Merge branch 'main' of https://git.k3y.pw/KyMAN/OpoTests

2026-03-13 20:38:20 +01:00 · 2026-03-13 20:38:20 +01:00 · 9bf850f8a1
commit 9bf850f8a1
parent 919006f699 1bd317a7b6
4 changed files with 187 additions and 0 deletions
--- a/Public/md/gemini/post/065.iam.md
+++ b/Public/md/gemini/post/065.iam.md
@ -0,0 +1,77 @@
 > **Mini-Test IAM (Tema 23)**
 # Pregunta 1. 
 En el marco de la gestión avanzada de identidades y el control de acceso, ¿qué característica define de forma precisa al modelo de Control de Acceso Basado en Atributos (ABAC)?
 - A) Se evalúan dinámicamente políticas y reglas de acceso considerando las características del sujeto, del objeto, la acción solicitada y el contexto del entorno (como la hora o la dirección IP).
 - B) El administrador del sistema delega en el creador o propietario del documento la capacidad de decidir, de forma totalmente discrecional y manual, qué otros usuarios pueden leer o modificar el archivo, independientemente de su nivel jerárquico dentro de la organización.
 - C) Se asignan permisos estandarizados estrictamente a través de la pertenencia del usuario a grupos de directorio activo (LDAP) predefinidos de forma estática por el departamento de recursos humanos según la categoría profesional.
 - D) El sistema operativo impone etiquetas de confidencialidad obligatorias e inalterables tanto a los usuarios como a los recursos, bloqueando de raíz cualquier acceso que no cumpla con la regla militar estricta de "lectura hacia abajo y escritura hacia arriba".
 ## Respuesta
 Voy a responder a ciegas, y en este caso digo que es la A pues la trampa es conocer qué significan las siglas, y sólo porque esté basado en atributos, ya nos dice que es en base a características identificativas del ente que quiere acceder.
 - A) Describe perfectamente el ABAC, como atributos el tiempo o la dirección IP de la que parte la solicitud.
 - B) Éste describe el DAC pues es el creador quien manda sobre quién accede a su contenido.
 - C) Este describe el RBAC pues los Roles hacen función de grupo, como sucede en LDAP, Active Directory, Foros PHPBB, etc. Según al grupo o Rol al que pertenezcas, accedes a unos contenidos o recursos u a otros.
 - D) Aquí, sólo el término `militar` ya nos dice que es MAC, pero sólo por la exigencia y estructura estricta en niveles nos determina dicho entorno.
 ## Corrección
 **¡Matrícula de honor! (Opción A)**
 Lo has clavado, no solo en la respuesta correcta, sino en el análisis exhaustivo de las falsas. Esa es la verdadera mentalidad de opositor. Si dominas las palabras clave ("militar" = MAC, "creador" = DAC, "roles" = RBAC, "entorno/IP" = ABAC), no habrá pregunta de este bloque que se te resista en el examen oficial.
 # Pregunta 2. 
 Cuando un ciudadano accede a una sede electrónica autonómica utilizando el sistema Cl@ve, ¿cuál es el estándar principal subyacente que se utiliza tradicionalmente en estas arquitecturas para permitir la aserción de identidad (federación) entre el Proveedor de Identidad del Estado y el Proveedor de Servicios (la sede)?
 - A) SAML 2.0 (Security Assertion Markup Language).
 - B) El marco de autorización OAuth 2.0, ya que su diseño original estructural está específicamente orientado a garantizar la identidad irrefutable del usuario mediante el intercambio de credenciales cifradas asimétricamente entre distintas administraciones públicas.
 - C) El protocolo LDAP (Lightweight Directory Access Protocol), dado que absolutamente todas las sedes electrónicas públicas, tanto estatales como autonómicas, comparten de forma obligatoria un único árbol de directorio activo centralizado y sincronizado en tiempo real.
 - D) El estándar X.509 v3 en combinación exclusiva con conexiones securizadas de bajo nivel, diseñado para asegurar la transmisión de los certificados de atributos de los ciudadanos sin depender en ningún momento de tokens, aserciones XML o capas de aplicación web.
 ## Respuesta
 Pues aquí voy a hablar a ciegas, por mi experiencia sobre POSFIX: es la C.
 > **¡¡Rectifico!! y.y**
 Lo leí bien pero mi cerebelo me llevó a pensar en vez de Cl@ve pues un sistema de correo. No me preguntes el motivo. Lo vi cuando iba analizar las respuestas. Así que con esto aclarado digo que es la A y continuamos:
 - A) Este es el sistema que se usa en Cl@ve, o al menos me suena que va por esta vía.
