Tivoli SecureWay User Administration. Guía de gestión. Versión 3.8

(1)

Tivoli SecureWay User Administration

Guía de gestión

(2)

(3)

Tivoli SecureWay User Administration

Guía de gestión

(4)

Tivoli SecureWay User Administration Guía de gestión Aviso de copyright

© Copyright IBM Corporation 2001. Reservados todos los derechos. Únicamente puede utilizarse de conformidad con un Contrato de licencia de software de Tivoli Systems, un Contrato de licencia de software de IBM o el Anexo para productos Tivoli incorporado en el Contrato de licencia o del cliente de IBM. Queda rigurosamente prohibida la reproducción, transmisión, transcripción y almacenamiento parcial o total de esta publicación, su conversión mediante tratamiento informático, por cualquier medio o procedimiento, ya sea éste electrónico, mecánico, magnético, óptico, químico, manual o de cualquier otro tipo, sin la previa autorización por escrito de IBM Corporation. IBM Corporation le otorga un permiso limitado para realizar copias impresas u otras reproducciones de la documentación legible por máquina para su propio uso, siempre que cada una de dichas reproducciones lleve el aviso de copyright de IBM Corporation. No se otorga ningún otro derecho bajo copyright sin previo permiso por escrito de IBM Corporation. El documento no ha sido concebido para su uso en un sistema de producción real y se facilita “tal cual” sin garantías de ninguna clase. Por el presente documento, se rechaza cualquier responsabilidad frente a todo tipo de garantías, incluidas las referentes a la comercialización y la idoneidad para un determinado fin.

Derechos restringidos de los usuarios del Gobierno de EE.UU. La utilización, duplicación o divulgación están restringidas en el GSA ADP Schedule Contract con IBM Corporation.

Marcas registradas

IBM, el logotipo de IBM, Tivoli, el logotipo de Tivoli, AIX, Cross-Site, NetView, OS/2, Planet Tivoli, RS/6000, Tivoli Certified, Tivoli Enterprise, Tivoli Enterprise Console, Tivoli Ready y TME son marcas registradas de International Business Machines Corporation o de Tivoli Systems Inc. en Estados Unidos y/o en otros países.

Microsoft, Windows, Windows NT y el logotipo de Windows son marcas registradas de Microsoft Corporation en Estados Unidos y/o en otros países.

UNIX es una marca registrada en Estados Unidos y en otros países mediante licencia exclusiva a través de X/Open Company Limited.

Otros nombres de empresas, productos y servicios pueden ser marcas registradas o de servicio de otras compañías.

Avisos

Las referencias que aparecen en esta publicación a productos, programas o servicios de Tivoli Systems o de IBM no implican que éstos vayan a estar disponibles en todos los países en los que operan Tivoli Systems o IBM. Las referencias a estos productos, programas o servicios tampoco pretenden implicar que sólo se puedan utilizar productos, programas o servicios de Tivoli Systems o de IBM. Siempre que esté sujeto a los derechos de propiedad intelectual válidos de Tivoli Systems o de IBM o a cualquier otro derecho amparado por la ley, podrá utilizarse otro producto, programa o servicio funcionalmente equivalente en lugar del producto, programa o servicio mencionado. El usuario es responsable de evaluar y verificar el funcionamiento conjunto con otros productos distintos de los expresamente designados por Tivoli Systems o por IBM. Tivoli Systems o IBM pueden tener patentes o solicitudes de patentes pendientes que cubran algunos temas presentados en este documento. La adquisición de este documento no confiere ninguna licencia sobre dichas patentes. Puede enviar sus consultas sobre licencias, por escrito, a IBM Director of Licensing, IBM Corporation, North Castle Drive, Armonk,

(5)

Contenido

Prefacio . . . xvii

A quién va dirigida esta guía . . . xvii

Contenido de esta guía . . . xvii

Publicaciones . . . xix

Requisitos previos y documentos relacionados . . . xix

Acceso a publicaciones en línea. . . xx

Solicitud de publicaciones . . . xx

Comentarios sobre las publicaciones . . . xxi

Cómo ponerse en contacto con el servicio de soporte al cliente . . . xxi

Convenciones utilizadas en esta guía . . . xxii

Convenciones de tipo de letra . . . xxii

Iconos de márgenes . . . xxii

Capítulo 1. Introducción a la gestión de usuarios y grupos. . . 1

Conceptos de la administración de usuarios específicos de cada plataforma . . 3

Plataformas UNIX. . . 3

Inicio de sesión y autenticación de usuarios . . . 3

Usuarios y grupos . . . 5

Sistema de información de la red. . . 5

Windows NT. . . 6

Autenticación de usuarios . . . 6

Autoridad de seguridad local . . . 6

Administrador de cuentas de seguridad . . . 6

Supervisor de referencias de seguridad. . . 7

Inicio de sesión del usuario . . . 7

Consideraciones sobre el uso de Windows NT con Tivoli. . . 9

(6)

Windows 2000 . . . 9

Catálogos globales . . . 9

Autoridad de seguridad local . . . 10

Directorio activo . . . 10

Descriptor de seguridad . . . 10

Contexto de seguridad . . . 11

Verificación de acceso . . . 11

Administrador de cuentas de seguridad . . . 11

Inicio de sesión del usuario . . . 12

Consideraciones sobre el uso de Windows 2000 con Tivoli . . . 13

Servicio de directorios de NetWare Novell . . . 15

Objetos del servicio de directorios de NetWare . . . 16

Inicio de sesión y autenticación de usuarios . . . 16

Consideraciones sobre el uso de NetWare con Tivoli . . . 17

Resource Access Control Facility de OS/390 . . . 17

Base de datos de RACF. . . 17

Segmentos de RACF . . . 18

Autorización para recursos. . . 18

Atributos de usuario de RACF. . . 19

Grupos de RACF . . . 20

Lightweight Directory Access Protocol (LDAP) . . . 21

Funcionamiento de la gestión de usuarios y grupos . . . 21

Perfiles de usuario y de grupo . . . 22

Políticas de los perfiles de usuario y de grupo . . . 23

Cómo definir abonados . . . 24

(7)

Cómo completar perfiles . . . 24

Distribución de perfiles . . . 25

Control de contraseñas. . . 27

Localizador de usuarios . . . 28

Bloqueo de archivos y cómo evitar colisiones . . . 29

Gestión de seguridad . . . 29

Funciones de autorización más detalladas. . . 30

Funciones para perfiles de usuario . . . 32

Funciones de modificación de contraseñas . . . 33

Funciones de modificación de atributos globales . . . 34

Funciones de modificación de atributos de punto final . . . 35

Gestión de muchos usuarios. . . 37

Gestión de 10.000 usuarios del mismo departamento . . . 37

Gestión de 10.000 usuarios de diferentes departamentos . . . 39

Capítulo 2. Instalación de Tivoli SecureWay User Administration . . . 41

Paquetes de instalación de Tivoli SecureWay User Administration . . . 42

Requisitos de software. . . 44

Requisitos de hardware . . . 45

Notas antes de instalar el software . . . 45

Instalación con el servicio SIS de Tivoli . . . 46

Instalación de Tivoli SecureWay User Administration. . . 46

Escritorio . . . 47

Línea de comandos . . . 50

Instalación del paquete de gateway de Tivoli SecureWay User Administration. . . 51

Escritorio . . . 52

(8)

