Los sitios en el directorio activo.

Los sitios en el directorio activo.

Los sitios:

Un sitio representa un conjunto de equipos que están conectados mediante una red de alta velocidad (por ejemplo, una red de área local).

Los objetos de subredes identifican los rangos de direcciones IP de un sitio.

Es conveniente que las redes de área extensa (WAN) empleen múltiples sitios, ya que si no lo hacen así, la atención de las solicitudes o la replicación de información del directorio será muy poco eficiente.

Cómo se relacionan los sitios con los dominios:

En el directorio activo, los sitios representan la estructura física (topología) de la red, mientras que los dominios representan la estructura lógica de la organización.

La estructura lógica y la estructura física son independientes la una de la otra, por ello:

• No es necesaria ninguna correlación entre la estructura física de la red y su estructura de dominios.
• Es posible que haya múltiples dominios en un único sitio, así como múltiples sitios en un único dominio.
• No es necesaria ninguna conexión entre los espacios de nombres de sitios y de dominios.

El directorio activo utiliza la información de topología, almacenada como objetos de sitio y vínculos de sitio en el directorio, para crear la topología de replicación mejor y más eficaz.

Cómo se utilizan los sitios:

Los sitios facilitan diversas operaciones:

Autenticación: Cuando un cliente inicia una sesión en un dominio, en primer lugar se dirige a un controlador de dominio del mismo sitio para autenticarse (de esta manera, se reduce el tráfico en las conexiones WAN).

Replicación: Los sitios optimizan la replicación de información del directorio. La información de configuración y del esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio. La información del directorio se replica dentro de un sitio con mayor frecuencia que con los demás sitios; de esta forma, los controladores de dominios que con más probabilidad necesitarán información especial del directorio son los que primero reciben las replicaciones.

 Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red.

Ubicación de servicio: Otros servicios utilizan el directorio activo para almacenar objetos que puedan utilizar la información de la subred y el sitio.

La pertenencia a un sitio se determina de manera diferente para los controladores de domino que para los clientes.

Un cliente determina en qué sitio está cuando se conecta, ya que obtiene su dirección IP y su máscara de subred del servidor DHCP (de modo que la ubicación de un sitio se actualiza dinámicamente).

La ubicación de un controlador de dominio se establece por el sitio al que pertenece en el directorio (ya que obtiene su dirección IP y su máscara de subred de forma estática y, por tanto, no se modificará a no ser que se desplace a un sitio distinto).

Si un controlador de dominio o un cliente tienen una dirección que no está incluida en ningún sitio, el cliente o el controlador de dominio estarán contenidos dentro del sitio inicial (Default-First-Site-Name, que es el nombre predeterminado del primer sitio). Toda la actividad se controla, entonces, como si la actividad del cliente o del controlador de dominio fuera un miembro del Default-First-Site-Name (sin tener en cuenta la dirección IP o la ubicación de la subred real). Por tanto, todos los sitios siempre tendrán un controlador de dominio asociado, ya que el controlador de dominio más próximo se asocia a un sitio que no tenga ningún controlador de dominio,

Cuándo debe establecerse un sitio único:

Al planear la estructura del directorio, se debe comenzar con una estructura de sitio único y, después, ir agregando más sitios cuando las limitaciones de ancho de banda y conectividad lo aconsejen.

Si se dispone de una red de área local o de una red troncal de alta velocidad, toda la red se puede situar en un único sitio.

De esta manera, se consigue una administración de replicación simplificada y solicitudes de actualizaciones de directorio entre todos los controladores de dominio.

Cuándo deben establecerse sitios independientes:

Se deben establecer sitios independientes cuando la red esté formada por varias ubicaciones geográficas conectadas por conexiones WAN que provocan que los controladores de dominio no respondan con la velocidad suficiente a las necesidades de los usuarios.

Al establecerse varios sitios independientes, se obtienen las ventajas siguientes:

• Se reparte el proceso de autenticación.
• Se optimiza el intercambio de información de directorios.
• Se puede ajustar con precisión el comportamiento de la replicación.

