Toda organizaci\u00f3n cuenta con una estructura bien definida que delimita las funciones y responsabilidades de los empleados en distintos departamentos, como ventas, marketing e inform\u00e1tica. Para utilizar eficazmente los recursos de la empresa y seguir siendo productivas, las organizaciones deben desarrollar medidas de control de acceso. <\/p>\n\n\n\n
La autenticaci\u00f3n de Active Directory (AD)<\/a> es una de esas medidas que puede utilizar para gestionar usuarios, aplicaciones y otros activos dentro de la organizaci\u00f3n. Cuando se implementa, la autenticaci\u00f3n de Active Directory puede simplificar la administraci\u00f3n de TI y mejorar la postura de seguridad general de la empresa. Obtenga m\u00e1s informaci\u00f3n sobre la autenticaci\u00f3n de AD, c\u00f3mo funciona y c\u00f3mo JumpCloud puede ayudarle a mejorar sus operaciones. <\/p>\n\n\n\n La autenticaci\u00f3n de AD es un sistema basado en Windows que autentica y autoriza a usuarios, puntos finales y servicios en Active Directory. Los equipos de TI pueden utilizar la autenticaci\u00f3n de AD para agilizar la gesti\u00f3n de usuarios y derechos, a la vez que consiguen un control centralizado sobre los dispositivos y las configuraciones de usuario mediante la funci\u00f3n de directiva de grupo de AD. <\/p>\n\n\n\n Tambi\u00e9n ofrece la funci\u00f3n de inicio de sesi\u00f3n \u00fanico (SSO<\/a>, por sus siglas en ingl\u00e9s), que permite a los usuarios autenticarse una sola vez y acceder sin problemas a cualquier recurso corporativo del dominio para el que est\u00e9n autorizados. La autenticaci\u00f3n AD es la sucesora de los protocolos LAN Manager (LM) y NT LAN Manager (NTLM), que eran f\u00e1cilmente explotables.<\/p>\n\n\n\n Por ejemplo, LM utilizaba un esquema criptogr\u00e1fico fr\u00e1gil que los procesadores modernos pod\u00edan descifrar f\u00e1cilmente. Aunque NTLM que sucedi\u00f3 a LM contaba con algunas mejoras de seguridad en torno a la fortaleza de la criptograf\u00eda, no pod\u00eda proporcionar servicios de autenticaci\u00f3n mutua y autenticaci\u00f3n con tarjetas inteligentes. Debido a estos puntos d\u00e9biles, Microsoft sustituy\u00f3 los protocolos LM y NTLM por AD a partir de los sistemas operativos Windows 2000 Server. <\/p>\n\n\n\n La autenticaci\u00f3n de Active Directory es un proceso compatible con dos est\u00e1ndares: Kerberos y Lightweight Directory Access Protocol (LDAP)<\/a>. <\/p>\n\n\n\n En una autenticaci\u00f3n AD basada en Kerberos, los usuarios s\u00f3lo inician sesi\u00f3n una vez para acceder a los recursos de la empresa. En lugar de transmitir las credenciales de inicio de sesi\u00f3n a trav\u00e9s de la red, como ocurre con los protocolos LM y NTLM, el sistema Kerberos genera una clave de sesi\u00f3n para el usuario. La clave de sesi\u00f3n generada dura un periodo determinado, lo que proporciona flexibilidad a los usuarios a la hora de autenticarse. <\/p>\n\n\n\n Adem\u00e1s de la clave de sesi\u00f3n, el sistema Kerberos tambi\u00e9n genera un token que contiene todas las pol\u00edticas y derechos de acceso asociados al usuario. Esto garantiza que los usuarios s\u00f3lo accedan a los recursos para los que est\u00e1n autorizados. <\/p>\n\n\n\n Si un cliente quiere conectarse al servidor AD o al controlador de dominio (DC, por sus siglas en ingl\u00e9s) en este caso, debe autenticarse en un centro de distribuci\u00f3n de claves (KDC, por sus siglas en ingl\u00e9s), que es un tercero de confianza. El KDC consta de dos servidores: el servidor de autenticaci\u00f3n (AS, por sus siglas en ingl\u00e9s) y el servidor de concesi\u00f3n de tickets (TGS, por sus siglas en ingl\u00e9s). El AS cifra las credenciales de acceso de los clientes utilizando la clave secreta de su contrase\u00f1a. As\u00ed es como el AS autentica a los clientes en la red.