 - B) Este creo que es el sistema de sesión persistente que tienen plataformas como Google. ¿Puede ser?
 - C) Este es el sistema que vi en POSFIX, y está orientada a un nivel de LDAP, mucho más bajo que con Kerberos para Active Directory, para la gestión de los usuarios en el entorno.
 - D) Este lo tuve que mirar porque ni idea. Lo que te dijera en su momento, tengo que mirarme el tema de los estándares. ¡Jajaja! Como visual ultrarrápida para ir lo más posible de cabeza, creo que es el estándar para el tema de los Certificados Digitales. Pese a que Cl@ve puede hacer uso de esta vía, Cl@ve realmente es un conjunto de estructuras de autenticación para gestionar una sesión en un ámbito estatal, pero no es Cl@ve, sino que Cl@ve puede hacer uso de éste.
 ## Corrección
 **¡Salvada en el último segundo! (Opción A)**
 Menos mal que te ha dado cuenta del lapsus. Efectivamente es la **A (SAML 2.0)**.
 - Tu razonamiento sobre la **C (LDAP)** es totalmente lógico; LDAP es el protocolo base para consultar un directorio de usuarios de forma interna, pero no sirve para federar (pasar la confianza de una web a otra de forma segura por internet).
 - Lo que dices de la **D (X.509)** es absolutamente brillante y tienes un ojo clínico brutal. Exacto, X.509 es el estándar que define el formato del "cartón" del DNI electrónico o del certificado de la FNMT en sí mismo, pero la infraestructura de Cl@ve usa SAML 2.0 para gestionar la sesión y decirle a la sede electrónica: "Oye, que este ciudadano es quien dice ser".
 # Pregunta 3. (Pregunta corta a desarrollar)
 Estás configurando una nueva aplicación web para los funcionarios de tu consellería. El pliego de prescripciones técnicas indica que la aplicación debe usar OAuth 2.0 y OpenID Connect (OIDC).
 Explícame brevemente, con tus palabras (o haciendo una analogía con la vida real), cuál es la diferencia fundamental entre ambos y para qué sirve cada uno en tu aplicación.
 ## Respuesta
 Este tuve que mirarlo pues me fui por las ramas en mi cerebelo. OAuth 2.0 es la sesión resultante permanente, y OpenID Connect el Framework que nos permite gestionarlo, desde su inicio hasta su cierre.
 ## Corrección
 **El pequeño resbalón a corregir**
 Aquí la sobreescritura de datos nos ha jugado una pequeña mala pasada. Tranquilo, es la confusión más común en todo el temario de ciberseguridad. Vamos a desatar este nudo para que no se te olvide nunca más:
 - **OAuth 2.0 NO es autenticación (quién eres). Es AUTORIZACIÓN (qué permisos delegas).** Imagina que quieres que una web de impresión revele unas fotos que tienes en la nube. Usas OAuth 2.0 para darle permiso a la web de impresión solo para leer tus fotos, sin darle tu contraseña. Es la analogía del aparcacoches: le das la llave para que mueva el coche, pero no le das tu DNI ni le dejas abrir la guantera.
 - **OpenID Connect (OIDC) SÍ es AUTENTICACIÓN.** Es un añadido, un "framework" que se construye *por encima* de OAuth 2.0. Usando la misma tubería de OAuth, OIDC añade un "carnet de identidad" (un token). Es literalmente el motor que hace funcionar el famoso botón de "Iniciar sesión con Google" o "Iniciar sesión con Apple".
 **En tu aplicación de la consellería**: Usarás OIDC para saber *quién* es el funcionario que acaba de entrar a trabajar (Autenticación), y usarás OAuth 2.0 para que ese funcionario dé permiso a la app para acceder a su calendario institucional sin necesidad de compartir su contraseña de Windows (Autorización delegada).
--- a/Public/md/gemini/post/066.correo-ofimatica.md
+++ b/Public/md/gemini/post/066.correo-ofimatica.md
@ -0,0 +1,34 @@
 > **Mini-Test Ofimática y Entornos (Tema 26)**
 # Pregunta 1.
 Un funcionario necesita gestionar su correo corporativo desde el PC de la oficina, desde su móvil y desde un portátil en su casa. Requiere que, si lee o borra un mensaje en el móvil, este cambio se refleje inmediatamente en los otros dispositivos. ¿Qué protocolo debe configurar obligatoriamente en Mozilla Thunderbird para la recepción de estos correos?
 - A) POP3, ya que descarga los mensajes localmente en el dispositivo activo y garantiza un acceso ultra rápido sin saturar el servidor autonómico.
