Tema 4. Instalación, configuración y uso de servidores de acceso y administración remota

ÍNDICE

1. Introducción

2. Escritorio remoto

3. Servicio de Escritorio Remoto

4. Asistencia remota

5. Telnet

6. Telnet en Linux

7. SSH

INTRODUCCIÓN

Se considera Administración Remota a la funcionalidad de algunos programas

que permiten realizar ciertos tipos de acciones desde un equipo local y que las

mismas se ejecuten en otro equipo remoto.

Por ejemplo, con una herramienta o aplicación de administración remota, el

responsable de una red informática puede acceder a otro equipo para ver si la

misma tiene problemas, sin necesidad de moverse a la situación física de dicho

equipo.

Cuando hablamos de administración remota en modo texto, podemos usar:

• Telnet

• SSH (encripta la comunicación)

Cuando hablamos de administración remota en modo gráfico, podemos usar:

• Escritorio remoto

• Asistencia remota

• Programas de terceros como TeamViewer, VNC, …

ESCRITORIO REMOTO

Para administrar el servidor tan sólo es necesario activar el Escritorio Remoto,

mientras que si se quiere que todos los usuarios puedan acceder al sistema de

forma remota, entonces hay que instalar el Servicio de Escritorio Remoto

(antiguo Termial Server y Administrador de licencias de Terminal Server) que

además funciona como servidor de aplicaciones.

Los Servicios de Escritorio Remoto permiten que los usuarios se conecten de

forma remota a un servidor utilizando el escritorio de Windows. Los servicios de

Terminal Server se pueden utilizar de dos formas:

• Como Escritorio Remoto para que el administrador acceda al sistema

• Como Servidor de Aplicaciones para que cualquier usuario pueda conectarse

al servidor para ejecutar una determinada aplicación.

Escritorio Remoto no es un servicio que precise ser instalado, y para poder hacer

uso de esta funcionalidad del equipo servidor Windows Server 2008 R2, tan sólo

hemos de habilitarla convenientemente en dicho equipo.

ESCRITORIO REMOTO

Habilitar Escritorio remoto en Windows Server 2008 R2

Para habilitar dicha opción debemos acceder a las propiedades del Equipo y a la

opción “Configuración de acceso remoto”. Aquí, en la sección de “Escritorio

remoto” dependiendo del entorno podremos elegir entre “Permitir las conexiones

desde equipos que ejecuten cualquier versión de Escritorio remoto” o “Permitir

sólo las conexiones desde equipos que ejecuten Escritorio Remoto con

Autenticación a nivel de red”.

La opción Permitir sólo las conexiones desde equipos que ejecuten Escritorio

remoto con Autenticación a nivel de red (más seguro), permitiría el acceso

al Escritorio Remoto de Windows Server 2008 R2 desde cualquier versión del

cliente de Escritorio Remoto que trabaje con NLA (autenticación a nivel de red),

tal es el caso de Windows Vista o Windows 7, pero no de los sistemas operativos

clientes más antiguos de Microsoft (Windows XP Professional, Windows 2000

Professional, etc.), que no utilizan NLA.

Es posible que algunos de los equipos clientes desde los cuales deseemos

conectarnos no tengan instalado por defecto el Cliente de Escritorio Remoto (tal

puede ser el caso de equipos con sistema operativo Windows 2000

Professional), con lo cual para poder establecer dicha conexión en esos equipos

precisaríamos instalarles la aplicación correspondiente.

ESCRITORIO REMOTO

Los usuarios conectados ven el escritorio del equipo remoto y pueden usar los

programas instalados como si se estuvieran ejecutando en un equipo local.

ESCRITORIO REMOTO

Si queremos limitar el acceso por escritorio remoto sólo a ciertos usuarios,

hacemos clic en “Seleccionar usuarios” para agregar los usuarios y grupos que

necesitan conectarse al equipo con Escritorio Remoto (el grupo Administradores

está incluido por defecto aunque no aparezca). Dichos usuarios y grupos se

agregarán automáticamente al grupo predefinido “Usuarios de escritorio remoto”.

ESCRITORIO REMOTO

Conexión vía cliente

Para ejecutar el cliente de Conexión a Escritorio Remoto, desde un equipo cliente (no es preciso que dicho equipo esté integrado en el dominio), lanzaremos dicha aplicación desde Inicio → Todos los programas → Accesorios → Conexión a Escritorio Remoto, en la cual especificaremos la dirección IP o el nombre del equipo al cual nos queremos conectar de modo remoto.

Si las credenciales del usuario que se ha validado en el sistema son correctas, accedemos a una pantalla que nos muestra el Escritorio del servidor Windows Server 2008 R2, de modo que la impresión que obtenemos es que nos encontramos físicamente sobre dicha máquina, trabajando a partir de este instante con la misma libertad que si estuviéramos sentados frente a la consola del servidor.

