utilizan para almacenar
aplicaciones o datos) y que deben arrancar remotamente a travs de la red desde
unservidor de sistemas operativos.
- La instalacin de aplicaciones distribuidas exige la colaboracin del cliente y del servidor
servidor, o entre varios servidores, para completar la aplicacin. Por ejemplo, una
aplicacin de correo electrnico consta de una parte denominada cliente, quese
instala en la estacin cliente, y una parte denominada servidor,que se instala en el
servidor de correo.
Otros ejemplos de aplicaciones distribuidas son las como las bases de datos
distribuidas. Han aparecido nuevas tendencias enla programacin de objetos que
7
mailxmail - Cursos para compartir lo que sabes
facilitan la comunicacin entre componentes a travs de la red. Algunos nombres
que nos hablande estas tcnicas son CORBA, DCOM, COM+, ORB, etctera.
construidas segn la tecnologa cliente-servidor, como las bases dedatos
distribuidas. Han aparecido nuevas tendencias en la programacin de objetos que
facilitan la comunicacin entrecomponentes a travs de la red. Algunos nombres
que nos hablan de estas tcnicas son CORBA, DCOM, COM+, ORB, etctera.
La clasificacin anterior est muy simplificada. La realidad es mucho ms compleja.
Lo habitual en el mundo de los sistemasde red son combinaciones de todas estas
posibilidades y, por ejemplo, mquinas que son servidoras con respecto de un tipo
deservicio son clientes con respecto de otros. De la eficacia al disear esta
estructura de red depende el xito del administrador de red dando un buen servicio
a losusuarios de la red que administra.
8
mailxmail - Cursos para compartir lo que sabes
4. Red de rea local. Conexiones externas a la red
C. Conexiones externas a la red
Adems de los clientes y servidores de la red, es comn la comunicacin de datos
entre la red de rea local y el exterior, yasea con usuarios de la misma o de distinta
organizacin, pertenecientes o no a la misma red corporativa. Por ejemplo, una
redcorporativa puede estar constituida por distintas LAN en lugares geogrficos
distintos.
Tambin es posible la comunicacin entre dos LAN pertenecientes a distintas
organizaciones. Esta comunicacin se realiza atravs de redes WAN. El acceso de un
usuario remoto puede ser similar al acceso de un usuario local, disponiendo de los
mismos servicios, aunquecon rendimientos menores, debido a la inferior capacidad
de transferencia de las lneas de transmisin de las redes WANutilizadas en la
conexin. Para ello, basta con disponer de los servicios de conexin y validacin
apropiados. ste es elfundamento del teletrabajo.
Para poder acceder a estos servicios remotos, es necesario que las LAN posean
nodos especializados en servicios decomunicaciones remotas, que tambin deben
estar correctamente configurados. Las conexiones con el exterior requieren
dispositivos especializados que dependen del tipo de conexin y de la WAN que se
utilice. Por ejemplo, servidores y clientes RAS o de redes privadas virtuales,
interfaces X.25, RDSI, ATM,etc.
Figura 7.1. Ejemplos de diagramas de red WAN para una compaa con varias sedes
sociales.
9
mailxmail - Cursos para compartir lo que sabes
En la Figura 7.1 tenemos un ejemplo de red de rea extendida de una compaa
distribuida en varias sedes. En estos diagramasse pueden observar las lneas de
comunicacin a lo largo de todo un amplio territorio, as como los modos de
conexin entrelos distintos segmentos de red remotos.
10
mailxmail - Cursos para compartir lo que sabes
5. Red de rea local. El sistema de acceso a la red
El sistema de acceso a la red
El acceso a la red es el primer aspecto en que debemos fijarnos una vez instalado el
software de red. Los servicios queofrece una estacin conectada a la red pueden ser
utilizados por cualquier usuario que utilice esa estacin de trabajo.
