http://blogs.technet.com/plataformas/archive/tags/Trusts/default.aspxTags: Trustsen-USCommunityServer 2.1 SP1 (Build: 61025.2)http://blogs.technet.com/plataformas/archive/2008/10/07/c-mo-a-adir-una-capa-de-seguridad-extra-a-las-relaciones-de-confianza-habilitando-autenticaci-n-selectiva.aspxTue, 07 Oct 2008 20:01:00 GMTd5e57398-b9ef-4490-9955-07cbb4e4a80d:3133565esplat0http://blogs.technet.com/plataformas/comments/3133565.aspxhttp://blogs.technet.com/plataformas/commentrss.aspx?PostID=3133565<P>Hola a todos. Soy Paula, del equipo de Directorio Activo. Hoy trataremos sobre cómo configurar una relación de confianza de tal manera que podamos restringir qué usuarios acceden a qué recursos.</P> <P>La manera de restringir el acceso a recursos de un dominio a determinados usuarios de otro dominio con el que se tiene una relación de confianza externa (<STRONG><EM>external trust</EM></STRONG>) o de bosque (<EM><STRONG>forest trust</STRONG></EM>) es configurando dicha relación de confianza para que realice una Autenticación Selectiva. La siguiente imagen procedente de <A href="http://technet2.microsoft.com/windowsserver/en/library/1f33e9a1-c3c5-431c-a5cc-c3c2bd579ff11033.mspx?mfr=true" mce_href="http://technet2.microsoft.com/windowsserver/en/library/1f33e9a1-c3c5-431c-a5cc-c3c2bd579ff11033.mspx?mfr=true"><EM>aqui</EM></A> muestra gráficamente la diferencia en el acceso a los recursos dependiendo del tipo de autenticación que se configure (en todo el dominio/bosque o selectiva):</P> <P><STRONG>Autenticación en todo el dominio/bosque:</STRONG></P> <P><A href="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/domain%20auth_2.gif" mce_href="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/domain%20auth_2.gif"><IMG style="BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px" height=298 alt="domain auth" src="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/domain%20auth_thumb.gif" width=543 border=0 mce_src="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/domain%20auth_thumb.gif"></A> </P> <P><STRONG>Autenticación selectiva:</STRONG></P> <P><A href="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/autenticaci%C3%B3n%20selectiva_2.gif" mce_href="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/autenticaci%C3%B3n%20selectiva_2.gif"><IMG style="BORDER-RIGHT: 0px; BORDER-TOP: 0px; BORDER-LEFT: 0px; BORDER-BOTTOM: 0px" height=313 alt="autenticación selectiva" src="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/autenticaci%C3%B3n%20selectiva_thumb.gif" width=549 border=0 mce_src="http://blogs.technet.com/blogfiles/plataformas/WindowsLiveWriter/CmoaadirunacapadeseguridadextraalasRelac_10B7F/autenticaci%C3%B3n%20selectiva_thumb.gif"></A> </P> <P>Sólo puede habilitarse este tipo de autenticación en relaciones de confianza de bosque o externas. En el caso de una relación de confianza de bosque, el bosque donde residen los recursos (<EM>trusting forest</EM>) debe tener el nivel funcional del bosque establecido a Windows Server 2003. Si la relación es externa, el dominio donde residen los recursos (<EM>trusting domain</EM>) debe tener el nivel funcional del dominio establecido a Windows Server 2000 nativo.</P> <P>Para habilitar la Autenticación Selectiva pueden seguirse estos pasos con un usuario que sea miembro del grupo Domain Admins del dominio (del dominio root si es una relación de confianza de bosque) o Enterprise Admins:</P> <OL> <LI>Abrir la consola <EM>Dominios y Relaciones de confianza de Directorio Activo</EM></LI> <LI>Hacer click derecho sobre el nodo del dominio que tiene la relación de confianza (si es un <STRONG><EM>forest trust</EM></STRONG>, el nodo será el dominio raíz del bosque) y seleccionar <EM>Propiedades</EM></LI> <LI>En la pestaña <EM>Confía, </EM>seleccionar la relación de confianza que queramos configurar y hacer click sobre el botón <EM>Propiedades</EM></LI> <LI>En la pestaña <EM>Autenticación</EM>, seleccionar <EM><STRONG>Autenticación Selectiva</STRONG></EM></LI></OL> <P>Para que un usuario de un dominio en el que se confía <I>(trusted) </I>pueda acceder a los recursos del dominio que “confía” (<I>trusting)</I> con este tipo de autenticación es necesario dar permisos explícitos a los usuarios del dominio <I>trusted</I> en los recursos determinados del dominio <I>trusting</I> a los que se quiera dar acceso. Este permiso se configura en Directorio Activo en las propiedades del objeto <I>Computer</I> del servidor de recursos concreto y se denomina <I>Allowed to Authenticate (Permitido Autenticarse)</I>.