Trabajo Final Redes y Conectividad III - Servidor Radius

ESCUELA PROFESIONAL DE INGENIERA DE COMPUTACIN Y SISTEMAS
IMPLEMENTACION DE SERVIDOR RADIUS

Curso
CCNA III
Docente
Ing. Carpio Guiter
Integrante
Colca Bao, Angelo Ral

Garca Ramirez, Luis
Huamn, Erick
Seccin
70K
Fecha
08 de Junio del 2016.
Grupo
N 1
LIMA PER
2016 - I
NDICE
Pgina
CAPITULO I MARCO TERICO
1.1. RADIUS
3
3
1.1.1. HISTORIA
1.1.2. CLIENTES
1.1.3. BENEFICIOS
1.1.4. QUE ES AAA?
1.1.5. AUTENTICACION
1.1.6. AUTORIZACION
1.1.7. AUTENTICACIN VS AUTORIZACION
1.2. ACTIVE DIRECTORY
1.2.1. ESTRUCTURA LGICA
1.2.2. ESTRUCTURA FSICA
11
1.2.3. ESPACIOS DE NOMBRES
12
1.2.4. CATLOGO GLOBAL
14
1.2.5. INTEGRAR DNS CON ACTIVE DIRECTORY
15
1.2.6. IDENTIFICADOR UNICO GLOBAL
15
1.2.7. REPLICACIN
15
1.2.8. CAMBIOS CON GRUPOS
17
CAPITULO II DESARROLLO DEL TEMA
20
2.1. DESARROLLO DE LA CONFIGURACION DEL SERVIDOR RADIUS 20

FUENTES DE INFORMACIN
REDES Y CONECTIVIDAD IIIPgina 2
21
CAPITULO I
MARCO TERICO
1.1.
RADIUS
Remote Authentication Dial In User Service, RADIUS, es un protocolo de

red, un sistema que define reglas y prcticas para la comunicacin entre
dispositivos de red, para la autenticacin remota de usuarios. Comnmente es
usado por ISPs, proveedores de red para celulares, y redes corporativas y
educativas. El protocolo RADIUS sirve para tres funciones principales:
a) Autenticacin de usuarios o dispositivos antes de acceder a una red.
b) Autoriza a los usuarios o dispositivos para servicios especficos de red.
c) Reporta y realiza seguimiento del uso de los servicios.
1.1.1.HISTORIA
En 1991, Merit Network, un proveedor de internet sin fines de lucro,

requera una forma creativa para administrar el acceso por marcado para varios
POPs (Points-Of-Presence) en toda la red. En respuesta a esta necesidad,
RADIUS fue creado por Livingston Enterprises. Al momento que fue creado, los
sistemas de acceso de red fueron distribuidos por una amplia rea y fueron
implementadas por un gran nmero de organizaciones independientes.
Administradores de centrales queran prevenir problemas con seguridad y
escalabilidad, y as no queran distribuir nombres de usuario y contraseas; en
lugar, queran que los servidores de acceso remoto se contacten con el servidor
central para autorizar el acceso al sistema o servicio requerido. En respuesta
para contactar desde el servidor de acceso remoto, la central enviara un
mensaje de acierto o perdida, y las maquinas remotas estaran a cargo de
hacer cumplir esta respuesta para cada usuario final. El objetivo de RADIUS era
crear ubicacin central para la autenticacin de usuarios, donde usuarios de
muchas ubicaciones podran solicitar acceso a la red. La sencillez, eficiencia y
la usabilidad del sistema RADIUS lo llevo a su esparcida adopcin por los
vendedores de equipos de red, hasta el grado de que actualmente RADIUS es

considerado una industria, y tambin orientado a convertirse un estndar IETF
(Internet Engineering Task Force).
1.1.2.CLIENTES
Un amplio y variado grupo de empresas actualmente usan el protocolo

RADIUS para sus necesidades de autenticacin y contabilizacin. Algunos
ejemplos de clientes de RADIUS son:
a) Proveedores de redes de celulares con millones de usuarios.
b) Pequeos proveedores de servicio de internet inalmbrico (WISP) que
proveen conexin a internet para vecindarios.
c) Empresas de redes que implementan NAC y usan el estndar 802.1x
para limitar su red.
1.1.3.BENEFICIOS
a. El protocolo RADIUS cliente servidor contiene muchas ventajas

b.
c.
d.
e.
f.
g.
tecnolgicas para clientes, las cuales incluyen:

Una solucin abierta y escalable.
Extenso soporte por parte de una gran base de vendedores.
Fcil modificacin.
Separacin de procesos de comunicacin y seguridad.
Adaptable para muchos sistemas de seguridad.
Factible para cualquier dispositivo de comunicacin que soporte el
protocolo de cliente RADIUS.
Adems, la flexibilidad de los mecanismos de autenticacin de RADIUS
permite a que una organizacin pueda mantener cualquier inversin que hayan
podido realizar en una tecnologa de seguridad existente: los clientes pueden
modificar el servidor RADIUS para que corra con cualquier tipo de tecnologa de
seguridad. El flexible mecanismo de seguridad inherente en el servidor RADIUS
facilita su integracin con sistemas existentes cuando es requerido.
Otra ventaja de la arquitectura RADIUS es que cualquier componente de

un sistema de seguridad que soporte el protocolo RADIUS puede derivar la
autenticacin y la autorizacin del servidor central RADIUS. Alternativamente, el
servidor central puede integrar distintos mecanismos de autenticacin.
La utilidad del protocolo RADIUS se extiende ms all de los sistemas
que utilizan dispositivos de acceso de red y terminales de servidor para acceso
a la red. RADIUS ha sido ampliamente aceptado por los proveedores de
internet (ISP) para proveer servicios VPN. En este contexto, la tecnologa
RADIUS permite a una organizacin a usar la infraestructura de un ISP para
asegurar la comunicacin.
La naturaleza distributiva de RADIUS separa efectivamente los procesos

de seguridad de los procesos de comunicacin, permitiendo que una nica
central de
informacin
pueda
obtener informacin
de
autorizacin
autenticacin. Esta centralizacin puede reducir significativamente la carga

administrativa de proveer control de acceso apropiado para un gran numero de
usuarios remotos.
1.1.4.QUE ES AAA?
AAA
significa
autenticacin,
autorizacin
contabilizacin
(Authenication, Authorization, and Accounting). Define una arquitectura que

autentica y provee autorizacin a usuarios y contabiliza su actividad. Cuando el
protocolo AAA no es usado, la arquitectura es descrita como abierta, donde
cualquiera puede obtener acceso para hacer lo que sea, sin ser rastreado.
Es posible incorporar solo una porcin del protocolo AAA en un sistema.