El orden y la confidencialidad de cada puesto de trabajo o proyecto requieren un
sistema que garantice que cada persona tengaacceso a sus datos y aplicaciones,
evitando que otros usuarios puedan ser perjudicados por el uso indebido del
sistema o porla falta de una intencin recta. Todo esto apunta a un nuevo problema
que siempre hay que tener en cuenta y que afecta a la seguridad de los sistemas:
elintrusismo o hacking.En general, hay tres trminos que definen la actuacin ilegal
oculta en la red:
- Hackers. Es la persona que trata de reventar el sistema operativo, violando su
sistema de claves de acceso, con objeto de apoderarse de informacin reservada o
por la mera satisfaccin de superar esa dificultad.
- Crackers. En este caso, se violentan las protecciones anticopia del software.
- Phreakers. Son individuos que buscan la forma de usar o abusar del telfono
ajeno a su antojo.
Cualquier administrador de sistema o de red tiene que tener en cuenta el posible
asalto a la red por parte de personas que sededican a este tipo de actividades,
sabiendo que el ataque puede venir tanto desde fuera como desde dentro de
suorganizacin. El modo de hacer distinciones entre los diferentes usuarios, implica
la confeccin de cuentas de acceso personalizadas y unsistema de validacin o
autenticacin que permite o impide el acceso de los usuarios a los recursos
disponibles.
A. Asignacin de nombres y direcciones
El primer problema al que hay que hacer frente en el diseo de la estructura lgica
de la red consiste en la asignacin denombres y direcciones de red a todos los
ordenadores que vayan a convivir con ella. Tanto los nombres como las
direccioneshan de ser nicos en la red, pues identifican a los equipos.
Una vez que hayamos dado un nombre a cada host, tendremos que registrar ste en
algn servicio de directorio, el equivalentea las pginas amarillas de una gua
telefnica. Sobre este tema abundaremos ms adelante. Por ahora, basta con aclarar
que los nombres de red suelen ser un trminoalfanumrico, o varios separados por
puntos, aunque esto depende del tipo de red.
En el caso de las direcciones ocurre algo parecido. La tecnologa de red condiciona
el tipo de direccin. Para nuestroestudio, nos centraremos en el sistema de
direccionamiento IP, que ya conocemos de Unidades anteriores. Si el host que
pretendemos configurar va a estar en Internet, su direccin IP viene condicionada
por la normativainternacional de asignacin de direcciones IP.
11
mailxmail - Cursos para compartir lo que sabes
Sin embargo, si el nodo va estar en una red de rea local, podemos asignarle una
direccin elegida entre un rango que lanormativa IP ha reservado para estos casos y
que vienen especificadas en el RFC 1918. Estos bloques de direcciones son
del10.0.0.0 al 10.255.255.255, del 172.16.0.0 al 172.31.255.255 y del
192.168.0.0 al 192.168.255.255.
Adems de la direccin IP tendremos que configurar otros parmetros como la
mscara. De la asignacin de rutas nos ocuparemos ms adelante.
12
mailxmail - Cursos para compartir lo que sabes
6. Red de rea local. Cuentas de usuario (primera
parte)
B. Cuentas de usuario
Las cuentas de usuario son el modo habitual de personalizar el acceso a la red. As,
toda persona que utilice la red con regularidad debe tener una cuenta de acceso.
Para que el control de este acceso sea suficientemente bueno, las cuentas deben ser
personales, es decir, dos usuarios nodeben compartir la misma cuenta. La cuenta
proporciona el acceso a la red y lleva asociadas todas las caractersticas y
propiedades del usuario tiles en laslabores de administracin (Figura 7.2). Las
cuentas de usuario suelen tener parmetros semejantes a los que a continuacin se
describen, aunque cada sistema operativo de red tiene los suyos propios.
- Nombre de usuario. Es el nombre nico atribuido al usuario y que utiliza para
identificarse en la red. Suele ser una cadena de caracteres corta (entre uno y 16
caracteres, normalmente).
