Prácticas recomendadas
-
Instalar la sincronización de contraseña en controladores de dominio adecuados Para garantizar la sincronización coherente de las contraseñas de dominio con contraseñas de UNIX, la sincronización de contraseña debe instalarse en el controlador de dominio principal y, en el caso de un dominio de Windows 2000, en todos los controladores de dominio pertenecientes a un dominio.
-
Si agrega un controlador de dominio a un dominio, debe instalar la sincronización de contraseña en el nuevo controlador de dominio tan pronto como sea posible y configurarlo para que coincida con los otros controladores de dominio.
-
Si necesita quitar la sincronización de contraseña de un controlador de dominio, debe disminuir el nivel del servidor a un servidor miembro antes de desinstalar la sincronización de contraseña.
-
Si agrega un controlador de dominio a un dominio, debe instalar la sincronización de contraseña en el nuevo controlador de dominio tan pronto como sea posible y configurarlo para que coincida con los otros controladores de dominio.
-
Garantizar directivas de contraseñas coherentes Si solo va a establecer la sincronización de contraseña de una dirección, asegúrese de que la directiva de contraseñas del equipo desde el que se sincronizarán las contraseñas sea al menos tan restrictiva en todas las áreas como la directiva del equipo al que se sincronizarán las contraseñas. Por ejemplo, si configura la sincronización de Windows a UNIX, la directiva de contraseñas de Windows debe ser al menos tan restrictiva como la directiva de los equipos UNIX con los que sincronizará contraseñas. Si va a usar la sincronización de contraseña de dos direcciones, las directivas de contraseñas deben ser igualmente restrictivas en ambos sistemas. El uso de directivas de contraseñas incoherentes puede dar lugar a un error de sincronización cuando un usuario cambie una contraseña en el sistema menos restrictivo; o la contraseña podría cambiarse en el sistema más restrictivo, aunque incumpla las directivas del sistema.
Asegúrese de que los usuarios de Windows estén al corriente de cualquier restricción especial que afecte a las contraseñas en los sistemas UNIX con los que se sincronizarán sus contraseñas. Por ejemplo, algunas versiones de UNIX admiten una longitud máxima de contraseña de ocho caracteres. Para lograr la máxima compatibilidad con la directiva de contraseñas predeterminada de Windows y con las limitaciones de UNIX, las contraseñas deben tener una longitud de siete u ocho caracteres, a menos que esté seguro de que todos los sistemas UNIX admiten contraseñas con una longitud mayor.
-
Configurar la sincronización de contraseña para proporcionar la máxima protección para las contraseñas de los usuarios
Siga estas recomendaciones para mantener una seguridad óptima:
-
Enumerar explícitamente la lista de usuarios cuyas contraseñas se van a sincronizar Para proporcionar el máximo control sobre qué usuarios pueden sincronizar contraseñas, no use la palabra clave ALL con la lista SYNC_USERS en el archivo sso.conf del host de UNIX. En su lugar, debe enumerar explícitamente cada uno de los usuarios para los que la sincronización de contraseña esté permitida o bloqueada. En el equipo basado en Windows en el que se ejecuta la sincronización de contraseña, cree el grupo PasswordPropAllow y agregue las cuentas de los usuarios cuyas contraseñas desea sincronizar. Para obtener más información, consulte Control de la sincronización de contraseña para cuentas de usuario.
-
No sincronizar contraseñas para cuentas UNIX deshabilitadas En algunas versiones de UNIX, cambiar la contraseña de una cuenta de usuario deshabilitada activa la cuenta. Como consecuencia, si un usuario tiene una cuenta deshabilitada en un equipo UNIX que está configurado para sincronizar contraseñas con un equipo basado en Windows, el usuario o el administrador pueden activar la cuenta de UNIX cambiando la contraseña del usuario en Windows. Para evitar esto, use el grupo PasswordPropDeny para bloquear la sincronización para cuentas de UNIX deshabilitadas.
Asimismo, cuando un administrador deshabilite una cuenta de UNIX, debe usar la entrada SYNC_USERS del archivo sso.conf para bloquear la sincronización de contraseña para la cuenta.
-
Evitar la sincronización de contraseñas de administrador No sincronice contraseñas de administrador para miembros de los grupos Administradores de Windows o las contraseñas de superusuario de UNIX o de cuentas raíz.
-
Realizar la comprobación de compatibilidad de Windows Server 2003 Service Pack 1 (SP1) al habilitar Windows to NIS (Active Directory) password synchronization en el cuadro de diálogo Password Synchronization Properties de la ficha Configuration. Para proteger la seguridad de las contraseñas de cuentas de usuario en su empresa, se recomienda permitir que la sincronización de contraseña identifique todos los controladores de dominio del bosque en los que no se ejecute Windows Server 2003 SP1 o versiones posteriores.