Por ejemplo, si una empresa no esta interesada en facturar a los usuarios por
su uso de la red, puede decidir a autenticar y autorizar usuarios, pero ignorar la
actividad de los usuarios y no molestarse en contabilizar. De forma similar, un
sistema de monitoreo estar viendo la actividad inusual del usuario, pero puede
ceder las decisiones de autenticacin y autorizacin a otra parte de la red.
RADIUS es una de muchos protocolos AAA. Otros ejemplos de

protocolos AAA incluyen a TACACS+ y Diameter.
Sin el protocolo AAA, un administrador de red tendra que configurar la

red de forma estatica. Incluso en los inicios del acceso por marcado, los
administradores de red encontraron que el modelo estatico era inadecuado.
AAA asegura flexibilidad de las polticas de red, tambin ofrece a los
administradores de red la habilidad de mover sistemas; sin AAA tendran que
definir opciones de conectividad.
Hoy en da, la proliferacin de dispositivos mviles, consumidores

diversos de red, y una variedad de mtodos de acceso a la red se combinan
para crear un ambiente que demanda mucho el uso del protocolo AAA.
1.1.5.AUTENTICACION
Autenticacin se refiere al proceso de validar la identidad de un usuario

al coincidir las credenciales brindadas por el usuario (por ejemplo: nombre,
contrasea) con los configurados en el servidor AAA. Si las credenciales
coinciden, el usuario es autenticado y obtiene acceso a la red. Si las
credenciales no coinciden el acceso a la red es denegado. La autenticacin
tambin puede fallar si el usuario ingresa credenciales errneas. Por ejemplo,
las polticas de sitio pueden permitir el acceso a la red a un usuario usando un
texto como contrasea. Sin embargo, si la misma contrasea es ingresada por
el usuario desde una locacin remota, el acceso puede ser denegado. Un
administrador puede escoger el permitir el acceso limitado de usuarios
desconocidos a la red, as como puede proveer acceso a una rea donde el

usuario puede adquirir conectividad adicional para la red.
1.1.6.AUTORIZACION
Autorizacin se refiere al proceso de determinar que permisos son

brindados a un usuario. Por ejemplo, el usuario puede o no estar permitido
ciertos tipos de acceso a la red o a emitir ciertos comandos.
1.1.7.AUTENTICACIN VS AUTORIZACION
La siguiente analoga ilustra la diferencia entra autenticacin y

autorizacin: Imagine que est conduciendo un auto y que es detenido por un
polica. El polica pide que entregue algn tipo de documento para poder
identificarlo. Podra usar por ejemplo su pasaporte, licencia de conducir para
autenticar quien es. En trminos del protocolo RADIUS, el proceso de
autenticacin identifica al usuario como alguien que est permitido el acceso a
la red. El polica tambin podra pedirle que pruebe que est autorizado a
conducir. En ese caso solo hay un documento que prueba que est permitido, la
licencia de conducir. El proceso de autorizacin entonces combina la poltica en
el servidor RADIUS y la informacin requerida por el NAS. Se puede requerir
informacin adicional como la direccin MAC. El NAS enva la informacin al
servidor donde la decisin de autorizacin es realizada.
1.2.
ACTIVE DIRECTORY
Servicios de directorio es una base de datos distribuida que permite

almacenar informacin relativa a los recursos de una red con el fin de facilitar su
localizacin y administracin. Microsoft Active Directory es la implementacin
ms reciente de Servicios de directorio para Windows 2000. Las cuestiones
bsicas relacionadas con un centro de servicios de directorio giran alrededor de
la informacin que se puede almacenar en la base de datos, cmo se
almacena, cmo se puede consultar informacin especfica y qu se puede
hacer con los resultados. Active Directory se compone del propio servicio de
directorio junto con un servicio secundario que permite el acceso a la base de
datos y admite las convenciones de denominacin X.500.
Puede consultar el directorio con un nombre de usuario para obtener

informacin como el nmero de telfono o la direccin de correo electrnico de
ese usuario. Los servicios de directorio tambin son lo suficientemente flexibles
como para permitir la realizacin de consultas generalizadas (" dnde estn
las impresoras? )" o bien "cules son los nombres de servidores? ") para ver
una lista resumida de las impresoras o servidores disponibles.
Los servicios de directorio tambin ofrecen la ventaja de suponer un

nico punto de entrada para los usuarios a la red de toda la empresa. Los
usuarios pueden buscar y usar recursos en la red sin conocer el nombre o la
ubicacin exactos del recurso. Igualmente, puede administrar toda la red con
una vista lgica y unificada de la organizacin de la red y de sus recursos.
Para asegurarse de que puede crear un diseo eficiente y confiable de
Active Directory, necesita conocer tanto la estructura lgica como la fsica de la
red. El examen y el conocimiento de la estructura empresarial de la
organizacin tambin resultan importantes. Active Directory separa la estructura
lgica del dominio de la estructura fsica real.
1.2.1.ESTRUCTURA LGICA
La estructura lgica de una red se compone de elementos intangibles