- Contrasea. Es la cadena de caracteres que codifica una clave secreta de acceso a
la red para cada usuario. La contrasea va ligada al nombre de usuario. Proporciona
la llave que protege los datos personales del usuario que la posee1.
1El establecimiento de una buena contrasea es muy importante para la seguridad
del sistema. Se recomiendan contraseas suficientemente largas, con caracteres
tanto en maysculas como en minsculas, e incluso combinados con dgitos,
espacios en blanco u otros caracteres especiales. No se recomiendan como
contraseas trminos que se puedan encontrar en algn diccionario, con
independencia del idioma.
- Nombre completo del usuario. Es una cadena de caracteres con el nombre
completo del usuario. El nombre de usuario suele seruna abreviatura del nombre
completo. En este campo se permite un nmero mayor de caracteres, incluyendo
espacios en blanco, para identificar totalmente al usuario. Algunos examinadores de
red muestran este nombre al solicitar una inspeccin de la red.
- Horario permitido de acceso a la red. Es un campo que describe las horas y los
das en que el usuario tiene acceso a lared. En cualquier otro tiempo el usuario no
puede presentarse en la red o es forzado a abandonarla. Por defecto, los sistemas
operativos de red permiten el acceso de los usuarios cualquier da a cualquier hora.
- Estaciones de inicio de sesin. Describe el nombre de los equipos desde los que
el usuario puede presentarse en la red.
- Caducidad. Describe la fecha en que la cuenta expirar. Es til para cuentas de
usuarios que slo requieren accesos por periodos de tiempo concretos. Al
desactivarse la cuenta, se impide que otros posibles usuarios (intrusos) se apropien
indebidamente de ella y, por tanto, protegen y descargan al servidor de accesos
indebidos o indeseados.
- Directorio particular. Es el lugar fsico dentro del sistema de ficheros de la red en
donde el usuario puede guardar sus datos. Al presentarse en la red, el sistema
13
mailxmail - Cursos para compartir lo que sabes
operativo le posiciona en su directorio particular o le concede acceso al mismo.
- Archivos de inicio de sesin. Permiten configurar un conjunto de comandos que
se ejecutarn automticamente al inicio de la sesin de red. Estn ligados a cada
cuenta de usuario, aunque se permite que varios usuarios compartan el archivo de
inicio.
- Otros parmetros. Algunos sistemas operativos permiten configurar otros
parmetros como son los perfiles de usuario, la cantidad de disco de que dispondr
cada usuario, disponibilidad de memoria central, tiempo de CPU, capacidad
deentrada/salida, etc. Estos parmetros tienen una especial importancia en grandes
sistemas multiusuario. En la Figura 7.2 se pueden ver las fichas que se han de
rellenar para la creacin de un usuario en el Directorio Activo de Windows.
Figura 7.2. Ficha de creacin de un nuevo usuario en un Directorio Activo de
Windows.
14
mailxmail - Cursos para compartir lo que sabes
7. Red de rea local. Cuentas de usuario (segunda
parte)
B. Cuentas de usuario (2da parte)
Adems, el administrador puede establecer una serie de condiciones por defecto
asignadas a cada cuenta y gestionadas mediante polticas (policies), que facilitan su
gestin o que mejoran su seguridad. Entre ellas se encuentran las siguientes:
- El usuario debe cambiar la contrasea en el siguiente inicio de sesin.
- El usuario no puede cambiar su contrasea.
- La contrasea no caducar nunca.
- La cuenta quedar desactivada en un plazo de tiempo.
- La cuenta se bloquear si ocurre un nmero de fallos de presentacin
consecutivos previamente fijado.
Adems de las cuentas que puede definir el administrador de la red, los sistemas
operativos de red poseen unas cuentas por defecto con una funcionalidad
especfica, que normalmente no se pueden borrar, aunque s modificar y desactivar.
