Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Pec2 Jaime Missael Tene Uyaguari

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 12

Enunciado – Ejercicio 1

1. En primer lugar, realizaremos el Diseño del Directorio. En la siguiente tabla


vemos parte de los trabajadores de la empresa y algunos de sus datos
personales:

Para poder escoger un identificador de usuario se tomo la primera letra del nombre, la
primera letra de la sede y el apellido del sujeto, por ejemplo, Jaime Tene de la sede en
Nueva York tendría jntene.

Nombre y apellidos Identificador de usuario Password Sede Departamento


Jaime Tene jntene d03er42a Nueva York Dirección
John Smith jlsmith p832zr65 Londres Ventas
Matias Connor mlconnor x34x3412 Londres Compras
Chris Stevens clstevens 765aGT23 Londres Administración
July Peters jppeters 40pYU321 Paris Ventas
Sandra Connor spconnor zHT12k11 Paris Compras
Alan Sanders apsanders Sjt1jt04 Paris Administración
Joel Smith josmith H32kwqa2 Oslo Ventas

Realizar un diseño del directorio.

El directorio se formó con una unidad organizativa como lo es usuarios, luego se


distribuyo por sedes para una mejor comprensión, así para cada sede se tiene cada uno
de los departamentos como son Dirección, Ventas, Administración y Compras. Cabe
recalcar que se añadió los departamentos a cada sede, pensando si en algún futuro pueda
darse un incremento de personal.

¿Qué clases de objetos identificas en el diseño de tu directorio? ¿Qué


atributos son obligatorios en cada una de las clases de objeto que identificas?

Se aprecian fundamentalmente organizaciones y personas, además de administradores,


los atributos que deberían ir son la contraseña, correo, nombres, apellidos, identificador
de usuario, el home directory, así como el login Shell.
2. Una vez que hemos diseñado la estructura de nuestro directorio, el siguiente
paso es realizar la implementación del mismo utilizando OpenLDAP.

a) Instalar los paquetes slapd y ldap-utils. Mostrad una captura de pantalla


donde se muestre que el servicio slapd esté ejecutándose.

b) Reconfigurar el servicio slapd para reconfigurar el sufijo (o DN base) de


tal forma que coincida con el nombre DNS de la empresa. Muestra capturas
de pantalla de las opciones de reconfiguración que has seleccionado.

En este caso se procedió a ingresar una ip del servidor.

Se escogió como nombre de dn, tal y como lo da la recomendación el nombre tal y


como se encuentra en su dominio.
Así mismo, se ingresó un nombre de administrador el cual podrá realizar los cambios en nuestro
directorio, tal y como lo muestra la siguiente figura.

También se procedió a realizar la configuración de slapd, donde recalcamos las opciones antes
configuradas.
Ingresamos el dominio de la organización, el cual ya teniamos dentro de la descripción del
enunciado.

Ingresamos el nombre de la organización.


3. Ahora vamos a comprobar el resultado del paso anterior realizando una
consulta al directorio, utilizando la herramienta ldapsearch. Para
familiarizarte con la herramienta puedes leer la información de su página de
manual (man ldapsearch).

a) En primer lugar, ejecuta una consulta ldapsearch anónima en la que


obtengas las entradas del directorio y se vea el resultado de la
reconfiguración del punto 2) Muestra una captura de pantalla y explica
cada una de las opciones que le has pasado a ldapsearch.

Siendo una búsqueda anónima, solamente bastó con ingresar -x, que se da para
autorizar la búsqueda, y -b que utiliza como punto de partida de la búsqueda la base,
que este caso es dc=impexpsa, dc=com.

b) Modifica ahora la consulta anterior para que la realice el usuario


cn=admin y sea necesario facilitar el password de este usuario para
obtener los resultados. Muestra una captura de pantalla y explica cada
una de las opciones que le has pasado a ldapsearch.

Para esta búsqueda se tomo en cuenta la parte del administrador, que ya se creo
anteriormente en el punto 2, por lo tanto debemos agregar con que usuario
necesitamos realizar la búsqueda, así mismo se añade -W que nos ayuda a dar una
autenticación mediante la línea de comandos.
c) ¿Obtienes los mismos resultados en los dos puntos anteriores? ¿Qué
conclusión sacas a partir de ello? Justifica la respuesta.

Como se realiza una búsqueda por medio de un usuario que tiene permisos de
administrador, obviamente los resultados no son lo mismo, mediante la búsqueda
anónima, simplemente podemos apreciar la organización con su dominio, como el
administrador del servidor. Pero con la búsqueda con administrador, nos ofrece un
amplio vistazo a cada una de las organizaciones y usuarios creados.

4. A continuación, hemos de replicar nuestro diseño de directorio en el


servidor OpenLDAP.

a) Crea un fichero ldif (con el nombre username.ldif, donde username es tu


nombre de usuario de la UOC) que contenga la jerarquía que has definido
en el diseño del directorio que has propuesto. Entrega este fichero ldif
con el PDF de las respuestas de la PEC.
b) Añade el contenido del directorio al servidor OpenLDAP con ldapadd,
explicando cada una de las opciones que le has pasado a la herramienta
ldapadd. Incluye una captura de pantalla de la ejecución del comando
anterior. Se recomienda familiarizarse con la herramienta ldapadd
leyendo su página de manual (man ldapadd).

