BIBLIOGRAFIA

http://www.mug.org.ar/Infraestructura/ArticInfraestructura/299.aspx
2. Elabore un cuadro comparativo entre grupos de trabajo y dominios de los diferentes Sistemas operativos de Red. Cuando iniciamos sesin en un equipo que forma parte de una red normalmente se ejecutan estos dos procesos en forma sucesiva automticamente previo a que veamos la familiar apariencia de nuestro escritorio de Windows. Lo mismo ocurre cuando vamos a acceder a un recurso compartido de red. El hecho que se ejecuten en forma automtica sucesivamente hace que pensemos que en realidad se trata de un solo proceso, pero en realidad son dos procesos sumamente diferentes. GRUPOS DE TRABAJO En un grupo de trabajo toda la seguridad se maneja localmente en cada equipo. Cada mquina tiene localmente su lista de usuarios autorizados con las contraseas correspondientes. Es decir, tanto la autenticacin como la autorizacin se ejecutan localmente en cada mquina. Debemos tener en cuenta que el equipo en s mismo tambin es un recurso de red. Cuando iniciamos sesin nos Autentica y nos Autoriza a utilizarlo. Luego cuando vamos a acceder a un recurso local, como ya estamos autenticados, solamente verifica si estamos autorizados para acceder al mencionado recurso. En cambio cuando vamos a acceder a un recurso remoto, este equipo remoto debe previamente autenticarnos para poder evaluar si estamos autorizados a acceder al recurso compartido. Las soluciones en un grupo de trabajo son dos: duplicar la cuenta de usuario en ambos equipos, o elegir conectarse como otro usuario, especificando un UsuarioContrasea vlidos en el equipo remoto. Es recomendable la segunda. El esquema de grupo de trabajo tiene ventajas: no se necesitan servers que en general son mucho ms caros y la administracin es relativamente sencilla. Pero tambin surgen inconvenientes: cuando aumenta el nmero de equipos se incrementa la tarea de administracin ya que cada cambio hay que efectuarlo en todos y cada uno de los equipos. Adems no se puede manejar en forma centralizada, ya que por definicin de grupo DOMINIOS En un ambiente de dominio, hay uno o ms servers que cumplen la funcin de Controladores de Dominio, una de cuyas funciones principales es Autenticar. Vamos a ver primero el proceso con clientes Windows NT, Windows 2000 y Windows XP, ya que con Windows 9x el proceso es distinto. Algo que habrn notado seguramente, es que con estos sistemas operativos como clientes, hay que crear una cuenta de mquina en el dominio, inclusive con los servidores miembros. El equipo tiene cuenta en el dominio, se autentica durante el proceso de inicio, a partir de lo cual se arma un canal seguro de comunicacin que servir para el transporte de las credenciales de autenticacin de los usuarios que accedan a los recursos del mismo. Si observamos el trfico de red generado en el arranque de una mquina, veremos que sucede un proceso de autenticacin muy similar al de un usuario. En lenguaje humano diramos que luego de la autenticacin del equipo, sucede un dilogo similar a Puedo enviar a autenticar usuarios del dominio? seguido por Si mndemelos a m, que yo verifico autenticidad A partir de esto cuando un equipo necesita autenticar usuarios del dominio enva las credenciales suministradas por el usuario al controlador de dominio quien verifica la autenticidad de las mismas y devuelve una confirmacin de la autenticacin e informacin adicional tal como pertenencia a grupos del dominio y derechos especficos del dominio.

de trabajo cada equipo es independiente. Cuando aumenta el nmero de mquinas o cuando se requiere administracin centralizada o cuando la seguridad pasa a ser un tema importante, la solucin es un ambiente de dominio.

Cuando esta informacin es recibida por el cliente se construye localmente una credencial de autenticacin (Access Token) donde consta quin es, a qu grupos pertenece y los derechos que tiene. Esta credencial es usada localmente para el proceso de Autorizacin previo al acceso a recursos. Cuando este usuario que ya inici sesin (ya fue autorizado al inicio de sesin interactivo local) se va a conectar a un recurso remoto tiene que probar su identidad. Dependiendo del tipo de autenticacin que se utilice (NTLM o Kerberos) este proceso es diferente. Si se est usando un dominio NT4, el cliente reenva las credenciales del usuario (Usuario-Contrasea) al server remoto, quien repite el proceso de Autenticacin ante el controlador de dominio seguido de la Autorizacin local. Bien, a decir verdad, no se enva la contrasea sino que se produce un mecanismo llamado ChallengeResponse donde se prueba que conoce la contrasea sin necesidad de enviarla. Hay que recalcar que el server remoto es quien con la informacin enviada desde el cliente, contacta al controlador de dominio para que haga la autenticacin, a partir de lo cual el propio server autoriza o no la conexin. Este proceso de autenticacin se produce una sola vez por cada server, no importando a cuntos recursos del mismo se conecte el usuario, y dura hasta terminar la sesin (aprox. 15 minutos despus de desconectarse o inmediatamente forzando desde el server). Es decir hay una sola sesin entre un determinado cliente y un server, no se puede conectar a un server en forma simultnea con dos cuentas diferentes. En caso de dominio Windows 2000, el mtodo de autenticacin es Kerberos y la diferencia fundamental es que es el propio cliente quien recurre al servicio de Kerberos para obtener una pieza de informacin (Ticket) que ser presentada al server remoto. Con esta informacin (Ticket) el server puede verificar la autenticidad del usuario sin contactar a un controlador de dominio. Vale lo mismo que

en el caso anterior: no se puede tener simultneamente dos sesiones con diferente usuario entre los mismos clienteserver. Si los clientes son Windows 9x o Windows ME, no tienen cuenta de mquina en el dominio. El tema es que estos sistemas operativos no manejan autenticacin a nivel de usuario, por lo que lo nico que se les configura es a quin le envan la informacin para que haga la autenticacin; esto puede ser a un dominio o simplemente a otro equipo que pueda autenticar usuarios (Windows 2000 Professional por ejemplo). Localmente no existe, salvo una excepcin, el proceso de autorizacin ya que estando los recursos locales sobre FAT no se maneja seguridad a nivel de usuario. La excepcin es si hay carpetas o impresoras compartidas que fueron configuradas con seguridad a nivel de usuario. Vale siempre lo mismo que en los casos anteriores: no se puede tener simultneamente dos sesiones con diferente usuario entre los mismos clienteserver.