Transparencias de clase sobre “Gestión de usuarios y LDAP”

Continúo con la publicación de viejas transparencias de clase; en este caso, la primera que publico de las clases de Administración de Sistemas Operativos en Red que impartí entre 1999 y 2012 y del que todavía hoy (literal) he tenido que preparar y realizar un examen.

Con esta presentación estudiábamos en clase los módulos PAM, cómo llegar a ser root y compartir privilegios (su y sudo) y cómo usar un directorio para centralizar la autenticación y autorización de los usuarios de un sistema con GNU/Linux.

La clase duraba 1 hora y media y no teníamos tiempo para más. Si no, podríamos haber incluido profundizado con otros temas, como por ejemplo: 2FA.

¡Espero que os sea útil!


Fortificando la autenticación de usuarios en WordPress

Al margen de la elección de contraseña, es una opinión, y cada vez más generalizada, que para aumentar la seguridad en la autenticación de los usuarios, debemos recurrir a sistemas MFA (Multi-Factor Authentication). Estos sistemas consisten en incluir diferentes factores de autenticación (2 o más): uno basado en algo que conocemos (por ejemplo, el clásico de la contraseña); otro en algo que poseemos (el móvil, por ejemplo) y/o algo que solo es el usuario (por ejemplo, su huella o cualquier característica biométrica).

Si queremos mejorar la seguridad de nuestro blog, existen pluggins que implementan un mecanismo 2FA (doble factor de autenticación) basado en Google Authenticator. En este blog estoy probando: WP Google Authenticator.

Es muy fácil de utilizar:

  1. Lo instalamos (Plugins>Añadir Nuevo y tras esto: Activar)
  2. Tras este proceso, en Ajustes, tendremos las opciones del plugin. En mi caso activé que el número máximo de veces que se puede autenticar un usuarios sin 2FA sea de 3)
  3. En Usuarios>Tu Perfil, abajo aparece información importante. Por un lado, el botón Get QR Code al que pulsaremos para obtener el código QR  sincronizará la aplicación Google Authenticator de nuestro móvil con el plugin. Para esto:
    • Arranqueremos en nuestro móvil Google Authenticator,
    • En Menú: Configurar Nueva cuenta,
    • Escanear código ¡et voila!
  4. Además en Usuario>Tu perfil tendremos el código de recuperación y tu clave secreta que no debes compartir con nadie.

Ahora, cada vez que queremos acceder al control de nuestro WordPress, nos encontraremos con:

Captura de pantalla de 2014-07-30 12:57:32

Quien disponga de un hosting propio al que se conecte con sesiones de trabajo que quiere fortalecer, también podemos utilizar Google Authenticator para implementar  un 2FA en el servicio SSH. Esto, en otra entrada que publicaré en breve 😉


Autenticación con LDAP en Alfresco

En /opt/alfresco-4.2.f/tomcat/shared/classes/alfresco-global.properties debemos añadir la cadena de conexión del LDAP:

authentication.chain=ldap1:ldap,alfrescoNtlm1:alfrescoNtlm

Una recomendación es dejar, como última cadena alfrescoNtlm1:alfrescoNtlm para la autenticación nativa de Alfresco*.

Después debemos configurar el acceso a nuestro directorio para lo que necesitamos un fichero con los valores de LDAP. Para ello podemos partir de uno existente ejecutando la orden**:

sudo cp $ALFRESCO_DIR/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/subsystems/Authentication/ldap/ldap-authentication.properties 
$ALFRESCO_DIR/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/ldap/ldap1/ldap-authentication.properties

En mi caso, el valor de $ALFRESCO_DIR es el directorio por defecto en la instalación /opt/alfresco-4.2.f/

En el fichero copiado: $ALFRESCO_DIR/tomcat/shared/classes/alfresco/extension/subsystems/Authentication/ldap/ldap1/ldap-authentication.properties

podemos configurar el uso y conexión al sevidor LDAP. Si solo queremos autenticar, debemos insertar las líneas:

  • ldap.authentication.active=true
  • ldap.authentication.userNameFormat=uid=%s,dc=midominio,dc=dominio_primer_nivel
  • ldap.authentication.java.naming.provider.url=ldap://servidorLDAP.midominio.es:puerto

Si no queremos sincronizar la información de los usuarios y grupo: ldap.synchronization.active=false

Para que el sistema funcionara con cierta seguridad, deberíamos configurar la conexión bajo SSL. Otra opción es que la comunicación entre el servidor Alfresco y el directorio se realice por un túnel cifrado con, por ejemplo, IPSec y, en este caso, desde el punto de vista del servicio, no tenemos que hacer nada más.

Por último, que no se nos olvide desactivar el usuario invitado. En el mismo fichero de configuración del LDAP: ldap.authentication.allowGuestLogin=false

*Para desactivar los accesos anónimos/invitados también en la autenticación nativa de Alfresco, en el fichero $ALFRESCO_DIR/tomcat/webapps/alfresco/WEB-INF/classes/alfresco/subsystems/Authentication/alfrescoNtlm/alfresco-authentication.properties

alfresco.authentication.allowGuestLogin=false

** Es posible que tengas que crear algunos subdirectorios intermedios. Yo lo tuve que hacer.

Referencias:

  1. Información sobre los subsistemas de Alfresco: http://wiki.alfresco.com/wiki/Alfresco_Authentication_Subsystems
  2. Configurando LDAP: http://docs.alfresco.com/4.1/concepts/auth-ldap-intro.html

 


Guía sobre riesgos y buenas prácticas en autenticación online

En la próxima clase, entre otros temas de seguridad, haremos una breve introducción de mecanismos de autenticación.

Para que aprovechéis este puente, os dejo este documento de Inteco sobre buenas prácticas en autenticación con la que pretenden:

aportar a los usuarios y a los desarrolladores y administradores de estos sistemas información suficiente sobre los principales riesgos a los que se enfrentan y ofrecer una serie de recomendaciones o buenas prácticas que ayudarían a que estos procesos sean más seguros sin que esto repercuta en incomodidades para los usuarios.

¡¡¡Qué lo disfrutéis!!!

PD: Por cierto, lo que comentamos en clase sobre las “fotos de Deusto”: parece que es un bulo/hoax.


Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más información.