Finally the help of IT is here

Blog de soluciones informaticas.

Archive for the 'certificate' Category

Single Sign On con ADFS hacia Google Apps.

Posteado por Xavier Xaus Nadal on 17th marzo 2012

Este artículo explicará paso a paso lo que tenemos que hacer para conseguir una autenticación Single Sign On (SSO) a través del protocolo SAML mediante un servidor de Active Directory Federation Server 2.0 (ADFS 2.0) y Google Apps (Gapps) como Backend.

En definitiva que con nuestro usuario de dominio nos podremos validar en cualquier web sin conocer la contraseña del servicio al que nos vamos a conectar (Únicamente con nuestras actuales credenciales de dominio seremos capaces de entrar a Google Apps sin doble autenticación).

Este procedimiento se podrá usar para diferentes tipos de entidades de autenticación que requieran de un servidor frontend para peticiones SAML.

Pero primero os explico un poco de que va esto del SAML y porque hemos optado por esta solución tan complicada en lugar de una base de datos de usuarios en la nube o de una integración directa hacia LDAP.

El tema de la seguridad siempre es importante y disponer de puertos abiertos hacia nuestro LDAP desde la nube no me ha convencido nunca, por ello nos quedaban dos opciones (Integrar el sistema con una base de datos en Google o simplemente hacer una integración de SAML sin tener que abrir puertos en el firewall y sin tener que mantener una base de datos de usuarios y contraseñas en la nube). La respuesta fue sencilla. SAML.

Pero qué es y en que consiste el protocolo SAML?

Consiste en 8 “sencillos” pasos.

1.- El usuario realiza una petición de acceso hacia la web a la que quiere acceder. Por ejemplo http://www.google.com/a/megacrack.es

 

2.- Google Apps en este caso le responde al usuario con el proveedor de identidad al que le tiene que enviar la petición de SSO. Por ejemplo .com/adfs/ls”>.com/adfs/ls”>.com/adfs/ls”>.com/adfs/ls”>http://saml.<dominio>.com/adfs/ls

 

3.- El usuario le pasa al proveedor de identidad (En nuestro caso Active Directory Federation Server) las credenciales de acceso mediante Single Sign On  (Recoge las credenciales del último inicio de sesión en el dominio) o en este caso se muestra una pantalla solicitando unas credenciales que deben ser las mismas que las del dominio.

 

4.- El proveedor de identidad le devuelve al usuario un formulario XHTML como el siguiente:

<form method="post" action="https://saml.<dominio>.com/SAML2/SSO/POST" ...>
    <input type="hidden" name="SAMLResponse" value="response" />
    ...
    <input type="submit" value="Submit" />
  </form>

 

5.- El usuario transfiere una petición POST contra la web que nos confirmará la autenticación. El valor de la respuesta SAML es recogida del código XHTML.

 

6.- Se procesa la respuesta, el proveedor de servicio crea un entorno seguro y redirige al usuario hacia el destino.

 

7.- El usuario vuelve a realizar la petición de acceso (https://www.google.com/a/megacrack.es/acs)

 

8.- En el caso que el entorno sea seguro, el proveedor de servicio le devuelve el control al usuario que finalmente accede a la web.

Parece complicado pero en realidad es tan sencillo como lo que sigue:

1.- El usuario accede a http://correo.megacrack.es

2.- Al usuario se le muestra una pantalla como la siguiente donde deberá poner sus credenciales de dominio.

Validacion

3.- El usuario accede a la web sin problemas.

Y si el sistema funcionara como debiera no saldría ni tan siquiera la pantalla anterior (Recogería automáticamente las credenciales de inicio de sesión Windows).

Sigue leyendo MegaCrack »

Tags: , , , , , , ,
Posteado por Active Directory, certificate, Google Apps, Google Apps, IIS, Single Sign On | 4 Comments »

Novedades Windows Server 8

Posteado por Xavier Xaus Nadal on 13th marzo 2012

Como muchos de vosotr@s sabréis ya tenemos la beta de Windows Server 8 así que como no, os vamos a señalar algunas de las características de este nuevo sistema operativo.

La primera y muy esperada supongo que por la mayoría de administradores de sistemas y sobretodo de administradores DHCP es la alta disponibilidad en un entorno DHCP.

Sí, por fin, mira que hay HA para todo, pero y porque no para el DHCP, vale que no me he quedado nunca sin DHCP, pero tampoco me he quedado nunca sin DNS y los tengo por quintuplicado, vale que sea también por rendimiento, peroooo, por que no teníamos el DHCP con HA?, pues bueno, por fin lo tenemos con Windows Server 8.

También por fin una entidad emisora de certificados directamente como rol, no necesitaremos disponer de un IIS, tendremos un rol llamado AD Certificate Server (AD CS) que ofrecerá servicios personalizados para la emisión y gestión de infraestructura de clave pública (PKI). Este rol incluirá las siguientes funciones (Podéis ver más en: http://technet.microsoft.com/es-es/library/hh831373.aspx)

  • Autoridad de Certificación (CA)
  • Inscripción web
  • Respuesta en línea
  • Servicio de inscripción de dispositivos de red
  • Política de inscripción de certificados de servicios Web
  • Inscripción de certificados de servicios Web

Se ha modificado el DCPROMO para que sea más sencillo de usar (Aunque no era complicado, pero bueno) con un nuevo asistente de promoción eficiente que se integra con el Administrador de servidores y se integra con PowerShell como no.

Este asistente nos ayudará por ejemplo con la integración de adprep en el proceso de instalación de AD DS reduciendo así las posibilidades de error. Incluso se podrá ejecutar de forma remota mediante powershell, el asistente realizará un testeo de nuestra infraestructura en busca de errores para poderlos solventar antes de hacer la promoción.