ESCRITORIO REMOTO

Administración de sesiones de usuarios remotos

En Windows Server 2008 R2 los usuarios remotos pueden utilizar Servicios de

Escritorio Remoto (antiguo Terminal Services) o el Escritorio Remoto para

conectarse con otros sistemas:

• Servicios de Escritorio Remoto permite conexiones remotas con terminales

de otros sistemas

• Escritorio remoto permite administrar servidores remotos como si se

estuviese delante del teclado. Windows Server 2008 R2 permite

automáticamente las conexiones de escritorio remoto

Si accedemos al “Administrador de tareas” de Windows (Ctrl+Alt+Sup →

Administrador de tareas o bien a través del comando taskmgr) en la ficha de

“Usuarios” muestra las sesiones interactivas tanto de usuarios locales como

remotos.

ESCRITORIO REMOTO

Para cada usuario conectado muestra:

• Nombre

• Identificador de la sesión

• Estado

• Equipo en el que se originó la conexión

• Tipo de sesión

El botón “Desconectar” desconecta al usuario deteniendo, sin guardar sus datos,

todas las aplicaciones que hubiese puesto en marcha, el botón “Cerrar Sesión”

cierra la sesión del usaurio mediante el procedimiento normal guardándose las

aplicaciones y el estado del sistema y el botón “Enviar mensaje” envía un

mensaje de consola al sistema de los usuarios con sesiones abiertas.

SERVICIO DE ESCRITORIO REMOTO

Los Servicios de Escritorio Remoto (antiguamente Servicios de Terminal

Server) permiten la ejecución de aplicaciones de cliente en un servidor para que

las estaciones de trabajo clientes puedan funcionar como terminales de alguna

aplicación instalada en el servidor Windows Server 2008 R2. El servidor puede

proporcionar múltiples sesiones de usuario para dicho fin.

En Windows Server 2008 R2 los Servicios de Escritorio Remoto son la base para

varias características que permiten conectarse al servidor de forma remota y

realizar tareas administrativas.

El escritorio remoto (anteriormente denominado Servicios de Terminal Server en

modo de administración remota) permite a los demás usuarios de una red

conectarse al equipo central proporcionando el nombre o la dirección IP del

equipo y, generalmente, las credenciales de inicio de sesión. Los usuarios

conectados ven el escritorio del equipo remoto y pueden usar los programas

instalados como si se estuvieran ejecutando en un equipo local. No se necesitan

licencias para disponer de dicho tipo de conexión, pudiendo disponer de la propia

sesión de la consola del servidor o de una sesión de conexión remota al mismo.

Para acceder al servidor mediante una conexión a Escritorio Remoto hay que

autenticarse previamente en el dominio como un usuario habilitado para ello.


Así pues, podremos utilizar una Conexión a Escritorio Remoto para administrar

nuestro equipo Windows Server 2008 R2 cuando no sea posible acceder físicamente

al mismo. Habitualmente el equipo servidor Windows Server 2008 R2 suele instalarse

en un Centro de Proceso de Datos (CPD) o en el peor de los casos en una zona

aislada y de acceso controlado, para evitar que usuarios no autorizados puedan

acceder al mismo; ahí entra en juego el Escritorio Remoto como herramienta de

gestión remota del equipo servidor Windows Server 2008 R2.

Los usuarios que inician una sesión de Escritorio Remoto en su estación de trabajo,

sólo ven su sesión, administrada de manera transparente por el sistema operativo del

servidor e independiente de cualquier otra sesión de cliente que se pudiera estar

ejecutando. El software de cliente puede ejecutarse en varios dispositivos hardware

de cliente, incluidos equipos y terminales basados en sistemas

operativos Windows, Linux y Macintosh.

Desde el punto de vista de la estación de trabajo donde se ejecuta el Cliente de

Escritorio Remoto, éste aparece como una ventana en el entorno de escritorio local

que contiene sólo la cantidad mínima de software necesaria para establecer una

conexión con el servidor y presentar la interfaz de usuario, el resto de funciones del

sistema operativo (así como las aplicaciones), se ejecutan en el servidor.

El escritorio remoto que ofrece Windows está basado en implementaciones del

protocolo VNC (Virtual Network Computing) desarrollado para permitir el acceso a

máquinas de forma remota.


Instalación

En Windows 2008 los servicios de Terminal Server se instalan de igual forma que

otros servicios, desde el Administrador del servidor, haciendo clic en el enlace

“Añadir roles” y seleccione “Servicios de escritorio remoto”.


