3. Gestión de usuarios.
En un centro educativo son muchos los usuarios que han de utilizar la red informática. Su nivel de conocimiento de las distintas herramientas y servicios es muy variado, pero, además de este factor de heterogeneidad, debemos tener en cuenta, que el nivel de responsabilidad también va a ser muy distinto (administrador, profesorado, alumnos, etc.) por lo que debemos
establecer unas directrices, o políticas, que permitan un uso adecuado de la red. Podemos considerar la existencia de grupos de usuario ya que de esta forma facilitamos la gestión de las políticas de seguridad, pero, del mismo modo, debemos establecer unos parámetros para cada usuario individual.
Cuando hablamos de políticas de seguridad y de gestión y control de acceso a archivos y documentos debemos tener en cuenta las posibilidades de trabajo que ofrece el sistema operativo con el que estemos trabajando. Tanto Linux como Windows aportan opciones que pueden considerarse, en función de las experiencias y expectativas de los administradores, igualmente válidas. Por ello, no vamos a entrar a analizar en profundidad cada uno de estos elementos, simplemente, vamos a aportar una serie de variables que deben ser tenidas en cuenta, más, teniendo en cuenta, que pueden coexistir equipos con ambos sistemas
operativos en una misma red.
3.1. El entorno de trabajo.
El principal problema que nos encontramos cuando un profesor o un alumno acceden a un equipo conectado en una LAN es que, en la mayoría de las ocasiones desconoce cómo puede y debe actuar. Evidentemente, la formación en este sentido sería un elemento fundamental, sin embargo, ésta, debería estar dirigida a la utilización como usuario y no a su administración.
El administrador debe contemplar todos los factores que pueden incidir en facilitar el trabajo de los usuarios a la vez que lo protege de posibles cambios, por lo que debería, en primer lugar, procurar que el entorno que apareciera en cada equipo, fuera similar y, que los procedimientos que deba ejecutar el usuario sean similares con independencia de la máquina que esté empleando.
Para lograr este objetivo es necesario la utilización de diversas herramientas, sea cual sea el sistema operativo con el que se esté trabajando. En general, el entorno de trabajo de un usuario es el escritorio y el software que tiene instalado en su equipo, por lo que es conveniente adoptar las siguientes medidas:
• Garantizar que un usuario no autorizado pueda modificar la configuración del
escritorio o realizar instalaciones de programas.
• Crear un sistema que permita que las sesiones de trabajo de cada usuario sean almacenadas en servidor de manera que cuando inicie una sesión en un equipo distinto, le aparezca el mismo entrono que estaba empleando hasta ese momento.
• Mantener un sistema común a la hora de establecer la nomenclatura de las
distintas conexiones a unidades de red.
• Configurar un acceso común a las impresoras.
Para pensar:
En numerosas ocasiones encontramos que, por ejemplo, el fondo de escritorio ha sido modificado por algún alumno después de una visita a Internet, ¿se te ocurre alguna medida para evitar que esto se produzca?
Otro de los factores a tener en cuenta es que el usuario es muchas veces, y debido a
la falta de conocimiento, el causante de errores en los equipos y, por ello, es también
conveniente crear sistemas que permitan un sistema eficiente de autentificación y de
gestión de permisos. Con usuarios autentificados se permite, por un lado, un acceso
restringido a la red de usuarios que no pertenezcan al centro y, por otro, restringir el
acceso a determinados elementos de la red, y, por tanto, un control exhaustivo de quién
puede hacer qué.
La forma óptima de conseguir esto es, por un lado, la creación de un perfil estándar a
partir del cual se generen los perfiles de todos los usuarios y, por otro, almacenar todos
estos perfiles en un servidor de manera que cuando un usuario se identifique al acceder a
la red, la máquina local en la que se encuentre cargue la configuración de su escritorio
(ya sea en Windows o en Linux) y los parámetros de la última sesión guardada.
3.2. Autentificación de usuarios y permisos de red.
Cuando estamos trabajando con un sistema operativo multiusuario, debe existir un método ue permite identificar a cada uno de los usuarios. Tanto en windows como en linux o netware, existe un procedimiento para realizar esta operación. Esto es necesario ya que en función de cada usuario el sistema debe facilitarle unos privilegios.
o Kerberos es el sistema de autentificación usado en windows 2000/Active
directory. Todos los datos trasmitidos a la hora de identificarse el usuario lo
hacen de forma cifrada.
o Los certificados digitales son certificados de instituciones que garantizan
que la información del usuario y su clave pública son veraces.
o La autentificación biométrica es una de las tecnologías que se están
incorporando actualmente a los equipos domésticos y que permiten la
identificación del usuario mediante su huella dactilar.
a) Linux.
Ya desde sus orígenes Linux nació como un sistema multiusuario y desde el mismo proceso de instalación exige la existencia de un administrador denominado “root” y solicita la creación de otros usuarios con una serie de privilegios. La única forma de acceder al sistema es poseer una cuenta que habilite a cada usuario. Cada usuario, además, pertenece a un grupo propio y pueden crearse nuevos grupos con el fin de compartir carpetas, puntos de montaje u otros elementos que puedan tener en común distintos usuarios. Tanto los usuarios como los grupos son identificados con un número único asignado a la conexión.