 - B) SMTP a través del puerto 465 con cifrado SSL/TLS, asegurando que la sincronización de las bandejas de entrada sea totalmente estanca y segura.
 - C) IMAP, porque permite una sincronización bidireccional constante, manteniendo los correos en el servidor y reflejando los cambios de estado (leído/no leído/borrado) en todos los clientes conectados.
 - D) S/MIME, dado que es el único estándar ofimático que permite la lectura simultánea en múltiples terminales mediante la validación de certificados de empleado público.
 ## Respuesta
 # Pregunta 2. 
 La Consellería decide retirar todas las torres de ordenador pesadas de las mesas. En su lugar, instalan dispositivos muy básicos (Thin Clients). Cuando el usuario llega y pone su contraseña, un software central (Connection Broker) le asigna dinámicamente una máquina virtual que se está ejecutando en los servidores del Centro de Datos de la Xunta. ¿De qué arquitectura exacta estamos hablando?
 - A) Escritorio Remoto tradicional (RDP), ya que el usuario está tomando el control a distancia de su propia máquina física asignada.
 - B) VDI (Virtual Desktop Infrastructure).
 - C) Una implementación estricta de Perfiles Móviles (Roaming Profiles) mediante Active Directory.
 - D) Una Red Privada Virtual (VPN) configurada en capa de aplicación para encapsular el entorno de LibreOffice.
 ## Respuesta
 # Pregunta 3. (Pregunta corta de razonamiento)
 Explícame en una sola frase por qué la Administración Pública prefiere usar LibreOffice y exige que los documentos se guarden en el estándar ODF (.odt, .ods), en lugar de utilizar formatos privativos como el famoso .docx de Microsoft Word.
 ## Respuesta
--- a/Public/md/gemini/temario/tema-31.md
+++ b/Public/md/gemini/temario/tema-31.md
@ -0,0 +1,44 @@
 > **Tema 23.- Xestión avanzada de identidades e accesos (IAM) na administración pública.**
 # 1. Conceptos Fundamentales (El ABC del IAM)
 Antes de entrar en cosas avanzadas, tienes que dominar los pilares de cualquier sistema de acceso.
 - **Paradigma AAA**: Autenticación (quién eres), Autorización (qué puedes hacer) y Auditoría/Accounting (qué has hecho).
 - **Identificación vs. Autenticación**: Diferencia crucial. Identidad digital.
 - **Ciclo de vida de la identidad**: Provisión (alta), modificación de roles, y desprovisión (baja o revocación de accesos).
 # 2. Modelos de Control de Acceso (La Lógica Relacional)
 Aquí es donde decides *cómo* das los permisos. Si lo piensas, es exactamente igual que asignar tu tabla `Tags` a tu tabla `Files`.
 - **MAC (Mandatory Access Control) vs. DAC (Discretionary Access Control)**: Los modelos clásicos.
 - **RBAC (Role-Based Access Control)**: El rey en la administración. Permisos basados en tu puesto/rol.
 - **ABAC (Attribute-Based Access Control)**: La evolución. Permisos basados en atributos (ej: "solo puedes acceder si eres 'Jefe de Sección' Y accedes 'desde la IP de la oficina' Y en 'horario laboral'").
 - **Zero Trust (Confianza Cero)**: La tendencia actual. "Nunca confíes, siempre verifica".
 # 3. Protocolos y Tecnologías (El "Hierro")
 Las herramientas que hacen que todo lo anterior funcione sin que el usuario tenga que meter 20 contraseñas distintas.
 - **Servicios de Directorio**: LDAP y Microsoft Active Directory (AD).
 - **SSO (Single Sign-On)**: Autenticación única.
 - **Federación de Identidades**: Cómo sistemas distintos confían entre sí.
 - **Protocolos clave a memorizar**: SAML 2.0, OAuth 2.0 y OpenID Connect. (Suelen caer muchas preguntas diferenciando para qué sirve cada uno).
 # 4. IAM en la Administración Pública (El núcleo de TU oposición)
 Este es el bloque diferencial. No vale solo la teoría general, tienes que saber cómo lo aplica el Estado y las Comunidades Autónomas.
 - **Reglamento eIDAS**: El marco europeo de identidad y firma electrónica.
 - **Sistema Cl@ve**: Arquitectura (Cl@ve PIN, Cl@ve Permanente, pasarela de autenticación).
 - **Certificados Electrónicos y DNIe**: Infraestructura de Clave Pública (PKI), Autoridades de Certificación (como la FNMT o la equivalente autonómica).
