RADIUS en Windows

Microsoft ha implementado el protocolo RADIUS (Remote Authentication Dial In User Service) en Windows 2000/2003 en lo que ha llamado el servicio IAS (Internet Authentication Service / Servicio de Autenticación de Internet). Habitualmente este servicio nos puede ser necesario si queremos poner en marcha una red wireless segura con WPA/WPA2 + RADIUS o bien un servidor de VPN tanto autentificando contra Directorio Activo o los usuarios locales de un servidor. Para usar este servicio si colocamos nuestro servidor detrás de un firewall debemos abrir los puertos con protocolo UDP 1812 y 1813 para que funcione correctamente.

Como de costumbre para poner en marcha este servicio tendremos que ir a Panel de Control -> Agregar o quitar programas -> Agregar o quitar componentes de Windows -> Servicios de Red y una vez en este apartado activar el "Servicio de autenticación de Internet".



Para administrar el servicio debemos usar la consola Servicio de Autentificación de Internet (ias.msc), para añadir un nuevo cliente del servicio tenemos que hacer click con el botón derecho sobre el apartado Clientes RADIUS, donde tendremos que ir introducir la dirección IP o FQDN del cliente además de un secreto compartido (shared key). Aparte del RADIUS estándar también soporta otras implementaciones RADIUS de distintos fabricantes.




En el apartado Registro remoto tenemos la oportunidad de fijar el sistema almacenamiento de logs, podemos almacenarlos en local (por defecto) o bien en una base de datos SQL a través del correspondiente DSN (origen de datos OBDC).




En Directivas de acceso remoto podemos configurar una serie de condiciones de acuerdo con diversos parámetros para admitir o rechazar peticiones de autentificación, estas se procesan en el orden establecido y en caso de que no se cumpla ninguna el intento de autentificación será rechazado. Aparte de las directivas que podeis ver abajo que son las personalizadas, también existen otras que vienen ya definidas de acuerdo con los escenarios mas habituales de uso de IAS.





En Procesamiento de solicitud de conexión podremos crear proxies de RADIUS de forma que deleguemos la autentificación en un servidor de RADIUS remoto, esta opción esta solo soportada en Windows Server 2003. Para ciertas funcionalidades tales como implantar un servidor de VPN con RRAS donde es necesaria un integración con el Directorio Activo tenemos que registrar el servidor en el directorio, para ello debemos situarnos sobre el nodo raíz del menú y hacer click con el botón derecho sobre el o bien ir a Acciones donde también encontraremos la opción Registrar servidor en Active Directory.

En Windows Server 2003 en la versión Standard del sistema operativo estamos limitados a 50 clientes y 2 grupos remotos de acceso mientras que en Enterprise el numero es ilimitado, en Windows 2000 solo existe la función de servidor RADIUS y no hay limitaciones en ninguna versión.

Tomado de:
julianrv.com/blog/2005/12/radius-en-windows.html

Algunos terminos de Active Directory

Directorio Activo: es la implementación de Microsoft del servicio de directorios LDAP para ser utilizado en entornos Windows. El Directorio Activo permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Directorio Activo almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde Directorios Activos con cientos de objetos para una red pequeña hasta Directorios Activos con millones de objetos.

Dominio: es una estructura donde todos los usuarios deben cumplir las políticas establecidas por el controlador de dominio. Recursos de la red con un límite de seguridad, estructura básica donde los usuarios cumplen unas reglas establecidas y comparten una base de datos de directorio común.

Controlador de dominio: En una red pequeña es uno solo. Sirven a los usuarios y a los ordenadores de la red para otras tareas como resolver las direcciones DNS, almacenar las carpetas de los usuarios, hacer copias de seguridad, almacenar software de uso común.Es un equipo que realiza las siguientes funciones:
-->Almacena una replica de active directory.