Instalación de los paquetes de LDAP . . . 54

Escritorio . . . 54

Instalación de los paquetes de OS/2 . . . 57

Escritorio . . . 57

Instalación de los paquetes de AS/400 . . . 59

Escritorio . . . 59

Instalación del paquete OnePassword . . . 62

Escritorio . . . 63

Ejecución del comando wonepassinst . . . 65

Usos adicionales para wonepassinst . . . 66

Instalación del comando wpasswd . . . 67

Actualización de Tivoli SecureWay User Administration. . . 67

Escritorio . . . 68

Desinstalación de paquetes Tivoli SecureWay User Administration . . . 69

Capítulo 3. Planificación y despliegue . . . 71

Valoración de las necesidades de User Administration . . . 72

Quién necesita acceso a las cuentas de usuario. . . 72

Áreas funcionales . . . 72

Funciones y responsabilidades . . . 73

Requisitos de la empresa . . . 76

Pruebas . . . 77

Capítulo 4. Gestión de contraseñas . . . 79

(9)

Uso del comando wpasswd . . . 80

Funciones de modificación de contraseñas . . . 82

Contraseñas y tipos de punto final . . . 83

Contraseñas comunes y específicas de los tipos de punto final . . . 84

Cambio de la contraseña común solamente . . . 86

Cómo controlar quién puede cambiar una contraseña . . . 86

Reglas de calidad de contraseña. . . 87

Políticas de contraseñas soportadas por Security Manager . . . 89

Políticas de contraseñas no soportadas por Security Manager . . . 93

Políticas de contraseñas de Windows 2000. . . 94

Implementación desde el servidor frente a implementación desde el punto final . . . 95

Comunicación de anomalías de la política de contraseñas. . . 95

Posibilidades del comando wpasswd . . . 96

Cambio de contraseñas . . . 96

Funciones de la herramienta . . . 99

Uso del usuario final frente a uso del administrador . . . 100

Uso de un nodo gestionado frente a uso de un punto final TMA . . . . 101

Detalles internos de wpasswd. . . 102

Validación de la contraseña antigua . . . 102

Uso de la opción –L . . . 103

Uso de mdist . . . 104

Contraseñas largas . . . 104

Sincronización de Tivoli ACF desde Tivoli SecureWay User Administration. . . 105

Cuándo gestiona Tivoli SecureWay User Administration el punto final . . . 105

Cuándo gestiona Tivoli SecureWay User Administration el servidor NIS . . . 106

OnePassword. . . 107

(10)

Prerrequisitos para utilizar OnePassword . . . 107

Utilización de OnePassword como usuario . . . 108

Utilización de OnePassword como administrador . . . 109

Capítulo 5. Configuración de perfiles de usuario . . . 113

Introducción . . . 113

Configuración de perfiles de usuario . . . 116

Asignación de perfiles de usuario como recursos gestionados . . . 116

Escritorio. . . 117

Creación de perfiles de usuario . . . 117

Escritorio. . . 118

Clonación de perfiles de usuario . . . 121

Escritorio . . . 121

Supresión de perfiles de usuario. . . 124

Funcionamiento de las políticas de perfiles de usuario . . . 126

Definición de políticas predeterminadas . . . 126

Inhabilitación de políticas predeterminadas específicas de la plataforma . . . 132

Definición de políticas de validación . . . 133

Gestión de perfiles de usuario . . . 138

Cómo completar perfiles de usuario . . . 138

(11)

Definición de valores predeterminados de distribución . . . 145

Capítulo 6. Creación de registros de usuario . . . 149

Creación de nuevos registros de cuentas de usuario . . . 150

Información general sobre cuentas de usuario. . . 154

Información de identificación del usuario . . . 154

Información de la dirección postal . . . 155

Información de los abonados . . . 155

Información de grupos de seguridad. . . 159

Información de política de seguridad . . . 163

Información de la cuenta de usuario de Windows NT . . . 166

Información de inicio de sesión de Windows NT . . . 166

Información de la hora de inicio de sesión de Windows NT . . . 168

Información de la contraseña de Windows NT . . . 168

Información del directorio de Windows NT . . . 169

Información de la pertenencia a grupos de Windows NT . . . 170

Información de las estaciones de trabajo de Windows NT. . . 171

Información de acceso remoto de Windows NT . . . 171

Información de la cuenta de usuario de Windows 2000 . . . 173

Directorio de Windows 2000 . . . 173

Grupos de Windows 2000 . . . 175

Inicio de sesión de Windows 2000 . . . 175

(12)

Hora de inicio de sesión de Windows 2000 . . . 176

Contraseña de Windows 2000 . . . 177

Acceso remoto a Windows 2000 . . . 178

Grupo web de Windows 2000 . . . 180

Identificación extra de Windows 2000 . . . 181

Información de cuentas de usuario de NetWare . . . 181

Información del inicio de sesión de NetWare . . . 182

Información de la hora de inicio de sesión de NetWare . . . 185

Información de contraseña de NetWare . . . 185

Información del directorio de NetWare. . . 187

Información de la dirección de red de NetWare . . . 188

Información de la pertenencia a grupos de NetWare . . . 192

Información de la seguridad de NetWare . . . 192

Información de correo electrónico de NetWare . . . 193

Información del correo electrónico externo de NetWare . . . 194

Información de script de inicio de sesión de NetWare. . . 195

Información de las restricciones de espacio del volumen de NetWare 197 Información de las estaciones de trabajo NetWare . . . 198

Utilización del examinador de servicios de directorio de NetWare 199 Información de cuentas de usuario de UNIX . . . 200

Información del inicio de sesión de UNIX . . . 201

Información de la contraseña de UNIX . . . 203

Información del directorio de UNIX. . . 204

Soporte para directorios iniciales de UNIX. . . 204

Creación de directorios iniciales de UNIX . . . 206

Correo electrónico de UNIX . . . 209

Capítulo 7. Gestión de registros de usuario . . . 211

Operaciones comunes para registros de usuario . . . 213

Localización de registros de usuario. . . 213

(13)

Requisitos previos . . . 214

Adición de un usuario . . . 214

Búsqueda de un usuario . . . 215

Edición de un usuario . . . 218

Supresión de un usuario. . . 218

Visualización de registros de usuario . . . 219

Edición de registros de usuario . . . 221

Fusión de registros de usuario . . . 224

Supresión de registros de usuario . . . 226

Formateo de registros de usuario . . . 227

Salida del comando wusrdbrep. . . 228

Eliminación de registros de usuario de Tivoli . . . 231

Distribución de perfiles de usuario a abonados . . . 231

Operaciones de mantenimiento para registros de usuario. . . 237

Copia de registros de usuario . . . 238

Mover registros de usuario. . . 240

Bloqueo y desbloqueo de la información de los registros de usuario 242 Escritorio . . . 242

(14)

Renovación de la ventana de perfiles de usuario. . . 244

Sincronización de registros de usuario con la base de datos de Tivoli 245 Escritorio . . . 246

Validación de registros de usuario . . . 249

Recuperación de registros de usuario . . . 251

Localización de registros de usuario. . . 254

Cómo moverse de una copia del perfil a otra . . . 256

Clasificación de registros de usuario . . . 258

Clasificación de los atributos de registro de usuario . . . 260

Capítulo 8. Configuración de perfiles de grupo . . . 263

Cómo trabajar con perfiles de grupo . . . 263

Asignación de perfiles de grupo como recursos gestionados . . . 264

Creación de perfiles de grupo . . . 265

Clonación de perfiles de grupo . . . 268

Supresión de perfiles de grupo . . . 271

Cómo trabajar con políticas de perfil de grupo . . . 273

Definición de políticas predeterminadas . . . 273

(15)