Al realizar la instalación el asistente permite añadir las diferentes funciones del

Escritorio Remoto entre las que destacan y las mínimas que hay que instalar:

• Host de sesión de Escritorio Remoto (antiguo Terminal Server): es el servicio

básico de Escritorio Remoto (Terminal Server) y permite que los usuarios se

conecten de forma remota al servidor. Además, permite que un servidor

hospede programas para Windows o el escritorio de Windows completo y

puedan conectarse para ejecutar programas, guardar archivos y usar

recursos de red en ese servidor

• Administración de licencias de Escritorio Remoto (antiguo Administración de

licencias de Terminal Services): permite administrar las licencias de acceso

de clientes para servicios de escritorio remoto requeridas para conectarse a

un servidor host de sesión de escritorio remoto

• Acceso Web a Escritorio Remoto (antiguo acceso Web de TS): permite a los

usuarios conectarse al escritorio remoto y RemoteApp a través de un

navegador Web. Requiere la instalación de los roles “Servidor Web IIS” y

“Herramientas de administración remota del servidor”


Además, están las siguientes funciones:

• Host de virtualización de escritorio remoto: permite a los usuarios conectarse

a máquinas virtuales con conexión de RemoteApp y Escritorio

• Agente de conexión a Escritorio Remoto: admite equilibrio de carga y

reconexión de la sesión en una granja de servidores host de sesión de

Escritorio Remoto con equilibrio de carga

• Puerta de enlace de Escritorio Remoto: permite a los usuarios autorizados

conectarse a servidores host de sesión de Escritorio Remoto a través de

Internet


El acceso más habitual desde un equipo cliente al equipo servidor

mediante Escritorio Remoto, y que se realiza mediante un cliente específico

instalado (de manera predeterminada) en el equipo cliente, pero existe otra

posibilidad para acceder de modo remoto al equipo servidor mediante Escritorio

Remoto y consiste en establecer la conexión mediante un navegador web por lo

que se instala el servicio “Acceso web a Escritorio Remoto”.

Para habilitar la posibilidad de acceso web desde un navegador en un equipo

cliente, deberemos instalar el servicio correspondiente, pues dicha funcionalidad

precisa la instalación del servidor web IIS en el equipo servidor para dar soporte

al servidor web que permite el acceso web desde el equipo cliente. La conexión

web al Escritorio Remoto del equipo servidor, no es incompatible con la conexión

mediante un cliente específico y ambas opciones de acceso pueden convivir

perfectamente.


El asistente nos permite en este instante seleccionar los servicios de función

de Escritorio Remoto que deseamos instalar; concretamente en nuestro caso

activaremos la casilla Acceso web a Escritorio Remoto.

Al activar la casilla anterior, inmediatamente se nos muestra la pantalla de la

imagen inferior, que nos informa de que para poder instalar la función deseada,

debemos instalar además otros servicios de rol (en este caso Servidor web

(IIS) y Herramientas de administración remota del servidor) en los cuales se

apoya el rol que deseamos instalar.


Muestra un mensaje de advertencia de posibles incompatibilidades con

aplicaciones ya instaladas en el servidor.


Se debe especificar el método de autentificación para el host, lo más cómodo es

no requerir autenticación a nivel de red pero lo más seguro es requerir

autenticación a nivel de red (a partir de Windows Vista):


Debemos indicar el modo de licencia que hemos adquirido (por dispositivo o por

usuario). Para realizar pruebas (ya que no hemos adquirido niguna licencia)

podemos configurarlo más adelante y dispondremos de 120 días de prueba.


Debemos indicar también los grupos de usuarios que pueden utilizar el servicio

de Escritorio Remoto. Los administadores están incluidos por defecto.


Podemos configurar la experencia del cliente (requiere mucho ancho de banda) y

el ámbito de detección para Administración de licencias de Escritorio Remoto

para que los servidores host de sesión de Escritorio Remoto puedan detectar

automáticamente el servidor de licencias (no aplicable a Windows Server 2008

R2).


Una vez reiniciado el equipo, pueden aparecer advertencias de la configuración

del Windows Update, del servidor de licencias no configurado o del acceso Web.

En el menú Herramientas Administrativas podremos ver la carpeta Servicios de

Escritorio Remoto que tiene varias herramientas para administrar el Escritorio

Remoto, entre las que destacan:

• Administrador de licencias de Escritorio Remoto: los Servicios de Escritorio

Remoto requiere de licencias para que los clientes inicien sesiones en modo

servidor de aplicaciones (no las administraremos porque no disponemos de

licencias)

• Administrador de RemoteApp: utilizaremos esta herramienta si deseamos

usar Servicio de Escritorio Remoto como servidor de aplicaciones de forma

remota a usuarios. Los programas RemoteApp son programas que

aparentan ejecutarse de forma local en el equipo cliente pero que obtienen

acceso al servidor a través del escritorio remoto

• Administrador de Servicios de Escritorio Remoto: permite la monitorización y

supervisión de los usuarios conectados, las sesiones y los procesos de

servicio de Escritorio Remoto. Además, se pueden realizar ciertas tareas

administrativas como desconectar o cerrar sesiones de usuarios


• Configuración de acceso web de Escritorio Remoto: permite conectarse al

escritorio remoto del servidor a través de un navegador Web

• Configuración de host de sesión de Escritorio Remoto: se ejecuta localmente

en cada servidor de terminales y permite modificar la configuración de las

opciones del servidor de Escritorio Remoto. Pueden ser configuradas las

opciones de nuevas conexiones, modificar las existentes o eliminarlas:

seguridad, sesiones de las mismas, entorno, adaptador de red, configuración

del cliente, control remoto del escritorio del usuario y otras. Puede ver la

configuración de una conexión haciendo clic en el botón derecho del ratón y

seleccionando Propiedades

• Escritorios Remotos: este complemento permite administrar las conexiones a

Escritorio Remoto de los servidores de Servicios de Escritorio Remoto.