La sincronización de contraseña le solicitará que permita una comprobación de compatibilidad al seleccionar Enable en el área Windows to NIS (Active Directory) password synchronization. Con Windows Server 2003 SP1, o una versión posterior instalada en todos los controladores de dominio de un bosque, el riesgo de exponer los algoritmos hash de contraseña a personas no autorizadas se reduce enormemente. Cuando Windows Server 2003 SP1 no se encuentra en el nivel funcional mínimo de todos los controladores de dominio de un bosque, es posible que un usuario autenticado en el dominio vea el hash de contraseña para cualquier usuario de UNIX cuya cuenta se haya migrado a los Servicios de dominio de Active Directory (AD DS).
En el caso de que un usuario no autorizado infrinja el hash de contraseña de una cuenta de usuario basada en UNIX en AD DS, la contraseña basada en Windows para esa cuenta dejará de ser segura.
-
Enumerar explícitamente la lista de usuarios cuyas contraseñas se van a sincronizar Para proporcionar el máximo control sobre qué usuarios pueden sincronizar contraseñas, no use la palabra clave ALL con la lista SYNC_USERS en el archivo sso.conf del host de UNIX. En su lugar, debe enumerar explícitamente cada uno de los usuarios para los que la sincronización de contraseña esté permitida o bloqueada. En el equipo basado en Windows en el que se ejecuta la sincronización de contraseña, cree el grupo PasswordPropAllow y agregue las cuentas de los usuarios cuyas contraseñas desea sincronizar. Para obtener más información, consulte Control de la sincronización de contraseña para cuentas de usuario.
Cuando se instala la sincronización de contraseña, los miembros del grupo local Administradores y el grupo Administradores de dominio se agregan al grupo PasswordPropDeny, que evita que sus contraseñas se sincronicen. Si agrega un usuario a los grupos Administradores o Administradores de dominio, asegúrese de agregar también el usuario al grupo PasswordPropDeny.
Modifique la instrucción SYNC_USERS en el archivo sso.conf de todos los sistemas basados en UNIX para evitar que las contraseñas de superusuarios se sincronicen.
-
No usar la clave de cifrado y el número de puerto predeterminados Mantener la clave de cifrado y el número de puerto predeterminados permite que un atacante configure un host de UNIX de suplantación para capturar contraseñas. Debe proteger las claves de cifrado y el número de puerto usados para sincronizar contraseñas con el mismo cuidado que las propias contraseñas.
-
Proteger el archivo sso.conf El archivo sso.conf de cada host de UNIX incluye información de configuración importante que podría ser usada para comprometer la seguridad. Se recomienda establecer la máscara de bits de modo del archivo en 600.
-
Asegurarse de que el directorio identificado por TEMP_FILE_PATH esté correctamente protegido Los archivos temporales creados en hosts de UNIX por la sincronización de contraseña contienen información que podría ser usada por un atacante para comprometer la seguridad del sistema. Por esta razón, debe asegurarse de que cualquier directorio al que TEMP_FILE_PATH haga referencia en sso.conf permita el acceso de lectura solamente para la cuenta root y ningún otro usuario pueda obtener acceso al mismo.
-
Asegurarse de que los archivos de registro estén correctamente protegidos En el host de UNIX, la sincronización de contraseña usa el demonio syslogd para registrar los mensajes resultantes de operaciones de sincronización. Los archivos de registro resultantes incluyen información como los nombres de los usuarios cuyas contraseñas se están sincronizando y los equipos con los que se sincronizan, errores de propagación, etc. Estos archivos de registro deben protegerse para garantizar que sólo puedan verlos los administradores.
-
Reiniciar el demonio de sincronización de contraseña después de cambiar su configuración Cuando realice cambios en el archivo de configuración del demonio de sincronización de contraseña (sso.conf), debe detener y reiniciar el demonio para que los cambios surtan efecto.
-
Configurar los sistemas para administrar correctamente la distinción entre mayúsculas y minúsculas para los nombres de usuario A menos que aplique rigurosamente una directiva para garantizar que los nombres de usuario de Windows y UNIX coincidan en la ortografía y el uso de mayúsculas y minúsculas, compruebe que la opción CASE_IGNORE_NAME del archivo sso.conf se haya establecido en 1 (el valor predeterminado). Los nombres de usuario de UNIX distinguen entre mayúsculas y minúsculas; por tanto, las contraseñas no se sincronizarán correctamente si los nombres de usuario no son idénticos porque el demonio de sincronización de contraseña no puede asociar el nombre de usuario de Windows con el nombre de usuario de UNIX correspondiente.
-
Asegurarse de que el tipo de archivo de contraseña y el nombre sean coherentes Cuando configure el demonio de sincronización de contraseña, compruebe que el tipo de archivo de contraseña (especificado por USE_SHADOW) y el nombre de ruta (especificado por FILE_PATH) sean apropiados. Por ejemplo, en la mayoría de los sistemas, si USE_SHADOW se ha establecido en 0 (para indicar que el archivo passwd se usa para la sincronización), la opción FILE_PATH debe establecerse en /etc/passwd. No obstante, si USE_SHADOW se establece en 1 (para indicar que se use el archivo shadow en su lugar), la opción FILE_PATH debe establecerse en /etc/shadow. En sistemas IBM AIX, la ruta y el nombre del archivo shadow es /etc/security/passwd.