Definición de políticas de validación . . . 278

Gestión de perfiles de grupo . . . 283

Cómo completar perfiles de grupo . . . 283

Definición de valores predeterminados de distribución . . . 286

Capítulo 9. Gestión de registros de grupo . . . 289

Creación de nuevos registros de cuentas de grupo . . . 289

Edición de registros de cuentas de grupo . . . 293

Supresión de un registro de cuenta de grupo . . . 297

Distribución de perfiles de grupo a los abonados . . . 298

Recuperación de copias de perfiles de grupo desde otro perfil . . . 304

Sincronización de la base de datos de perfiles con los archivos del sistema 307 Escritorio . . . 307

(16)

Validación de registros mediante una política de perfiles . . . 310

Escritorio. . . 311

Localización de un registro de grupo . . . 312

Cómo moverse de una copia del perfil a otra . . . 315

Clasificación de registros de grupo. . . 316

Clasificación de atributos de registros de grupo . . . 318

Capítulo 10. Registro cronológico de auditoría . . . 321

Activación del motor del registro cronológico de auditoría . . . 322

Identificación de parámetros activos. . . 324

Parada y reinicio con parámetros cambiados. . . 325

El formato del registro cronológico de auditoría . . . 326

Operaciones registradas cronológicamente de Tivoli SecureWay User Administration. . . 329

Capítulo 11. Personalización de Tivoli SecureWay User Administration. . . 331

Estrategia de personalización . . . 331

Categorías de gestión de usuarios y grupos . . . 333

Subcategorías de gestión de usuarios y grupos . . . 333

Paneles de gestión de usuarios y grupos . . . 334

Supresión de categorías y subcategorías . . . 335

Ejemplo de personalización de un diálogo . . . 335

Adición de nuevos atributos a un perfil . . . 336

Modificación del diálogo del perfil . . . 337

Capítulo 12. Temas avanzados . . . 339

Perspectiva histórica . . . 340

(17)

Componentes y procesos de CCMS . . . 341

Perfiles de Tivoli . . . 342

Abonados del gestor de perfiles . . . 343

Abonados de nivel de registro . . . 345

Distribución de un perfil . . . 345

CCMS y AEF (Application Extension Facility) . . . 346

Proceso de distribución de CCMS y acciones AEF . . . 347

Tratamiento especial de la distribución para contraseñas . . . 348

Control de cambios en atributos de un solo uso según el estado del punto final. . . 349

Vista de atributos Oneshot . . . 351

Cómo afectan las opciones de distribución a las cuentas y contraseñas de usuario . . . 352

Bases de datos de índice de usuarios y de grupos y wchkadmdb. . . 356

Registro de política predeterminada, waddprop, waddusrprop y wgenusrdef 360 Lecturas complementarias . . . 361

Apéndice A. Gestión de usuarios de AS/400 . . . 363

Por qué gestionar cuentas de usuario de AS/400 desde Tivoli . . . 363

Utilización de User Administration para AS/400. . . 364

Cómo trabajar con atributos y puntos finales de AS/400 . . . 365

Funciones específicas de AS/400 . . . 365

Completar/Descubrir . . . 366

Distribuir/Actualizar . . . 366

Contraseñas . . . 366

Características exclusivas para AS/400 . . . 367

Información específica de cuentas de AS/400 . . . 368

Modificación de cuentas de usuario de OS/400 . . . 382

Apéndice B. Gestión de usuarios de OS/2 . . . 385

(18)

Por qué gestionar cuentas de usuario de OS/2 desde Tivoli. . . 385

Cómo trabajar con atributos y puntos finales OS/2 . . . 386

Atributos de usuario de OS/2 en el perfil de usuario de Tivoli . . . 386

Cuenta OS/2 . . . 387

Opciones de cuenta OS/2 . . . 390

Asignaciones de conexión de OS/2 . . . 392

Aplicaciones de OS/2 . . . 394

Pertenencia a grupos OS/2 . . . 395

Estaciones de trabajo de conexión OS/2 . . . 396

Comportamiento de SecureWay User Administration en puntos finales OS/2 . . . 397

Punto final OS/2 como controlador de dominio primario o de reserva . . . 398

Distribuciones hacia otros sistemas y servidores OS/2 . . . 398

Usuarios sin ninguna contraseña . . . 399

Usuarios con una contraseña cambiada. . . 399

Usuarios con un ID de usuario (nombre de inicio de sesión) cambiado. . . 400

Usuarios del grupo SERVERS de OS/2 . . . 400

Nombres de atributos de OS/2 en perfiles de usuario . . . 400

Códigos de resultado de OS/2 . . . 405

Errores de distribución de OS/2 . . . 418

Glosario. . . 421

Índice . . . 435

(19)

Prefacio

La publicación Tivoli SecureWay User Administration Guía de gestión proporciona información orientada a las tareas sobre cómo gestionar cuentas de usuario y de grupo mediante perfiles de Tivoli.

Esta guía incluye información básica sobre cuentas de usuario y de grupo, información sobre la manera en que Tivoli gestiona estos tipos de cuentas, ejemplos de configuración y uso de Tivoli

SecureWay User Administration para gestionar usuarios y grupos, y procedimientos para utilizar todos los componentes de la interfaz de usuario, incluyendo la interfaz gráfica de usuario (GUI) y ejemplos sobre la utilización de la interfaz de línea de comandos (CLI).

A quién va dirigida esta guía

Esta guía va destinada a los gestores de sistemas que utilizan Tivoli SecureWay User Administration para configurar perfiles de

configuración de usuarios y grupos, y los administradores de sistemas que utilizan Tivoli para realizar tareas diarias de administración sobre cuentas de usuarios y grupos.

Los lectores deben estar familiarizados con:

¶ Los sistemas operativos Microsoft^®Windows NT^® y Windows 2000^®

¶ El sistema operativo Novell^® NetWare^®

¶ El sistema operativo UNIX^®

¶ Programación de shell

Contenido de esta guía

Esta guía contiene las secciones siguientes:

¶ Introducción a la gestión de usuarios y grupos

Describe las características de gestión de usuarios y grupos, qué información de cuentas de usuarios y grupos gestiona, e incluye escenarios de la vida real para utilizar la aplicación.

(20)

¶ Instalación de Tivoli SecureWay User Administration Describe cómo instalar y desinstalar Tivoli SecureWay User Administration.

¶ Planificación y despliegue

Describe cómo planificar, probar y desplegar una

implementación de Tivoli SecureWay User Administration.

¶ Gestión de contraseñas

Describe la gestión de contraseñas en Tivoli SecureWay User Administration.

¶ Configuración de perfiles de usuario

Describe cómo crear perfiles de usuario, cómo establecer políticas predeterminadas y políticas de validación, y cómo completar con datos los perfiles de usuario.

¶ Creación de registros de usuario

Describe cómo crear registros de usuario, incluyendo la manera de añadir a un registro de usuario información de cuentas general, de Windows NT, de NetWare y de UNIX.

¶ Gestión de registros de usuario

Describe cómo realizar tareas comunes con registros de usuario como, por ejemplo, localizar y editar registros.

¶ Configuración de perfiles de grupo

Describe cómo crear perfiles de grupo, cómo establecer políticas predeterminadas y políticas de validación, y cómo completar con datos los perfiles de grupo.

¶ Gestión de registros de grupo

Describe cómo crear registros de grupo y realizar acciones comunes sobre dichos registros como, por ejemplo, editar registros y validar registros frente a una política.

¶ Registro cronológico de auditoría

Describe cómo utilizar el motor de registro cronológico de auditoría.

¶ Personalización de Tivoli SecureWay User Administration

(21)

Describe cómo personalizar Tivoli SecureWay User

Administration mediante AEF (Application Extension Facility) de Tivoli.

¶ Temas avanzados

Describe la distribución de perfiles de usuario, la manipulación especial de contraseñas, el almacenamiento de información de usuario y los métodos de indexación, entre otros temas.