Al planearse la estructura de sitios, es preciso tener en cuenta los controladores de dominio que utilizará cada equipo para el proceso de inicio de sesión.

Si un cliente está en un sitio que no disponga de controladores de dominio, utilizará el sitio al que esté mejor conectado que disponga de un controlador de dominio. El sitio mejor conectado se determina basándose en el vínculo de sitio que tenga el coste menor.

Si se desea que un cliente inicie sus sesiones en un conjunto determinado de controladores de dominio, se pueden definir los sitios de forma que, únicamente, dichos controladores de dominio estén en el mismo sitio que el cliente (aunque haya otros controladores de dominio que se encuentren en su misma ubicación física).

Si la replicación entre varios controladores de dominio se ha de efectuar al mismo tiempo, se deberán asignar dichos controladores de dominio al mismo sitio. Así, se podrá crear un sistema de replicación uniforme, aunque se limite la capacidad de realizar ajustes en el comportamiento de la replicación de directorios.

Dentro de un sitio, cada controlador de dominio puede actuar como servidor cabeza de puente. Un servidor cabeza de puente es un servidor perteneciente a un sitio que está diseñado para realizar replicación sitio a sitio para un dominio y protocolo de transporte específico. Se pueden utilizar para controlar la replicación entre sitios de manera entre los controladores de dominio que se especificó y no entre los controladores de dominio que pueden ser menos capaces de administrar el tráfico de la replicación entre sitios.

Puede reducir el efecto negativo que tiene en la red un error en un servidor cabeza de puente, los sitios que sean bastante grandes se podrán dividir en sitios más pequeños para que cualquier error afecte solo a la replicación entre el sitio que contiene el servidor cabeza de puente donde ha ocurrido el error y el sitio (o los sitios) que contienen los servidores asociados de replicación.

Trabajar con vínculos a sitios:

Si se establecen varios sitios, debe tenerse en cuenta cómo va a intercambiarse la información entre los sitios para poder revisar, ajustar o complementar la configuración actual de los sitios.

Para complementar la topología de la replicación entre los sitios de la red, se pueden crear vínculos a sitios o establecer un conjunto de vínculos mediante la creación de un puente de vínculos a sitios, para que la configuración de replicación sea más fiable y tolerante con los errores. Un vínculo a sitios es un objeto del directorio activo que especifica un conjunto de sitios que se pueden comunicar a un coste uniforme mediante un protocolo de transporte y representa el flujo de replicación entre ellos. Un puente de vínculos a sitios especifica un conjunto de vínculos a sitios que se pueden comunicar mediante el mismo protocolo de transporte.

Cómo trabajar con sitios:

Para trabajar con sitios, se utiliza Sitios y servicios de Active Directory. Para trabajar con ellos, suga los pasos siguientes:

1. Ejecute Sitios y servicios de Active Directory que se encuentra en Herramientas administrativas del menú de inicio y verá la pantalla inicial de la utilidad.
2. Pulse el signo "+" que hay a la izquierda de Sites y se desplegarán sus tres nodos:

• Subnets --> En este nodo se crearán las subredes.
• Inter-Site Transports --> En este nodo se encuentran los protocolos de transporte que se utilizarán entre los sitios que haya definidos.
• Default-First-Site-Name --> Corresponde al primer sitio configurado por defecto.

Cómo crear un sitio:

Para crear un sitio nuevo, siga los pasos siguientes:

1. Ejecute Sitios y servicios de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla inicial de la utilidad.
2. Sitúese sobre Sitios, muestre su menú contextual, seleccione Nuevo sitio.
3. Indique el nombre que desea dar al sitio que está creando.
4. Seleccione DEFAULTIPSITELINK como vínculo a utilizar; de esta manera, se vincularán el sitio que se está creando y el sitio por defecto Default-First-Site-Name utilizando el protocolo de transporte IP.
5. Pulse en Aceptar y le mostrará una pantalla de aviso donde se recuerda los procesos a seguir para terminar de configurar el sitio que se está creando.
6. Cuando haya leído. pulse en Aceptar y volverá a la pantalla principal de la utilidad. Fíjese en que hay un nuevo nodo que corresponde al sitio nuevo.
7. Cuando haya finalizado ,cierre la utilidad.