<\/p>\n\n\n\n Tras autenticarse, el AS env\u00eda al usuario un ticket de concesi\u00f3n (TGT, por sus siglas en ingl\u00e9s) cifrado con otra clave secreta. Cuando el cliente recibe el TGT, lo transmite al TGS junto con una solicitud de autorizaci\u00f3n para acceder al recurso de destino en el servidor. A continuaci\u00f3n, el TGS descifra el ticket de concesi\u00f3n (TGT) con su clave secreta, que comparte con el AS. <\/p>\n\n\n\n A continuaci\u00f3n, el TGS emite un token al cliente que cifra con otra clave. La tercera clave secreta se comparte entre el servidor de destino y el TGS. Por \u00faltimo, el cliente transmite el token recibido al servidor de destino. Cuando el servidor de destino recibe el token, lo descifra con la clave compartida del TGS para permitir que el cliente acceda a los recursos durante un tiempo limitado (sesi\u00f3n). <\/p>\n\n\n\n LDAP es un protocolo de c\u00f3digo abierto y multiplataforma que proporciona servicios de autenticaci\u00f3n AD. Existen dos opciones asociadas a la autenticaci\u00f3n basada en LDAP en AD<\/a>:Autenticaci\u00f3n simple.<\/strong> En la autenticaci\u00f3n simple, LDAP se basa en las credenciales de inicio de sesi\u00f3n para crear una solicitud al servidor. Tambi\u00e9n admite solicitudes an\u00f3nimas y no autenticadas a recursos corporativos. <\/p>\n\n\n\n AD funciona a la perfecci\u00f3n con los sistemas y servicios basados en Windows. Si bien es cierto que Windows dominaba la cuota de mercado de los sistemas operativos en la d\u00e9cada de 1990, no ocurre lo mismo hoy en d\u00eda. Linux y macOS son ahora componentes integrales de cualquier infraestructura de TI. A medida que las empresas siguen aprovechando los diferentes sistemas operativos, la presi\u00f3n para proporcionar una gesti\u00f3n de acceso centralizada se convierte en una realidad.<\/p>\n\n\n\n Existen dos m\u00e9todos principales que puede aprovechar para conectar los dispositivos basados en Linux al Active Directory.<\/p>\n\n\n\n Este enfoque requiere que los equipos inform\u00e1ticos reconfiguren los dispositivos basados en Linux para aprovechar el m\u00f3dulo de autenticaci\u00f3n conectable (PAM, por sus siglas en ingl\u00e9s) de LDAP. Dado que la autenticaci\u00f3n AD se centra en gran medida en el protocolo Kerberos, los equipos inform\u00e1ticos deben gestionar manualmente todo el proceso de autenticaci\u00f3n.<\/p>\n\n\n\n Se trata de una herramienta est\u00e1ndar de interoperabilidad de Windows paea sistemas Linux. Los equipos de TI pueden utilizar Samba como intermediario para soportar la autenticaci\u00f3n AD en equipos Linux. Por ejemplo, los equipos de TI pueden utilizar el servicio para crear dominios, configurar un servidor de impresi\u00f3n compartido y configurar PAM para permitir a los usuarios autenticarse en servicios instalados localmente. <\/p>\n\n\n\n Los equipos de TI pueden utilizar un conector LDAP y AD para configurar los Macs con el fin de acceder a los detalles b\u00e1sicos de las cuentas en infraestructuras AD DS (Active Directory Domain Services). Estas herramientas permiten a los equipos de TI aprovechar la autenticaci\u00f3n de AD para permitir a los usuarios acceder a los recursos corporativos desde sus Mac cuando se implementan. El conector AD tambi\u00e9n puede proporcionar SSO federado mediante la asignaci\u00f3n de identidades AD a roles de gesti\u00f3n de acceso e identidades (IAM) de macOS. <\/p>\n\n\n\n Por ejemplo, el conector AD puede generar todos los atributos necesarios para autenticar dispositivos macOS en la infraestructura AD. Sin embargo, los equipos con macOS 10.12 o posterior no pueden unirse a un dominio AD sin servicios de dominio de al menos Windows Server 2008. Para utilizar AD en estos dispositivos, los equipos de TI