Administración avanzada
El contenido a continuación está destinado a los administradores que desean comprender mejor las formas en que interactúan los componentes de Specops Password Sync y cómo configurar mejor el sistema en diferentes tipos de entornos.
Componentes
Specops Password Sync consta de los siguientes componentes. La descripción general a continuación muestra la comunicación entre los componentes al completar una sincronización de contraseñas.
Notificador de Cambio de Contraseña de Specops
El Notificador de Cambio de Contraseña de Specops responde a los cambios de contraseña exitosos realizados por el controlador de dominio y envía solicitudes de sincronización de contraseña al Servidor de Sincronización. El Notificador de Cambio de Contraseña debe instalarse en todos los Controladores de Dominio que manejan solicitudes de cambio de contraseña.
Nota: Es mejor tener el Notificador de Cambio de Contraseña en todos los Controladores de Dominio, pero solo los Controladores de Dominio que manejan solicitudes de cambio de contraseña requerirán el notificador.
El Notificador de Cambio de Contraseña de Specops contiene los siguientes subcomponentes:
- Filtro del Notificador
- Servicio del Notificador
Filtro del Notificador
El Filtro del Notificador intercepta los cambios de contraseña en el Controlador de Dominio. Cuando se detecta un cambio de contraseña exitoso, el Filtro del Notificador realizará las siguientes validaciones de seguridad:
-
Verificar Grupos Privilegiados: Los usuarios con la propiedad de objeto de usuario adminCount establecida en 1 en Active Directory (Administradores de Dominio, Administradores de Esquema, etc.) son filtrados y no tendrán sus contraseñas sincronizadas. Se escribirá un evento en el registro cada vez que se detecte un trabajo de sincronización de contraseñas para un usuario protegido.
Nota
Puede habilitar la sincronización de contraseñas para grupos privilegiados desde la configuración del registro del Notificador de Cambio. Para obtener más información, consulte la Guía de Administración de Specops Password Sync.
-
Verificar el Alcance de la Gestión: Cada Alcance de Sincronización debe tener al menos un Alcance de Gestión de Usuarios configurado.
Nota
Si una Política de Grupo que afecta a un usuario está vinculada fuera del alcance, resultará en que la contraseña no se sincronice, y se escribirá una entrada en el registro de eventos en el controlador de dominio.
-
Verificar los Servidores de Sincronización configurados: El Filtro del Notificador verifica el(los) Servidor(es) de Sincronización configurados con un punto de sincronización específico. Esto evita que un administrador malintencionado reemplace un servidor de sincronización aprobado por uno que pueda controlar. Esto evita que administradores malintencionados eludan la seguridad central del sistema.
Una vez que se han completado las verificaciones de seguridad, se creará un archivo de solicitud de cambio de contraseña para cada Punto de Sincronización configurado. La contraseña se cifra con el mecanismo de Protección de Datos de Windows (DPAPI) utilizando las credenciales del Sistema del Controlador de Dominio. Esto significa que solo el Controlador de Dominio puede descifrar la contraseña. La ruta predeterminada a la cola de trabajos es:
%SystemRoot%\System32\SpecopsPasswordSync\Queues
Nota
- La ruta a la cola de trabajos está en el Controlador de Dominio.
- Solo el Sistema Local tiene permisos para acceder a esta ubicación.
Servicio del Notificador
El Servicio del Notificador de Cambio de Contraseña de Specops recogerá el archivo de solicitud de cambio de contraseña de la carpeta de la cola y obtendrá el Servidor de Sincronización correcto de Active Directory. El Servicio del Notificador se ejecuta en el contexto de seguridad del Controlador de Dominio y es capaz de descifrar la contraseña. El Servicio del Notificador intentará configurar una sesión SSL cifrada con el Servidor de Sincronización primario para el Punto de Sincronización. Si esto falla, se contacta al Servidor de Sincronización secundario. Cuando se establece la sesión, la identidad del Servicio del Servidor de Sincronización remoto se verifica utilizando la Autenticación Mutua de Kerberos para verificar que la computadora remota es la computadora configurada en Active Directory. La solicitud de cambio de contraseña se pasa al Servidor de Sincronización a través del canal cifrado seguro. Una vez que se realiza un intento de comunicación exitoso, el archivo de solicitud de cambio de contraseña cifrado local se elimina de la carpeta de la cola.