Administración de dominios.

Administración de dominios.

Estructura del trabajo en grupo:

La administración de los recursos se hace de manera centralizada. Cada usuario controla qué recursos comparte de su ordenador.

Algunos problemas que podemos sacar de esta manera de administrar los recursos, en grandes organizaciones, pueden ser la dificultad para encontrar la ubicación de los recursos, así como también, la limitación de los colaboradores.

Estructura cliente servidor:

Anteriormente hablábamos del término compartición donde todos eran clientes y todos eran servidores.

Ahora, se usan pocos servidores que compartan sus recursos:

• Servidores de archivos.
• Servidor de impresión.
• Servidor de comunicaciones.
• Servidor web.
• Servidor de correo electrónico.
• Servidor ftp.
• Servisor proxy.

Protocolo LDAP

Las siglas LDAP (lightweight directory access protocol), en español protocolo ligero de acceso a directorios, hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servidor de directorio ordenador y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos en la que pueden realizarse consultas.

Define directorio como un conjunto de objetos con atributos organizados de manera lógica y jerárquica.

Define servicio de directorio como los métodos para almacenar datos del directorio y ponerlos a disposición de administradores y usuarios.

Dominios:

• Divide redes extensas en redes parciales.
• Existe una unión entre equipos, usuarios y recursos.
• Se pueden administrar de manera centralizada.
• Fácil planificación.
• Los recursos siguen conectados a los equipos, pero se centraliza su administración.
• Mayor seguridad.
• Para varios dominios, existen las relaciones de confianza que permiten una cuenta para varios dominios.
• Todo está supervisado por el controlador de dominio, también conocido como controlador de respaldo.

Directorio activo (Active Directory).

• Es el servicio de directorio de Windows.
• Incorpora un directorio (almacén de objetos).
• Incluye los siguientes conceptos:

• Dominio: Es la estructura fundamental.
• Unidad organizativa: es la unión de grupo de objetos y unidades.
• Objetos: recursos concretos.
• Grupos: conjunto de objetos del mismo tipo.

Árbol de dominios y bosque:

Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Árboles de dominios: El primer dominio de un árbol se denomina dominio de raíz. Los dominios adicionales del mismo árbol de dominios de denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo.

Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del bosque o del árbol de dominios. Esto no quiere decir que el usuario tenga permisos y derechos en todos los dominios del árbol puesto que un dominio es un límite de seguridad y por tanto habría que conceder derechos o permisos para cada dominio.

Bosque: Un bosque está formado por uno  o varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo, pero podría ocurrir que hubiese dos árboles en un bosque con nombres de subdominio iguales.

Los bosques no tienen ningún dominio raíz propiamente dicho. El dominio raíz de un bosque por convenio es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características: 

• Relaciones de confianza transitivas entre los dominios.
• Relaciones de confianza transitivas entre los árboles de dominio.
• Un esquema, un catálogo global e información de configuración común.

El uso de bosques y árboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Papeles de los servidores:

• Controlador de dominio.
• Servidores miembros.
• Servidores independientes.
• Servidor de replicación (backup).
• Cada bosque necesita un servidor DNS para:
• Resolver los nombres de equipos.
• Asignar nombre a los dominios.

Usuarios:

• Son objetos del directorio con identificador de seguridad para acceder a la red y a los recursos.
• La identidad del usuario se autentica.
• Se le autoriza el uso de recursos.
• Se le puede auditar.
• Dos tipos:

• Usuarios globales o del dominio: para trabajar en el dominio.
• Usuarios locales: para los equipos. Fuera del dominio.

• Dos cuentas:

• Administrador de dominio.
• Invitado.

Los usuarios se pueden:

• Crear.
• Modificar.
• Cambiar nombre.
• Modificar contraseña,
• Limitar horas de conexión.
• Limitar estaciones de trabajo en la que se conectan.
• Copiar --> Plantillas.
• Realizar operaciones conjuntas --> varias cuentas juntas.