como objetos, dominios, rboles y bosques.
El bloque de construccin bsico de Active Directory es el objeto, un
conjunto de atributos diferenciado y con nombre que representa un recurso de
la red. Los atributos del objeto son caractersticas de objetos del directorio. Los
objetos se pueden organizar en clases, que son agrupaciones lgicas de
objetos. Los usuarios, grupos y equipos son ejemplos de clases de objeto
diferentes.
En el nivel ms bajo, algunos objetos representan entidades individuales

de la red, como un usuario o equipo. Estos objetos de denominan hoja y no
pueden contener otros objetos. Sin embargo, para facilitar la administracin y
simplificar la organizacin del directorio, puede colocar objetos hoja dentro de
otros objetos denominados objeto contenedor. Los objetos contenedor tambin
pueden contener otros contenedores de forma anidada, o jerrquica.
El tipo ms comn de objeto contenedor es una unidad organizativa (OU,
Organizational Unit). Puede usar una unidad organizativa para organizar objetos
de un dominio en algn tipo de agrupacin lgica administrativa. Es importante
tener en cuenta que la estructura y jerarqua de una unidad organizativa dentro
de un dominio es independiente de la estructura de cualquier otro dominio.
Todos los objetos de la red, ya sean hojas o contenedores, slo pueden
existir dentro de un dominio. Los dominios se usan para agrupar objetos
relacionados con el fin de reflejar la red de una organizacin. Cada dominio que
se crea almacena informacin acerca de los objetos que contiene, nicamente.
Actualmente, el lmite admitido para el nmero de objetos que puede mantener
en un dominio es de un milln.
Cada dominio representa un lmite de seguridad. El acceso a los objetos
dentro de cada dominio se controla mediante entradas de control de acceso
(ACE, Access Control Entries) contenidas en listas de control de acceso (ACL,
Access Control Lists). Estas opciones de seguridad no cruzan los lmites de los
dominios. Dentro de Active Directory, un dominio tambin se puede denominar
particin. Dado que un dominio es una particin fsica de la base de datos de
Active Directory, puede estructurarlos por la funcin empresarial (recursos
humanos, ventas o contabilidad) o por la ubicacin (geogrfica o relativa).
Cuando agrupa dominios relacionados para permitir el uso compartido de
los recursos globales, est creando un rbol. Aunque un rbol se puede
componer de un nico dominio, se pueden combinar varios dentro del mismo
espacio de nombres en una estructura jerrquica. Los dominios del rbol se
conectan de forma transparente a travs de relaciones de confianza de dos
sentidos
con
seguridad
basada
en
Kerberos.
Estas
confianzas
son
permanentes, y no se pueden eliminar, y transitivas. En otras palabras, si el

dominio A confa en el dominio B y el dominio B confa en el dominio C,
entonces el dominio A confa en el dominio C.
Todos los dominios dentro de un rbol comparten una definicin formal
de todos los tipos de objetos denominada esquema. Adems, dentro de un
rbol determinado, todos los dominios comparten el catlogo global. El catlogo
global es un repositorio central para los objetos del rbol.
Cada rbol tambin se representa por un espacio de nombres contiguo.
Por ejemplo, si el dominio raz de una compaa es "compaa.com" y crea
dominios diferentes para las divisiones de ventas y soporte, los nombres de
dominio seran "ventas.compaa.com' y "soporte.compaa.com". A estos
dominios se les denomina secundarios. A diferencia de lo que ocurre en
Windows NT 4.0, cada dominio genera automticamente relaciones de
confianza.
En el nivel ms alto, pueden agruparse rboles dispares para formar un
bosque. Un bosque permite combinar divisiones diferentes en una organizacin
o, incluso, pueden agruparse organizaciones distintas. stas no tienen que
compartir el mismo esquema de denominacin y pueden operar de forma
independiente y seguir comunicndose entre s. Todos los rboles de un bosque
comparten el mismo esquema, catlogo global y contenedor de configuracin.
De nuevo, la seguridad basada en Kerberos proporciona las relaciones de
confianza entre los rboles.
Otra ventaja de los Servicios de directorio de Windows 2000 es que se

puede desinstalar Active Directory sin tener que reinstalar todo el sistema
operativo de servidor. Para convertir un servidor miembro en un controlador de
dominio, basta con que ejecute la herramienta DCPROMO con el fin de agregar
el servidor Active Directory. Para quitar el servidor Active Directory, se ejecuta la

herramienta DC PROMO de nuevo.
1.2.2.ESTRUCTURA FSICA
Los controladores de dominio y los sitios son los dos componentes

bsicos que tienen que ver con la estructura fsica de una configuracin de red
de rea local.
A diferencia de lo que ocurre en Windows NT 4.0, una red que se

compone solamente de equipos donde se ejecuta Windows 2000 no tiene
controladores de dominio principal (PDC, Primary Domain Controller) y
controladores de dominio de reserva (BDC, Backup Domain Controller). Todos
los servidores que participan en la administracin de la red en un entorno
Windows 2000 se consideran controladores de dominio. Un controlador de
dominio (DC) almacena una copia duplicada de la base de datos del directorio y
el proceso de replicacin es automtico entre los controladores del dominio.
En las redes empresariales que abarcan varias ubicaciones geogrficas

las implicaciones del diseo y la estructura de una red de rea ancha son
extremadamente importantes cuando se conoce el efecto que la replicacin de
la base de datos del directorio puede tener en el rendimiento de la red y los
controladores de dominio.
1.2.3.ESPACIOS DE NOMBRES
Un espacio de nombres es un rea designada que tiene lmites

especficos donde se puede resolver un nombre lgico asignado a un equipo. El
uso principal de un espacio de nombres es organizar las descripciones de los
recursos para permitir a los usuarios localizarlos por sus caractersticas o
propiedades. La base de datos del directorio para un espacio de nombres
determinado se puede usar con el fin de localizar un objeto sin conocer su
nombre. Si un usuario sabe el nombre de un recurso, puede consultar
informacin til acerca de ese objeto.
Una cuestin importante que hay que tener en cuenta es que el diseo
del espacio de nombres determina, a la larga, el grado de utilidad que la base
de datos representar para los usuarios a medida que crezca. Los algoritmos
de ordenacin y bsqueda no pueden vencer los inconvenientes de un diseo
lgico inadecuado.
En lo que se refiere a la lgica, Active Directory de Windows 2000 es,

simplemente, otro espacio de nombres. En Active Directory se almacenan dos
tipos principales de informacin:
a) La ubicacin lgica del objeto.
b) Una lista de atributos acerca del objeto.