Permite administrar varios equipos desde una sola ubicación remota y, al

mismo tiempo, cambiar fácilmente de conexión


Administrador de RemoteApp


Elección de los programas para agregar a la lista de programas RemoteApp:


Se puede elegir las propiedades y los usuarios que pueden ver el icono de dicho

programa:


Una vez añadido a la lista de programas de RemoteApp con el botón derecho se

puede entre otras cosas ocultarlo o mostrarlo en el acceso web de Escritorio

Remoto (RD):


Hemos de agregar al usuario Administrador al grupo de “TS Web Access

Administrator” (a través de los grupos de dominio si tiene instalado el AD o a

través de los grupos locales si no es así):


Si el usuario que queremos que acceda a través de Escritorio Remoto es uno

distinto al usuario Administrador debemos introducirlo en la lista de “Usuarios de

Acceso Remoto” a través de las “Propiedades” del equipo y “Configuración de

Acceso Remoto”:


Así pues, tras llevar a cabo las configuraciones anteriores, hemos habilitado dos

métodos diferentes de acceder de modo remoto al Escritorio de

nuestro Windows Server 2008 R2, mediante el cliente de Escritorio Remoto o

mediante un navegador web.

Conexión vía Web

Para poder acceder a Escritorio Remoto vía web al servidor, hemos de lanzar el

navegador del equipo cliente desde el cual estemos intentando la conexión, y

acceder a la dirección http://IPservidor o nombre/RDWeb.


El acceso web al servidor Windows Server 2008 R2 sólo es posible directamente

desde los sistemas operativos Windows Server 2008 R2, Windows 7, Windows

2003 Server SP2, Windows Vista SP1 y Windows XP SP3.

Accediendo al menú Programas RemoteApp podremos acceder y ejecutar los

programas configurados en el servidor de host de sesión. Dichos programas

aparecen en la barra de herramientas del equipo local con el símbolo de un

círculo y los de símbolos de mayor y menos enfrentados para identificar que

dichos programas son ejecutados en el servidor de host a través del Escritorio

Remoto.


Accedemos a la sección de Escritorio Remoto e indicamos el nombre del equipo

o dirección IP a la que deseamos conectarnos:

Es muy importante indicar que cuando cerremos la sesión trabajo remoto, no

debemos seleccionar la opción Apagar dentro de la ventana del cliente, pues en

dicho caso apagaremos la máquina servidora Windows Server 2008 R2; para

desconectarnos de la sesión de Escritorio Remoto podemos cerrar la ventana

del Cliente de Escritorio Remoto o bien seleccionando la opción Cerrar sesión,

para que la máquina Windows Server 2008 R2 siga levantada y activa.


Escritorios Remotos

Para realizar conexiones a escritorios

remotos, se utiliza la herramienta

“Escritorios remotos”, que se ejecuta

mediante Inicio → Herramientas

Administrativas → Servicios de Escritorios

remotos → Escritorios remotos y se obtiene

la consola Escritorios remotos.

Este complemento permite administrar

Conexiones a Escritorio remoto para los

servidores de Terminal Server y otros

equipos, y podrá administrar varios equipos

desde una sola ubicación remota.

Importante: los equipos a los que queremos

hacer conexión por Escritorio Remoto

deberán tenerlo habilitado.


Para agregar una conexión nueva, inice dicho complemento y en el árbol de la

consola, haga clic con el botón secundario en Escritorios remotos y, a

continuación, en Agregar nueva conexión.


Habrá que introducir el nombre del equipo o dirección IP al que deseamos

conectarnos. Podremos acceder a Examinar para buscar el equipo del dominio al

que deseamos conectarnos. Como alternativa, en el cuadro Nombre de la

conexión, puede escribir un nombre descriptivo para la conexión. De manera

predeterminada, el nombre de la conexión es el mismo que el que escribió en el

cuadro de nombre del equipo o dirección IP. De forma predeterminada se activa

la casilla Conectar con la opción /admin.

La pertenencia al grupo Administgradores del equipo remoto es el requisito

mínimo para conectarse a una sesión con la opción /admin. Si no desea

conectarse a una sesión con dicha opción, desactive la casilla.