Entre estas cuentas se encuentran:
- El supervisor (en Novell), administrador (en Windows), root (en UNIX o Linux), system
system (en VMS), etc. Es la cuenta privilegiada por excelencia y que suele ser
utilizada por el administrador del sistema.
- Invitado o guest. Es una cuenta a la que normalmente no se le asocia contrasea
y que carece de privilegios. Sirve para que aquellos usuarios que no tienen cuenta
en el sistema puedan acceder a los servicios mnimos, que define el administrador.
Por defecto, esta cuenta est desactivada al instalar el sistema operativo de red con
objeto de no generar agujeros de seguridad sin el consentimiento explcito del
administrador, que regular los derechos y permisos de estos usuarios invitados.
15
mailxmail - Cursos para compartir lo que sabes
Figura 7.3. Parmetros habituales en la definicin de una cuenta de usuario en
Windows.
En sistemas integrados con dominios o servicios de directorio es posible crear
cuentas de acceso tanto en las estaciones locales, para usuarios que slo se podran
presentar en el sistema local y acceder slo a sus recursos, o enel dominio o
directorio activo. En este segundo caso, las cuentas son vlidas para todos los
ordenadores que se gestionendesde ese dominio de administracin. sta es la
situacin ms comn en corporaciones grandes y medianas.
Figura 7.4. Parmetros habituales en la definicin de una cuenta de usuario en un
gestor de usuarios con interfaz KDE en Linux.
16
mailxmail - Cursos para compartir lo que sabes
8. Red de rea local. Derechos de acceso
C. Derechos de acceso
Una vez que se ha identificado a cada usuario con acceso a la red, se pueden
arbitrar sus derechos de acceso. Corresponde aladministrador determinar el uso de
cada recurso de la red o las operaciones que cada usuario puede realizar en cada
estacinde trabajo. Ejemplo de estas operaciones son el derecho de acceso a un
servidor o a otro equipo a travs de la red, forzar elapagado de otro equipo
remotamente, reiniciar un equipo, cambiar la hora del sistema, etctera. Cada
recurso, servicio o utilidad tiene, de este modo, una informacin asociada que le
indica quin puede utilizarlos oejecutarlos y quin carece de privilegios sobre ellos.
No hay que confundir derechos con permisos:
- Un derecho autoriza a un usuario o a un grupo de usuarios a realizar
determinadas operaciones sobre un servidor o estacinde trabajo.
- Un permiso o privilegio es una marca asociada a cada recurso de red: ficheros,
directorios, impresoras, etc., que regulanqu usuario tiene acceso y de qu manera.
De esta forma, los derechos se refieren a operaciones propias del sistema operativo,
por ejemplo, el derecho a hacer copiasde seguridad. Sin embargo, un permiso se
refiere al acceso a los distintos objetos de red, por ejemplo, derecho a leer
unfichero concreto. Los derechos prevalecen sobre los permisos. Por ejemplo, un
operador de consola tiene derecho para hacer una copia de seguridad sobre todo un
disco; sin embargo, puedetener restringido el acceso a determinados directorios de
usuarios porque se lo niega un permiso sobre esos directorios:podr hacer la copia
de seguridad, puesto que el derecho de backup prevalece a la restriccin de los
permisos.
La asignacin de permisos en una red se hace en dos fases:
a) En primer lugar, se determina el permiso de acceso sobre el servicio de red; por
ejemplo, se puede asignar el permiso depoderse conectar a un disco de un
ordenador remoto. Esto evita que se puedan abrir unidades remotas de red sobre las
quedespus no se tengan privilegios de acceso a los ficheros que contiene, lo que
puede sobrecargar al servidor.
b) En segundo lugar, deben configurarse los permisos de los ficheros y directorios
(o carpetas) que contiene ese servicio dered.
Dependiendo del sistema operativo de red, las marcas asociadas al objeto de red
varan, aunque en general podemos encontrarlas de lectura, escritura, ejecucin,
borrado, privilegio de cambio de permisos, etctera. En redes en las que hay que
hacer coexistir sistemas operativos de red de distintos fabricantes, hay que
determinar lospermisos para cada uno de ellos.