Estos objetos tienen atributos asignados, como un nmero de telfono,
ubicacin de oficina, etc., y se pueden usar para localizar objetos en la base de
datos del directorio. El uso de atributos para la bsqueda es incluso ms
importante cuando el esquema de Active Directory se extiende, es decir, se
modifica. Cuando se agregan objetos, clases de objetos o atributos de esos
objetos a la base de datos del directorio, su estructura determina su utilidad
para los usuarios del directorio.
Cada contenedor y objeto de un rbol tiene un nombre nico. Un espacio

de nombres es una coleccin de la ruta completa de todos los contenedores y
objetos, o ramas y hojas, del rbol. La ubicacin de un objeto en un rbol
determina el nombre completo.
Un nombre completo (DN) se compone de la ruta de acceso completa

desde el principio de un espacio de nombres especfico a travs de la jerarqua
completa del rbol. Como los nombres diferenciados son tiles para organizar la
base de datos de un directorio pero pueden no resultar de utilidad para recordar
el objeto, en Active Directory tambin se usan nombres en referencia relativa
(RDN). Un RDN es la parte del nombre de un objeto que es un atributo del
propio objeto.
La base para el espacio de nombres usado en muchas redes se

fundamenta en el Sistema de nombres de dominio (DNS, Domain Name
System) usado en Internet. Esta conexin con DNS contribuye a determinar la
forma del rbol de Active Directory y la relacin de los objetos entre s. Los
controladores de dominio son los dominios que se enumeran como nombres
completos, mientras que los nombres comunes (CN) son las rutas de acceso
especficas de los objetos usuario del directorio.
1.2.4.CATLOGO GLOBAL
El catlogo global contiene una rplica parcial de cada dominio de

Windows 2000 del directorio y es generado automticamente por el sistema de
replicacin de Active Directory. Esto permite a los usuarios y aplicaciones
buscar objetos en un rbol de dominios de Active Directory determinado dados
uno o varios atributos del objeto buscado. El catlogo tambin contiene el
esquema y la configuracin de las particiones del directorio. Esto implica que el
catlogo global contiene una copia de cada objeto de Active Directory, pero con
slo una pequea cantidad de sus atributos. Los atributos del catlogo global
son los que se usan con ms frecuencia en las operaciones de bsqueda, como
el nombre y los apellidos de los usuarios, los nombres de inicio de sesin y
dems, y los requeridos para localizar una copia completa del objeto.
Con esta informacin comn, los usuarios pueden encontrar objetos de

inters rpidamente sin conocer qu dominio los contiene y sin requerir un
espacio de nombres contiguo en la empresa. Si el objeto no se puede encontrar
en el catlogo global, la utilidad de bsqueda puede consultar la particin de su
dominio local para buscar informacin.
Puede usar la herramienta Administrador de esquema para cambiar el

esquema y definir los atributos que se almacenan en el catlogo global. Dado
que el catlogo global replica los cambios realizados a todos los servidores de
catlogo global, es aconsejable limitar la cantidad de atributos almacenados en
las particiones locales para no afectar al rendimiento ni a las tareas de
mantenimiento.
1.2.5.INTEGRAR DNS CON ACTIVE DIRECTORY
La integracin de DNS y Active Directory es una caracterstica

fundamental de Windows 2000 Server. Los dominios DNS y los dominios de
Active Directory usan nombres idnticos para espacios de nombres diferentes.
Es importante comprender que no son el mismo espacio de nombres incluso

aunque los dos compartan una estructura de dominios idntica. Cada uno
almacena datos diferentes y administra objetos distintos. DNS usa zonas y
registros de recursos mientras que Active Directory usa dominios y objetos
dedominio.
Por ejemplo, si una de las propiedades de un objeto es un nombre de
dominio
completo,
como
SERVIDOR1.VENTAS.MIORGANIZACIN.COM,
Active Directory consulta DNS para solicitar la direccin TCP/IP del servidor y el
solicitante de Windows 2000 puede entonces establecer una sesin TCP/IP con
el servidor.
La integracin entre Active Directory y DNS es efectuada por cada
servidor Active Directory que publica su propia direccin en los registros de
recursos de servicios en un host DNS.
1.2.6.IDENTIFICADOR UNICO GLOBAL
Como cada objeto de una red debe identificarse mediante una propiedad
nica, Active Directory lo consigue mediante la asociacin de un identificador
nico global (GUID, Global Unique Identifier) con cada objeto. Se garantiza que
este nmero es nico y la base de datos del directorio no lo cambia nunca, ni
siquiera si cambia el nombre lgico del objeto. El GUID se genera cuando un
usuario o aplicacin crea por primera vez el nombre completo (DN) en el
directorio.
1.2.7.REPLICACIN
Mientras la estructura de una red en Windows NT 4.0 se basaba en un

modelo con controladores principales de dominio y controladores de reserva de
dominio, en una red Windows 2000 todos los servidores se conocen como
controladores de dominio (DC) y funcionan como iguales entre s. Con Active
Directory, todos los controladores de dominio replican dentro de un sitio de
forma automtica, admiten la replicacin con mltiples maestros y replican
informacin de Active Directory entre todos los controladores de dominio. La
introduccin de la replicacin con mltiples maestros significa que los
administradores pueden hacer actualizaciones en Active Directory o en

