Tema 17. Administración de acceso al dominio
Kerberos, PAM, GPO avanzadas y gestión de acceso en Windows y Linux
Kerberos — Autenticación de dominio
▼
Kerberos es el protocolo de autenticación usado por Active Directory y muchos sistemas Linux.
Componentes
- KDC (Key Distribution Center): servidor de autenticación (en el DC de AD).
- AS (Authentication Service): verifica la identidad y emite el TGT.
- TGS (Ticket Granting Service): emite tickets de servicio basándose en el TGT.
- TGT (Ticket Granting Ticket): prueba de autenticación del usuario.
Flujo de autenticación Kerberos
- Cliente → AS: solicita TGT (envía usuario + hash de contraseña).
- AS → Cliente: TGT cifrado.
- Cliente → TGS: presenta TGT, solicita ticket de servicio.
- TGS → Cliente: ticket de servicio.
- Cliente → Servidor: presenta ticket de servicio. Acceso concedido.
klist # Ver tickets Kerberos activos en Linux kinit [email protected] # Obtener TGT kdestroy # Destruir todos los tickets
PAM — Pluggable Authentication Modules
▼
PAM es el sistema de autenticación modular de Linux. Permite configurar cómo y cuándo se autentica un usuario.
Archivos de configuración
/etc/pam.d/ — un archivo por servicio (login, ssh, sudo, samba…).
Módulos PAM importantes
pam_unix: autenticación clásica con /etc/passwd y /etc/shadow.pam_krb5: autenticación con Kerberos.pam_ldap: autenticación con LDAP.pam_pwquality: requisitos de complejidad de contraseña.pam_tally2: bloqueo de cuenta tras intentos fallidos.pam_mkhomedir: crear directorio home automáticamente.
💡 Tipos de control PAM: required, requisite, sufficient, optional.
GPO avanzadas en Windows
▼
Procesamiento de GPO (LSDOU)
Las GPO se aplican en orden: Local → Sitio → Dominio → OU. Las últimas en aplicarse tienen mayor precedencia. Se puede forzar con "Aplicar" (No Override) o bloquear herencia.GPO útiles para seguridad
- Deshabilitar USB/almacenamiento extraíble.
- Bloquear acceso al Panel de Control.
- Mapeo de unidades de red automático.
- Configurar screensaver con contraseña.
- Restringir instalación de software.
- AppLocker: control de aplicaciones.
Get-GPResultantSetOfPolicy -ReportType Html -Path C:\gpo-report.html
Control de acceso y privilegios
▼
En Linux — sudo y sudoers
sudo visudo # Editar /etc/sudoers de forma segura # Ejemplos en sudoers: juanp ALL=(ALL:ALL) ALL # Todos los comandos como cualquier usuario %admins ALL=(ALL) NOPASSWD: /usr/bin/apt # Grupo sin contraseña para apt
Permisos ACL en Linux
sudo apt install acl setfacl -m u:juanp:rw fichero.txt # Dar permiso específico a usuario getfacl fichero.txt # Ver ACL de un fichero
En Windows — Control de cuentas de usuario (UAC)
UAC solicita confirmación o credenciales para acciones administrativas. Niveles:- Notificar siempre (máximo)
- Notificar solo cuando apps hagan cambios (por defecto)
- No notificar (desactivado — no recomendado)
Concepto
Kerberos
Click para ver definición
Protocolo de autenticación de red basado en tickets; usado por Active Directory
Click para volver
Concepto
TGT
Click para ver definición
Ticket Granting Ticket: prueba de autenticación del usuario emitida por el KDC
Click para volver
Concepto
PAM
Click para ver definición
Pluggable Authentication Modules: sistema modular de autenticación en Linux
Click para volver
Concepto
KDC
Click para ver definición
Key Distribution Center: servidor que emite tickets Kerberos en un dominio
Click para volver
Concepto
ACL Linux
Click para ver definición
Access Control List: permisos adicionales más granulares que los rwx clásicos
Click para volver
Concepto
sudoers
Click para ver definición
Archivo /etc/sudoers que configura qué usuarios pueden usar sudo y cómo
Click para volver
📝 Test de autoevaluación
🎯 Quiz — Tema 17