-->Administra los cambios de la información de directorio

-->Ejecuta un sistema operativo de la familia de Windows

-->Almacena datos de directorio

-->Administra los procesos de inicio de sesión y autentificación de los usuarios y de búsqueda de directorios

Unidades organizativas: Es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos, en función de su modelo organizativo.

Objeto: representa una entidad individual ya sea un usuario, un equipo, una impresora, una aplicación o una fuente compartida de datos y sus atributos. Los objetos pueden contener otros objetos. Un objeto está unívocamente identificado por su nombre y tiene un conjunto de atributos, las características e información que el objeto puede contener definidos por y dependientes del tipo.

Bosques: Según la organización del Directorio Activo, el conjunto de dichos árboles puede constituir una unidad jerárquica superior que se denomina (lógicamente) bosque.

La información del directorio es accesible para todo el bosque de dominios. De hecho, la parte fundamental del directorio (denominada esquema) que define los tipos de objetos y atributos que se pueden crear en el directorio es única para todo el bosque. Ello asegura que la información que se almacena en la parte del directorio de cada dominio del bosque es homogénea.

Esquema: son todos los fragmentos que componen un Active Directory (objetos, atributos, contenedores)

Atributo: es cada fragmento de información que describe aspecto de una entrada se denomina un atributo.

Contenedor: se parece a un objeto en el hecho de que posee atributos y forma parte del espacio de nombres de Active Directory. un contenedor no representa algo concreto, es un almacén de objetos y otros contenedores.

Sitio: es una combinación de una o varias subredes de protocolo Internet que están conectadas por un vinculo de alta velocidad.
La definición de sitios permite configurar la topología de replicación y acceso a Active Directory.

GPO: Puede contener parametros o politicas de configuracion que deben aplicarse a equipos y usuarios.

Cada GPO se vincula a un contenedor del directorio activo (un sitio, un dominio o una unidad organizativa), afectando implicitamente a todos los objetos que residen en él:

-->Los equipos se veran afectados por las politicas de equipo del GPO.

-->Los usuarios se veran afectados por las politicas de usuario del GPO.

-->Los sub-contenedores heredaran el GPO completo.

Como agregar un computador a Active Directory

Para poder agregar un equipo al Directorio Activo es necesario hacer los siguientes pasos:

Primero nos fijamos que en la configuracion del DNS tengamos la direccion IP del controlador de dominio asi:

-->Inicio
-->Panel de control
-->Conecciones de red
-->Doble clic en "Conexion de Area Local"
-->Ahi nos apareceran las propiedades. La configuramos asi:


-->Ahi miraremos las propiedades del Protocolo de Internet o la configuracion de nuestra direccion IP.
Una vez agregada la direccion IP del Controlador de dominio podremos agregar nuestro equipo a dicho dominio.

-->Inicio
-->Clic derecho en Mi PC
-->Propiedades
-->Ahi daremos clic en la pestañaNombre de computador (Computer Name)
-->Clic en cambiar (change)
-->Ahi nos abrira otra ventana donde le indicaremos la configuracion:
-->Al agregar el equipo al dominio nos pedira usuario y contraseña del Administrador del Dominio.
-->Ahi nos dara una Bienvenida al dominio.


-->Ahora nos dira "para que el equipo tome los cambis debe reiniciar"
-->Desea reiniciar el equipo ahora.

