El Salvador
websys@itcgapps.com

Validación o autorización

Bitácora de temas

Validación o autorización

Es importante comprender que, a efectos de Active Directory, la autenticación y la validación son dos procesos completamente diferentes. En tanto la autenticación busca comprobar que las credenciales pertenezcan a la entidad que dice ser, la validación determina si una entidad ya autenticada tiene permitido o no acceder a un recurso especifico.

Lista de control de acceso.

En los sistemas operativos Windows la validación es realizada a través del elemento conocido como Lista de Control de Acceso (ACL, por sus siglas en inglés: Access Control List).

Una lista de control de acceso es lo que los usuarios comúnmente conocen como el listado de permisos. Esto debido a que la lista está conformada por una serie de entradas de control de acceso (ACE., por sus siglas en inglés: Access Control Entry) que determinan si una entidad tiene o no permitido un acceso al recurso. De igual manera, todo recurso existente en un sistema operativo Windows, dispone de una lista de control de acceso, entendiendo que bajo el término recurso podríamos hablar de una carpeta, un archivo o un dispositivo hardware.

Mas puntualmente, una entrada de control de acceso consiste en la especificación de un principal de seguridad (identificado por su identificador de seguridad) más la denotación de un permiso que se permite o deniega.  Por ejemplo, para una carpeta de nombre Informes, una entrada de control de acceso podría especificar que el grupo de usuarios de Ventas tiene permitida la lectura del contenido de toda la carpeta, en tanto que otra entrada de control de acceso determinaría que el usuario Juan Perez tiene permitido renombrar un archivo en particular de es carpeta, etc.

Funcionamiento de la validación.

La validación entonces es realizada cuando una entidad intenta realizar un acceso a un recurso, momento en el cual el subsistema de seguridad del sistema operativo toma la solicitud y evalúa los identificadores de seguridad que son presentados en dicha solicitud contra la lista de control de acceso. Esto quiere decir que se analiza el identificador de seguridad (SID) del usuario que intenta acceder al recurso para determinar si la lista de control de acceso posee una entrada que posibilite a dicho usuario el realizar alguna acción sobre tal recurso.

En los dominios Active Directory, dado que el usuario obtiene un TGT como resultado del proceso de autenticación, la validación evaluará no solo el identificador de seguridad del usuario sino también los identificadores de seguridad para el equipo desde el cual inició sesión, así como los identificadores de seguridad para todos y cada uno de los grupos a los cuales el usuario pertenece.

Continuando el caso de la carpeta Informes, en el momento que la usuaria Karla Cruz, en su calidad de representante de ventas, solicita ingresar a la carpeta, el subsistema de seguridad evaluará:

  1. ¿Existe una entrada de control de acceso explicita para el identificador de seguridad de la cuenta de usuario Karla Cruz? De ser así, se obtendrá el nivel de acceso indicado por el permiso registrado en la ACE.
  2. ¿Existe una entrada de control de acceso explicita para el identificador de seguridad de la cuenta de equipo desde la que Karla Cruz inició sesión? De ser así, se obtendrá el nivel de acceso indicado por el permiso registrado en la ACE.
  3. ¿Existe una entrada de control de acceso explicita para el identificador de seguridad del grupo de Ventas? De ser así, se obtendrá el nivel de acceso indicado por el permiso registrado en la ACE.

Para nuestro ejemplo, como se aprecia en la figura superior, únicamente existe una entrada de control de acceso para el grupo de Ventas (al cual pertenece la usuaria), no se ha especificado una entrada de control de acceso para la cuenta de usuario de Karla Cruz ni existe una entrada de control de acceso para el equipo desde el cual ella inició sesión. Por esto, el proceso de validación determinaría que el acceso valido para la usuaria corresponde a la entrada registrada para el grupo de Ventas.

Conclusión.

Tal como se planteó al inicio, la validación es un componente complementario de la autenticación y en ningún caso deberían considerarse como el mismo proceso.  La validación hace uso de las listas de control de acceso para establecer el nivel de acceso que una entidad tendrá, gracias a la evaluación de cada entrada de control de acceso registrada en dicha lista.