En Información de inicio de sesión, podrá introducir el nombre de usuario de la

cuenta con la que desee iniciar sesión, o bien, puede dejar el cuadro vacío y

especificar el nombre de usuario al conectarse. Podrá guardar las credenciales

para iniciar sesión automáticamente en el equipo de modo que se guardarán la

próxima vez que se conecte al equipo remoto mediante dicho complemento.


Una vez introducidos todos los datos, para iniciar o conectarse a una sesión,

desde el árbol de la consola haga clic en el nombre del equipo al que desee

conectarse o botón secundario sobre el equipo y Conectar.

Para desconectarse de una sesión, en el árbol de consola del complento, haga

clic con el botón secundario en el nombre de la conexión que desee desconectar

y pulse en Desconectar.


Para modificar una conexión existente acceda a las Propiedades de dicha

conexión. Si ya tiene las credenciales guardadas y desea modificarlas o

eliminarlas puede hacer clic en Editar o Eliminar para modificar o quitar las

credenciales. Si guardó las credenciales, pero desea iniciar sesión

temporalmente con otro usuario, puede activar la casilla Solicitar siempre

credenciales. Para volver a usar las credenciales guardadas, desactive la casilla.

Haga clic en Opciones de pantalla para modificar el tamaño del escritorio. Pulse

en la ficha Otros para configurar o modificar un programa que se inicie al

conectarse, modificar el método de autenticación o modificar la configuración de

redirección de la unidad.

Para Especificar que se inicie un programa al conectarse, accedemos a las

Propiedades de la conexión y a la ficha Otros. Acceder a Iniciar un programa y

activar la casilla Iniciar el siguiente programa al conectarse. Especifique la ruta

de acceso del programa, el nombre de archivo y el directorio de trabajo. Si no

especifica que se inicie el programa, la conexión se inicia en el escritorio de

Windows. Para permitir que el equipo remoto tenga acceso a las unidades del

equipo local, haga clic para activar la casilla Redirigir unidades locales cuando se

inicie la sesión en el equipo remoto.

Para eliminar una conexión, hacer clic con el botón secundario en la conexión

correspondiente y Eliminar.


Para permitir conexiones remotas sólo con fines administrativos, no es necesario

instalar el servicio de host de sesión de Escritorio Remoto. En su lugar debe

asegurarse, de que la conexión de Escritorio Remoto esté habilitada.

ESCRITORIO REMOTO DESDE LINUX

Si deseamos conectarnos desde un equipo Linux a la administración de un

equipo servidor de Windows tenemos varias opciones:

• A través de Cliente de Terminal Server

• A través del rdesktop IP o rdesktop IP –u usuario –p password (doble \ para

escapar una \)

ASISTENCIA REMOTA

Para habilitar “Asistencia remota de Windows”, en la misma ventana de

configuración es necesario activar la casilla “Permitir conexiones de Asistencia

remota a este equipo”. Previamente se ha de añadir la característica de

asistencia remota a través de “Inicio” → “Herramientas Administrativas” →

“Administrador del servidor” → “Características” → “Agregar característica” →

“Asistencia remota” → “Instalar”. Ahora ya aparecerá habilitada la posibilidad de

activar la casilla.

Cuando se activa esta casilla, se habilitan las siguientes funcionalidades:

• Enviar y recibir invitaciones de Asistencia remota de Windows mediante un

correo electrónico o un archivo

• Usar la mensajería instantánea para mantener correspondencia con la

persona a la que ayuda o que le ayuda

• Firewall de Windows permite el paso de Asistencia remota de Windows, por

lo que puede comunicarse con el equipo del ayudante

• Se inicia el servicio Teredo. Este servicio permite al ayundate conectarse a

su equipo mediante la mayoría de los enrutadores (con cables e

inalámbricos) que realizan traducción de direcciones de red (NAT). El servicio

entra en contacto con un servidor Microsoft Teredo para obtener una

dirección IPv6 para la conexión remota

ASISTENCIA REMOTA

Para habilitar que nuestro equipo se controla por Asistencia remota debemos

acceder a las Opciones Avanzadas y activar la casilla “Permitir que este equipo

se conecte de forma remota”. También podemos gestionar el tiempo que pueden

permanecer abiertas las invitaciones.

ASISTENCIA REMOTA

Cómo utilizar la asistencia remota

1. Acceder a Inicio – Todos los programas – Asistencia Remota

2. Pulsamos Invitar a un amigo a conectarse a su equipo con Asistencia Remota

3. Pulsamos en Invitar a alguien para que le ayude y podremos elegir el modo en el que ponernos en contacto con la persona que nos va a ayudar: por Windows Messenger, por correo electrónico o guardando la invitación como un archivo

4. Si elegimos guardar la invitación en un archivo, nos pedirá un nombre de usuario para identificarnos, una contraseña que debemos hacer llegar a la persona a la que enviemos la invitación y una duración de la invitación

5. Debemos hacer llegar dicho fichero a la persona que queremos nos preste la ayuda

6. Una vez que el usuario ha recibido la invitación y ha decidido prestarle asistencia remota ejecutando el archivo e indicando la contraseña, nos aparecerá un mensaje que nos pide autorización para aceptar la ayuda del otro equipo

7. Una vez conectados se puede Iniciar Charla para comunicarse, enviar un archivo, Tomar el control (se deberá autorizar), Dejar de compartir y Desconectar

TELNET

Telnet (TELecommunication NETwork) es un programa y un protocolo estándar de Internet que se basa en las solicitudes de comentarios (RFC) 854. En esta RFC se especifica un método para transmitir y recibir caracteres ASCII sin cifrar (texto simple) a través de una red. El puerto que se utiliza generalmente es el 23.

