| Artículos | 01 ENE 2006

Colaboración fiable y segura

Tags: Histórico
Sharepont Services (y V)
Juan Blazquez.
La compartición de información entre usuarios es la razón de ser de sharepoint services, pero no el único aspecto que debemos contemplar en su diseño y despliegue. La seguridad de acceso y medidas contra desastres son aspectos cruciales para conseguir un entorno colaborativo fiable.

Nivel de dificultad: Medio
Objetivo del artículo: Aplicar seguridad en Sharepoint Services 2003
Herramientas necesarias: Sharepoint Services 2.0

La primera medida de seguridad que debemos contemplar en los sitios de colaboración en Sharepoint es el acceso de usuario. Establecer qué usuarios pueden acceder a la información y los procesos habilitados en cada sitio, así como las operaciones que les está permitido realizar, marca el punto de arranque de la protección que queramos establecer.
La seguridad estándar de los sitios Sharepoint parte de los permisos que proporcionan los distintos roles configurados por defecto, que regulan el acceso y actividad de los usuarios en las distintas áreas disponibles en cada sitio. Inicialmente, el nivel de privilegios se establece asignando a los usuarios los roles que les permitan realizar su trabajo, realizando la correspondencia oportuna entre usuarios, grupos y roles. Los permisos predefinidos en Sharepoint abarcan desde los más restrictivos, que se asignan al rol de lector, con privilegios únicamente para consultar la información depositada, hasta el de Administrador, que permite manipular todos los aspectos relacionados con el sitio. Con los distintos roles, el administrador tiene oportunidad de controlar el acceso de usuario y también, lo más importante, delegar la gestión de los mismos, para otorgarles un nivel de autonomía que es difícil de conseguir en una estructura de compartición de archivo convencional. La asignación de permisos se realiza a nivel de sitio, accediendo a Configuración del Sitio, en el enlace Gestionar Usuarios, desde donde hay que incluir a los usuarios a los que se da acceso con el enlace Agregar Usuario, y el nivel de acceso que les corresponda.
Las cuentas de usuario utilizadas en Share–point, en la práctica, se obtienen de aquellas definidas en el Directorio Activo del dominio en el que se trabaja, aunque técnicamente son cuentas independientes. Sharepoint contempla dos modos para manejar las credenciales de usuario. Por una parte el modo cuentas de dominio, donde se asume que todas las cuentas de usuario son previamente dadas de alta en el Directorio Activo. Por otro, el modo de creación de cuentas, en el que se parte de la idea de que las cuentas utilizadas en Sharepoint no están definidas en el dominio Windows y se crearán desde el programa, mediante la interfaz web de administración. No está permitido combinar ambos modos y la elección de uno u otro debe hacerse en la configuración previa del programa, terminada su instalación. Una vez que se haya optado por uno de los modos no es posible cambiarlo. Habitualmente el modo recomendado es el primero, puesto que los usuarios son parte de la organización y salvo raras excepciones disponen de cuentas de dominio para acceder a su ordenador y a los distintos servicios disponibles. El segundo modo es apropiado en aquellos entornos en los que se quiere dar acceso identificado a usuarios que no son parte de la organización, como podrían ser clientes, proveedores o empresas del mismo grupo con informáticas separadas.
Lógicamente, interesa gestionar las cuentas de usuario mediante grupos, para facilitar el esfuerzo de administración en seguridad y evitar brechas. La pertenencia a grupos se gestiona a nivel de sitio, desde la opción de Configuración del Sitio, en donde hay que alcanzar la página Gestión de usuarios, accesible desde el enlace Administración. Al pulsar sobre Editar grupos para los usuarios seleccionados se puede intervenir sobre la pertenencia a grupo de los usuarios, uno o varios, desde el área Pertenencia de grupo de sitio.

Acceso anónimo
Y dentro de esta seguridad de acceso, un caso que merece una consideración y análisis de diseño especial se encuentra en aquellas situaciones en las que es necesario permitir el acceso anónimo a los sites de Sharepoint. Esta circunstancia no es frecuente en este entorno, puesto que el trabajo en grupo que se habilita con el programa está dirigido a usuarios de la organización, perfectamente identificados y que tienen un acceso regulado por los permisos asignados, ya sea vía intranet, extranet o Internet. Las características de Sharepoint Services permiten que no sea descabellado utilizarlo como plataforma para publicar información en el exterior, ofrecer en Internet datos a los que acceden anónimamente personas completamente ajenas a la organización. En estos casos, la seguridad es esencial.
Habilitar el acceso anónimo a los sitios de Sharepoint implica intervenir sobre los dos componentes principales que conforman el motor de la aplicación. Por un lado hay que habilitar el acceso anónimo en el servidor virtual de Internet Information Server, IIS, que mueve los sitios de colaboración que van a permitir el acceso anónimo. Por otro lado, hay que configurar Sharepoint para que los sitios en cuestión acepten este acceso. Para la primera intervención hay que acudir a la consola de gestión del servicio web, localizar el servidor virtual que direcciona los sitios de Sharepoint implicados y acceder a sus propiedades. En la pestaña de Seguridad de Directorio, hay que editar la sección de Autentificación y Control de Acceso, seleccionando Habilitar Acceso Anónimo. Para ampliar detalles sobre esta acción y otros aspectos de sus implicaciones recomendamos acudir a la documentación electrónica que Microsoft incluye con su servidor web y la que publica en Internet. Para permitir este acceso en Sharepoint hay que acceder a la consola de administración del programa, localizar el sitio en cuestión y utilizar el enlace Configuración del Sitio, para entrar en Configurar seguridad y otras configuraciones. En este apartado, bajo la sección Usuarios y Permisos, debemos seleccionar Configuración del acceso anónimo. Este acceso sin credenciales queda parametrizado cuando se definen los permisos que podrán ser utilizados con la impersonalización del usuario. Por ejemplo, al seleccionar Áreas, Contenidos y Búsquedas se permite que los accesos anónimos puedan navegar por todos los contenidos y búsqueda que contenga el sitio. Estos privilegios pueden ser más restrictivos o más amplios, según las necesidades de acceso y los requerimientos de seguridad que deben aplicarse.

Proteger otros componentes
Una protección adecuada de Sharepoint no se limita a configurar permisos y gestionar la pertenencia de los usuarios a los grupos que establecen el nivel de acceso. Además de Sharepoint, hay otros componentes implicados en el funcionamiento de este entorno de colaboración y cada uno de ellos debe ser convenientemente securizado para conseguir un nivel adecuado de protección global.
Así, la asignación de permisos NTFS para proteger los ficheros que componen la base de funcionamiento del servidor web no debe descuidarse, como también hay que detenerse a valorar e implementar el tipo de seguridad y nivel de acceso que debe configurarse en el servidor SQL que sirve de apoyo a las bases utilizadas por el programa. Los servicios web en los que se apoya Sharepoint también deben ser evaluados para establecer su seguridad, puesto que el nivel de seguridad configurado para Internet Information Server es la seguridad

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información