A veces los permisos de un tipo de sistema son trasladables fcilmente a otros
sistemas,aunque normalmente no de Apple hay tres permisos posibles: ver
archivos, ver carpetas y hacer cambios (Figura 7.5, abajo a laderecha). coinciden
con exactitud. Por ejemplo, en los sistemas Sin embargo en Windows NT aparecen
nuevos permisos: lectura,escritura, borrado, ejecucin, cambio de permiso y toma
17
mailxmail - Cursos para compartir lo que sabes
de posesin. Windows 2000 complica extraordinariamente su sistema depermisos
cuando las particiones de disco son NTFS, aunque mantiene compatibilidad con
particiones FAT, que carece totalmente de permisos.
Figura 7.5. Configuracin de privilegios sobre ficheros en distintos sistemas
operativos de red.
18
mailxmail - Cursos para compartir lo que sabes
9. Red de rea local. Cuentas de grupo. Perfiles de
usuario
D. Cuentas de grupo
Para facilitar las tareas de administracin de red, el uso de los servicios o recursos y
organizar coherentemente el acceso ala red, existen en los sistemas operativos de
red otras entidades de administracin denominadas cuentas de grupo
osimplemente grupos. Una cuenta de grupo es una coleccin de cuentas de
usuario. Al conceder a un usuario la pertenencia a un grupo se le
asignanautomticamente todas las propiedades, derechos, caractersticas, permisos
y privilegios de ese grupo. En este sentido, lascuentas de grupo proporcionan una
forma sencilla de configurar los servicios de red para un conjunto de usuarios
decaractersticas similares.
Los NOS tienen unos grupos predefinidos que ayudan a la administracin de la red
segn las necesidades ms comunes que sesuelen presentar: administradores,
operadores de copia, operadores de cuentas, operadores de impresin, usuarios
avanzados,usuarios comunes, etctera.
E. Perfiles de usuario
En ocasiones interesa que el usuario pueda presentarse en ms de una estacin de
trabajo y que esa conexin sea independientedel lugar, haciendo transparente el
trabajo en una u otra estacin. Adems, puede interesar al administrador tener la
posibilidad de forzar el uso de determinados programas o restringir loscambios en
la apariencia del interfaz grfico a ciertos grupos de usuarios. De este modo, los
NOS incorporan utilidades queasocian a cada cuenta de usuario o grupo un perfil
concreto.
En Novell el login script general, es decir, el conjunto de rdenes que se ejecutan
automticamente en la presentacin,permite asignar los parmetros de inicio que
tendr el usuario. Adems de este login general, cada usuario tiene un loginscript
propio con el fin de personalizar a su medida el comienzo de la sesin. Las ltimas
versiones del NOS de Novell incorporan un sistema de administracin de red
orientado a objetos: todos loselementos de la red se tratan como objetos. Los
perfiles de usuario son un objeto ms.
Un objeto-perfil es un login script que se ejecuta entre el login script general del
sistema y el del usuario. Este sistema de administracin se llama NDS (Novell
Directory System). Windows tiene su equivalente en su Directorio Activo. En otros
NOS se pueden encontrar herramientas especializadas en la construccin de perfiles.
En Windows, los perfilescontienen todas las preferencias y opciones de
configuracin para cada usuario: una instantnea del escritorio, lasconexiones de
red permanentes, las impresoras a las que se tendr acceso, etctera.
Los perfiles de usuario pueden estar asociados a una estacin de red concreta o bien
pueden ser depositados en un servidor dered, de modo que cuando un usuario se
presenta, se le asocie el perfil de su propiedad independientemente de la estacin
porla que acceda a la red: son perfiles mviles. En sistemas operativos que
soportan otros interfaces grficos como X-Windows para UNIX, OpenVMS, etc.,
19
mailxmail - Cursos para compartir lo que sabes
soportan otros interfaces grficos como X-Windows para UNIX, OpenVMS, etc.,
tambin son posibleslas configuraciones de perfiles, aunque son mucho ms
simples que las de los sistemas basados en Windows o Macintosh. Sin embargo, el
sistema de cuentas y de comandos de inicio (login de presentacin) es ms flexible,
es decir, permite al administrador un mayor control sobre los usuarios.