Perfiles móviles:

• Asignado a cada usuario.
• El usuario puede cambiarlo y los cambios permanecen después de cerrar sesión.
• Los datos se guardan en /usuarios/nombre_del_usuario/ntuser.dat
• Al conectarse el archivo de copia en HKEY_CURRENT_USER.
• Si hace cambios se guardan temporalmente en ntuser.dat.LOG1 y ntuser.dat.LOG2.
• Al terminar sesión se copia en ntuser.dat.

Perfiles obligatorios:

• Misma estructura que los perfiles móviles pero aseguran que los usuarios trabajen en un entorno común.
• Los usuarios pueden modificar los perfiles, pero los cambios se pierden al cerrar sesión.
• Los administradores pueden cambiarlos y guardar los cambios.
• Se guardan en el archivo /usuarios/nombre/ntuser.man.

Perfiles superobligatorios:

• Misma filosofía que los perfiles obligatorios.
• Si no se pueden cargar, no se puede iniciar sesión.

Otras utilidades:

• Scripts al inicio de sesión.
• Ruta de acceso local.
• Unidades de red.

Grupos:

• Existen dos tipos de grupos:

• Grupos de seguridad.
• Grupos de distribución.

• Según el ámbito:

• Grupos universales: permisos en cualquier dominio.

• Universales + globales + cuentas de cualquier dominio.
• Necesitan Directorio Activo + modo nativo.

• Grupos globales: permisos en cualquier dominio.

• Globales + cuentas del dominio en el que se ha definido el grupo.

• Grupos de dominio local: permisos en el dominio.

• Universales + globales + locales del dominio y cuentas de cualquier dominio.

• Grupos locales: sin Directorio Activo. Permisos para el equipo.

Cambiar ámbito:

• Por defecto grupo de seguridad de ámbito global.
• Global a universal --> solo si el grupo global no es miembro de orto grupo global.
• Dominio local a universal --> solo si el grupo de dominio local no tiene como miembro otro grupo de dominio local.
• Universal a global --> solo si el grupo universal no tiene como miembro otro grupo universal.

Grupos creados en la instalación:

• Carpeta Builtin

• Tipo integrado local.

• Carpeta users

• Dominio local

Los equipos:

• Respetan los equipos.
• Permite iniciar sesiones en un dominio con autenticación.
• Permite el acceso a recursos.
• Cada equipo que accede a la red tiene su propia cuenta:

• Autenticar la identidad del equipo.
• Autorizar o denegar el acceso a los recursos.
• Administrar recursos, usuarios...
• Auditar acciones.

• Dos carpetas

• Domain Controllers.
• Computers.

• Se crea al añadir un equipo al dominio.

Windows Server. Instalación.

Windows Server. Instalación.

Redes, Servicios de Directorio y Dominios.

Redes --> Se comparten y distribuyen recursos en grupos de trabajo.

Servicio de directorio --> Al igual que el anterior, los recursos están compartidos y distribuidos pero, en esta ocasión, cuenta con una administración centralizada.

Dominio --> Cumple con todo lo anterior, es decir, los recursos están compartidos y distribuidos con administración centralizada y, además añade, una estructura jerárquica.

Configurar el servidor:

• Servicios de acceso y directivas de redes.
• Servicios de archivos.
• Servicios de dominio de Directorio Activo.
• Servicios de impresión.
• DHCP.
• DNS.
• Terminal Services.
• Servidor Web.

Agregar funciones:

Se requieren dos pasos, en primer lugar se añadirá la función y en segundo lugar se agregarán características.

Para añadir funciones:

1. Inicio --> Herramientas Administrativas --> Administrador del Servidor.
2. Ir a funciones --> Agregar funciones o Quitar funciones.

Para agregar características:

1. Inicio --> Herramientas Administrativas --> Administrador del Servidor.
2. Ir a Agregar características.

Documentación sobre la instalación y las incidencias

Este es un factor muy importante a la hora de instalar, se ha de tener en cuenta todo lo referente a la dicha instalación, desde la fecha y hora hasta los componentes hardware.