Problema Casi Resuelto

En dias pasados se nos presento un problema que nos puso a pensar un dia entero en la solucion: Instalamos Active Directory en un servidor y agregamos dos equipos al dominio aaa.com, posteriormente creamos las cuentas de usuario de los tres integrantes del proyecto y el primer dia todo funciono muy bien.
Al dia siguiente solo se podia acceder con un usuario del dominio al PDC (Equipo donde esta instalado Active Directory), en los demas equipos del dominio mostraba un error diciendo que el dominio aaa.com no estaba disponible.
¿Que podia estar pasando si las configuraciones en el PDC y en los clientes estaban bien?
La verdad no pudimos hallar la causa del problema nosotros mismos, entonces acudimos al instructor, quien al principio tampoco encontraba la causa pero despues de hacer algunas pruebas nos dimos cuenta de lo siguiente: En el entorno del sena hay acceso a la red mediante cable e inalambrico y el PDC estaba conectado utilizando cable y los 2 clientes utilizaban conexion inalambrica y esto fue un indicio de lo que realmente pasaba. Conectamos los 2 equipos a la red cableada e ingresaron correctamente al dominio lo cual queria decir que el problema se presentaba solo al querer ingresar mediante la conexion inalambrica. Accedimos a los equipos mediante las cuentas locales y nos dimos cuenta de que la causa y la solucion eran muchisimo mas sencillas de lo que nosotros creiamos y era que los equipos tienen instalado un driver para la tarjeta de red inalambrica de Intel el cual escanea las redes inalambricas disponibles y posteriormente da la opcion de conectarse a una, pero solo se conectaba cuando se inicia la sesion lo cual quiere decir que antes de ingresar al equipo no hay conexion a ninguna red y asi es totalmente imposible acceder a nada.
La solucion fue configurar en el software de la tarjeta que mantenga la conexion aun despues de cerrar sesion, pero surgio otro inconveniente y es que cuando se apaga totalmente el sistema la conexion se pierde entonces para poder iniciar sesion en el dominio primero hay que iniciar con el usuario local del equipo y dejar que la tarjeta se conecte a la red y luego cerrar sesion e ingresar con el usuario del dominio.
Ahora la tarea es averiguar si esto pasa con el software nativo de conexion inalambrica de Windows.

Instalacion Active Directory

El primer paso para comenzar a trabajar en nuestro proyecto es instalar Active Directory. Encontre este video donde explican la instalacion paso a paso.




Puedes descargar el video dando click aqui

Caracterizacion De La Red

Caracterizacion De La Red

El escenario de prueba de nuestro proyecto sera la red local del aula de clase, posteriormente se aplicara a todos los equipos de la red del SENA ubicados en:

• Aulas De Clase: Estos espacios no estan definidos para impartir clases a una sola titulacion, estan en cambio constante, entonces la idea es generar usuarios por cada titulacion con los privilegios y restricciones necesarias para el trabajo en cada area. Para llevar un mejor registro es posible generar los usuarios para un grupo en especifico tomando como variable el numero de orden, por ejemplo:

Usuario: adminredes940417

Contraseña:********

• Oficinas Administrativas: Los usuarios que trabajan en dichas oficinas no son administradores de la red, pero tendran mas privilegios que los usuarios normales ya que las tareas que desempeñan son muy importantes para el SENA. Cada persona tendra un usuario y una contraseña personal y estos estaran almacenados en una unidad organizativa del Active Directory.

• Salas De Profesores: En este caso es un poco mas complejo definir las reglas por que algunos instructores son tambien administradores de la red, por lo cual deben pertenecer al grupo administradores. La idea seria crear dos unidades organizativas: una exclusiva para los profesores administradores y otra para el resto del personal docente.

• Soporte: Existira un usuario de soporte para el personal ya sea interno o externo que desempeñe estas funciones.

Justificacion

Justificacion

Con este trabajo pretendemos llevar a cabo un entorno AAA detallado en el que se realizaran las practicas en el aula y si nos funciona, implementarlo en el centro de Servicios y Gestion Empresarial.

Se busca que cada una de las computadoras realice una Autenticacion, Autorizacion y Traceabilidad en la red del aula obteniendo un chequeo de la información.

Nuestras propuesta esta basada en la utilización de Active Directory y otras herramientas como un esquema PKI para hacer estadisticas, facil y configurables que nos serviran para lograr lo propuesto en Sistemas Operativos como Linux, BSD, Windows y determinar exactamente el nivel de utilización de las aplicaciones en uso. Aplicar IPsec en navegadores, VPN's, emails.