¶ Gestión de usuarios de AS/400

Describe la utilización de Tivoli SecureWay User Administration en un entorno AS/400.

¶ Gestión de usuarios de OS/2

Describe la utilización de Tivoli SecureWay User Administration en un entorno OS/2.

Publicaciones

Esta sección contiene una lista de prerrequisitos y publicaciones relacionadas. También describe cómo acceder en línea a las publicaciones de Tivoli, cómo realizar pedidos de publicaciones de Tivoli y cómo realizar comentarios sobre las mismas.

Requisitos previos y documentos relacionados

Debe estar familiarizado con la información incluida en los documentos relacionados antes de instalar y utilizar el software descrito en esta guía.

¶ Tivoli Management Framework Planning for Deployment Guide Explica cómo desplegar el entorno Tivoli. También describe Tivoli Management Framework y sus servicios.

¶ Tivoli Enterprise Installation Guide

Explica cómo instalar y actualizar el software Tivoli Enterprise en la región de gestión de Tivoli mediante los mecanismos de instalación disponibles proporcionados por Tivoli Software Installation Service y Tivoli Management Framework. El software Tivoli Enterprise incluye el servidor de región de gestión de Tivoli, nodos gestionados, gateways, puntos finales y

(22)

objetos RIM (RDBMS Interface Module). Esta guía también proporciona información acerca de la resolución de problemas de instalación.

¶ Tivoli Management Framework Guía del usuario

Describe conceptos y procedimientos para utilizar servicios de Tivoli Management Framework. También proporciona

instrucciones para realizar tareas desde el escritorio de Tivoli y desde la línea de comandos.

¶ Tivoli Management Framework: Manual de consulta

Proporciona información detallada acerca de los comandos de Tivoli Management Framework. Este manual resulta útil al escribir scripts que luego se ejecutarán como tareas de Tivoli.

Este manual también informa de los scripts de política proporcionados por Tivoli.

¶ Tivoli Management Framework Notas del Release

Ofrece información importante acerca del release de Tivoli Management Framework.

Acceso a publicaciones en línea

Puede acceder en línea a muchas publicaciones de Tivoli en el sitio web de Soporte al cliente de Tivoli:

http://www.tivoli.com/support/documents/

Estas publicaciones están disponibles en formato PDF y/o HTML.

También existen traducciones de los documentos de algunos productos.

Para acceder a la mayor parte de la documentación, se necesita un ID y una contraseña. Si es necesario, puede obtenerlos en el siguiente sitio web:

http://www.tivoli.com/support/getting/

Solicitud de publicaciones

Puede hacer pedidos en línea de muchas publicaciones de Tivoli en el sitio web siguiente:

(23)

http://www.tivoli.com/support/Prodman/html/pub_order.html/

También puede hacer pedidos por teléfono llamando a uno de estos números:

¶ En Estados Unidos: 800-879-2755

¶ En Canadá: 800-426-4968

¶ En otros países, para obtener una lista de números telefónicos, consulte el sitio web siguiente:

http://www.tivoli.com/inside/store/lit_order.html

Comentarios sobre las publicaciones

Estamos muy interesados en conocer sus experiencias con los productos y la documentación de Tivoli, por lo que agradecemos sus sugerencias para mejorarlos. Si tiene comentarios o sugerencias sobre nuestros productos y documentación, póngase en contacto con nosotros por alguno de los siguientes medios:

¶ Envíe un correo electrónico a [email protected]

¶ Rellene nuestra encuesta de comentarios del cliente que se encuentra en el sitio web siguiente:

http://www.tivoli.com/support/survey/

Cómo ponerse en contacto con el servicio de soporte al cliente

Si tiene algún problema con cualquier producto de Tivoli, puede ponerse en contacto con el Soporte al cliente de Tivoli. Consulte el manual Tivoli Customer Support Handbook en el sitio web siguiente:

http://wwwtivoli.com/support/handbook/

Este manual proporciona información acerca de cómo ponerse en contacto con el Soporte al cliente de Tivoli, según la gravedad del problema, así como la siguiente información:

¶ Registro y elegibilidad

¶ Números de teléfono y direcciones de correo electrónico, según el país en el que se encuentre

(24)

¶ Información que debe recopilar antes de ponerse en contacto con el servicio de soporte al cliente

Convenciones utilizadas en esta guía

En este suplemento se utilizan varias convenciones tipográficas para términos y acciones especiales, así como gráficos en los márgenes.

Convenciones de tipo de letra

En este suplemento se utilizan las siguientes convenciones de tipo de letra:

Negrita

Los comandos, palabras clave, nombres de archivo, funciones de autorización, URL u otro tipo de información que se deba utilizar literalmente aparecen así, en negrita.

Los nombres de ventanas, diálogos y otros controles aparecen así, en negrita.

Cursiva

Las variables y valores que se deban suministrar aparecen así, en cursiva.

Las palabras y frases que se quieren destacar aparecen así, en cursiva.

Monoespaciado

Los ejemplos de código, datos de salida y mensajes del sistema aparecen así, en monoespaciado.

Iconos de márgenes

Los iconos siguientes representan los recursos de perfiles de usuario y de grupo:

Los recursos de perfiles de usuario y de grupo se crean en el contexto de un gestor de perfiles. Tras la distribución inicial de un perfil de usuario o de grupo, el icono del perfil aparece en el diálogo

(25)

de vista de los abonados. Estos abonados incluyen servidores de dominio Windows NT, puntos finales de servidor Windows 2000, puntos finales de servidor NDS Novell NetWare, puntos finales y nodos gestionados UNIX, dominios NIS (Network Information Services), otros nodos gestionados u otros gestores de perfiles. El icono del localizador de usuarios reside en el escritorio de Tivoli. El diálogo Localizador de usuarios permite localizar con rapidez un usuario.

(26)

(27)

Introducción a la gestión de usuarios y grupos

En una empresa distribuida, los administradores de sistemas dedican mucho tiempo a la gestión de cuentas de usuario y de pertenencia a grupos. Las cuentas de usuario se añaden y se eliminan

constantemente de la empresa. Además, las cuentas de usuario se deben actualizar periódicamente a medida que las necesidades del usuario cambian.

Habitualmente, el administrador del sistema solía ocuparse de las cuentas de usuario en una sola arquitectura de sistema operativo, como una arquitectura UNIX o de sistema principal. En la

actualidad, la mayoría de las empresas distribuidas tienen usuarios que necesitan cuentas en múltiples arquitecturas de sistemas operativos. Estos sistemas operativos pueden ser tan distintos como UNIX, Windows 2000, Windows NT, NetWare, OS/2, OS/390 u OS/400.

Los sistemas operativos UNIX, Windows NT, Windows 2000 y NetWare tienen su propio conjunto de archivos o bases de datos de configuración que describen las cuentas de usuario del sistema.

Asimismo, cada variante de UNIX tiene su propio conjunto de archivos de configuración que describen las cuentas de usuario.

Windows NT también incluye cuentas globales y locales.

Además de ocuparse de las diferencias en cuentas de usuarios en cada arquitectura de sistema operativo, existen variaciones

1

1.Introd.gestiónusuariosygrupos

(28)

inevitables en la gestión de cuentas de usuario en los sistemas y en las organizaciones de una empresa.