La capacidad de linux a la hora de otorgar permisos es muy amplia ya que este sistema operativo permite determinar qué usuarios pueden acceder a qué carpetas y con qué derechos permitiendo así una absoluta flexibilidad. Si accedemos a cualquier archivo en linux observamos cómo, en función de si se trata del root, del usuario propietario de ese archivo o de un grupo de usuarios, dispone de una serie de privilegios sobre dicho archivo.
b) Windows.
Los sistemas de windows han sufrido una gran evolución desde sus orígenes. La versión 3.x de windows comenzó a implementar opciones de trabajo en grupo, posteriormente, y a partir, sobre todo, de Windows 98 y, especialmente, de windows NT se crearon opciones de trabajo en red de gran potencia dentro de sistemas igual a igual o cliente-servidor. Las últimas versiones de windows se asimilan bastante en prestaciones a las proporcionadas por linux, si bien presentan grandes diferencias en lo que respecta a su arquitectura interna y funcionalidad. Las directivas del sistema
permiten realizar este control en los distintos sistemas operativos windows, pudiéndose aplicar restricciones mediante la creación de archivos de directivas de sistema que pueden ser aplicados a usuarios individuales o a grupos. Otra forma de realizar esta tarea es accediendo directamente al registro de Windows mediante los programas poledit (windows 98 o regedit (windows 2000), sin embargo, se pueden cometer errores tipográficos de difícil localización y que generen mal funcionamiento del equipo.
En un centro educativo son muchos los usuarios que han de utilizar la red informática. Su nivel de conocimiento de las distintas herramientas y servicios es muy variado, pero, además de este factor de heterogeneidad, debemos tener en cuenta, que el nivel de responsabilidad también va a ser muy distinto (administrador, profesorado, alumnos, etc.) por lo que debemos
establecer unas directrices, o políticas, que permitan un uso adecuado de la red. Podemos considerar la existencia de grupos de usuario ya que de esta forma facilitamos la gestión de las políticas de seguridad, pero, del mismo modo, debemos establecer unos parámetros para cada usuario individual.
Cuando hablamos de políticas de seguridad y de gestión y control de acceso a archivos y documentos debemos tener en cuenta las posibilidades de trabajo que ofrece el sistema operativo con el que estemos trabajando. Tanto Linux como Windows aportan opciones que pueden considerarse, en función de las experiencias y expectativas de los administradores, igualmente válidas. Por ello, no vamos a entrar a analizar en profundidad cada uno de estos elementos, simplemente, vamos a aportar una serie de variables que deben ser tenidas en cuenta, más, teniendo en cuenta, que pueden coexistir equipos con ambos sistemas
operativos en una misma red.
3.1. El entorno de trabajo.
El principal problema que nos encontramos cuando un profesor o un alumno acceden a un equipo conectado en una LAN es que, en la mayoría de las ocasiones desconoce cómo puede y debe actuar. Evidentemente, la formación en este sentido sería un elemento fundamental, sin embargo, ésta, debería estar dirigida a la utilización como usuario y no a su administración.
El administrador debe contemplar todos los factores que pueden incidir en facilitar el trabajo de los usuarios a la vez que lo protege de posibles cambios, por lo que debería, en primer lugar, procurar que el entorno que apareciera en cada equipo, fuera similar y, que los procedimientos que deba ejecutar el usuario sean similares con independencia de la máquina que esté empleando.
Para lograr este objetivo es necesario la utilización de diversas herramientas, sea cual sea el sistema operativo con el que se esté trabajando. En general, el entorno de trabajo de un usuario es el escritorio y el software que tiene instalado en su equipo, por lo que es conveniente adoptar las siguientes medidas:
• Garantizar que un usuario no autorizado pueda modificar la configuración del
escritorio o realizar instalaciones de programas.
• Crear un sistema que permita que las sesiones de trabajo de cada usuario sean almacenadas en servidor de manera que cuando inicie una sesión en un equipo distinto, le aparezca el mismo entrono que estaba empleando hasta ese momento.
• Mantener un sistema común a la hora de establecer la nomenclatura de las
distintas conexiones a unidades de red.
• Configurar un acceso común a las impresoras.
Para pensar:
En numerosas ocasiones encontramos que, por ejemplo, el fondo de escritorio ha sido modificado por algún alumno después de una visita a Internet, ¿se te ocurre alguna medida para evitar que esto se produzca?
Otro de los factores a tener en cuenta es que el usuario es muchas veces, y debido a
la falta de conocimiento, el causante de errores en los equipos y, por ello, es también
conveniente crear sistemas que permitan un sistema eficiente de autentificación y de
gestión de permisos. Con usuarios autentificados se permite, por un lado, un acceso
restringido a la red de usuarios que no pertenezcan al centro y, por otro, restringir el
acceso a determinados elementos de la red, y, por tanto, un control exhaustivo de quién
puede hacer qué.