En Windows integrado con su Directorio Activo es posible configurar las cuentas de
los usuarios de modo que cuando alguien sepresente al sistema desde distintos
puntos, incluso remotos, esto se haga de modo que al usuario le sigan tanto su
escritoriocomo sus datos, e incluso, sus aplicaciones (tecnologa IntelliMirror).
20
mailxmail - Cursos para compartir lo que sabes
10. Red de rea local. Sistemas globales de acceso
F. Sistemas globales de acceso
El crecimiento de las redes (en cuanto al nmero de nodos se refiere) y su
organizacin en grupos de trabajo (subredes, dominios, etc.), as como la
integracin de NOS de distintos fabricantes, ha llevado a disear un sistema de
presentacin de los usuarios ms globalizador.
De este modo, el usuario no tiene que presentarse en mltiples sistemas; basta con
que se presente en uno de ellos y la redse encarga de facilitarle el acceso a todos
los servicios y sistemas de la red en los que tiene derecho de modo automtico.
En algunos NOS, como en Windows, se establecen unas relaciones de confianza
entre los distintos grupos de red.
En lasorganizaciones en las que el nmero de nodos es elevado, conviene ordenar
todo el conjunto de la red en grupos o dominios. Elsistema de cuentas es propio de
cada grupo o dominio.
Un a relacin de confianza es un vnculo entre grupos o dominios que facilita la
utilizacin de recursos de ambos grupos odominios, dando lugar a una nica
unidad administrativa de gestin de red.
Con el fin de optimizar la organizacin de la red, es conveniente establecer un
dominio maestro centralizador de todas lascuentas de la organizacin y crear una
serie de dominios poseedores de recursos sobre los que establecer las relaciones
deconfianza necesarias para su utilizacin.
En la configuracin del sistema habr que indicar el modo en que se transmitirn las
contraseas de los usuarios, que soninformaciones extraordinariamente sensibles y
delicadas.

Hay varios mecanismos para realizar este procedimiento, que abarcan desde enviar
las contraseas por la red tal y como son escritas por el usuario, sin ningn tipo de
proteccin, hasta la utilizacin de los ms sofisticados sistemas deencriptacin,
utilizando procedimientos de interrogacin y respuesta o servidores de
autenticacin basados en polticas decertificaciones digitales, como el sistema
Kerberos, utilizado por muchos sistemas UNIX y Windows.
21
mailxmail - Cursos para compartir lo que sabes
11. Red de rea local. El directorio activo de
Microsoft
G. Un ejemplo: el Directorio Activo de Microsoft
El Directorio Activo, como su nombre indica, es un servicio de directorio
propietario de Microsoft que consiste en una granbase de datos jerrquica (vase
Figura 7.6) que organiza todos los objetos necesarios para administrar un sistema
Windows enred: usuarios, equipos, datos, aplicaciones, etctera.
Las principales caractersticas del Directorio Activo (DA) son:
- El DA proporciona toda la informacin necesaria sobre directivas de seguridad y
las cuentas de acceso al sistema de cadausuario o grupos de ellos.
- Permite la delegacin de la administracin, es decir, el administrador puede
delegar parte de su trabajo en otras cuentasen las que confa.
- Gestiona un sistema de nombres articulado y jerarquizado en mltiples niveles
agrupando todas las cuentas en unidadesorganizativas, que se convertirn en
unidades especficas de administracin.
- Las relaciones de confianza establecidas entre dos dominios cualesquiera del DA
son transitivas.