Tivoli SecureWay User Administration proporciona las herramientas necesarias para gestionar cuentas de usuario en muchos de los principales tipos de sistemas operativos: Windows NT, Windows 2000, NetWare, OS/2, OS/4, OS/390 y los tipos principales de UNIX (AIX, HP-UX, Solaris y Linux). Tivoli SecureWay User

Administration incluye las siguientes características para la gestión de usuarios y grupos:

¶ Una única interfaz gráfica de usuario (GUI) para gestionar cuentas de usuario de UNIX, Windows, NetWare o de otra plataforma desde una ubicación central

¶ Plantillas que permiten introducir una cantidad mínima de información para crear un registro completo

¶ Herramientas para ubicar, editar, crear y suprimir con rapidez un registro de usuario específico

¶ Control central del administrador sobre cuentas junto con un control limitado del usuario

¶ Funciones de autorización más detalladas que permiten a un administrador del sistema de mayor categoría delegar diferentes niveles de acceso a información diversa en una cuenta de usuario

¶ Gestión de información general del usuario, así como de información de cuentas de UNIX, Windows, NetWare y otros tipos de plataforma en un solo registro de usuario

¶ Soporte real para cliente/servidor

En este capítulo se describen las siguientes características para la gestión de usuarios y grupos:

¶ Conceptos de la administración de usuarios específicos de cada plataforma

¶ Funcionamiento de la gestión de usuarios y grupos

¶ Componentes de la gestión de grupos y cuentas de usuario

(29)

¶ Perfiles de usuarios y de grupos

¶ Política de perfiles de usuarios y de grupos

¶ Control de contraseñas

¶ El localizador de usuarios

¶ Bloqueo de registros

¶ Gestión de la seguridad

¶ Ejemplos de la gestión de varios usuarios

Conceptos de la administración de usuarios específicos de cada plataforma

La administración de usuarios al nivel de plataforma (sistema operativo) implica autenticar el acceso de un usuario a los recursos del sistema y mantener la seguridad de la información de la cuenta de usuario. Cada plataforma tiene mecanismos diferentes para mantener las cuentas de usuario y la seguridad. Con Tivoli SecureWay User Administration, es posible gestionar cuentas de usuarios en distintas plataformas sin tener que modificar las características exclusivas de cada plataforma. En las secciones siguientes se ofrece una visión general del enfoque exclusivo de cada plataforma en cuanto a la administración de usuarios.

Plataformas UNIX

En las secciones siguientes se ofrece una visión general de la administración de usuarios en plataformas UNIX. Aunque, en general, las plataformas UNIX son similares, existen algunas diferencias entre ellas. Por ejemplo, los nombres de los archivos del sistema pueden variar según la plataforma UNIX.

Nota: en las secciones siguientes, para referirse a archivos del sistema se han utilizado los nombres de archivos del sistema de AIX.

Inicio de sesión y autenticación de usuarios

Para iniciar una sesión en un sistema UNIX, el usuario introduce un ID de usuario y una contraseña válidos. El sistema UNIX codifica la

(30)

contraseña, que nunca se muestra como texto legible. El ID de usuario se verifica con las entradas del archivo /etc/passwd y la contraseña se comprueba con el archivo /etc/security/passwd del sistema local.

Nota: UNIX también permite la autenticación desde bases de datos remotas, como NIS (Network Information System).

Cuando un usuario ha sido autenticado y se ha otorgado una sesión de inicio de sesión, el sistema crea el entorno de usuario. El sistema configura un entorno global y, a continuación, configura el entorno privado del usuario. El entorno global se suele crear desde los archivos /etc/profile y /etc/environment, que son archivos generales del sistema. Estos archivos se utilizan para definir variables de entorno para la mayoría de los usuarios del sistema. También se pueden utilizar para establecer variables de entorno de sólo lectura que el usuario no puede modificar ni eliminar.

El entorno privado de un usuario procede del archivo .profile del usuario y de otros archivos que normalmente se encuentran en el directorio inicial del usuario.

Cada usuario de un sistema UNIX se identifica por un número de identificación de usuario (UID) exclusivo y un número de

identificación de grupo primario (GID). El administrador del sistema puede modificar el UID o el GID.

Mientras que, para iniciar una sesión, los usuarios utilizan su nombre de inicio de sesión (formado, generalmente, a partir de su nombre real), el sistema realiza un seguimiento de todos los derechos de acceso y de propiedad a partir del número de UID. El archivo /etc/passwd convierte el nombre de inicio de sesión en el UID.

Tivoli SecureWay User Administration permite gestionar la información de usuario contenida en los diversos archivos del sistema UNIX. Para obtener una lista de los archivos soportados y sus nombres específicos en función de cada plataforma UNIX, consulte la publicación Tivoli SecureWay User Administration Manual de Consulta.

Conceptos de administración de usuarios específ. de cada plataforma

(31)

Usuarios y grupos

Cada usuario del sistema es miembro de al menos un grupo. Estos grupos están formados por usuarios con permisos y derechos de acceso similares. Utilizando los permisos de grupo, se puede otorgar a un grupo de usuarios acceso a un archivo o directorio, de forma que muchas personas pueden acceder fácilmente a dicho archivo. El grupo predeterminado utilizado para la mayoría de los usuarios se denomina grupo de personal. Los administradores del sistema pueden crear grupos y asignar usuarios a grupos según las

necesidades. Asimismo, un usuario individual puede ser miembro de varios grupos al mismo tiempo.

En todos los sistemas UNIX hay usuarios y grupos estándar del sistema que se predefinen cuando se instala el sistema. Para obtener información sobre las cuentas de grupo y de usuario de UNIX soportadas por Tivoli SecureWay User Administration, consulte la publicación Tivoli SecureWay User Administration Manual de Consulta.

Sistema de información de la red

NIS (Network Information Service) es un servicio de UNIX que facilita la administración de un gran número de sistemas. El servicio NIS proporciona información actualizada de los archivos centrales de UNIX utilizados para la gestión de usuarios, de sistemas y de redes.

Por lo general, el servicio NIS se utiliza para garantizar la coherencia de nombres de usuario, identificaciones de usuario, contraseñas, nombres de grupo e identificaciones de grupo entre numerosos sistemas. El servicio NIS no distribuye los archivos propiamente dichos. Utiliza la información de los archivos para construir un mapa NIS, que es un archivo de base de datos creado por clientes NIS y al que éstos tienen acceso.

Tivoli SecureWay User Administration se puede utilizar para

gestionar cuentas de usuario dentro de un dominio NIS. Para obtener más información al respecto, consulte la publicación Tivoli User Administration Guía de gestión de NIS.

(32)

Windows NT

En las secciones siguientes se ofrece una visión general de la administración de usuarios en Windows NT.

Autenticación de usuarios

Windows NT tiene diversas características de seguridad para controlar el acceso a archivos, a directorios y a otros recursos del sistema. Estas características son:

¶ Autoridad de seguridad local

¶ Administrador de cuentas de seguridad

¶ Supervisor de referencias de seguridad Autoridad de seguridad local

La autoridad de seguridad local (Local Security Authority - LSA) garantiza que el usuario tiene permiso de acceso al sistema. Crea señales de acceso durante el proceso de inicio de sesión, gestiona las políticas de seguridad, controla las políticas de auditoría y anota mensajes de auditoría en el registro de eventos.

Administrador de cuentas de seguridad

El administrador de cuentas de seguridad (Security Account Manager - SAM) mantiene una base de datos que contiene información sobre todas las cuentas de usuario y de grupo. SAM ofrece servicios de validación para LSA y compara la entrada del usuario durante el inicio de sesión con la información de la base de datos.

Al crear una cuenta de usuario, SAM proporciona un número de identificación de seguridad (SID) para el usuario y el número SID de todos los grupos a los que pertenece el usuario. El SID es un

número de 32 bits generado por el sistema utilizado para identificar de manera exclusiva cada una de las cuentas del sistema (o

dominio). Es similar al número de identificación de usuario (UID) de UNIX, pero, a diferencia de UNIX, los administradores del sistema no tienen la opción de editar este número.

