Red Hat Identity Management – Características y Beneficios en una organización

Etiquetas: Linux, Seguridad

Introducción

Red Hat Identity Management (en adelante IdM) es un producto de la compañía de software americana Red Hat®, que está diseñado para proveer un servicio de administración de identidades para un rango amplio de objetos, esencialmente equipos de cómputo, mismos que incluyen sistemas operativos Linux, Mac, y Microsoft Windows. Su funcionamiento se da bajo un marco de trabajo enriquecido basado en la combinación de servicios diversos servicios, tales como LDAP, Kerberos, DNS, y PKI (Infraestructura de Llave Pública).

IdM está incluido en la suscripción de Red Hat® Enterprise Linux® desde la versión 6.2 (y posteriores), y con este se permite simplificar la administración de identidades, reducir la carga administrativa de un gran número de sistemas Red Hat® Enterprise Linux® (RHEL) logrando reducir costos e incrementar los niveles de seguridad dentro de una organización, ya que, de estar bien implementado, se pueden dar cumplimiento a estándares sobre administración de accesos y de identidades.

Por otra parte, contamos con productos como Red Hat Directory Server® y 389 Directory Server, uno de paga y otro Open Source. en origen, cuentan con la misma base que el IdM, que es el OpenLDAP, sin embargo, su configuración y su finalidad es muy diferente. Esta radica en servir como backend de almacenamiento de aplicaciones genéricas.

El presente documento no veremos la instalación de estos últimos productos, sin embargo, se mencionarán sus características.

  1. Objetivos

Implementar y documentar Red Hat Identity Managment (IdM) en una organización, teniendo como ejes centrales los siguientes puntos:

  • Contar con un control de identidades de equipos que se encuentran en ambientes productivos
  • Establecer un estándar de manejo de identidades para equipos que sean de nuevo ingreso
  • Reducir la carga administrativa de un gran número de sistemas Red Hat Enterprise Linux®
  • Reducir costos e incrementar los niveles de seguridad dentro de una organización
  1. Conceptos elementales

De acuerdo con la Real Academia de la Lengua Española, la definición del término identidad viene del latín tardío identĭtas, -ātis, y este derivado del latín idem que significa ‘el mismo’, ‘lo mismo’, sin embargo, para mayor claridad y dando continuidad con la RAE, tenemos que identidad tiene las siguientes asunciones:

  • Cualidad de idéntico
  • Conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás
  • Conciencia que una persona tiene de ser ella misma y distinta a las demás.
  • Hecho de ser alguien o algo el mismo que se supone o se busca.
  • Igualdad algebraica que se verifica siempre, cualquiera que sea el valor de sus variables.

De la cual nos quedamos con las definidas en a) y b). Basado en esto, cuando se habla de identidad, se debe de considerar lo siguiente:

  • Usualmente un sujeto piensa en que una identidad puede ser una persona o un usuario, sin embargo, también dentro de este entorno es considerado como identidad, una computadora e incluso también se les considera identidad a simples programas (que a menudo tienen la necesidad de contar con una identidad propia en orden de ser autorizados para llevar a cabo operaciones de red)
  • Las identidades, a menudo son administradas a en grupos para aplicar decisiones de autorización para múltiples objetos similares en una forma simple y consistente
  1. ¿Qué es IdM?

Con frecuencia, el IdM es descrito como el “Directorio Activo para Linux”, ya que al incluir servicios como LDAP, Kerberos, DNS y una PKI, el IdM brinda un servicio de identidades. El uso primordial de IdM, se da para proveer servicios de identidad para clientes Linux, haciendo uso de protocolos abiertos y bien establecidos y claramente mencionados.

En resumen, podríamos sintetizar que el IdM, lo describen los siguientes puntos:

  • Identity Management en Red Hat® Enterprise Linux® y es una tecnología para el manejo de identidades, grupos de usuarios, equipos, servicios y controles de acceso
  • Es una solución basada sobre FreeIPA [1] (o solo IPA) que, dicho sea de paso:
    • FreeIPA es un proyecto open source que fue iniciado en 2007
    • FreeIPA v1 fue liberado en 2008
    • Actualmente se encuentra disponible FreeIPA v4 (4.6.3)
  • IdM es una solución que almacena información de identidades, políticas relacionadas a identidades centralizada y que ayuda a lleva a cabo procesos de autenticación
  • IdM atiende Identidad, Política y Auditoría
  • IdM de Red Hat, es considerado como el controlador de dominio para ambientes Linux/UNIX
  • Es una aplicación que fue desarrollada sobre tecnologías, protocolos y componentes de código abierto y de gran reconocimiento
  1. Conceptos elementales

El IdM hace estas tres cosas:

  • Crear un controlador de dominio basado en Linux. Esto lo busca hacer de dos formas, con servidores IdM y clientes IdM que estén sobre sistemas Linux. Mientras el IdM puede sincronizar datos con un dominio Active Directory con el objetivo de buscar integración con servidores Windows, cabe aclarar que el IdM, no es un servicio en donde se pueda administrar máquinas con Windows, el Identity Management es un producto para la administración de dominios Linux (entre otras cosas)
  • Centralizar el manejo de identidades y políticas
  • Soporte nativo para aplicaciones y protocolos que manejen los sistemas operativos Linux.
  1. Características generales del IdM