Telnet está formado por dos servicios: el cliente Telnet y el servidor Telnet. Se puede utilizar un cliente Telnet en un equipo y usar una sesión de línea de comandos con el fin de ejecutar aplicaciones en un equipo de una red remota que ejecuta el servicio del servidor Telnet. Sólo se admiten las interfaces y aplicaciones basadas en caracteres. El entorno de Telnet no incluye una capacidad para gráficos.

El servicio del servidor Telnet se debe instalar y configurar para que un cliente que ejecuta el cliente Telnet se pueda conectar a él. Hay varias opciones de configuración disponibles en el servidor Telnet que, si se cambian sus valores predeterminados, también se deberán establecer en el cliente Telnet para lograr una conexión correcta.

Servidor Telnet

El servidor Telnet hospeda las sesiones remotas de los clientes Telnet. Cuando se ejecuta el servidor Telnet en un equipo, los usuarios pueden conectarse al servidor Telnet con un equipo remoto que ejecute el cliente Telnet. El servidor Telnet se implementa en Windows como un servicio que se puede configurar para que se ejecute siempre, incluso cuando ningún usuario ha iniciado sesión en el servidor.

TELNET

Cuando un cliente Telnet se conecta a un equipo que ejecuta el servidor Telnet,

se solicita al usuario remoto que especifique un nombre de usuario y una

contraseña. La combinación de nombre de usuario y contraseña debe ser válida

para el servidor Telnet. El servidor Telnet admite dos tipos de autenticación:

NTLM y contraseña (o texto simple).

Una vez que haya iniciado sesión, el usuario ve un símbolo del sistema que se

puede usar como símbolo del sistema en el equipo local. Los comandos que se

escriben en el símbolo del sistema del cliente Telnet se envían al servidor Telnet

y se ejecutan allí, como si se hubiera iniciado una sesión localmente en el

símbolo del sistema del servidor. La salida de los comandos que se ejecutan se

muestra en la ventana del símbolo del sistema en el cliente Telnet.

Telnet no admite las aplicaciones que requieren una interfaz gráfica de usuario.

Windows Vista y Windows Server 2008 incluyen el servidor Telnet, pero no se

instala de forma predeterminada.

TELNET

Instalación de Telnet

El servicio del servidor Telnet no se instala de manera predeterminada en

Windows Vista ni en Windows Server 2008 R2.

Para instalar el servidor Telnet en Windows Server 2008 R2:

• Inicie el Administrador del servidor. Haga clic en Inicio, haga clic con el botón

secundario en Equipo y, después, haga clic en Administrar

• Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme

que la acción que muestra es la que desea y, a continuación, haga clic

en Continuar

• En la sección Resumen de características, haga clic en Agregar

características

• En la página Seleccionar características, seleccione Servidor Telnet.

También puede seleccionar Cliente Telnet, si lo desea

• Haga clic en Siguiente y, a continuación, haga clic en Instalar en la

página Confirmar opciones de instalación

TELNET

Hemos de instalar el servidor Telnet en el equipo (servidor) que permita a los

usuarios remotos iniciar sesión en dicho equipo y administrar desde la línea de

comandos y ejecutar programas con un cliente Telnet, incluidos clientes basado

en UNIX. Reiniciamos el equipo una vez instalado el servicio.

TELNET

Inicio del programa del servidor Telnet en el host

En Windows, el servidor Telnet (Tlntsvr.exe) se ejecuta como un servicio. Puede

iniciar el servicio de forma manual cada vez que desee permitir conexiones de

Telnet en su equipo, o bien, puede configurar el servicio para que se inicie cada

vez que se inicie el equipo. Los clientes Telnet no se pueden conectar a un host

a menos que el servicio del servidor Telnet se ejecute y escuche solicitudes de

conexión.

TELNET

Cliente Telnet

El cliente Telnet permite a un equipo conectarse a un servidor Telnet remoto y

ejecutar aplicaciones en dicho servidor. Una vez que el usuario ha iniciado una

sesión, aparecerá el símbolo del sistema, que se puede utilizar como si se

hubiera abierto localmente en el servidor Telnet. Sólo los programas que

funcionen con el símbolo del sistema y que no interactúen con el escritorio ni

usen una interfaz de usuario gráfica funcionarán con Telnet.

