Comparte este artículo
Toda organización cuenta con una estructura bien definida que delimita las funciones y responsabilidades de los empleados en distintos departamentos, como ventas, marketing e informática. Para utilizar eficazmente los recursos de la empresa y seguir siendo productivas, las organizaciones deben desarrollar medidas de control de acceso.
La autenticación de Active Directory (AD) es una de esas medidas que puede utilizar para gestionar usuarios, aplicaciones y otros activos dentro de la organización. Cuando se implementa, la autenticación de Active Directory puede simplificar la administración de TI y mejorar la postura de seguridad general de la empresa. Obtenga más información sobre la autenticación de AD, cómo funciona y cómo JumpCloud puede ayudarle a mejorar sus operaciones.
¿Qué es la autenticación de Active Directory?
La autenticación de AD es un sistema basado en Windows que autentica y autoriza a usuarios, puntos finales y servicios en Active Directory. Los equipos de TI pueden utilizar la autenticación de AD para agilizar la gestión de usuarios y derechos, a la vez que consiguen un control centralizado sobre los dispositivos y las configuraciones de usuario mediante la función de directiva de grupo de AD.
También ofrece la función de inicio de sesión único (SSO, por sus siglas en inglés), que permite a los usuarios autenticarse una sola vez y acceder sin problemas a cualquier recurso corporativo del dominio para el que estén autorizados. La autenticación AD es la sucesora de los protocolos LAN Manager (LM) y NT LAN Manager (NTLM), que eran fácilmente explotables.
Por ejemplo, LM utilizaba un esquema criptográfico frágil que los procesadores modernos podían descifrar fácilmente. Aunque NTLM que sucedió a LM contaba con algunas mejoras de seguridad en torno a la fortaleza de la criptografía, no podía proporcionar servicios de autenticación mutua y autenticación con tarjetas inteligentes. Debido a estos puntos débiles, Microsoft sustituyó los protocolos LM y NTLM por AD a partir de los sistemas operativos Windows 2000 Server.
¿Cómo funciona la autenticación en Active Directory?
La autenticación de Active Directory es un proceso compatible con dos estándares: Kerberos y Lightweight Directory Access Protocol (LDAP).
1. Protocolo Kerberos
En una autenticación AD basada en Kerberos, los usuarios sólo inician sesión una vez para acceder a los recursos de la empresa. En lugar de transmitir las credenciales de inicio de sesión a través de la red, como ocurre con los protocolos LM y NTLM, el sistema Kerberos genera una clave de sesión para el usuario. La clave de sesión generada dura un periodo determinado, lo que proporciona flexibilidad a los usuarios a la hora de autenticarse.
Además de la clave de sesión, el sistema Kerberos también genera un token que contiene todas las políticas y derechos de acceso asociados al usuario. Esto garantiza que los usuarios sólo accedan a los recursos para los que están autorizados.
Si un cliente quiere conectarse al servidor AD o al controlador de dominio (DC, por sus siglas en inglés) en este caso, debe autenticarse en un centro de distribución de claves (KDC, por sus siglas en inglés), que es un tercero de confianza. El KDC consta de dos servidores: el servidor de autenticación (AS, por sus siglas en inglés) y el servidor de concesión de tickets (TGS, por sus siglas en inglés). El AS cifra las credenciales de acceso de los clientes utilizando la clave secreta de su contraseña. Así es como el AS autentica a los clientes en la red.
Tras autenticarse, el AS envía al usuario un ticket de concesión (TGT, por sus siglas en inglés) cifrado con otra clave secreta. Cuando el cliente recibe el TGT, lo transmite al TGS junto con una solicitud de autorización para acceder al recurso de destino en el servidor. A continuación, el TGS descifra el ticket de concesión (TGT) con su clave secreta, que comparte con el AS.
A continuación, el TGS emite un token al cliente que cifra con otra clave. La tercera clave secreta se comparte entre el servidor de destino y el TGS. Por último, el cliente transmite el token recibido al servidor de destino. Cuando el servidor de destino recibe el token, lo descifra con la clave compartida del TGS para permitir que el cliente acceda a los recursos durante un tiempo limitado (sesión).
2. Lightweight Directory Access Protocol
LDAP es un protocolo de código abierto y multiplataforma que proporciona servicios de autenticación AD. Existen dos opciones asociadas a la autenticación basada en LDAP en AD:Autenticación simple. En la autenticación simple, LDAP se basa en las credenciales de inicio de sesión para crear una solicitud al servidor. También admite solicitudes anónimas y no autenticadas a recursos corporativos.