Se podrán desplegar controladores de dominio en la nube (privadas o públicas) (Bufff, ya estamos con la nube, pero que manía de llamar nube privada a un CPD), se podrán desplegar Domain Controller a través de clonaciones.

Dispondremos de asistentes que nos ayudarán a crear scripts en powershell de una forma muy sencilla.

El método de clonación es perfecto si queremos implementar AD DS en varias delegaciones al mismo tiempo (Es hora de que tengamos un domain controller por delegación, por muy pequeña que esta sea).

El proceso de clonación consiste en crear una copia de un controlador de dominio virtual existente, la que se autoriza el controlador de dominio de origen para ser clonado en AD DS, y con ello preparar un archivo de configuración que contendrá las instrucciones detalladas (nombre, dirección IP, DNS, …) Con todo ello reduciremos el número de pasos para realizar un dcpromo en una delegación remota.

El sistema está muy enfocado hacia el cloud en entornos híbridos, aunque por suspuesto que no hace falta disponer de un CPD en la nube para poder disfrutar de las características de este producto (Solo faltaría).

Windows Server 8 AD DS será más seguro de virtualizar (Por todos es conocido que al virtualizar un domain controller podemos tener problemas en la gestión del servidor de tiempo ya que un sistema virtual consulta su ntp sobre otro domain controller y puede tener problemas de sincronización y ofrecer un tiempo erróneo provocando errores en la autenticación de nuestros usuarios) Pero en este caso Microsoft se ha puesto las pilas en el tema y ha creado un sistema que es capaz de integrarse con la BIOS de la máquina física desde el entorno virtual a través de un driver específico para ello. En definitiva el sistema genera un identificador único que es expuesto por el hypervisor. Esto se llama GenerationID (quizá hablemos de ello en un futuro)..

La integración con Powershell es espectacular pudiendo incluso visualizar el script que se está ejecutando cuando realizamos por ejemplo una nueva GPO en el dominio. Este script lo podremos usar para automatizar las tareas que queramos de una forma sencilla.

DEDUPLICACIÓN. Ya en Windows Server 2003 R2 teníamos nuevas funcionalidades de deduplicación aunque creo que nunca vieron la luz en las empresas (no se porque), incluso disponemos desde antes de 2008 herramientas como fdupes para linux que con el parámetro –d te preguntaba que fichero querías almacenar y que copia no, pero bueno esto era un trabajo bastante manual y ahora es el momento de dejar atrás aquellos pesados backups, aquellos incrementos de la capacidad de nuestras máquinas virtuales cada 2 meses y poder disfrutar de un espacio compartido entre los ficheros duplicados. (Para los que no sepan que es la deduplicación os lo explico a grandes rasgos: la deduplicación es un sistema que crea punteros a los ficheros duplicados y elimina estos dejando una única copia del fichero duplicado) esta es la explicación a grandes rasgos, pero podréis encontrar multitud de información por internet, bueno al menos eso espero…)

Bueno pasando a la deduplicación en Windows server 8 decir que han conseguido a parte de deduplicar comprimir los ficheros y conseguir resultados de 2:1 en servidores de archivos y de hasta 20:1 en servidores virtualizados.

El sistema no consume grandes recursos de CPU ya que también está optimizado para ello. Incluso se podrá programar la deduplicación de los ficheros o incluso seleccionar que tipo de fichero queremos deduplicar y cuales no.

CREO haber entendido (Y si no es así, creo que sería una muy buena idea) que se puede deduplicar datos en servidores remotos, es decir que se pueda hacer una GEODeduplicación? es decir si tenemos los mismos ficheros en diferentes servidores incluso en diferentes delegaciones, el sistema será suficientemente inteligente como para dejar una única copia del fichero y punteros hacia los demás ficheros. Con la ayuda de BranchCaché podríamos disponer de una velocidad considerable en cuanto a la abertura de los ficheros remotos, a ver como acaba la historia, que tiene MUY buena pinta.

Y bueno, no me extiendo más que seguro que ya estáis cansados de tanto texto.

Para los que aún queréis más os dejo el siguiente enlace con más datos:

http://technet.microsoft.com/library/hh831802.aspx

Os dejo también las Guías de laboratorio de pruebas Beta de Windows Server “8” para que podáis ver de una forma práctica

http://social.technet.microsoft.com/wiki/contents/articles/7807.windows-server-8-beta-test-lab-guides.aspx

Saludos y hasta pronto.

Tags: , , , , , , , , , , , ,
Posteado por certificate, Microsoft, server, Windows, windows 8 | No Comments »

Crear certificado *.dominio desde entidad emisora de certificados.

Posteado por Xavier Xaus Nadal on 2nd mayo 2010

Buenas.

Desde hace algún tiempo que me rondaba por la cabeza como se haría para conseguir un certificado para cualquier servicio ofrecido desde mi dominio y en un Hands on Lab le pregunté a Juan Luis García Rambla (MVP Windows Security) y en no más de 5 segundos me hizo uno. (Por algo es MVP no??). Por cierto muchísimas gracias y enhorabuena por las formaciones de informática 64 son de un excelente nivel. Seguiré haciendo HOLs en la medida que el tiempo y el dinero me lo permita. Totalmente recomendados.

Gracias a la explicación de Juan Luís y a mi memoria fotográfica os muestro como hacerlo paso a paso.

Sigue leyendo MegaCrack »

Tags: , , , , , , , , , , , ,
Posteado por certificate, UAG 2010 | No Comments »