Validaci贸n o autorizaci贸n
Es importante comprender que, a efectos de Active Directory, la autenticaci贸n y la validaci贸n son dos procesos completamente diferentes. En tanto la autenticaci贸n busca comprobar que las credenciales pertenezcan a la entidad que dice ser, la validaci贸n determina si una entidad ya autenticada tiene permitido o no acceder a un recurso especifico.
Lista de control de acceso.
En los sistemas operativos Windows la validaci贸n es realizada a trav茅s del elemento conocido como Lista de Control de Acceso (ACL, por sus siglas en ingl茅s: Access Control List).
Una lista de control de acceso es lo que los usuarios com煤nmente conocen como el listado de permisos. Esto debido a que la lista est谩 conformada por una serie de entradas de control de acceso (ACE., por sus siglas en ingl茅s: Access Control Entry) que determinan si una entidad tiene o no permitido un acceso al recurso. De igual manera, todo recurso existente en un sistema operativo Windows, dispone de una lista de control de acceso, entendiendo que bajo el t茅rmino recurso podr铆amos hablar de una carpeta, un archivo o un dispositivo hardware.
Mas puntualmente, una entrada de control de acceso consiste en la especificaci贸n de un principal de seguridad (identificado por su identificador de seguridad) m谩s la denotaci贸n de un permiso que se permite o deniega.聽 Por ejemplo, para una carpeta de nombre Informes, una entrada de control de acceso podr铆a especificar que el grupo de usuarios de Ventas tiene permitida la lectura del contenido de toda la carpeta, en tanto que otra entrada de control de acceso determinar铆a que el usuario Juan Perez tiene permitido renombrar un archivo en particular de es carpeta, etc.
Funcionamiento de la validaci贸n.
La validaci贸n entonces es realizada cuando una entidad intenta realizar un acceso a un recurso, momento en el cual el subsistema de seguridad del sistema operativo toma la solicitud y eval煤a los identificadores de seguridad que son presentados en dicha solicitud contra la lista de control de acceso. Esto quiere decir que se analiza el identificador de seguridad (SID) del usuario que intenta acceder al recurso para determinar si la lista de control de acceso posee una entrada que posibilite a dicho usuario el realizar alguna acci贸n sobre tal recurso.
En los dominios Active Directory, dado que el usuario obtiene un TGT como resultado del proceso de autenticaci贸n, la validaci贸n evaluar谩 no solo el identificador de seguridad del usuario sino tambi茅n los identificadores de seguridad para el equipo desde el cual inici贸 sesi贸n, as铆 como los identificadores de seguridad para todos y cada uno de los grupos a los cuales el usuario pertenece.
Continuando el caso de la carpeta Informes, en el momento que la usuaria Karla Cruz, en su calidad de representante de ventas, solicita ingresar a la carpeta, el subsistema de seguridad evaluar谩:
- 驴Existe una entrada de control de acceso explicita para el identificador de seguridad de la cuenta de usuario Karla Cruz? De ser as铆, se obtendr谩 el nivel de acceso indicado por el permiso registrado en la ACE.
- 驴Existe una entrada de control de acceso explicita para el identificador de seguridad de la cuenta de equipo desde la que Karla Cruz inici贸 sesi贸n? De ser as铆, se obtendr谩 el nivel de acceso indicado por el permiso registrado en la ACE.
- 驴Existe una entrada de control de acceso explicita para el identificador de seguridad del grupo de Ventas? De ser as铆, se obtendr谩 el nivel de acceso indicado por el permiso registrado en la ACE.
Para nuestro ejemplo, como se aprecia en la figura superior, 煤nicamente existe una entrada de control de acceso para el grupo de Ventas (al cual pertenece la usuaria), no se ha especificado una entrada de control de acceso para la cuenta de usuario de Karla Cruz ni existe una entrada de control de acceso para el equipo desde el cual ella inici贸 sesi贸n. Por esto, el proceso de validaci贸n determinar铆a que el acceso valido para la usuaria corresponde a la entrada registrada para el grupo de Ventas.
Conclusi贸n.
Tal como se plante贸 al inicio, la validaci贸n es un componente complementario de la autenticaci贸n y en ning煤n caso deber铆an considerarse como el mismo proceso.聽 La validaci贸n hace uso de las listas de control de acceso para establecer el nivel de acceso que una entidad tendr谩, gracias a la evaluaci贸n de cada entrada de control de acceso registrada en dicha lista.