• Fecha y hora de instalación.
• Versión, clave de producto del Sistema Operativo.
• Información del hardware: Procesador, Disco Duro, Memoria, Gráfica, Placa, etc.
• Nombre del equipo, contraseña del administrador, número de licencias...
• Si hubiese otro software instalado, pues lo mismo: nombre, utilidad, fecha de instalación, etc.
• Identificación de la red: nombre del dominio/nombre del grupo de trabajo, IP, máscara. Puerta de enlace, Servidor DNS, roseta.
• Actualizaciones: nombre, utilidad y fecha.
• Proxys.
• Ubicación del equipo.

Administración del equipo.

Administración del equipo.

Sucesos del sistema:

Para acceder al visor de archivos de sucesos: Menú Sistema-->Administración-->Visor de archivos de suceso.

A la izquierda encontramos los sucesos que se pueden visualizar, y a la derecha la información sobre los mismos.

Servicios:

Podemos controlar los servicios instalando una herramienta llamada BootUp-Manager,para instalar debemos seguir los siguientes pasos:

1. Aplicaciones/Centro de software de Ubuntu.
2. Obtener software libre.
3. Herramientas del sistema.
4. BootUp-Manager
5. Pulsar dos veces e instalar.
6. Pide contraseña.
7. Cierre la utilidad al terminar la descarga.
8. Menú sistema/administración y BootUp-Manager.

Servicios. uso:

• Se ejecutan los que tiene la casilla de la izquierda activada.
• Para activar o desactivar.
• Botón derecho y seleccionar la acción.
• En la casilla Avanzado se ve más información sobre los servicios.

Monitor del sistema:

Para acceder al monitor del sistema:

• Sistema-->Administración-->Monitor del sistema.
• Pulsar en procesos --> procesos de usuario.
• Muy parecido al de Windows.
• Ficha Recursos --> Rendimiento.
• Sistema de archivos.

Procesos

 Recursos

 Sistemas de archivos

Configuración TCP/IP estática:

Para realizar una configuración TCP/IP manual en nuestro equipo, deberemos hacer:

• Sistema-->Preferencias-->Conexiones de red.
• Pulsaremos sobre el adaptador y luego editar.
• Seleccionaremos Cableada.
• Seguridad 802,1x.
• Podemos elegir configuración IPv4 o IPv6.

Copias de seguridad en Linux.

Copias de seguridad.

Introducción:

En Linux, disponemos de una amplia variedad de herramientas para realizar copias de seguridad, desde copias básicas (pequeños casos domésticos) y copias más avanzadas (para grandes empresas). Además, también podemos encontrar herramientas para la clonación de datos.

Estas herramientas pueden ser vía comando (Dump/restore, Tar, etc) o por vía gráfica (Amanda, Back in Time, etc).

En cuanto a la clonación, podemos encontrar programas como Clonezilla, Norton Ghost, etc.

Comando tar:

Disponible en todas las versiones de Unix-Linux, usando este comando podemos meter en un único fichero todos los ficheros que queramos.

Sus opciones son las siguientes :

• c --> Crea un contenedor.
• x --> Extrae ficheros de un contenedor.
• t --> Testea los ficheros almacenados en un contenedor.
• r--> Añade ficheros al final de un contenedor.
• v --> Modo verbose.
• f--> Especifica el nombre del contenedor.
• z--> Comprime o descomprime.

Comando dd:

• Realiza copias exactas de discos duros, particiones o ficheros.
• dd if=fichero_origen of=fichero_destino.
• dd if=/dev/sda of=/dev/sdb (Esto lo que hará, será copiar todo el contenido de la partición a del disco duro sata a la partición b del disco duro sata). 

rsync:

• Sincroniza carpetas de forma incremental,
• Mediante el encoding sincroniza carpetas por red (los datos se envían por ssh).
• rsync -avz /carpeta_origen /carpeta_destino
• rsync -avz 192.168.0.25: /carpeta_origen /carpeta_destino

Ejercicios:

Crea las carpetas /origen y /destino.

$ mkdir origen destino

$ ls

Copiar algunos ficheros en origen.

$ cp Datos/* origen

$ ls origen

Sincronizar origen y destino.

