De los Servicios de Autenticación y Autorización
Siguiendo dentro de la comprensión de los servicios de Directorios y Metadirectorios, aunque un poco fuera de lo que hicimos para el Modelo de Optimización de la Infraestructura Central, o Core IO, déjenme hablarles un poco sobre un servicio muy interesante y que viene incluido en Windows Server 2003: Internet Authentication Server (IAS).
Como su nombre sugiere, es un servicio que nos permite un mayor control sobre el proceso de autenticación y autorización de acceso a la Red. Mmmm, ok, revisemos un poco qué es esto.
¿Recuerdan lo que discutíamos hace poco sobre los Servicios de Directorios? Estos servicios almacenan y proporcionan información sobre diferentes objetos de nuestras redes y permiten establecer la identidad de estos objetos, los permisos de acceso a otros objetos y las políticas que controlan su entorno.
Entonces, por ejemplo cuando un usuario ingresa a la Red, proporciona como prueba de su identidad un “Nombre de Usuario” y una “Contraseña”. Estos datos son validados por el Servicio de Directorios en un proceso conocido como Autenticación. Es decir que se verifica la Autenticidad de la Identidad del Usuario. Se genera entonces un elemento que acompaña la sesión del usuario donde se incluye información sobre sus características, que le ayudaran a los recursos a determinar si está habilitado para hacer uso de ellos. Ese proceso se denomina Autorización. Osea, primero determinamos si el usuario existe en el entorno de nuestra Red y luego, si existe, se determina qué cosas puede hacer una vez dentro.
Una extensión muy interesante a esto nos la proporciona una tecnología denominada Remote Authentication Dial-In User Service (RADIUS)(wiki). Estos servicios nos permiten gestionar la autenticación y autorización de acceso, por ejemplo para conexiones remotas, como fue diseñado originalmente, y para otras conexiones locales si los dispositivos soportan esta tecnología. Además, nos permiten mantener un registro de mucha de la información de cada sesión para fines de análisis, auditoría, etc.
Les platico un caso real que me toco vivir
Consideren primero que los switches de la Red se pueden configurar como cliente de RADIUS, es decir que recurren a un servidor de RADIUS para pasar la información de identidad y luego en base a la respuesta de este servidor determinan el acceso del usuario.
Ahora bien, el equipo del usuario ha recibido previamente un Certificado de Autenticidad para validar su acceso, quizá emitido por una Autoridad Certificadora Local e Interna.
Ahora visualicen el escenario en el cual, el usuario conecta su equipo a un puerto disponible en el Switch, pero antes de que este le permita el acceso, toma las credenciales de validación del usuario, o potencialmente su Certificado de Autenticidad y lo pasa al Servidor de RADIUS. Este puede validar estos datos con un Servicio de Directorios, y acumular sus políticas a las de este último y así determinar el acceso. Así, hasta que el Servidor de RADIUS valida este acceso instruye al Switch a permitir o negar el acceso del usuario a la Red.
En este entorno es posible que el usuario exista, pero no tenga acceso a la Red en base a una política que restringe su acceso en fechas u horas específicas, o que solo se le permita el acceso a través de ciertos Switches (en un área o piso específico del edificio), etc. Este control es tan claro que, mientras el servidor de RADIUS no autorice el acceso, el Switch no permite ni siquiera la propagación de la solitud de IP del cliente a través de DHCP.
Pues bien, todo esto se realizó utilizando IAS, validando sobre Active Directory y Certificate Services (todo ello viene en el Disco de Windows Server 2003 y no requiere licenciamiento adicional!). ¿Cómo ven? ¿Sabían esto?