cualquier controlador de dominio de Windows 2000 del dominio.
La replicacin de bases de datos con mltiples maestros tambin
contribuye a controlar las decisiones de cundo se sincronizan cambios, cuya
informacin es ms actual, y cundo detener la replicacin de los datos para
evitar su duplicacin o redundancia. Para determinar qu informacin tiene que
actualizarse, Active Directory usa nmeros de secuencia de actualizacin (USN,
Update Sequence Numbers) de 64 bits. Estos nmeros se crean y asocian con
todas las propiedades. Cada vez que se modifica un objeto, se incrementa su
USN y se almacena con la propiedad.
Cada servidor Active Directory mantiene una tabla de los nmeros de
secuencia de actualizacin ms recientes de todos los asociados de replicacin
de un sitio. Esta tabla se compone del USN mayor para cada propiedad.
Cuando se alcanza el intervalo de replicacin, cada servidor solicita slo los
cambios con un USN mayor que el que aparece en su propiatabla.
De vez en cuando, se puede hacer cambios a dos servidores Active
Directory diferentes para la misma propiedad antes de replicar todos los
cambios. Esto provoca una colisin de replicacin. Uno de los cambios debe
declararse como ms preciso y se debe usar como origen de todos los dems
asociados de replicacin. Para solucionar este posible problema, Active
Directory usa el valor de un nmero de versin de propiedad (PVN, Property
Version Number) para todo el sitio. Este nmero se incrementa cuando tiene
lugar una escritura de origen. Este tipo de escritura es la que ocurre
directamente en un servidor Active Directory en particular.
Cuando dos o ms valores de propiedad con el mismo PVN se han
cambiado en ubicaciones diferentes, el servidor Active Directory que recibe el
cambio comprueba las marcas de tiempo y usa la ms reciente para la
actualizacin. La ramificacin ms importante de este problema es la
configuracin y mantenimiento de un reloj central en la red.
Otro problema de la replicacin es la aparicin de bucles. Active Directory

permite a los administradores configurar varias rutas por motivos relacionados
con la redundancia. Para impedir que los cambios no terminen nunca de
actualizarse, Active Directory crea listas de pares de USN en cada servidor.
Estas listas se denominan vectores de actualizacin (UDV, Up-to-date Vectors).
Contienen el mayor USN de cada escritura de origen. Cada vector de
actualizacin enumera el resto de los servidores dentro del propio sitio. Cuando
se produce la replicacin, el servidor solicitante enva su propio vector de
actualizacin al servidor que realiza el envo. Para determinar si el cambio sigue
teniendo que replicarse se usa el mayor USN para cada escritura de origen. Si
el nmero USN es igual o mayor, no se requiere hacer ningn cambio porque el
servidor solicitante ya est actualizado.
1.2.8.CAMBIOS CON GRUPOS
Otro aspecto del proceso de planeamiento para Active Directory es el

concepto de grupos. En Windows NT 4.0, los administradores de red disponan
de dos tipos bsicos de grupos: locales y globales. Por las limitaciones
inherentes de esta estructura, ahora Windows 2000 proporciona una mayor
funcionalidad y flexibilidad a los administradores de red con los grupos
siguientes:
a) Grupos con mbito local (tambin se denominan grupos locales)
b) Grupos con mbito local de dominio (tambin se denominan grupos
locales de dominio)
c) Grupos con mbito global (tambin se denominan grupos globales)
d) Grupos con mbito universal (tambin se denominan grupos universales)
Un cambio importante que hay que observar es que los grupos globales
ahora pueden contener otros grupos globales. Aunque los grupos globales se
siguen usando para recopilar usuarios, la capacidad de colocar un grupo dentro
de otro permite a los administradores ubicarlos en cualquier lugar de un bosque,
con el fin de facilitar el mantenimiento. No obstante, los grupos globales slo
pueden contener usuarios y grupos de un dominio del bosque de Active
Directory.
Debido a que muchas redes pueden contener una mezcla de servidores

Windows 2000 y Windows NT 4.0, antes de crear grupos debe determinar el
nmero y el tipo de dominios de la red y cules de esos dominios son de modo
mixto y cules de modo nativo:
a) Dominio de modo mixto. El sistema operativo Windows 2000 instala, de
forma predeterminada, una configuracin de red en modo mixto. Un
dominio de modo mixto es un conjunto de equipos conectados en red en
los que se ejecutan controladores de dominio tanto de Windows NT 4.0
como de Windows 2000. (Tambin puede tener un dominio de modo
mixto donde se ejecuten slo controladores de dominio de Windows
2000.)
b) Dominio de modo nativo. Puede convertir un dominio al modo nativo
cuando slo contiene controladores de dominio de Windows 2000 Server.
El grupo universal (nuevo en Windows 2000) puede contener todos los
dems grupos y usuarios de cualquier rbol del bosque y se puede usar con
cualquier lista de control de acceso (ACL) dentro del mismo.
Los grupos locales, de dominio local y universal se pueden combinar
para controlar el acceso a los recursos de la red. El uso bsico de los grupos
globales es la organizacin de usuarios en contenedores administrativos que
representan sus dominios respectivos. Los grupos universales se usan para
contener grupos globales de los diversos dominios para administrar adems la
jerarqua de dominios cuando se otorgan permisos. Los grupos globales se
pueden agregar a grupos universales y, despus, asignar permisos a los grupos
de dominio local donde exista el recurso fsicamente. Al estructurar los grupos
de esta forma, los administradores pueden agregar o quitar usuarios de cada
grupo global del dominio para controlar el acceso a los recursos en toda la
empresa sin tener que hacer cambios en varias ubicaciones.
CAPITULO II
DESARROLLO DEL TEMA
2.1.
DESARROLLO DE LA CONFIGURACION DEL SERVIDOR RADIUS
Materiales:
Entre los materiales necesarios para esta implementacin se incluyeron:
Una laptop con Windows 7