- Autenticación simple y capa de seguridad (SASL, por sus siglas en inglés). El método SASL utiliza otros servicios de autenticación, como Kerberos, para conectarse al servidor LDAP. Los equipos informáticos pueden utilizar este método para mejorar la seguridad debido a que separa los métodos de autenticación de los protocolos de aplicación.
Autenticación de dispositivos Linux a través de Active Directory
AD funciona a la perfección con los sistemas y servicios basados en Windows. Si bien es cierto que Windows dominaba la cuota de mercado de los sistemas operativos en la década de 1990, no ocurre lo mismo hoy en día. Linux y macOS son ahora componentes integrales de cualquier infraestructura de TI. A medida que las empresas siguen aprovechando los diferentes sistemas operativos, la presión para proporcionar una gestión de acceso centralizada se convierte en una realidad.
Existen dos métodos principales que puede aprovechar para conectar los dispositivos basados en Linux al Active Directory.
LDAP
Este enfoque requiere que los equipos informáticos reconfiguren los dispositivos basados en Linux para aprovechar el módulo de autenticación conectable (PAM, por sus siglas en inglés) de LDAP. Dado que la autenticación AD se centra en gran medida en el protocolo Kerberos, los equipos informáticos deben gestionar manualmente todo el proceso de autenticación.
Samba
Se trata de una herramienta estándar de interoperabilidad de Windows paea sistemas Linux. Los equipos de TI pueden utilizar Samba como intermediario para soportar la autenticación AD en equipos Linux. Por ejemplo, los equipos de TI pueden utilizar el servicio para crear dominios, configurar un servidor de impresión compartido y configurar PAM para permitir a los usuarios autenticarse en servicios instalados localmente.
Autenticando Macs a través de Active Directory
Los equipos de TI pueden utilizar un conector LDAP y AD para configurar los Macs con el fin de acceder a los detalles básicos de las cuentas en infraestructuras AD DS (Active Directory Domain Services). Estas herramientas permiten a los equipos de TI aprovechar la autenticación de AD para permitir a los usuarios acceder a los recursos corporativos desde sus Mac cuando se implementan. El conector AD también puede proporcionar SSO federado mediante la asignación de identidades AD a roles de gestión de acceso e identidades (IAM) de macOS.
Por ejemplo, el conector AD puede generar todos los atributos necesarios para autenticar dispositivos macOS en la infraestructura AD. Sin embargo, los equipos con macOS 10.12 o posterior no pueden unirse a un dominio AD sin servicios de dominio de al menos Windows Server 2008. Para utilizar AD en estos dispositivos, los equipos de TI deben habilitar una criptografía débil, lo que pone en peligro la seguridad de la organización.
Deficiencias de la autenticación de Active Directory
En la década de 1990 y principios de la de 2000, la mayoría de las herramientas y sistemas de gestión de dispositivos se basaban principalmente en sistemas operativos Windows locales, y la autenticación AD funcionaba bien en estos entornos de TI. Sin embargo, el panorama actual de los sistemas operativos es cada vez más heterogéneo, con la aparición de plataformas Linux y macOS, así como de infraestructuras basadas en la cloud.
En consecuencia, proporcionar controles de acceso y gestión en un entorno de TI heterogéneo se ha convertido en un dolor de cabeza para los equipos de TI de las organizaciones. Aunque la autenticación AD heredada puede abordar IAM, está lejos de ser eficiente. En la mayoría de los casos, los equipos de TI se han visto obligados a utilizar LDAP para autenticar dispositivos Linux y macOS en AD, lo que crea una capa añadida que integrar y gestionar.
Esencialmente, las organizaciones acaban teniendo múltiples “mini directorios” en lugar de una plataforma de directorio centralizada y autorizada para ofrecer servicios de autenticación y autorización. Además de los sistemas operativos heterogéneos, la tasa de adopción de aplicaciones de software como servicio (SaaS, por sus siglas en inglés) y otros servicios basados en la cloud ha sido espectacular en los últimos años.
Esta adopción conlleva su propia cuota de desafíos en el panorama de IAM. Por ejemplo, la mayoría de las aplicaciones SaaS tienden a estar aisladas, lo que complica su gestión desde el punto de vista de la autorización. Además, la incorporación de usuarios en un entorno SaaS resulta lenta y tediosa porque implica a usuarios de varios departamentos.
Aproveche JumpCloud Directory para ampliar la autenticación de Active Directory en entornos de TI heterogéneos
JumpCloud es una plataforma de directorio completa basada en la cloud que las empresas pueden aprovechar para solucionar las deficiencias de la autenticación AD en entornos de TI heterogéneos. Puede utilizar la JumpCloud Directory Platform para extender la autenticación AD a prácticamente todos los recursos de TI de la organización. También puede utilizar JumpCloud para extender AD a la cloud o eliminar por completo los DCs locales.