Luego de haber creado el archivo jteneu.ldif se procedió a añadirlo con el siguiente


comando: ldapadd -x -D cn=admin,dc=impexpsa,dc=com -W -f jteneu.ldif.

5. Una vez hemos añadido los datos que corresponden con nuestro diseño del
directorio en nuestro servidor OpenLDAP, realizaremos las siguientes
operaciones

a) Realiza una consulta al directorio con ldapsearch que te devuelva todas las
unidades organizativas que tenemos. Muestra una captura de pantalla con la
ejecución del comando y el resultado.
b) Realiza una consulta al directorio con ldapsearch que te devuelva todos los
usuarios del directorio. Muestra una captura de pantalla con la ejecución del
comando y el resultado obtenido.
c) Crea un nuevo fichero ldif (con el nombre username_acl.ldif) para añadir una
nueva regla de control de acceso, que permita únicamente al usuario
responsable de la Administración de París (Alan Sanders) la información de
esta sede. Incluye este fichero en la entrega de la PEC junto con el PDF y el
fichero el apartado 4 a). Muestra una captura de pantalla de su contenido.

d) Utiliza la herramienta ldapmodify para añadir el fichero del apartado


anterior al directorio. Utiliza la página de manual de slapcat para
familiarizarte con la herramienta (man ldapmodify). Muestra una captura de
pantalla de la ejecución de ldapmodify y el resultado de la aplicación de la
ACL ejecutando una consulta con el usuario responsable de la
Administración de París (Alan Sanders) y la misma consulta con otro de los
usuarios.
Enunciado – Ejercicio 2
Disponemos de un IdP (Identity Provider) que tiene soporte completo a todos los
tipos de flujo de Open ID (https://www.myidp.com). En nuestro caso, somos un
proveedor de servicio donde estamos desarrollando una aplicación web de tipo SPA
(Single Page Application) donde deseamos autenticar al usuario y solicitarle acceso
para acceder a información sobre su identidad. La información de identidad está
disponible en la URL /userinfo del IdP, pero este endpoint está protegido por lo que
requiere la presencia de un ID token. Para la autenticación y autorización del
usuario se utilizará Authorization Code Flow with PKCE.

1. Detallar en un diagrama de secuencias las interacciones y parámetros que


deberemos implementar para autenticar, autorizar y acceder a la
información del usuario desde nuestra aplicación. Incluir un ejemplo de las
URLs así como de los parámetros utilizados justificando el valor utilizado en
cada uno de ellos.

El diagrama detallado tendría las siguientes secuencias:


1. La página web genera un verificador de código seguido de un código de desafío.
2. La página web dirige el navegador a la página de inicio de sesión del servidor de
autenticación, junto con el código de desafío generado.
3. El servidor de autorización redirige la solicitud de autenticación al usuario.
4. El usuario se autentica.

5. El servidor de autenticación redirige a su aplicación nativa con un código de autorización.


6. La página web envía este código, junto con el código de verificación, al servidor de
autenticación.
7. El servidor de autenticación evalúa el código PKCE.
8. El servidor de autenticación devuelve tokens de acceso e ID y, opcionalmente, un token
de actualización.
9. La página web ahora puede usar estos tokens para llamar al servidor de recursos en
nombre del usuario.
10. El servidor de recursos valida el token antes de responder a la solicitud.

2. ¿En qué casos se recomienda usar "Authorization Code Grant with PKCE"
respecto a su variante sin PKCE? Justifica la respuesta.

En aplicaciones nativas, el código que otorga el servidor de autorización puede ser


interceptado por aplicaciones maliciosas, haciéndose así con un token de acceso a
nuestros recursos protegidos. Es por ello por lo que el uso de la extensión PKCE, está
recomendada, si se usa este flujo en aplicaciones nativas.

RECURSOS:

• Ruiz, P. (2013, agosto 17). 11.7. Instalar y configurar OpenLDAP en el servidor Ubuntu.
SomeBooks.es. http://somebooks.es/12-7-instalar-y-configurar-openldap-en-el-servidor-
ubuntu/
• (S/f). Usenix.org. Recuperado el 29 de mayo de 2022, de
https://www.usenix.org/legacy/publications/library/proceedings/usenix2000/freenix/full_
papers/dutton/dutton_html/node15.html
• Seguir, S. (s/f). Autenticación remota y servicios de directorio LDAP. Slideshare.net.
Recuperado el 29 de mayo de 2022, de
https://pt.slideshare.net/seguridadelinux/autenticacin-remota-y-servicios-de-directorio-
ldap
• de Noelia, V. M. C. (s/f). ¿Cómo securizar tus APIs con OAuth? Paradigmadigital.com.
Recuperado el 29 de mayo de 2022, de https://www.paradigmadigital.com/dev/oauth-2-
0-equilibrio-y-usabilidad-en-la-securizacion-de-apis/
• Torres, G. (2019, abril 29). Integrar el flujo Authorization Code y PKCE para evitar
ataques de interceptación del código - return(GiS); return(GiS); Gisela Torres.
https://www.returngis.net/2019/04/integrar-el-flujo-authorization-code-y-pkce-para-
evitar-ataques-de-interceptacion-del-codigo/

También podría gustarte