Una laptop con WS 2012
Un router W8970
Un AP D-Link
Para el presente trabajo se va instalar Windows server 2012, con un rol

de Active Directory.
1. Se procede a instalar Windows Server 2012 R2, para lo cual se empieza
ingresando el ISO del sistema.
2. Seleccione la regin y el teclado Latinoamericano y presione Next
3. Hacer click en Install now para iniciar la instalacin.
4. Se debe insertar la clave del producto (25 caracteres en grupos de 5,

separados por un guin ) y haga clic en Next.
Windows Server 2012 R2 puede ejecutarse en 3 modos: Core (sin

modo grfico), MinShell (Core + Server Manager) y Full GUI (Interface
grfica completa con Men de Inicio, Panel de Control y otros
componentes grficos).
Para este caso se va instalar inicialmente en modo Core y
posteriormente se agregara el modo grfico.
5. Seleccione la primera opcin y presione Next.
6. Acepte los trminos de la licencia y presione Next:
7. Seleccione Custom: Install Windows only (advanced).
8. Seleccione el disco y haga clic en Next.
9. Se debe esperar a que los procesos iniciales de copia de archivos e

instalacin inicial de caractersticas del sistema finalicen:
10. Cuando el proceso haya terminado, se va a reiniciar la mquina:
11. Empieza el proceso de reconocimiento de dispositivos de la mquina:
12. Es hora de agregar una contrasea al administrador, presione OK:
13. Se debe escribir una contrasea. Una vez se haya escrito y confirmado la
contrasea haga clic en la flecha para continuar:
14. Haga clic en OK:
15. Finalmente Windows Server 2012 R2 est instalado.
16. Para poder instalar el modo grafico se debe ingresar al PowerShell, para
ello se debe ingresar el comando powershell.
17. Una vez dentro del PowerShell se debe ingresar el siguiente comando:
Get-WindowsFeature Server-GUI-Shell.
18. Aparece la caracterstica Server Graphical Shell sin marcar, de modo que
est disponible para instalar.
El comando de Powershell que debo usar para agregar el modo
grfico es el siguiente:
Add-WindowsFeature Server-GUI-Shell Restart
Se debe esperar a que el proceso finalice, y se reinicie la mquina:
19. Una vez la mquina se reinicie, se loguea con el usuario administrator y el

modo grfico est listo.
20. Ahora se procede a instalar el servidor radius. Para ello se empieza

configurando una ip estatica al servidor.
21. A continuacin, y desde el Administrador del servidor, seleccionaremos

agregar roles y caractersticas.
22. Y a continuacin elegiremos la opcin de instalacin basada en rol

caractersticas.
23. Y se nos mostrara una pantalla en la cual podremos elegir nuestro servidor
o cualquier otro que existiera, en este caso solo aparece nuestra mquina
virtual.
24. Seleccionamos las caractersticas que nos interesan en esta caso como
hemos nombrado anteriormente seleccionaremos las caractersticas de
Servicios de Dominio de Active directory, tal y como se observa en la
captura siguiente.
25. El sistema nos mostrara una pantalla de confirmacin con las

caractersticas que hemos seleccionado junto a las funciones necesarias
para su uso correctofijaos que he marcado con una flecha la opcin de
promover este servidor a controlador de dominio directamente pulsando en
la misma, pues pulsamos.
26. Y acto seguido se ejecuta el wizard equivalente a DCpromo como se

observa en la siguiente captura.
27. En el cual seleccionaremos lo siguiente aadir un nuevo bosque, y nuestro

nombre de dominio en este caso HIGHSEC.ES, como se aprecia en la
siguiente captura es necesario que sea servidor de DNS (tanto para el
dominio como para en el futuro Radius).
28. Nos saltara a continuacin un fallo de delegacin de zona en DNS,

continuaremos
29. Como siempre nos indicara el nombre de NetBIOS para nuestro servidor
(en esta caso nos gusta )
30. Y nos dar la oportunidad de cambiar los directorios de la base de datos, el

directorio SYSVOL y el directorio de los Logs, hay que decir que es una
prctica correcta de seguridad cambiar estos directorios a otra particin
del sistema, en esta prctica lo dejaremos por defecto
31. Ya hemos alcanzado el final de las opciones de configuracin y el wizard

nos muestra el resumen de las opciones elegidas.
32. Con lo que instalaremos, ser necesario un reinicio y nos logearemos

como administrador del dominio para continuar nuestra configuracin del
servidor.
33. Y nos mostrara el administrador del servidor con los dos roles instalados
como se observa en la siguiente captura
34. Y comenzamos la instalacin de los roles y caractersticas que son

necesarios para la configuracin de nuestro servidor Radius, en este caso
el servicio de Certificado de Active Directory.
35. Seleccionaremos la opcin Autoridad de Certificado, y pulsaremos

siguiente.
36. Instalaremos el rol, a la finalizacin nos mostrara la opcin de configurar el

servicio tal y como lo hizo con la promocin a DC del servidor.
37. Obviamente la pulsaremos, tendremos que introducir nuestra credencial de

administrador.
38. Seleccionaremos el rol a configurar en este caso Autoridad de

Certificacin.
39. Seleccionaremos el tipo de certificado en este caso seleccionaremos