Todos los miembros de las familias de sistemas operativos Windows Server 2008

y Windows Vista incluyen el cliente Telnet, pero no se instala de forma

predeterminada.

Para la instalación del cliente en un

equipo Windows 7 accedemos a Panel

de control → Programas → Activar o

desactivar las características de

Windows → Cliente Telnet (también

podría albergar el servidor Telnet).

TELNET

Para instalar el cliente Telnet en Windows Server 2008 R2:

• Inicie el Administrador del servidor. Haga clic en Inicio, haga clic con el botón

secundario en Equipo y, después, haga clic en Administrar

• Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme

que la acción que muestra es la que desea y, a continuación, haga clic

en Continuar

• En la sección Resumen de características, haga clic en Agregar

características

• En el Asistente para agregar características, seleccione Cliente Telnet y,

a continuación, haga clic en Siguiente

• En la página Confirmar opciones de instalación, haga clic en Instalar

• Cuando finalice la instalación, haga clic en Cerrar en la página Resultados

de la instalación.

TELNET

Uso de Telnet

El uso de Telnet implica tres pasos básicos:

• Inicio del programa del servidor Telnet

• Conexión al servidor Telnet e inicio de sesión desde el cliente

• Ejecución de programas en la sesión de Telnet

Conexión al servidor Telnet desde el cliente Telnet

Para crear una conexión de Telnet entre un cliente Telnet y un servidor Telnet, el

servicio Telnet en el servidor debe estar iniciado, y debemos iniciar el servicio del

cliente Telnet en el cliente. Cuando ejecute el cliente Telnet (Telnet.exe), debe

especificar el host al que desea conectarse. También puede configurar varias

opciones y características de conexión opcionales.

o la siguiente opción:

TELNET

Al ejecutar el servicio del cliente Telnet, se realiza una solicitud de conexión al

servidor Telnet. Si un servidor Telnet responde a la solicitud, el cliente y el

servidor Telnet negocian los detalles de la conexión, como la configuración del

control de flujo, el tamaño de la ventana, los tipos de autenticación admitidos y el

tipo de terminal que se emulará. Una vez que los detalles de conexión se han

negociado correctamente, y que las credenciales de inicio de sesión se han

validado con un usuario del equipo donde está instalado el servidor Telnet, el

servicio del servidor Telnet crea una sesión de símbolo del sistema de Telnet.

Si las credenciales son correctas, nos aparecerá el símbolo del sistema del

usuario con el que nos hemos logado en el equipo servidor:

TELNET

En Windows, cada sesión de símbolo del sistema de Telnet consta de dos

procesos: TlntSess.exe y Cmd.exe. TlntSess.exe es responsable de administrar

la sesión de Telnet. Cmd.exe es el intérprete de comandos, o programa shell,

que ejecuta comandos, programas o scripts en el host.

Ejecución de programas en la sesión de Telnet

Después de establecer una conexión de Telnet entre el cliente Telnet y el

servidor Telnet, aparece el siguiente mensaje en la ventana del símbolo del

sistema en el cliente:

Welcome to Microsoft Telnet Server.

Este mensaje indica que se ha establecido una sesión en un servidor Telnet

activo. Según la manera en que el servidor esté configurado para autenticar

usuarios, es posible que se le solicite un nombre de usuario y contraseña. Una

vez que la autenticación se haya realizado correctamente, podrá usar esta

sesión para ejecutar programas de la línea de comandos, comandos de shell y

scripts de forma remota en un servidor Telnet. Los programas que puede

ejecutar dependen de los permisos concedidos a la cuenta de usuario, o los

grupos de usuarios a los que pertenezca la cuenta.

TELNET

Seguridad

Hay 3 razones principales por las que Telnet no se recomienda para los sistemas

modernos desde el punto de vista de la seguridad:

• Los dominios de uso general del Telnet tienen varias vulnerabilidades

descubiertas sobre los años, y varias más que podrían aún existir

• Telnet, por defecto, no cifra ninguno de los datos enviados sobre la conexión

(contraseñas inclusive), así que es fácil interferir y grabar las

comunicaciones, y utilizar la contraseña más adelante para propósitos

maliciosos

• Telnet carece de un esquema de autentificación que permita asegurar que la

comunicación esté siendo realizada entre los dos anfitriones deseados, y no

interceptada entre ellos

TELNET EN LINUX

En Windows, el servidor tiene que tener habilitado el servicio de acceso vía

telnet, mientras que en UNIX, este servicio se brinda por medio de lo que se

conoce como un daemon (demonio), una tarea pequeña que se ejecuta de

fondo. El daemon de Telnet se denomina Telnetd.