deben habilitar una criptograf\u00eda d\u00e9bil, lo que pone en peligro la seguridad de la organizaci\u00f3n. <\/p>\n\n\n\n En la d\u00e9cada de 1990 y principios de la de 2000, la mayor\u00eda de las herramientas y sistemas de gesti\u00f3n de dispositivos se basaban principalmente en sistemas operativos Windows locales, y la autenticaci\u00f3n AD funcionaba bien en estos entornos de TI. Sin embargo, el panorama actual de los sistemas operativos es cada vez m\u00e1s heterog\u00e9neo, con la aparici\u00f3n de plataformas Linux y macOS, as\u00ed como de infraestructuras basadas en la cloud. <\/p>\n\n\n\n En consecuencia, proporcionar controles de acceso y gesti\u00f3n en un entorno de TI heterog\u00e9neo se ha convertido en un dolor de cabeza para los equipos de TI de las organizaciones. Aunque la autenticaci\u00f3n AD heredada puede abordar IAM, est\u00e1 lejos de ser eficiente. En la mayor\u00eda de los casos, los equipos de TI se han visto obligados a utilizar LDAP para autenticar dispositivos Linux y macOS en AD, lo que crea una capa a\u00f1adida que integrar y gestionar.<\/p>\n\n\n\n Esencialmente, las organizaciones acaban teniendo m\u00faltiples “mini directorios” en lugar de una plataforma de directorio centralizada y autorizada para ofrecer servicios de autenticaci\u00f3n y autorizaci\u00f3n. Adem\u00e1s de los sistemas operativos heterog\u00e9neos, la tasa de adopci\u00f3n de aplicaciones de software como servicio (SaaS, por sus siglas en ingl\u00e9s) y otros servicios basados en la cloud ha sido espectacular en los \u00faltimos a\u00f1os.<\/p>\n\n\n\n Esta adopci\u00f3n conlleva su propia cuota de desaf\u00edos en el panorama de IAM. Por ejemplo, la mayor\u00eda de las aplicaciones SaaS tienden a estar aisladas, lo que complica su gesti\u00f3n desde el punto de vista de la autorizaci\u00f3n. Adem\u00e1s, la incorporaci\u00f3n de usuarios en un entorno SaaS resulta lenta y tediosa porque implica a usuarios de varios departamentos.<\/p>\n\n\n\n JumpCloud es una plataforma de directorio completa basada en la cloud<\/a> que las empresas pueden aprovechar para solucionar las deficiencias de la autenticaci\u00f3n AD en entornos de TI heterog\u00e9neos. Puede utilizar la JumpCloud Directory Platform para extender la autenticaci\u00f3n AD a pr\u00e1cticamente todos los recursos de TI de la organizaci\u00f3n. Tambi\u00e9n puede utilizar JumpCloud para extender AD a la cloud<\/a> o eliminar por completo los DCs locales.<\/p>\n","protected":false},"excerpt":{"rendered":" Aprenda sobre la autenticaci\u00f3n de Active Directory, c\u00f3mo funciona y c\u00f3mo obtener una seguridad m\u00e1s controlada en entornos inform\u00e1ticos heterog\u00e9neos.<\/p>\n","protected":false},"author":131,"featured_media":1011,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_oasis_is_in_workflow":0,"_oasis_original":0,"_oasis_task_priority":"","inline_featured_image":false,"footnotes":""},"categories":[19],"tags":[],"collection":[20],"platform":[],"funnel_stage":[],"coauthors":[31],"acf":[],"yoast_head":"\n\u00bfQu\u00e9 es la autenticaci\u00f3n de Active Directory?<\/strong><\/h2>\n\n\n\n
\u00bfC\u00f3mo funciona la autenticaci\u00f3n en Active Directory?<\/strong><\/h2>\n\n\n\n
1. Protocolo Kerberos<\/strong><\/h3>\n\n\n\n
2. Lightweight Directory Access Protocol<\/strong><\/h3>\n\n\n\n
\n
Autenticaci\u00f3n de dispositivos Linux a trav\u00e9s de Active Directory<\/strong><\/h2>\n\n\n\n
LDAP<\/strong><\/h3>\n\n\n\n
Samba<\/strong><\/h3>\n\n\n\n
Autenticando Macs a trav\u00e9s de Active Directory<\/strong><\/h2>\n\n\n\n
Deficiencias de la autenticaci\u00f3n de Active Directory<\/strong><\/h2>\n\n\n\n
Aproveche JumpCloud Directory para ampliar la autenticaci\u00f3n de Active Directory en entornos de TI heterog\u00e9neos<\/strong><\/h2>\n\n\n\n