Enterprise CA.
40. Seleccionamos el rol de nuestro servidor en este caso como no esta

subordinado a ningn otro servidor y alberga el mismo el certificado
seleccionaremos la opcin root CA.
41. Creamos la nueva llave privada.
42. Seleccionamos las opciones criptogrficas.
43. Especificaos el nombre del CA.
44. Seleccionamos el periodo de validez del certificado, en este caso es 5

aos.
45. Al igual que el wizard de promocin a DC, esta configuracin nos permite
elegir la localizacin del certificado y del log.
46. Y finalmente el resumen de la configuracin elegida.
47. Instalamos y nos muestra el xito de la instalacin.
48. Mostrndonos el rol finamente en el Administrador del servidor, tal y como

se aprecia en la captura siguiente.
49. Luego de instalar el servidor de certificados de Active Directory, se debe

crear las plantillas para usuarios y equipos para ello desde el administrador
del servidor se selecciona herramientas y en el desplegable Autoridad de
Certificacin.
50. Se mostrara la consola de administracin del servidor de certificacin. Se

debe pulsar en la plantilla de certificados, click con el botn derecho y en el
desplegable seleccionamos administrar.
51. Se mostrara la consola de plantillas de certificado y en ella seleccionamos

la plantilla computer. Con click derecho se procede a duplicarla.
52. Dentro de las propiedades de la nueva plantilla, se selecciona las opciones

de compatibilidad en este caso Windows Server 2012 para la autoridad de
certificacin y Windows 7/ server 2008 R2 para los receptores del
certificado.
53. Luego, en la pestaa general se selecciona el nombre de la plantilla, junto

con el periodo de validez y el periodo de renovacin para la misma.
54. En este caso se seleccionara como opcin de seguridad en la plantilla que

se pueda exportar la clave privada, para poder hacer una copia de
seguridad del Certificado y de la clave privada.
55. Se debe asignar al grupo de computadores del dominio los permisos de

Enroll y autoenroll, para que tengan acceso al certificado de forma
automtica.
56. Luego de pulsar OK, se mostrara la pantalla de activacin de las plantillas

de certificado.
57. Se har el mismo procedimiento con la plantilla de los usuarios, usando la

plantilla existente y seleccionando el nombre nuevo, y que se publique en
active Directory.
58. Se selecciona los permisos que tendrn los usuarios.
59. Se procede a activar la plantilla de la misma manera que la plantilla de

equipos.
60. Luego de este punto se debe abrir la consola de directivas de grupo para
crear las directivas para que los equipos y usuarios obtengan los
certificados automticamente.
61. En la consola, hacer click derecho en el dominio y seleccionamos la

primera opcin crear una directiva de grupo en este dominio y crear el
link.
62. En la ventana que se muestra ingresar el nombre de la directiva.
63. Luego de crearla, hacer click derecho sobre ella para editarla. Ya dentro
dirigirse a Computer Configuration / Policies / Windows Settings / Security
Settings / Public Key Policies, click derecho sobre Certificate Services

Client Auto-Enrollment, propiedades.
64. A continuacin se debe configurar de la siguiente forma.
65. La directiva configurada debe quedar de la siguiente forma.
66. El mismo procedimiento se debe realizar para la configuracin de los

usuarios, con la diferencia que se creara una GPO distinta y la
configuracin se hara en la parte de usuario, User Configuration / Policies /
Windows Settings / Security Settings / Public Key Policies, click derecho
sobre Certificate Services Client Auto-Enrollment.
67. Continuamos el proceso de instalacin.
68. Cuando se nos solicita que introduzcamos los servicios de rol que
deseamos marcaremos la opcin de servidor de polticas de red (Network
Policy Server) y continuamos
69. Confirmamos las opciones que deseamos instalar y configurar y marcamos

la opcin de reiniciar el servidor automticamente si es necesario y
comienza la instalacin.
70. Nos saltamos la parte de la instalacin y nos muestra la consola de NPS

iniciada y lista para ser configurada.
71. Una vez aqu, en la parte central de la consola cambiaremos la eleccin y

en lugar de NAP seleccionaremos 802.1X y pulsaremos aadir.
72. A continuacin nos cargara la siguiente ventana, en la cual introduciremos

como se observa el nombre de nuestro dispositivo y la direccin IP del
mismo tambin configuraremos el secreto compartido de forma manual
como se observa en la captura.
73. Una vez pulsado aplicar como observareis continuamos con el

configurador en el cual seleccionamos la opcin de conexin inalmbrica
segura y la dejamos el nombre por defecto.
74. Y seleccionamos en el siguiente paso del configurador el tipo de EAP para

esta poltica en esta ocasin seleccionamos la opcin PEAP, (Protected
EAP).
75. Y se nos informa que se ha creado con xito las conexiones cableadas e
inalmbricas EEEI 802.1X y los clientes RADIUS.
76. Bien llegados a este punto comprobaremos los detalles de la configuracin

pulsando en configuration details que se encuentra en la parte inferior
derecha de la ventana superior.
77. Luego vemos un pequeo resumen con las configuraciones.

78. Pasamos a la configuracin del punto de acceso, se ha realizado en un
router wifi de la marca ZYXEL modelo P660 HW-D1, se ha configurado en
modo bridge para no utilizar las capacidades de enrutamiento ya que no
proporciona conexin con Internet, hecho este apunte observemos cual ha
sido la configuracin realizada sobre el mismo.
79. Como observamos en la pestaa de configuracin avanzada en la pestaa

de Wireless LAN hemos marcado que estn activos el servidor de
autenticacin y el servidor de cuentas hemos introducido sus respectivas
direcciones IP que en este caso son la misma puesto que ambos roles se
encuentran instalados en el mismo servidor as como los puertos siendo el
1812 para el servidor de autenticacin y el 1813 el servidor de cuentas as
como en ambos hemos configurado el secreto compartido que es highsec.
80. Y en esta siguiente captura de la configuracin avanzada de wireless LAN

observamos cmo hemos configurado que la autenticacin es requerida,
con los tiempos por defecto, que el protocolo de gestin de claves es
802.1X y el intercambio de llaves Wep esta desconectado, tambin
especificamos que la base de datos de autenticacin es RADIUS ONLY no
siendo ninguna de las formas hbridas de autenticacin guardamos los
cambios y saldremos de la interfaz de configuracin del Router y en la
consola NPS pulsamos en Radius Clientes veremos como aparece nuestro
punto de acceso activado con su direccin IP de esta forma.
CONCLUSIONES
Se obtiene un mayor control de las entradas a la red inalmbrica.

