Finally the help of IT is here

Blog de soluciones informaticas.

Archive for the 'Active Directory' Category

Temas relacionados con el directorio activo sobre Windows Server

Novedades en Windows Server 2012.

Posteado por Xavier Xaus Nadal on 7th junio 2012

Buenos días.

Os paso algunas de las novedades que me han gustado mucho mucho.

La primera las novedades con la autenticación Kerberos favorecerá el cambio de contraseñas con usuarios remotos a los que actualmente no les pide un cambio de contraseña cuando se conectaban mediante VPN, ahora con es posible sacar provecho de la autenticación Kerberos para tratar los problemas de conectividad remota relacionados con la falta de conectividad al controlador de dominio. Para hacerlo, se pueden crear conexiones proxy de los mensajes de autenticación y cambio de contraseña de Kerberos para los usuarios de DirectAccess o Escritorio remoto que solicitan acceso al dominio.

Compresión del grupo de recursos del KDC. Con este cambio los usuarios ubicados en grandes organizaciones donde el usuario es miembro de muchos grupos, tanto locales, globales o incluso universales ya no tendrán problemas de lentitud o de fallos en la autenticación ya que los datos irán comprimidos y el tamaño del vale de servicio será mucho menor con la consecuente mejora.

Sigue leyendo MegaCrack »

Tags: , , , , , , , , , , ,
Posteado por Active Directory, security, server, Windows, windows server 2012 | No Comments »

Listar usuarios que han añadido equipos al dominio.

Posteado por Xavier Xaus Nadal on 12th mayo 2012

Buenos días.

Hoy os explicaremos un script desarrollado en Powershell que lo único que hace es sacar un listado de el equipo agregado al dominio y el usuario que lo ha introducido.

Y quizá os preguntaréis para que nos sirve esto?

Pues bien, si tenéis una estructura de Active Directory “sin retoques” es decir las nuevas máquinas que introducís en el dominio son almacenadas en el contenedor computers en lugar de en una unidad organizativa (OU) dentro de una estructura de país, ciudad, departamento, etc…, y en algún momento necesitáis detectar quien ha agregado este equipo en el dominio para preguntarle a esa persona para que empresa iba o que tipo de equipo es, para posteriormente ordenarlo en AD, simplemente ejecutando este script podréis detectar que máquina y que persona es la responsable de la inclusión al dominio.

Para ello necesitaréis disponer de powershell y de Active Roles Managment instalado o añadir la siguiente línea de texto al principio del script.

add-PSSnapin quest.activeroles.admanagement

El script es el siguiente y ha sido desarrollado (por uno de nuestros colaboradores del blog al que le gusta vivir en el anonimato) y mejorado por uno de los mejores Powershell scripters del mundo el cual en los últimos Scripting Games 2012 quedó 4º en la LeaderBoard (Albert Fortes).

$Result=@(Get-QADComputer -Searchr "<dominio>/computers" | Select @{Expression={$_.Name};Name="Computer"},@{Expression={((Get-QADPermission -Identity ($_.CanonicalName) -WarningAction:SilentlyContinue | Select Account -Unique).Account | Select Samaccountname).Samaccountname };Name="Username"})

 

$Result | ft –AutoSize

El script está comprobado (No tengáis miedo al ejecutarlo, únicamente es una query hacia active directory un poco complicada de explicar..) El que esté intrigado lo puede postear en los comentarios..

Espero que os haya sido útil.

Tags: , , , ,
Posteado por Active Directory, equipos, PowerShell, powershell | No Comments »

Instalar Powershell + Active Roles Management for Active Directory

Posteado por Xavier Xaus Nadal on 12th mayo 2012

Este artículo consta de Como instalar powershell en windows y Como administrar active directory desde powershell.

Antes que nada deciros que en Windows Vista, 7, Windows 2008, en adelante… ya está incluido como software instalado, pero:

Donde encontrar las herramientas powershell para windows 2003 ?: Las podéis descargar desde windows update (Como software opcional) a día de hoy (Powershell 2.0). Al instalarlas las encontraréis en: Inicio –> Todos los programas –> Accesorios –> Windows Powershell.

Donde encontrar las herramientas necesarias para usar powershell con Active Directory: Nos descargaremos desde el siguiente enlace http://www.quest.com/powershell/activeroles-server.aspx el fichero ActiveRoles Management Shell para 32 o 64 bits.

Instalamos el software Active Roles Management for Active Directory. En la propia instalación se nos solicitará modificar la seguridad de nuestras ejecuciones powershell, debéis marcar la opción Change Powershell execution policy from “Restricted” to “Allsigned” esto hará que cualquier programa no firmado realizado en powershell pueda ser ejecutado (Es bajar la seguridad, pero es asegurar que todos los scripts que realicemos o descarguemos funcionan) (Mucho cuidado de ahora en adelante en ejecutar código desconocido en formato .ps1).

Sigue leyendo MegaCrack »

Tags: , ,
Posteado por Active Directory, PowerShell, powershell | No Comments »

Insertar publicidad en Blogger

Posteado por Xavier Xaus Nadal on 29th abril 2012

Hoy vamos a explicar como insertar un código de publicidad en vuestro blog desarrollado bajo tecnología Blogger, vamos a hacerlo un poco más complicado de lo normal, os cuento:

Con este artículo conseguiremos ubicar un bloque de anuncios en un artículo de blogger pero sin que este aparezca en la página principal del blog ya que como sabéis los que tenéis adsense las políticas de uso nos impiden poner más de 3 bloques de publicidad del mismo tipo en una misma página.