Identity Management in Red Ha Enterprise Linux® esta diseñado e integrado desde la versión de Red Hat Enterprise Linux 6.2 (y posteriores) con varias intenciones, entre las que destacan la de simplificar la administración de identidades, de reducir el costo y la carga administrativa de equipos (Unix/Linux) y personas dentro de una organización. A manera de resumen, a continuación, se sintetizan las características del IdM:

  • Su instalación es sencilla y clara, además de su administración
  • El IdM cuenta con servicios integrados y conocidos en entornos Linux/Unix, tales como NFS, automount, NIS, NTP, Kerberos, y DNS que han sido tecnologías estándar confiables en la industria tecnológica
  • Migraciones transparentes de servicios como LDAP y NIS.
  • Capacidad de escalabilidad hasta para 20 servidores y réplicas, y un número ilimitado de servidores para un solo dominio.
  • Diseñado específicamente para ambientes Linux
  • Administración de procesos de autenticación de forma centralizada a través de métodos claros:
    • Manejo de identidades para usuarios, equipos, y servicios que estén implementados en las organizaciones (grandes o pequeñas)
    • Se proveen mecanismos de seguridad para la administración de lo antes mencionado (equipos, usuarios, identidades)
  • Manejo de Infraestructura de Llave Publica Integrada (PKI) en relación con:
    • Servicios de PKI para firmar y publicar certificados para hosts y servicios
    • Manejo de Listas de revocación de certificados (CRL, Certificate Revocation List) y servicios bajo el uso del Protocolo de Estado en Línea de Certificados (OCSP, Online Certificate Status Protocol) para el firmado y validación de certificados para software
    • Manejo de solicitudes de API’s para encontrar y mostrar certificados
  • Manejo granular sobre el control de acceso, lo que permite definir políticas de control de acceso para el manejo de identidades. Esto es, el administrador puede también delegar actividades administrativas específicas a otros usuarios (o inclusive super usuarios), en pro de definir una separación de responsabilidades clara y limpia.
  • Manejo de contraseñas de un solo uso (OTP, One Time Password), con la característica, de autenticación de doble factor (2FA, two-factor authentication), se busca manejar tokens para ser usados solo una vez, aumentando la seguridad en el firmado de los sistemas que se encuentren en la organización.
  • Cuenta con la interoperabilidad con dominios Microsoft Active Directory (AD), ya que en su implementación se permite:
    • La creación y manejo de dominios de confianza con Active Directory a través de bosques (de kerberos), haciendo posible que usuarios puedan acceder a recursos de ambientes Unix/Linux (que estén dentro del dominio Identity Management) a través del AD
    • Establecer la forma de obtener información a través del Active Directory (AD) de primera mano
    • Simplificar la configuración necesaria para unir equipos a un dominio o reino en una forma estándar.
  • Proveer SSO (Single Sign-on empresarial) – Habilita a usuarios para el acceso a diferentes recursos de otras organizaciones después de un log-in inicial, sin tener que volver a proveerlos. Al integrarse esta característica en el IdM, se puede mejorar la usabilidad de los sistemas, se reduce el riesgo de seguridad en el manejo de contraseñas y se mejora la productividad del usuario
  • Escalabilidad – Soporta un número creciente de sistemas en un centro de datos
  • Integración – Integra de forma transparente al ciclo de vida de administración, aprovisionamiento y decisiones de flujos de trabajo de una organización
  • Granularidad de accesos y privilegios – Provee de mayores y avanzadas capacidades que un LDAP, ya que se contemplan accesos basados en host, control sobre elevación de privilegios, y administración de Certificados
  • Interoperabilidad – Da la posibilidad de convivencia de infraestructuras Windows y Linux para la administración de Identidades permitiendo administrar ambientes mixtos:
  • Extiende el alcance – Extiende el alcance de Directorios Activos existentes dentro de una organización al incluir sistemas Unix y Linux para su administración
  • Mejora de niveles de seguridad – Centraliza la autenticación, se establece autorización basada en controles de acceso granulares para ambientes UNIX/Linux
  • proveer de una contraseña y usuario en repetidas ocasiones
  • Implementación e integración de estándares soportados en la industria – Interacción de componentes que integra funcionalidades de Kerberos, LDAP, DNS y certificados x.509 dentro de una solución de administración de identidades
  • Reducción de costos – Se pueden reemplazar soluciones de terceros de administración de identidades
  • Separación de responsabilidades – Permite a los administradores de sistemas operativos Linux y Windows separar sus actividades de TI dentro de la organización
  • Herramientas de administración – Provisión de herramientas y flujos de trabajo dentro del ciclo de vida de la administración de la organización
  • Administración y control centralizado – Permite a los administradores de sistemas Linux fácilmente consolidar y administrar servidores de identidades en un ambiente UNIX/Linux y Windows; con la posibilidad de interoperar con un Directorio Activo, además permite separar claramente responsabilidades de los usuarios dentro de la organización
  1. Bibliografía

Deja un comentario