(33)

Supervisor de referencias de seguridad

El supervisor de referencias de seguridad (Security Reference Monitor - SRM) valida el acceso a objetos o recursos (archivos, directorios, impresoras, etc.). Protege los recursos ante accesos o modificaciones no autorizadas y genera los mensajes de auditoría correspondientes. En Windows NT, los usuarios no pueden acceder directamente a los recursos. SRM debe validar las solicitudes del usuario de acceso a un recurso.

Inicio de sesión del usuario

Al iniciar la sesión en el sistema, el usuario pulsa la secuencia de teclas Control+Alt+Supr para visualizar el cuadro de diálogo Información de inicio de sesión. A continuación, el usuario introduce un nombre de usuario y una contraseña y especifica si desea iniciar la sesión en el sistema local o en el dominio.

En primer lugar, el sistema comprueba en la base de datos de SAM si el usuario existe y si la contraseña es válida. Si el usuario tiene una cuenta y la contraseña es válida, el subsistema de seguridad crea una señal de acceso. Esta señal representa al usuario. Contiene información como el identificador de seguridad del usuario (SID), el nombre del usuario y los grupos a los que pertenece el usuario.

Esta señal de acceso (o una copia de la misma) está asociada con cada uno de los procesos iniciados por el usuario. La señal de acceso y la asociación a procesos se denomina sujeto. Cuando se accede a un recurso (archivo, directorio, etc.), el contenido del sujeto se compara con la lista de control de accesos del objeto al que se está accediendo mediante una rutina de validación de acceso.

La información sobre el entorno del usuario se encuentra en un perfil. El perfil se carga cada vez que el usuario inicia una sesión.

Existen distintos tipos de perfil. Un perfil de usuario personal puede ser modificado por el usuario. Toda modificación que el usuario realiza en el entorno se guarda en este perfil cuando el usuario finaliza la sesión.

El administrador del sistema puede establecer un perfil de usuario obligatorio para los usuarios de un dominio. Este perfil define qué Conceptos de administración de usuarios específ. de cada plataforma

(34)

valores del entorno se establecen cuando un usuario inicia una sesión, así como las aplicaciones que deben iniciarse y las unidades de red que se conectan. Si un usuario realiza alguna modificación en el entorno, no se guardará cuando el usuario finalice la sesión.

Todos los usuarios de Windows NT están asignados a uno o más grupos. Como en el caso de las plataformas UNIX, agrupar a los usuarios simplifica la administración de usuarios, ya que un administrador del sistema puede controlar los permisos de acceso a nivel de grupo.

Windows NT da soporte a tres tipos de cuenta:

¶ Cuentas de usuario

¶ Grupos locales

¶ Grupos globales

Los grupos locales se pueden definir en cada máquina. Un grupo local se centra en la máquina, lo que significa que los derechos y permisos asociados con un grupo de este tipo funcionan con recursos locales. Windows NT suministra grupos locales incorporados en cada máquina.

Si se trata de una máquina autónoma, solamente las cuentas de usuario locales pueden pertenecer a un grupo local. Si la máquina es miembro de un dominio, el grupo local puede contener cuentas de usuario locales, cuentas de usuario del dominio, cuentas de usuario de un dominio fiable y grupos globales del dominio o de un dominio fiable.

Los grupos globales se definen a nivel de domino y se pueden exportar a dominios remotos. Los miembros de grupos globales son cuentas de usuario del dominio o cuentas de usuario de un domino fiable. Un usuario local no puede pertenecer a un grupo global.

Windows NT suministra varias cuentas de grupos globales incorporadas.

(35)

Consideraciones sobre el uso de Windows NT con Tivoli Si Tivoli SecureWay User Administration está instalado en un servidor de dominios de Windows NT, la aplicación gestiona las cuentas del dominio, los miembros de grupos del dominio y los miembros de grupos locales del servidor. Si Tivoli SecureWay User Administration está instalado en una estación de trabajo NT, la aplicación gestiona cuentas locales de estación de trabajo y los miembros de grupo locales de esa máquina. Normalmente, Tivoli SecureWay User Administration se instala en servidores de dominio, pero no en las estaciones de trabajo individuales.

Windows 2000

En las secciones siguientes se ofrece una visión general de la administración de usuarios en Windows 2000.

Catálogos globales

El soporte de Tivoli SecureWay User Administration para puntos finales Windows 2000 requiere la existencia de un servidor de catálogos globales. Los catálogos globales se pueden configurar y se pueden activar selectivamente en cualquier servidor Windows 2000.

Si un punto final Windows 2000 es el destino de Tivoli SecureWay User Administration y se encuentra en un dominio que no contiene un catálogo global, las operaciones no se completarán correctamente.

El catálogo global retiene todos los objetos de todos los dominios en el directorio Windows 2000, así como un subconjunto de las

propiedades de cada objeto. Esto permite utilizar el catálogo global como un depósito que funciona a modo de agenda global. El punto final Windows 2000 utiliza el catálogo global para realizar

búsquedas rápidas y manipular información acerca del usuario.

Para obtener más información sobre los catálogos globales, consulte la documentación sobre instalación y configuración de Windows 2000 o visite los siguientes sitios web de Microsoft:

¶ MSDN Online en http://msdn.microsoft.com/default.asp

¶ Windows 2000 Developer Center en http://msdn.microsoft.com/windows 2000

(36)

Windows 2000 tiene diversas características de seguridad para controlar el acceso a archivos, a directorios y a otros recursos del sistema. Estas características son:

¶ Autoridad de seguridad local

¶ Directorio activo

¶ Descriptor de seguridad

¶ Contexto de seguridad

¶ Verificación de acceso

¶ Administrador de cuentas de seguridad Autoridad de seguridad local

La autoridad de seguridad local (Local Security Authority - LSA) garantiza que el usuario tiene permiso de acceso al sistema. Crea señales de acceso durante el proceso de inicio de sesión, gestiona las políticas de seguridad, controla las políticas de auditoría y anota mensajes de auditoría en el registro de eventos.

Directorio activo

Tivoli SecureWay User Administration utiliza el directorio activo (Active Directory) de Windows 2000 para almacenar información de usuario necesaria, como autenticación y contraseñas.

El directorio activo permite a los administradores delegar tareas y privilegios administrativos específicos a usuarios individuales y grupos. Por ejemplo, el restablecimiento de contraseñas de usuario se puede delegar a los administradores de operaciones. Funciones con más privilegios, como la creación de usuarios, se pueden reservar a los administradores de IT.

Descriptor de seguridad

Todo objeto de directorio tiene su propio descriptor de seguridad, el cual contiene información de seguridad que protege al objeto. Entre otras cosas, el descriptor de seguridad puede contener una lista de control de acceso discrecional (DACL). Una DACL contiene una lista de entradas de control de acceso (las ACE). Cada entrada ACE Conceptos de administración de usuarios específ. de cada plataforma

(37)

concede o deniega un conjunto de derechos de acceso a un usuario o a un grupo. Los derechos de acceso corresponden a las operaciones, como las propiedades de lectura y de escritura, que se pueden realizar sobre el objeto.

Contexto de seguridad

Al intentar acceder a un objeto de directorio, la aplicación especifica las credenciales del principal de seguridad que está realizando el intento de acceso. Una vez autenticadas, estas credenciales

determinan el contexto de seguridad de la aplicación, que incluye los miembros de grupo y los privilegios asociados al principal de

seguridad. Para obtener más información sobre contexto de seguridad, consulte las secciones anteriores, “Directorio activo” y

“Descriptor de seguridad”, o consulte “Security Context” en la documentación de Microsoft MSDN.