Lo primero que debemos hacer es acceder a la administración de nuestra cuenta de Adsense o del gestor de publicidad que vosotros tengáis y obtener el código de publicidad que mejor se adapte a las medidas de vuestro blog.

Por ejemplo el código que hemos escogido hoy es el siguiente: un banner de 468×60

<script type=”text/javascript”><!–
google_ad_client = “ca-pub-2342147052953367”;
/* contessota */
google_ad_slot = “6351243105”;
google_ad_width = 468;
google_ad_height = 60;
//–>
</script>
<script type=”text/javascript”
src=”http://pagead2.googlesyndication.com/pagead/show_ads.js”>
</script>

Cuando tengáis el código pulsáis sobre cualquiera de estos 2 enlaces que convertirán el código HTML a un texto plano entendible totalmente por blogger.

http://nosetup.org/php_on_line/convertir_html_texto

http://blogcrowds.com/resources/parse_html.php

Os debería quedar algo como lo siguiente:

&lt;script type=&quot;text/javascript&quot;&gt;&lt;!–
google_ad_client = &quot;ca-pub-2342147052953367&quot;;
/* contessota */
google_ad_slot = &quot;6351243105&quot;;
google_ad_width = 468;
google_ad_height = 60;
//–&gt;
&lt;/script&gt;
&lt;script type=&quot;text/javascript&quot;
src=&quot;http://pagead2.googlesyndication.com/pagead/show_ads.js&quot;&gt;
&lt;/script&gt;

A partir de este momento únicamente debemos definir donde ubicar nuestra publicidad en el blog.

Accedemos a blogger con nuestra cuenta de administrador del blog y nos ubicamos en el menú Plantilla.

Sigue leyendo MegaCrack »

Tags: , , , , , , , , , , , , , ,
Posteado por Active Directory, Google, Publicidad | No Comments »

Single Sign On con ADFS hacia Google Apps.

Posteado por Xavier Xaus Nadal on 17th marzo 2012

Este artículo explicará paso a paso lo que tenemos que hacer para conseguir una autenticación Single Sign On (SSO) a través del protocolo SAML mediante un servidor de Active Directory Federation Server 2.0 (ADFS 2.0) y Google Apps (Gapps) como Backend.

En definitiva que con nuestro usuario de dominio nos podremos validar en cualquier web sin conocer la contraseña del servicio al que nos vamos a conectar (Únicamente con nuestras actuales credenciales de dominio seremos capaces de entrar a Google Apps sin doble autenticación).

Este procedimiento se podrá usar para diferentes tipos de entidades de autenticación que requieran de un servidor frontend para peticiones SAML.

Pero primero os explico un poco de que va esto del SAML y porque hemos optado por esta solución tan complicada en lugar de una base de datos de usuarios en la nube o de una integración directa hacia LDAP.

El tema de la seguridad siempre es importante y disponer de puertos abiertos hacia nuestro LDAP desde la nube no me ha convencido nunca, por ello nos quedaban dos opciones (Integrar el sistema con una base de datos en Google o simplemente hacer una integración de SAML sin tener que abrir puertos en el firewall y sin tener que mantener una base de datos de usuarios y contraseñas en la nube). La respuesta fue sencilla. SAML.

Pero qué es y en que consiste el protocolo SAML?

Consiste en 8 “sencillos” pasos.

1.- El usuario realiza una petición de acceso hacia la web a la que quiere acceder. Por ejemplo http://www.google.com/a/megacrack.es

 

2.- Google Apps en este caso le responde al usuario con el proveedor de identidad al que le tiene que enviar la petición de SSO. Por ejemplo .com/adfs/ls”>.com/adfs/ls”>.com/adfs/ls”>.com/adfs/ls”>http://saml.<dominio>.com/adfs/ls

 

3.- El usuario le pasa al proveedor de identidad (En nuestro caso Active Directory Federation Server) las credenciales de acceso mediante Single Sign On  (Recoge las credenciales del último inicio de sesión en el dominio) o en este caso se muestra una pantalla solicitando unas credenciales que deben ser las mismas que las del dominio.

 

4.- El proveedor de identidad le devuelve al usuario un formulario XHTML como el siguiente:

<form method="post" action="https://saml.<dominio>.com/SAML2/SSO/POST" ...>
    <input type="hidden" name="SAMLResponse" value="response" />
    ...
    <input type="submit" value="Submit" />
  </form>

 

5.- El usuario transfiere una petición POST contra la web que nos confirmará la autenticación. El valor de la respuesta SAML es recogida del código XHTML.

 

6.- Se procesa la respuesta, el proveedor de servicio crea un entorno seguro y redirige al usuario hacia el destino.

 

7.- El usuario vuelve a realizar la petición de acceso (https://www.google.com/a/megacrack.es/acs)

 

8.- En el caso que el entorno sea seguro, el proveedor de servicio le devuelve el control al usuario que finalmente accede a la web.

Parece complicado pero en realidad es tan sencillo como lo que sigue:

1.- El usuario accede a http://correo.megacrack.es

2.- Al usuario se le muestra una pantalla como la siguiente donde deberá poner sus credenciales de dominio.

Validacion

3.- El usuario accede a la web sin problemas.

Y si el sistema funcionara como debiera no saldría ni tan siquiera la pantalla anterior (Recogería automáticamente las credenciales de inicio de sesión Windows).

Sigue leyendo MegaCrack »

Tags: , , , , , , ,
Posteado por Active Directory, certificate, Google Apps, Google Apps, IIS, Single Sign On | 4 Comments »