Servidor de Sincronización de Specops Password
El Servidor de Sincronización de Specops Password sincroniza nuevas contraseñas con los sistemas conectados.
El Notificador de Sincronización de Specops Password se conecta y envía solicitudes de cambio de contraseña al Servidor de Sincronización de Specops Password a través de una conexión SSL en el puerto 4377. Cuando un Servidor de Sincronización es contactado por el Notificador, el Servidor de Sincronización verifica que la computadora que se conecta es el Controlador de Dominio correcto utilizando la autenticación mutua de Kerberos. Cuando se valida la solicitud, la contraseña se cifra con las credenciales del sistema DPAPI y se agrega a la base de datos SQL CE ubicada en:
%LocalAppData%\Specops Password Sync\SpecopsPasswordSync.sdf
Nota
El Servidor de Sincronización de Specops Password utiliza un Proveedor de Sincronización de Specops Password para contactar los sistemas de destino configurados en el Punto de Sincronización y realiza la sincronización de contraseñas. Una vez que la contraseña ha sido sincronizada, la entrada cifrada en la base de datos se elimina. Si la sincronización no es exitosa, el Servidor de Sincronización de Specops Password continuará intentando hasta que haya alcanzado el intento de reintento. Si todos los reintentos han fallado, la contraseña cifrada será eliminada.
Puertos TCP IP del Servidor de Sincronización
El Servidor de Sincronización utiliza dos puertos para la comunicación en la red interna.
| Clave de registro | Descripción |
|---|---|
| TCP/4377 | Comunicación de trabajos de Sincronización de Contraseñas entre el Servicio del Notificador y el Servidor de Sincronización. |
| TCP/4378 | Usado cuando la herramienta de administración se comunica con el Servidor de Sincronización. |
La configuración de los puertos se almacena en el archivo de configuración del servicio “PasswordSync.Server.exe.config” en el directorio de instalación del servicio. Puede cambiar los números de puerto editando la siguiente sección del archivo:
<service name="Specopssoft.PasswordSync.Server.HttpPasswordChangeListener" behaviorConfiguration="SpsServiceBehavior">
<add baseAddress="https://SRV01.specops.demo:4377/SPS"/>
<service name="Specopssoft.PasswordSync.Server.SyncServerAdminHost" behaviorConfiguration="DevelopmentSpsServiceBehavior">
<add baseAddress="net.tcp://SRV01.specops.demo:4378/SPS"/>
Una vez que haya modificado los números de puerto, deberá guardar el archivo y reiniciar el servicio del Servidor de Sincronización. Si cambia los puertos y cortafuegos manualmente, deberá realizar los cambios nuevamente después de una actualización.
Almacenamiento de Configuración Integrado en Active Directory
Specops Password Sync utiliza Active Directory para almacenar los datos de configuración utilizados por el sistema. La configuración de Specops Password Sync se puede encontrar en el Contenedor del Sistema en el Dominio. En Usuarios y Equipos de Active Directory (con Vista Avanzada habilitada) o ADSI edit puede navegar a
<your_domain_fqdn>/System/Specops/PasswordSync para encontrar la ubicación de almacenamiento.
Los datos de configuración se almacenan en este contenedor y en objetos serviceConnectionPoint del objeto Servidor de Sincronización de Specops Password. Ambos elementos son parte del esquema estándar de Active Directory. Al almacenar la información en Active Directory, el sistema garantiza una operación confiable.