Please enable JavaScript.
Coggle requires JavaScript to display documents.
Gestión de Identidades en Linux: Freeipa, Formato fichero mapa: - Coggle…
Gestión de Identidades en Linux:
Freeipa
DNS (Domain Name System)
Sistema jerárquico y descentralizado
Cada servidor DNS se encarga de su
zona
Zona
: Estructura en la que se almacena la
información de gestión
De un dominio o parte de este
Si no hay subdominios, la zona le corresponde al dominio completo
Conjunto de servidores con los registros de espacios de nombres
Ficheros de zona
Resolución directa
Resolución inversa (
in-addr.arpa
)
Zonas delegadas
Mantiene la jerarquía DNS
A través de registros de delegación
Tipos de servidores
Servidor secundario
Copia (solo lectura) del fichero de zona
Actualizan a través de transferencia de zona
Dan balanceo de carga (no hay fallos)
Realizan la resolución de su dominio
(firewall)
Servidor primario
Único
que contiene la copia original del fichero de zona
Se modifica la zona
Se replica dicha modificación a servidores secundarios (
transferencia
de zona
)
Servidor caché
No contienen copia de fichero
Almacena temporalmente las resoluciones anteriores
Nombre dispositivo + ruta hasta la raíz
(Ej: exthost.esit.ull.es)
Dominio
Parte del espacio de nombres DNS
Forwarders
Se comunican directamente con el nivel superior de la jerarquía
Establecidos en servidores que no son de la resolución externa
Localización
Ordenadores
Servicios
Recursos conectados a bases de datos
Internet y redes privadas
Traduce nombres de dominio en direcciones
numéricas IP
DNS Dinámico
Registro automático de clientes
Registro automático de servicios por servidores
Cualquier equipo puede registrarse a la red a menos...
Secure
Update
(solo se conectan los autorizados)
Problemas de seguridad
Suplantación de identidad
Redirección de trafico a un servidor que suplanta la identidad del original
DNS Seguro
(DNSSEC)
Cadena de confianza
en que cada nodo autentica al nodo jerárquicamente inferior
Todos se fían de la clave pública del dominio raíz
Cada dominio envía al superior su
clave pública
(esta se firma con la privada de cada dominio)
Resuelta una dirección se envía junto con su
solicitud
, la garantía que no han habido cambios en esta información
Denegación del servicio
Inaccesible al servidor original
LDAP
(Lightweight Directory Access Protocol)
Origenes
Se necesita base de datos especial accesible desde cualquier lugar
Directorio
Listado de información que permite almacenar la información detallada de cada objeto
Su acceso debe de estar gestionado correctamente
En informática, es un repositorio que guarda información de los objetos de una empresa
Permiten buscar objetos determinadamente
Directorios vs Bases de datos
Se accede más a los directorios que modificarlos
Directorios optimizados para la lectura
No soportan operaciones complejas
Respuesta rápida para lectura o búsqueda (directorios)
Replica información ampliamente, para aumentar fiabilidad y disponibilidad y reducir el tiempo de respuesta
Se pueden aceptar inconsistencias temporales entre la información de réplicas
Estándar de acceso y actualización de información en directorios
LDAP NO ES EL DIRECTORIO
(es el esquema cliente/servidor)
Componentes
Árbol invertido de colección de datos
Modelo de nombres
Como se identifican y organizan las entradas
Cada una tiene un nombre distintivo
Arquitectura
2.El servidor acepta o rechaza la conexión
5.El cliente cierra sesión (unbiding)
4.El servidor realiza operaciones especificadas
1.El cliente establece conexión (anónima o autentificada) con el servidor (biding)
LDAP
plantea 4 modelos para estas operaciones
Nombres
Define la identificación y organización de las entradas
Se organizan en un árbol denominado DIT (Directory Information Tree)
Cada entrada se identifica distintiva (DN) y unívocamente
1 more item...
Seguridad
Información
Tipos de datos y unidades de información almacenadas
Unidad básica de información del directorio,
entrada
(objetos,personas,entre otros)
Compuesta por conjuntos de
atributos
, que especifican sobre el objeto
3 more items...
Schema
Se recomienda usar los
esquemas estándar
, (interoperabilidad) contienen
clase de objeto y atributos
1 more item...
Funcional
Compuesto por 3 categorías
Interrogación
Búsqueda y comparación de entradas coincidentes con la condiciones del usuario
1 more item...
Actualización
Las operaciones de actualización modifican el contenido del directorio
3 more items...
Autenticación
3 niveles de autenticación
3 more items...
3.El cliente realiza operaciones de búsqueda o modificación
NFS
(Network Files System)
Permite compartir información con la red
Se accede consistentemente a información remota, con archivos locales
Basado en RPC
Usos
Directorios compartidos
En sistemas NAS
Directorios home centralizados
NFSv4
Implementa servidor con control de estados
Mantiene información de los accesos de los clientes
Más tolerante a caídas del servidor
Mejor eficiencia
Centraliza todas las operaciones en un único servicio
Facilita la gestión de firewalls
Usa solo TCP como protocolo de transporte
Mejora las prestaciones en seguridad y escalabilidad
Formato
: /etc/exports/
directorio1_a_exportar cliente1(permisos) cliente2(permisos) …
(Se asume que tienen permisos todas las máquinas sino se pone nombre)
Permisos
Secure,insecure,ro,rw,root_squash,no_root_squash,all_squash,anongid,anonuid
Opciones
secure=mode
Realizamos el montaje remoto con diferentes tipos de seguridad
sec=sys
Usa GID e UID locales mediante AUTH_SYS
sec=krb5
Usa Kerberos
sec=krb5i
Usa Kerberos pero con checksums
sec=krb5p
Usa Kerberos pero cifra el tráfico de datos, es el más seguro pero el más caro computacionalmente
Montaje del directorio remoto
Usamos mount
Opciones de montaje
Soft:
Cuando el servidor no responde la petición de montaje el cliente devuelve un código de error al proceso de la petición
Hard:
Cuando el servidor no responde, el cliente suspende indefinidamente al proceso de petición
Intr:
Especifica un montaje interrumpible, permite que un proceso se interrumpa
Establecimiento permanente en /etc/fstab
Servicio autofs
Sino se usa se pueden necesitar multitud de montajes, ralentizando la máquina y pudiendo dejar colgado al cliente si fallan comunicaciones
Solución
automount
Puede montar particiones automáticamente bajo demanda
Evita incluir todos los puntos de montaje y ralentizar el sistema al montar el sistema de archivos
Se desactiva tras un tiempo inactivo
Se puede conjugar con un servicio de directorios para montar discos home de usuario
Funcionamiento
Se establecen
puntos de escucha
, mediante los cuales se llama al automount, si se atraviesan dichos puntos
Los puntos de escucha se establecen en
/etc/auto.master
(cada línea es un punto de escucha)
Al atravesarse dicho punto, automount analiza la
ruta
/punto_de_escucha/clave/resto_ruta:
3 more items...
Cada línea de /etc/auto.master
1 more item...
Se pueden utilizar comodines para asociar claves con elementos de la ruta a montar.
1 more item...
Kerberos
Formato fichero mapa:
clave opciones sistema_a_montar
Opciones de montaje (prioridad frente a las de /etc/auto.master)
Sistemas de ficheros a montar
Sistema de archivos local
: Se antepone “:” a la ruta
Directorio exportado por nfs
: Se indica con:
nombre_del_servidor:/ruta/absoluta
Siguiente elemento de la ruta del punto de escucha