Inicio de sesión en un dominio
Aparentemente el método de inicio de sesión en un dominio NT es similar al utilizado en un grupo de trabajo. El usuario tiene que realizar el proceso de inicio de sesión o logon, suministrando un nombre de usuario y una contraseña válida para el dominio.
El proceso de inicio de sesión en un dominio es más sofisticado:
· El usuario proporciona el nombre de usuario y la contraseña en el cliente del dominio. Dependiendo del cliente, este procedimiento puede ser más o menos seguro. Por ejemplo, en Windows para trabajo en grupo se siguen los mismos pasos que para el inicio de sesión de red normal, aunque la contraseña para el dominio hay que proporcionarla en un cuadro de diálogo separado, para mayor seguridad. En Windows NT, el proceso de inicio de sesión automáticamente registra al usuario en el dominio, y requiere el uso de una combinación especial de teclas: Ctrl+Alt+Suprimir.
· El cliente solicita el inicio de sesión al servidor controlador del dominio. En este momento el servidor envía al cliente un conjunto de datos. Este esquema de validación es un esquema de tipo desafío/respuesta.
· El cliente encripta los datos enviados por el servidor con la contraseña que le ha suministrado el usuario. Este nuevo conjunto de datos es enviado al servidor.
· El servidor encripta los datos originales, con la contraseña del usuario que guarda en la base de datos de NT. Ahora compara ambos conjuntos de datos.
· Si los datos codificados por el servidor y por el cliente coinciden, el servidor valida al usuario para acceder al dominio.
Durante el proceso de inicio de sesión, la contraseña del usuario no viaja por la red, ya que con el sistema de reto, lo que viajan son paquetes de datos codificados, pero no la contraseña que los codifica. Este sistema tiene un punto vulnerable, ya que en el servidor se almacenan las contraseñas de todos los usuarios en la base de datos de usuarios. Sin embargo, se han introducido mejoras en el sistema de gestión de la base de datos, que hace muy difícil el acceso a las contraseñas incluso para los propios administradores de NT. Estas mejoras fueron introducidas con el Service Pack 3 para NT Server.
El inicio de sesión en el dominio sólo se produce una vez. Es decir, una vez que un usuario ha iniciado sesión en un dominio, no necesita suministrar de nuevo su contraseña para acceder a los diferentes recursos del dominio. En todo momento, la validación del usuario se va a realizar a través de los controladores y servidores.
El sistema de seguridad de NT no sólo permite gestionar el acceso de los usuarios a los recursos, sino que incluso se pueden crear grupos de usuarios a los que se les asignan privilegios, por lo que la gestión de la seguridad se simplifica dentro del dominio.
Todo dominio tiene una base de datos de usuarios. La copia original de esta base de datos reside en el controlador principal del dominio. En esta base de datos quedan registradas todas las características de los usuarios, sus cuentas, y de los ordenadores que forman parte del dominio. Además del controlador principal del dominio, puede haber dentro de un dominio varios controladores secundarios del dominio. En estos controladores se mantiene una copia de la base de datos de usuarios del dominio. Si el controlador del dominio está muy cargado o simplemente está inactivo, cualquier controlador del dominio puede validar el inicio de sesión en el dominio.
El proceso de inicio de sesión en los controladores del dominio comienza en el cliente por obtener la lista de controladores del dominio. Para ello el servicio Examinador de computadoras, btiene dicha lista, bien mediante una pregunta por difusión (broadcast), o bien preguntando a los servidores WINS del dominio. Una vez obtenida la lista, el cliente envía una petición de inicio de sesión a los diferentes controladores del dominio. El cliente elegirá al primer controlador de dominio que le conteste para intentar el proceso de inicio de sesión. Este método asegura que siempre el cliente pueda iniciar sesión en el dominio.
El mantenimiento de la base de datos del dominio es automático. Las herramientas administrativas de NT permiten modificar la base de datos, mediante el Administrador de usuarios para dominios. Los cambios se realizan siempre sobre el controlador principal del dominio, y son enviados automáticamente a los demás controladores del dominio. Hay que tener en cuenta que esto se realiza con una pequeña demora temporal, que se puede reducir sincronizando los servidores con el administrador de servidores.
Diferencias entre NT Workstation y NT Server
El sistema operativo Windows NT se comercializa en dos versiones: Workstation y Server. La versión Workstation está pensada para configurar puestos de trabajo, donde se ejecutarán las aplicaciones de usuarios. NT Workstation es una plataforma que incluye todos los elementos para trabajar con aplicaciones Windows y para trabajar en red. Incluye una pila completa TCP/IP. NT Server está preparado para configurar servidores. Aunque realmente los núcleos de NT Server y Workstation son muy parecidos, la versión Server incluye una serie de mejoras en el núcleo y en los diferentes módulos del sistema que lo hacen más robusto en tareas de servidor de red. NT
Server da mayor prioridad a los accesos mediante red frente a las aplicaciones de usuario que se ejecutan en el servidor. Además NT Server no tiene el límite de 10 conexiones simultaneas de red que tiene NT Workstation. NT Server ofrece mayor seguridad en el almacenamiento de datos, ya que posee características avanzadas de tolerancia a fallos que no han sido incluidas en la versión Workstation.