Verificación de acceso

El sistema concede acceso a un objeto sólo si el descriptor de seguridad del objeto otorga los derechos de acceso necesarios al principal de seguridad que está intentando realizar la operación (o a los grupos a los que pertenece el principal de seguridad).

Administrador de cuentas de seguridad

En un sistema operativo multitarea como Windows 2000, las aplicaciones comparten una variedad de recursos del sistema que incluyen la memoria del sistema, dispositivos de E/S, archivos y procesadores del sistema. Windows 2000 incluye soporte para una base de datos de políticas del sistema, en caso de que dicho soporte esté vigente.

Tanto si las políticas del sistema proporcionan acceso mediante cuentas SAM como si no, Tivoli SecureWay User Administration y el directorio activo de Windows 2000 requieren un nombre de cuenta SAM para cada usuario. Para obtener más información, consulte

“Security Access Manager” en la documentación de Microsoft MSDN.

(38)

Inicio de sesión del usuario

Al iniciar una sesión en el sistema, el usuario pulsa la secuencia de teclas Control +Alt+Supr para visualizar el diálogo Información de inicio de sesión. A continuación, el usuario introduce un nombre de usuario y una contraseña y especifica si desea iniciar la sesión en el sistema local o en el dominio.

En primer lugar, el sistema comprueba en la base de datos del catálogo global o del directorio activo (en caso de que el catálogo global no esté activo) si el usuario existe y si la contraseña es válida.

Los usuarios pueden utilizar uno de estos tres nombres para iniciar la sesión:

¶ Nombre de directorio normal (o nombre común), que es el nombre común utilizado para una cuenta de Windows 2000.

¶ Nombre de cuenta SAM, que es un nombre de inicio de sesión exclusivo utilizado para dar soporte a clientes y servidores desde un sistema operativo anterior a Windows 2000 (si las políticas existentes permiten inicios de sesión para sistemas operativos anteriores a Windows 2000).

¶ Nombre principal del usuario (o nombre de inicio de sesión del usuario), que es un nombre de inicio de sesión como los de Internet para el usuario (definido opcionalmente y exclusivo en el dominio).

Los usuarios y los grupos son objetos en el directorio activo de Windows 2000. Cada objeto del directorio activo es un conjunto de atributos diferenciado y con nombre que representa algo concreto, como un usuario, una impresora o una aplicación. Los atributos contienen datos que describen el elemento identificado por el objeto del directorio. Los atributos de un usuario pueden incluir el nombre del usuario, su apellido y su dirección de correo electrónico.

Del mismo modo que ocurre con otros sistemas operativos, los grupos simplifican la administración de usuarios al permitir controlar los derechos y el acceso a recursos, objetos y atributos a nivel de grupo, en lugar de tener que hacerlo explícitamente para cada Conceptos de administración de usuarios específ. de cada plataforma

(39)

usuario. Los grupos son objetos del directorio activo o del sistema local que contienen usuarios, contactos, sistemas y otros grupos. Los grupos se pueden utilizar para:

¶ Gestionar el acceso de usuarios y sistemas a recursos compartidos, como objetos del directorio activo y sus

propiedades, recursos compartidos de red, archivos, directorios, colas de impresora, etc.

¶ Crear listas de distribución de correo electrónico

¶ Filtrar políticas de grupo

Los grupos se pueden utilizar por cuestiones de seguridad (como en el control de acceso y en las políticas) o por cuestiones de

agrupamiento (como en las listas de distribución). Al crear un grupo, debe especificarse si se utilizará para cuestiones de seguridad.

Cada usuario es miembro de al menos un grupo, denominado grupo primario. El grupo primario se puede definir desde un conjunto de grupos definidos en Windows 2000 que, de forma predeterminada, se encuentran en el contexto dominio/usuario. Todos estos grupos tienen un prefijo “Domain”. Las asignaciones de otros grupos para un usuario se pueden realizar desde cualquier grupo definido. Para obtener más información, consulte “Managing Groups” en la documentación de Microsoft MSDN.

Consideraciones sobre el uso de Windows 2000 con Tivoli Al añadir un usuario al directorio activo de Windows 2000, se crea un objeto de usuario en el contenedor de dominios del dominio en el que se encuentra el registro del usuario.

En la tabla siguiente se muestran los valores de propiedades para una creación mínima de usuario. Los únicos elementos que deben

proporcionarse son el nombre común (CN), el contexto y el nombre de cuenta SAM (Nombre de cuenta de SAM). Los demás

elementos se pueden tomar de forma predeterminada (aunque este tipo de cuenta no será de mucha utilidad en el directorio activo).

(40)

Propiedad Valor

Nombre completo Vacío

Nombre común (CN) Se debe especificar explícitamente Contexto Se debe especificar explícitamente

Nombre (nombre) Vacío

Apellido Vacío

Nombre principal de usuario (UPN)

Vacío

Nombre de cuenta de SAM Se debe especificar explícitamente

Contraseña Vacío

El usuario debe cambiar la contraseña

VERDADERO

El usuario no puede cambiar la contraseña

FALSO

La contraseña nunca caduca FALSO

Cuenta desactivada VERDADERO

Grupo Usuario del dominio

Perfil Vacío

La cuenta nunca caduca VERDADERO

El directorio activo de Windows 2000 da soporte a varios formatos de nombres de objeto. Estos formatos se adecuan a las diferentes formas que puede presentar un nombre, en función de la aplicación de origen. Las herramientas administrativas del directorio activo visualizan cadenas de nombres en un formato predefinido, conocido como nombre canónico.

De forma predeterminada, la interfaz de usuario de Windows 2000 muestra los nombres de objetos que utilizan el nombre canónico, que lista los nombres distinguidos relativos (desde la raíz hacia abajo y sin los descriptores de atributo de denominación RFC 1779). Utiliza el nombre de dominio DNS (el formato del nombre en el que las etiquetas de dominio están separadas por puntos).

(41)

Por ejemplo, un nombre distinguido LDAP podría aparecer con el nombre canónico siguiente:

noam.reskit.com/marketing/promociones/jsmith

En este caso, el nombre canónico se compone del nombre común (cn) jsmith, que está en la unidad organizativa (ou) marketing, con los componentes de dominio (dc) noam, reskit y com (empezando por la izquierda con el nombre de la hoja y terminando a la derecha con el nombre de la raíz).

Tivoli SecureWay User Administration utiliza el formato de nombre canónico del directorio activo para los atributos w2k_context, w2k_manager y w2k_membersof.

Nota: el nombre del grupo primario en el atributo w2k_membersof es una excepción, pues no se especifica en formato canónico.

Para obtener una descripción sobre cómo configurar una cuenta de usuario de Windows 2000 en Tivoli SecureWay User Administration, consulte “Información de la cuenta de usuario de Windows 2000” en la página 173.

Servicio de directorios de NetWare Novell

El servicio de directorios de NetWare (NDS) es un servicio de base de datos de información introducido en NetWare 4.0 que organiza recursos de red, como usuarios, grupos, impresoras, volúmenes y otros dispositivos físicos de red, en una estructura jerárquica de árbol. NDS presenta recursos para almacenar, acceder, gestionar y utilizar información sobre recursos de red. En lugar de almacenar datos en un único servidor, la información del servicio NDS está distribuida por una base de datos global y todos los servidores tienen acceso a ella. Esta base de datos es NetWare Directory Infobase. La base de datos organiza los recursos en una estructura jerárquica de árbol. Los usuarios y los administradores del sistema pueden acceder a cualquier servicio de red sin tener que conocer la ubicación física del servidor en el que se encuentra almacenado el servicio. El término directorio en el servicio de directorios de NetWare se refiere a la base de datos global.