En Ubuntu Desktop, el cliente telnet viene instalado por defecto, de modo que si

queremos conectarnos vía telnet a un servidor Telnet instalado en un equipo

Windows sólo hemos de hacer dicha conexión:

Si deseamos instalar un servidor Telnet en un equipo Linux, debemos de ejecutar

el siguiente comando:

apt-get install telnetd

TELNET EN LINUX

Y posteriormente desde un equipo Linux o Windows, acceder vía telnet a dicho

equipo:

SSH

Por las razones de seguridad que hemos comentado anteriormente, dejó de

usarse Telnet, casi totalmente, hace unos años, cuando apareció y se popularizó

el SSH, que puede describirse como una versión cifrada de telnet - actualmente

se puede cifrar toda la comunicación del protocolo durante el establecimiento de

sesión (RFC correspondiente, en inglés - si cliente y servidor lo permiten, aunque

no se tienen ciertas funcionalidad extra disponibles en SSH).

Conexión SSH

• En Windows (servidor): no existe ningún servicio

• En Ubuntu (servidor): Instalación mediante “sudo apt-get install ssh”

• En Windows (cliente): no existe ninguna opción de conexión por esta vía

• En Ubuntu (cliente): conexión mediante “ssh IPServidor”

SSH

El servidor de shell seguro o SSH (Secure SHell) es un servicio muy similar al

servicio telnet ya que permite que un usuario acceda de forma remota a un

sistema Linux pero con la particularidad de que, al contrario que telnet, las

comunicaciones entre el cliente y servidor viajan cifradas desde el primer

momento de forma que si un usuario malintencionado intercepta los paquetes de

datos entre el cliente y el servidor, será muy difícil que pueda extraer la

información ya que se utilizan sofisticados algoritmos de cifrado.

La popularidad de ssh ha llegado a tal punto que el servicio telnet prácticamente

no se utiliza. Se recomienda no utilizar nunca telnet y utilizar ssh en su lugar.

Para que un usuario se conecte a un sistema mediante ssh, deberá disponer de

un cliente ssh. Durante el proceso de autentificación, cuando el usuario

proporciona el nombre y la contraseña, se utiliza cifrado asimétrico pero en el

resto de la sesión se utiliza cifrado simétrico por su menor necesidad de

procesamiento.

Para instalar el servidor y el cliente ssh debemos instalar mediante apt-get el

paquete ssh que contiene tanto la aplicación servidora como la aplicación cliente:

// Instalación de servidor ssh y cliente ssh<br />

sudo apt-get install ssh

SSH

Los archivos de configuración son:

/etc/ssh/ssh_config: Archivo de configuración del cliente ssh

/etc/ssh/sshd_config: Archivo de configuración del servidor ssh

Arranque y parada manual del servidor ssh

El servidor ssh, al igual que todos los servicios en Debian, dispone de un script

de arranque y parada en la carpeta /etc/init.d.

// Iniciar o Reiniciar el servidor ssh

sudo /etc/init.d/ssh restart

// Parar el servidor ssh

sudo /etc/init.d/ssh stop

Arranque automático del servidor ssh al iniciar el sistema

Para un arranque automático del servicio al iniciar el servidor, debemos crear los

enlaces simbólicos correspondientes tal y como vimos en temas anteriores.

SSH

Conexión al servidor mediante ssh

Para conectar desde un PC cliente al servidor mediante ssh, debemos ejecutar

el comando ssh seguido del nombre o dirección IP del servidor. La conexión se

realizará con el mismo nombre de usuario que estemos utilizando en el PC

cliente.

La primera vez que se conecte alguien desde dicho PC cliente, se instalará el

certificado de autentificación del servidor, lo cual es normal si se trata de la

primera vez. A la pregunta 'Are you sure you want to continue connecting

(yes/no)?' debemos responder 'yes' ya que de lo contrario la comunicación

finalizará. Si ya nos hemos conectado anteriormente otras veces y vuelve a

realizar esta pregunta, significa que alguien se está haciendo pasar por el

servidor (nuestro servidor ha sido hackeado) o que se ha reconfigurado el

servidor (cambio de nombre, IP, etc...)

SSH

Conexión con el mismo usuario logado en el equipo cliente:

SSH

Si deseamos conectarnos al servidor utilizando un nombre de usuario diferente,

debemos incluir el nombre de usuario antes del nombre o IP del servidor y

separado por una arroba '@'. Ejemplo, supongamos que root, desde el PC

llamado ubuntuServer, quiere conectarse como bea al servidor cuya IP es

192.168.1.140 (ssh [email protected]):

Desde PCs con Windows es posible conectarse por ssh a servidores Linux

mediante el programa Putty. Se trata de un cliente ssh para Windows que

permite acceder en modo texto al sistema Linux desde sistemas Windows.

SSH

Una vez instalado el programa Putty para conectarnos vía Telnet y SSH desde

Windows a Ubuntu, accedemos para realiza la conexión:

SSH

Una vez logueados nos aparecerá la siguiente pantalla:

Tema 4. Instalación, configuración y uso de servidores de acceso y administración remota

Documents

Transcript of Tema 4. Instalación, configuración y uso de servidores de acceso y administración remota