$ ls rsync -avz origen/ destino

$ ls destino

Accede a origen y elimina algún fichero.

$ cd destino
$ rm Dato1*
$ ls

Vuelve a sincronizar y comprueba que se ha borrado en destino.

$ rsync -avz --delete origen/ destino

$ ls destino

Backups sobre CD/DVD:

Para hacer una copia de seguridad de un CD/DVD hay que realizar dos pasos:

1. Crear la iso.

• mkisofs -o /root/imagen.iso /home/

2. Grabarla en el CD/DVD

• cdrecord /root/imagen.iso

Con las herramientas que conocemos, ¿cómo haríamos una copia de seguridad programada?

Dependiendo de la versión y gestor de escritorio la ubicación puede cambiar, pero aquí sería Aplicaciones-->Accesorios-->Copias de seguridad.

Se nos abre esta ventana, sobre la cual deberíamos hacer click en la opción activar que aparece en color naranja en la opción No hay respaldos planificados.

Una vez activada, a la izquierda, en el panel hacemos click sobre Planificación en la que podemos elegir entre copias diarias y semanales.

Herramientas gráficas:

• Déjà-Dup --> Copias de seguridad.
• Brasero --> Grabación CD/DVD.
• Clonezilla --> Clonación.

Usuario y grupos.

Usuarios y grupos.

Ficheros de gestión de usuarios:

El archivo /etc/passwd contiene:

• Login: Nombre de usuario único.
• Contraseña: Codificada.
• UID: Identificador del usuario.
• GID: Identificador del grupo.
• Nombre del usuario: Comentario sobre el usuario.
• Directorio home: Directorio personal de trabajo.
• Shell: Intérprete de comandos.

Órdenes para los usuarios:

• No es conveniente trabajar directamente con los ficheros.
• useradd/adduser [opciones] <nombreUsuario> : Añade un nuevo usuario.
• usermod [opciones] <nombreUsuario> : Para realizar modificaciones sobre un usuario ya creado.
• userdel [opciones] <nombreUsuario> : Para eliminar a un usuario ya creado.
• id <nombreUsuario> :Muestra los identificadores que le corresponden al usuario, como el UID o el GID.
• passwd [opciones] <nombreUsuario> : Para modificar la contraseña de un usuario ya creado o para asignar la contraseña a un nuevo usuario.
• su <nombreUsuario> : El usuario pasaría a tener privilegios de superusuario.
• groups [opciones] nombreUsuario> : Muestra los grupos a los que pertenece el usuario.

Grupos:

La información referente a los grupos del sistema se encuentra en el archivo /etc/groups.

• Nombre de grupo: Identifica el nombre del grupo.
• Contraseña (opcional): Un usuario puede cambiar su grupo si sabe la contraseña.
• GID: Identificador del grupo.
• Listado de usuarios: Miembros del grupo.

Todo usuario pertenece, al menos, a un grupo:

• Users
• Ssh
• Root
• Admin
• Por defecto a uno con su mismo nombre

Órdenes para grupos:

• groupadd <nombreGrupo> : Crea un grupo
• groupmod <nombreGrupo> : Modifica un grupo.
• groupdel <nombreGrupo> : Elimina un grupo.
• gpasswd <nombreGrupo> :Modifica o establece contraseña al grupo
• newgrp <nombreGrupo> : Cambia el identificador de un grupo al que pertenece un usuario.

Sistemas de contraseñas shadow:

• Se encuentra habilitado por defecto.
• Archivo /etc/passwd solo modificable por root pero legible para todos.
• Aunque las contraseñas están encriptadas, sería conveniente que solo las pudiera leer el root.
• El sistema de contraseñas shadow almacena las contraseñas en /etc/shadow y los usuarios en /etc/passwd. Los usuarios no tienen permiso de lectura.
• Para los grupos es igual /etc/gshadow

Órdenes para shadow:

• pwconv/pwunconv: Convierte del estándar (/etc/passwd) al shadow y viceversa.
• grpconv/grpunconv: Convierte del estándar (/etc/group) al shadow y viceversa.