(42)

Objetos del servicio de directorios de NetWare

El servicio NDS está orientado a objetos. Los dispositivos físicos están representados por objetos o representaciones lógicas de

dispositivos físicos. Los usuarios y los grupos son cuentas de usuario y cuentas de grupo lógicas; son un tipo de objeto del servicio NDS.

Una de las ventajas de trabajar con un sistema orientado a objetos es el hecho de que mover un dispositivo no modifica la definición del objeto. Esto facilita mucho la administración del sistema.

Inicio de sesión y autenticación de usuarios

Dado que el servicio NDS está distribuido por la red en lugar de estar localizado en un servidor concreto, los usuarios del servicio NDS no se conectan a un servidor, sino a la red. Cuando el usuario accede a recursos de la red, unos procesos de autenticación en segundo plano verifican que el usuario tiene derechos para esos recursos. La autenticación permite a un usuario acceder a cualquier servidor, volumen, impresora u otro recurso de la red para el que el usuario tenga derechos. Los derechos de trustee del usuario en el directorio limitan el acceso del usuario dentro de la red. La

autenticación es un medio de verificar que un usuario está autorizado para utilizar tanto los recursos del sistema de archivos como del directorio. La autenticación funciona en combinación con la lista de control de acceso (ACL) para proporcionar seguridad de red.

Los usuarios y los grupos son objetos en la estructura del servicio NDS. Para crear un usuario, es preciso seleccionar un contenedor en el que se creará el usuario. Los objetos de usuario reciben todos los derechos del servicio NDS y las asignaciones de trustee del

contenedor en el que se crean. Se pueden crear grupos para simplificar el acceso de los usuarios a las aplicaciones y a los recursos.

Los usuarios y los grupos reciben el nombre de trustees cuando poseen valores o propiedades de NetWare. Se pueden asignar derechos de acceso a usuarios o a grupos; una vez asignados, se denominan asignaciones de confianza. Estas asignaciones se denominan asignaciones directas si se asignan directamente a usuarios o a grupos.

(43)

Cuando se asigna un usuario a un grupo, el usuario recibe las asignaciones de trustee asignadas al grupo.

Consideraciones sobre el uso de NetWare con Tivoli Es necesario que ejecute el comando wsetnds para que Tivoli SecureWay User Administration pueda comunicarse con un punto final NDS de NetWare. Este comando permite que la aplicación se conecte al árbol NDS de NetWare. Debe ejecutar este comando para cada árbol NDS que gestione. Una vez ejecutado este comando, no es necesario ejecutarlo de nuevo a menos que cambie el nombre de inicio de sesión o la contraseña de la cuenta especificada. El comando wsetnds no es aplicable a sistemas NetWare 3.x, puesto que NetWare 3.x no soporta árboles NDS.

Cuando se completa un perfil con los datos de un nodo NetWare, sólo se pueden completar los datos con la información de usuario cuyo tipo de cuenta sea menor o igual que el tipo de cuenta asociado al comando wsetnds.

Resource Access Control Facility de OS/390

Resource Access Control Facility (RACF) es un servicio de seguridad que autoriza el acceso del usuario a recursos protegidos.

RACF forma parte de OS/390 Security Server, que forma parte del sistema operativo OS/390.

Base de datos de RACF

La base de datos de RACF almacena información sobre usuarios, grupos, conjuntos de datos y otros recursos. Los registros de base de datos que describen estos objetos de denominan perfiles. La base de datos de RACF incluye diferentes tipos de perfil. Se conoce como perfil discreto al perfil que protege un único recurso, como una transacción o una clave criptográfica. Un perfil que protege múltiples recursos se llama perfil genérico. La base de datos de RACF

también utiliza perfiles de usuario y de grupo.

Nota: los perfiles de RACF no deben confundirse con los perfiles de Tivoli SecureWay User Administration. Para obtener más Conceptos de administración de usuarios específ. de cada plataforma

(44)

información sobre los perfiles de Tivoli SecureWay User Administration, consulte “Perfiles de usuario y de grupo” en la página 22.

Segmentos de RACF

Los segmentos para los perfiles de RACF son extensiones opcionales para el perfil base que contienen información sobre una aplicación o una función de gestión concreta. Por ejemplo, si el usuario necesita ejecutar CICS (Customer Information Control System), el perfil de usuario requerirá un segmento CICS. Los perfiles de usuario pueden necesitar varios segmentos adicionales para adecuarse a las

actividades requeridas por un usuario.

Al iniciar una sesión en el sistema operativo, el usuario debe especificar un número de identificación de usuario y una contraseña válidas. RACF también da soporte a alternativas a las contraseñas tradicionales. Por ejemplo, RACF da soporte a pases. Un pase puede ser generado por RACF u otra función autorizada y sólo se puede utilizar en un sistema determinado durante un período de tiempo limitado. Al autenticar un usuario, RACF verifica lo siguiente:

¶ Si el usuario está definido para RACF

¶ Si el usuario ha proporcionado una contraseña válida o una alternativa válida, como un pase

¶ Si el identificador de usuario (UID) y el identificador de grupo (GID) son válidos en UNIX OS/390

¶ Si el identificador de usuario se encuentra en estado de revocación, lo que impide a un usuario definido por RACF iniciar una sesión en el sistema o acceder a determinados grupos

¶ Si el usuario está autorizado a utilizar el sistema ese día y a esa hora

¶ Si el usuario está autorizado a acceder al terminal Autorización para recursos

Cuando el usuario solicita acceso a un recurso, el gestor de recursos del sistema emite una solicitud RACF para verificar si el usuario Conceptos de administración de usuarios específ. de cada plataforma

(45)

tiene autorización para acceder al recurso. RACF comprueba el perfil que contiene información sobre el recurso solicitado en la base de datos de RACF y pasa esta información al gestor de recursos del sistema. Basándose en esta información, el gestor de recursos del sistema concede o deniega la solicitud.

Atributos de usuario de RACF

Los usuarios con diferentes funciones de trabajo necesitan distintos tipos de acceso a los recursos. Los atributos de usuario de RACF pueden proporcionar a un usuario derechos de acceso especiales a los recursos. Los atributos de usuario también determinan lo que un usuario tiene permiso para hacer con la base de datos de RACF. A continuación se comentan ejemplos de atributos de usuario de RACF básicos:

¶ SPECIAL: este atributo de usuario se aplica a un administrador de RACF que tiene derecho a utilizar todos los comandos de RACF y a definir cada tipo de perfil en la base de datos de RACF. El atributo SPECIAL de RACF permite al usuario gestionar el contenido de la base de datos de RACF, pero no ofrece acceso especial a los demás recursos de OS/390 más allá de lo que tendría un usuario normal.

¶ OPERATIONS: este atributo de usuario proporciona al usuario acceso a todos los conjuntos de datos y a algunas clases de recursos adicionales del sistema. Asimismo, este atributo permite al usuario asignar conjuntos de datos a cualquier otro usuario del sistema. Por razones de seguridad, este atributo sólo debe darse a identificaciones de usuario temporales abiertas en situaciones de emergencia.

¶ AUDITOR: este atributo de usuario se aplica a un usuario encargado de la auditoría de la base de datos de RACF, así como de los registros del sistema y de la integridad del sistema. El atributo AUDITOR otorga a un usuario derecho a consultar todos los perfiles de la base de datos de RACF y a cambiar los atributos de auditoría del sistema y de perfiles individuales.

¶ REVOKE: este atributo de usuario es una manera de lograr que un usuario definido en RACF deje de utilizar el sistema. El atributo REVOKE se puede desencadenar cuando un usuario Conceptos de administración de usuarios específ. de cada plataforma