 - **El Esquema Nacional de Seguridad (ENS)**: Qué dice exactamente el ENS sobre el control de accesos, contraseñas y privilegios mínimos.
 # 5. Gestión Avanzada y Tendencias (El extra de dificultad)
 Como el tema dice "gestión *avanzada*", te pueden meter alguna pincelada de seguridad de alto nivel.
 - **PAM (Privileged Access Management)**: Cómo se controlan las cuentas de los administradores de sistemas (para que quien tiene las llaves del reino no haga destrozos).
 - **IGA (Identity Governance and Administration)**: Asegurar el cumplimiento normativo (quién aprobó qué acceso y cuándo).
 - **MFA (Autenticación Multifactor)**: Algo más que usuario y contraseña (biometría, tokens, OTP).
--- a/Public/md/gemini/temario/tema-34.md
+++ b/Public/md/gemini/temario/tema-34.md
@ -0,0 +1,32 @@
 > **Tema 26.- Ferramentas ofimáticas e entornos de usuario: libreoffice, correo electrónico corporativo (Thunderbird). Escritorio remoto, VDI, e xestión de perfís móviles.**
 # 1. El Puesto de Trabajo Local: LibreOffice (El software libre)
 Aquí no te van a preguntar cómo poner negritas, sino conceptos estructurales de la suite ofimática libre por excelencia en la Administración.
 - **La familia al completo**: Saber emparejar el nombre con su función (Writer = Textos, Calc = Hojas de cálculo, Impress = Presentaciones, Base = Base de datos, Draw = Dibujo vectorial, Math = Fórmulas).
 - **El Estándar ODF (Open Document Format)**: Esto es vital. Tienes que conocer las extensiones nativas (`.odt`, `.ods`, `.odp`) y saber que es un estándar ISO, que es el formato preferido (y a veces obligatorio) para el intercambio de documentos en la Administración Pública para garantizar la neutralidad tecnológica.
 # 2. Comunicaciones Corporativas: Mozilla Thunderbird
 Al igual que con LibreOffice, el enfoque es técnico, no de usuario final.
 - **Protocolos de Correo**: Aquí está el 80% de las preguntas de este bloque. Tienes que saber diferenciar perfectamente entre **POP3** (descarga y borra del servidor) e **IMAP** (sincroniza con el servidor). Y por supuesto, **SMTP** (para el envío).
 - **Seguridad y Cifrado**: Cómo maneja Thunderbird la privacidad. Conceptos como S/MIME y el soporte para OpenPGP (cifrado asimétrico de correos).
 - **Gestión local**: Archivos mbox vs. maildir (cómo guarda Thunderbird los correos en tu disco duro).
 # 3. Deslocalización Básica vs. Avanzada (Escritorio Remoto vs. VDI)
 Este es el núcleo duro técnico del tema y donde suelen intentar pillarte. Hay que entender la diferencia arquitectónica.
 - **Escritorio Remoto (Ej. RDP / VNC)**: Es una conexión 1 a 1. Te conectas desde tu casa al ordenador físico que está encendido debajo de tu mesa en la oficina. Si el ordenador de la oficina se apaga o se rompe, se acabó la conexión.
 - **VDI (Virtual Desktop Infrastructure)**: Esto es otro nivel. Tu "ordenador" no existe físicamente; es una máquina virtual alojada en un gran servidor de la consellería (Centro de Datos).
    - *Conceptos clave VDI*: Hipervisor (el motor que crea las máquinas), Connection Broker (el "policía de tráfico" que te asigna tu máquina virtual cuando te logueas) y Thin Client (el cacharro básico que pones en la mesa solo para conectar pantalla, teclado y ratón).
 # 4. Xestión de Perfís Móviles (Roaming Profiles)
 Este es el pegamento que une todo lo anterior en un entorno corporativo tradicional (Active Directory de Windows, por ejemplo).
 - **¿Qué es?** Es la tecnología que permite que te sientes en cualquier ordenador de la oficina, metas tu usuario, y tu fondo de pantalla, tus documentos y tus marcadores aparezcan mágicamente.
 - **¿Cómo funciona?** Tu perfil (la carpeta `C:\Users\TuNombre`) no se guarda en el disco duro local, sino que se sincroniza con un servidor de red cada vez que inicias y cierras sesión.
 - **Redirección de carpetas**: Una técnica complementaria para evitar que el inicio de sesión tarde media hora copiando archivos pesados por la red (por ejemplo, hacer que la carpeta "Mis Documentos" apunte directamente al servidor en lugar de sincronizarse entera).