La forma óptima de conseguir esto es, por un lado, la creación de un perfil estándar a
partir del cual se generen los perfiles de todos los usuarios y, por otro, almacenar todos
estos perfiles en un servidor de manera que cuando un usuario se identifique al acceder a
la red, la máquina local en la que se encuentre cargue la configuración de su escritorio
(ya sea en Windows o en Linux) y los parámetros de la última sesión guardada.
3.2. Autentificación de usuarios y permisos de red.
Cuando estamos trabajando con un sistema operativo multiusuario, debe existir un método ue permite identificar a cada uno de los usuarios. Tanto en windows como en linux o netware, existe un procedimiento para realizar esta operación. Esto es necesario ya que en función de cada usuario el sistema debe facilitarle unos privilegios.
o Kerberos es el sistema de autentificación usado en windows 2000/Active
directory. Todos los datos trasmitidos a la hora de identificarse el usuario lo
hacen de forma cifrada.
o Los certificados digitales son certificados de instituciones que garantizan
que la información del usuario y su clave pública son veraces.
o La autentificación biométrica es una de las tecnologías que se están
incorporando actualmente a los equipos domésticos y que permiten la
identificación del usuario mediante su huella dactilar.
a) Linux.
Ya desde sus orígenes Linux nació como un sistema multiusuario y desde el mismo proceso de instalación exige la existencia de un administrador denominado “root” y solicita la creación de otros usuarios con una serie de privilegios. La única forma de acceder al sistema es poseer una cuenta que habilite a cada usuario. Cada usuario, además, pertenece a un grupo propio y pueden crearse nuevos grupos con el fin de compartir carpetas, puntos de montaje u otros elementos que puedan tener en común distintos usuarios. Tanto los usuarios como los grupos son identificados con un número único asignado a la conexión.
La capacidad de linux a la hora de otorgar permisos es muy amplia ya que este sistema operativo permite determinar qué usuarios pueden acceder a qué carpetas y con qué derechos permitiendo así una absoluta flexibilidad. Si accedemos a cualquier archivo en linux observamos cómo, en función de si se trata del root, del usuario propietario de ese archivo o de un grupo de usuarios, dispone de una serie de privilegios sobre dicho archivo.
b) Windows.
Los sistemas de windows han sufrido una gran evolución desde sus orígenes. La versión 3.x de windows comenzó a implementar opciones de trabajo en grupo, posteriormente, y a partir, sobre todo, de Windows 98 y, especialmente, de windows NT se crearon opciones de trabajo en red de gran potencia dentro de sistemas igual a igual o cliente-servidor. Las últimas versiones de windows se asimilan bastante en prestaciones a las proporcionadas por linux, si bien presentan grandes diferencias en lo que respecta a su arquitectura interna y funcionalidad. Las directivas del sistema
permiten realizar este control en los distintos sistemas operativos windows, pudiéndose aplicar restricciones mediante la creación de archivos de directivas de sistema que pueden ser aplicados a usuarios individuales o a grupos. Otra forma de realizar esta tarea es accediendo directamente al registro de Windows mediante los programas poledit (windows 98 o regedit (windows 2000), sin embargo, se pueden cometer errores tipográficos de difícil localización y que generen mal funcionamiento del equipo.
La idea fundamental en la que se basa la autentificación de usuarios es conocer, con certeza, quién está accediendo a la red en cada momento y qué permisos tiene para modificar la estructura de software creada. Algunas de las operaciones que pueden realizarse son:
• Restricción de las aplicaciones de manera que se instalen aquellas que se consideran necesarias y altamente estables y compatibles entre sí, evitando la instalación de otras que no tengan esas garantías.
o Impedir que aparezca el comando ejecutar en el menú inicio, impidiendo así, que puedan ejecutarse aplicaciones del sistema o programas no deseados.
o Crear una lista común de archivos ejecutables accesibles a los usuarios, eliminado de ella aquellos ejecutables que no deseemos que puedan ser empleados por personas que no sean administradores o no dispongan de determinados privilegios.
o Evitar el acceso al símbolo del sistema evitando que se puedan ejecutar
comandos de MS-DOS.
• Evitar la modificación del interfaz creando uno estándar de manera que no se
tenga acceso a determinadas funciones del escritorio.
o Restringir las opciones de configuración de los distintos elementos del
panel de control.
o Evitar el acceso a las distintas herramientas de configuración del registro.
o Evitar que se modifiquen elementos de configuración del monitor.
Nota:
Windows 98 dispone de la herramienta poledit para la edición del registro del sistema operativo, mientras que windows 2000 dispone de regedit. Estos editores se pueden utilizar desde el comando ejecutar del menú inicio. TweakUi es otra herramienta de Windows que facilita el control del entorno de trabajo.
• Evitar el acceso a determinados archivos o unidades de disco y de red.