- Todos los servidores que son controladores de dominio en la misma red de un DA
estn permanentemente sincronizados, por loque es fcil la confeccin de
configuraciones de seguridad.
Figura 7.6. Modelos de estructuras de dominios en un Directorio Activo de Microsoft.
- El esquema de objetos utilizados por el DA es extensible, es decir, se puede
personalizar para que incluya cualquier tipode informacin til al administrador del
sistema.
- Lleva un servidor DDNS (Dynamic DNS) integrado en el propio DA, lo que le
convierte en un servicio extraordinariamenteflexible.
- Todas las tareas del DA se pueden automatizar a travs de scripts o mediante
aplicaciones con lenguajes de programacintradicionales orientados a objetos.
- Se permite una gestin basada en polticas o directivas aplicables a las unidades
organizativas accesibles medianteconsolas de administracin (Figura 7.7).
22
mailxmail - Cursos para compartir lo que sabes
Figura 7.7. Consola de administracin de directivas para un dominio de un
Directorio Activo Windows.
23
mailxmail - Cursos para compartir lo que sabes
12. Red de rea local. Administrador de usuarios en
Linux. Ejercicio 1
1. El administrador de usuarios en Linux
Linux aporta varias herramientas para la gestin de usuarios y grupos. Es muy
importante que la administracin de usuarios est bien diseada, especialmente si
debe habilitarse posteriormente un buen sistema de permisos de acceso a ficheros,
servicios y aplicaciones.La instalacin del sistema operativo crea automticamente
la cuenta del administrador del sistema, que es llamada root. La clave de acceso de
esta cuenta es generada en tiempo de instalacin. Adems, Linux crea algunas
cuentas y grupos ms en tiempo de instalacin. Sin embargo, toda la gestin de
usuarios debe hacerse posteriormente.
Materiales necesarios
- Un PC con Linux instalado.
- Acceso a la cuenta root de administrador en Linux o similar.
- Documentacin: manual de instalacin de Linux y la utilidad mandel propio
Linux.
Operativa
Linuxconf es una utilidad general para la configuracin del sistema operativo. Uno
de los elementos que puede gestionar son los usuarios y grupos. Tambin se
pueden utilizar otras herramientas como el gestor de usuarios. El gestor de usuarios
de Linux es la herramienta por excelencia y especfica para la gestin de usuarios y
grupos. Es una herramienta de aspecto similar al gestor de usuarios en Windows. Las
anteriores herramientas funcionan en un entorno grfico X-Windows o similar en
Linux. No obstante, este sistema operativo, como cualquier sistema UNIX, permite la
gestin de usuarios y grupos desde la lnea de comandos. Para ello se pueden
utilizar comandos como /usr/sbin/ adduser que gestionan los ficheros de cuentas y
claves de acceso, que son:
- / etc/ passwd (fichero de cuentas y claves de acceso).
- / etc/ group (fichero de grupos).
- / etc/ shadow (fichero de claves de acceso, si hemos elegido la opcin shadow
passwords en tiempo de instalacin).
El aspecto de estos ficheros es el siguiente:
24
mailxmail - Cursos para compartir lo que sabes
Tabla 7.1. Aspecto de los ficheros /etc/passwd y /etc/group.
a) Despus de familiarizarte con las utilidades de administracin de usuarios y
grupos, crea un sistema de cuentas para un sistema Linux. Prueba las distintas
cuentas. Escribe una gua de operacin bsica de gestin de usuarios para
administradores de sistemas Linux.
b) Realiza esta misma operacin sobre sistemas Windows en dos configuraciones:
sobre clientes independientes de un dominio y sobre un servidor controlador de
dominio en un Directorio Activo.
Nota: Con este captulo hemos llegado al final del curso. Recuerda que este trabajo
es un fragmento del libro "CEO - Redes de rea local" del autor A. Abad, publicado
por la editorial McGraw-Hill (ISBN: 84-481-9974-X).
25
mailxmail - Cursos para compartir lo que sabes