Se genera un ambiente de seguridad tanto para el administrador como para
los usuarios conectados.
Se puede aumentar la potencia de la seal de cobertura para que todos los
usuarios tengan una buena recepcin sin temor de que alguien ajeno se
conecte aprovechando el aumento del rea de cobertura.
La seguridad en la red inalmbrica es mucho ms robusta que otros mtodos
de autenticacin.
El tiempo para la conexin no es ms grande que otros tipos de autenticacin
similares.
El software necesario para el entorno de seguridad se puede obtener sin
costo.
RECOMENDACIONES
Dar capacitacin tcnica al administrador de la red inalmbrica, dentro y

fuera de la empresa, para que ste pueda dar un mejor mantenimiento a
la red inalmbrica y un mejor soporte a los usuarios.
Informar a los usuarios de los servicios y beneficios de la red
inalmbrica,as como de su funcionamiento; adems solicitar que se
enmarquen en las polticas de seguridad establecidas.
Implementar un sistema de procedimientos estandarizados para
laconfiguracin de los Puntos de Acceso y dems dispositivos
inalmbricos instalados.
Realizar un Plan de Contingencias, que contenga los procedimientos
necesarios que se deben tomar cuando exista alguna falla en la red
inalmbrica.
Dar mantenimiento de manera frecuente a los servidores de
autenticacin RADIUS y Active Directory , y revisar el estado fsico de los
mismos cada cierto tiempo.
FUENTES DE INFORMACIN
a.
b.
c.
d.
https://technet.microsoft.com/en-us/library/cc995218.aspx
https://support.microsoft.com/es-es/kb/196464
https://es.wikipedia.org/wiki/Active_Directory
https://www.fatofthelan.com/technical/using-windows-2008-for-
radius-authentication/
e. https://docs.openvpn.net/how-totutorialsguides/administration/configuring-active-directorywindows-2008-server-r2-radius-server-for-openvpn-access-server/

Trabajo Final Redes y Conectividad III - Servidor Radius

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Trabajo Final Redes y Conectividad III - Servidor Radius

Transféré par

Droits d'auteur :

Formats disponibles

ESCUELA PROFESIONAL DE INGENIERA DE COMPUTACIN Y SISTEMAS

IMPLEMENTACION DE SERVIDOR RADIUS

Ing. Carpio Guiter

Colca Bao, Angelo Ral

08 de Junio del 2016.

1.1.4. QUE ES AAA?

1.1.7. AUTENTICACIN VS AUTORIZACION

1.2. ACTIVE DIRECTORY

1.2.1. ESTRUCTURA LGICA

1.2.2. ESTRUCTURA FSICA

1.2.3. ESPACIOS DE NOMBRES

1.2.4. CATLOGO GLOBAL

1.2.5. INTEGRAR DNS CON ACTIVE DIRECTORY

1.2.6. IDENTIFICADOR UNICO GLOBAL

1.2.8. CAMBIOS CON GRUPOS

CAPITULO II DESARROLLO DEL TEMA

2.1. DESARROLLO DE LA CONFIGURACION DEL SERVIDOR RADIUS 20

REDES Y CONECTIVIDAD IIIPgina 2

Remote Authentication Dial In User Service, RADIUS, es un protocolo de

En 1991, Merit Network, un proveedor de internet sin fines de lucro,

vendedores de equipos de red, hasta el grado de que actualmente RADIUS es

Un amplio y variado grupo de empresas actualmente usan el protocolo

a. El protocolo RADIUS cliente servidor contiene muchas ventajas

tecnolgicas para clientes, las cuales incluyen:

REDES Y CONECTIVIDAD IIIPgina 4

Otra ventaja de la arquitectura RADIUS es que cualquier componente de

La naturaleza distributiva de RADIUS separa efectivamente los procesos

autenticacin. Esta centralizacin puede reducir significativamente la carga

(Authenication, Authorization, and Accounting). Define una arquitectura que

Es posible incorporar solo una porcin del protocolo AAA en un sistema.

REDES Y CONECTIVIDAD IIIPgina 5

RADIUS es una de muchos protocolos AAA. Otros ejemplos de

Sin el protocolo AAA, un administrador de red tendra que configurar la

Hoy en da, la proliferacin de dispositivos mviles, consumidores

Autenticacin se refiere al proceso de validar la identidad de un usuario

REDES Y CONECTIVIDAD IIIPgina 6

desconocidos a la red, as como puede proveer acceso a una rea donde el

Autorizacin se refiere al proceso de determinar que permisos son

La siguiente analoga ilustra la diferencia entra autenticacin y

Servicios de directorio es una base de datos distribuida que permite

Puede consultar el directorio con un nombre de usuario para obtener

Los servicios de directorio tambin ofrecen la ventaja de suponer un

La estructura lgica de una red se compone de elementos intangibles

REDES Y CONECTIVIDAD IIIPgina 8

En el nivel ms bajo, algunos objetos representan entidades individuales

permanentes, y no se pueden eliminar, y transitivas. En otras palabras, si el

Otra ventaja de los Servicios de directorio de Windows 2000 es que se

REDES Y CONECTIVIDAD IIIPgina 10

el servidor Active Directory. Para quitar el servidor Active Directory, se ejecuta la

Los controladores de dominio y los sitios son los dos componentes

A diferencia de lo que ocurre en Windows NT 4.0, una red que se

En las redes empresariales que abarcan varias ubicaciones geogrficas

Un espacio de nombres es un rea designada que tiene lmites

En lo que se refiere a la lgica, Active Directory de Windows 2000 es,

b) Una lista de atributos acerca del objeto.

Cada contenedor y objeto de un rbol tiene un nombre nico. Un espacio

Un nombre completo (DN) se compone de la ruta de acceso completa

La base para el espacio de nombres usado en muchas redes se

El catlogo global contiene una rplica parcial de cada dominio de

Con esta informacin comn, los usuarios pueden encontrar objetos de

Puede usar la herramienta Administrador de esquema para cambiar el

La integracin de DNS y Active Directory es una caracterstica

Es importante comprender que no son el mismo espacio de nombres incluso

Mientras la estructura de una red en Windows NT 4.0 se basaba en un