</P> <OL> <LI>Abrir la consola Usuarios y Equipos de Directorio Activo del dominio donde se encuentra la máquina con el recurso al que los usuarios del otro dominio deben acceder</LI> <LI>Hacer click derecho sobre la cuenta de máquina y seleccionar <EM>Propiedades</EM></LI> <LI>En la pestaña <EM>Seguridad</EM>, otorgar el permiso de <EM><STRONG>Permitido Autenticarse</STRONG></EM></LI></OL> <P>Si la relación de confianza que se establece entre dos dominios es unidireccional, para poder agregar a los usuarios del dominio <I>trusted</I> a la seguridad de la cuenta de máquina del servidor a través de la consola de Usuarios y Equipos de Active Directory, se solicita un usuario con permisos para realizar consultas en el dominio <I>trusted</I>. El artículo <A href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;263956" mce_href="http://support.microsoft.com/default.aspx?scid=kb;EN-US;263956"><EM>KB 263956 (<B>You cannot browse users in a trusted domain</B>)</EM></A> describe este escenario y especifica que se necesita un usuario del otro dominio para poder realizar las búsquedas en el dominio <I>trusted</I>&nbsp; desde el dominio <I>trusting</I> cuando existe una relación de confianza de un solo sentido. Para esta operación es suficiente con un <I>Domain </I>User. </P> <P>Los artículos que recopilan la información sobre <I>Selective Authentication</I> y el permiso <I>Allowed to Authenticate</I> que hay que darle a los usuarios del dominio en el que se confía son los siguientes: </P> <P><SPAN><A href="http://technet2.microsoft.com/WindowsServer/en/library/e24c56dc-311a-4605-85b9-c73a2a44cc0d1033.mspx"><SPAN lang=EN-US style="COLOR: #244061; mso-ansi-language: EN-US; mso-themecolor: accent1; mso-themeshade: 128"><STRONG><EM>Enable selective authentication over an external trust</EM></STRONG></SPAN></A> <SPAN lang=EN-US><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p></SPAN></SPAN></P> <P><SPAN><A href="http://technet2.microsoft.com/windowsserver/en/library/b4d96434-0fde-4370-bd29-39e4b3cc7da81033.mspx?mfr=true" mce_href="http://technet2.microsoft.com/windowsserver/en/library/b4d96434-0fde-4370-bd29-39e4b3cc7da81033.mspx?mfr=true"><SPAN lang=EN-US style="COLOR: #244061; mso-ansi-language: EN-US; mso-themecolor: accent1; mso-themeshade: 128"><STRONG><EM>Grant the Allowed to Authenticate permission on computers in the trusting domain or forest</EM></STRONG></SPAN></A><o:p></o:p></SPAN></P> <P><I><A href="http://technet2.microsoft.com/WindowsServer/en/library/e24c56dc-311a-4605-85b9-c73a2a44cc0d1033.mspx" mce_href="http://technet2.microsoft.com/WindowsServer/en/library/e24c56dc-311a-4605-85b9-c73a2a44cc0d1033.mspx"></A></I></P> <P>Información interesante sobre consideraciones de seguridad a tener en cuenta a la hora de establecer una relación de confianza y sobre cómo funciona, cómo afecta a los DCs y qué ventajas presenta en cuanto a <I><U>seguridad</U></I> una Relación de Confianza con Autenticación Selectiva:</P><B><I> <P class=MsoNormal style="MARGIN: 0cm 0cm 0pt"><B><I><SPAN style="FONT-SIZE: 10pt; COLOR: #244061; FONT-FAMILY: 'Arial','sans-serif'; mso-themecolor: accent1; mso-themeshade: 128"><A href="http://technet2.microsoft.com/windowsserver/en/library/1f33e9a1-c3c5-431c-a5cc-c3c2bd579ff11033.mspx?mfr=true"><SPAN lang=EN-US style="COLOR: #244061; mso-ansi-language: EN-US; mso-themecolor: accent1; mso-themeshade: 128">Security Considerations for Trusts</SPAN></A></SPAN></I></B><SPAN lang=EN-US style="COLOR: #244061; mso-ansi-language: EN-US; mso-themecolor: accent1; mso-themeshade: 128"><o:p></o:p></SPAN></P></I></B> <P>Más información sobre Relaciones de Confianza: </P> <P><SPAN><A class="" href="http://technet.microsoft.com/en-us/library/cc773178.aspx" mce_href="http://technet.microsoft.com/en-us/library/cc773178.aspx"><SPAN lang=EN-US style="COLOR: #244061; mso-ansi-language: EN-US; mso-themecolor: accent1; mso-themeshade: 128"><STRONG><EM>How Domain and Forest Trusts Work</EM></STRONG></SPAN></A> <SPAN lang=EN-US><o:p></o:p></SPAN></SPAN></P> <P><SPAN style="FONT-SIZE: 10pt; COLOR: #244061; FONT-FAMILY: 'Arial','sans-serif'; mso-themecolor: accent1; mso-themeshade: 128"><A href="http://technet2.microsoft.com/windowsserver/es/library/517b4fa4-5266-419c-9791-6fb56fabb85e3082.mspx?mfr=true" mce_href="http://technet2.microsoft.com/windowsserver/es/library/517b4fa4-5266-419c-9791-6fb56fabb85e3082.mspx?mfr=true"><SPAN style="COLOR: #244061; FONT-FAMILY: 'Arial','sans-serif'; mso-themecolor: accent1; mso-themeshade: 128"><STRONG><EM>Tener acceso a los recursos entre bosques</EM></STRONG></SPAN></A><o:p></o:p></SPAN></P> <P><I></I>&nbsp;</P> <BLOCKQUOTE> <P>- Paula Tomás Galed</P></BLOCKQUOTE> <P mce_keep="true">&nbsp;</P><img src="http://blogs.technet.com/aggbug.aspx?PostID=3133565" width="1" height="1">Directorio ActivoTrusts