Microsoft Windows

Los clientes basados en Windows se unen al dominio de Samba4 de forma tradicional. Es necesario que las computadoras clientes tengan configurado como servidor DNS la dirección IP del controlador de dominio, según muestra la siguiente figura.

Figura 3.3.1. Configuración del servidor DNS en Windows XP.

Tanto las computadoras clientes como el servidor deben poseer la misma zona horaria (Figura 3.3.2), para que la sincronización del tiempo sea satisfactoria y no se afecte el inicio de sesión en los clientes.

Una vez que la computadora cliente se une al dominio la ficha “Internet Time” desaparece,

esto indica que el sistema operativo se sincroniza con el controlador de dominio, por tanto, se debe tener instalado ntp como servidor de tiempo en el DC de Samba4.

Para unir las estaciones de trabajo al dominio se puede realizar mediante el Panel de Control a través del menú System (Sistema). Luego seleccionar la ficha Change Name

Figura 3.2.2. Definición de la zona horaria. 3.3.2 GNU/Linux

El Directorio Activo ha tenido un gran auge en los entornos empresariales debido al sistema de autenticación centralizada que brinda, para que sea efectivo los clientes deben tener la habilidad de unirse al dominio. Los sistemas operativos Linux no se han quedado atrás en el tema, existen varias herramientas para este fin; alguna de ellas son:

LikewiseOpen

Provee un sistema de autenticación completo que logra integrarse en entornos de Active Directory. Se encuentra disponible en el repositorio principal (main) de Ubuntu. El acceso a la interfaz gráfica (Figura 3.3.3) permite unir o sacar la computadora del dominio de forma similar a Windows.

Los paquetes para ejecutarlo son: likewise-open y likewise-open-gui. El primero instala herramientas extras que permiten obtener información sobre AD o realizar configuraciones como:

 lw-update-dns: permite a los usuarios actualizar sus entradas DNS en el controlador de dominio.

 lw-get-status: muestra información relativa del estado de la computadora unida al dominio.

Mientras que el segundo en la interfaz gráfica en sí, es opcional, pero facilita el trabajo a aquellos que no están acostumbrados a la consola.

Figura 3.3.3. Interfaz gráfica de LikewiseOpen.

A través del menú System/Administration/Active Directory membership (en GNOME) se accede a la interfaz gráfica de LikewiseOpen. Con el siguiente comando se logra unir una computadora al dominio:

# domainjoin-cli join uclv3.cu administrator

Donde uclv3.cu es el dominio a unirse y administrator puede ser cualquier usuario perteneciente al grupo Domains Admins.

Centrify Direct Control

Puede unir rápida y fácilmente un cliente Linux al AD; además de soportar la autenticación de usuarios de AD o SSO mediante Kerberos. En las distribuciones de Ubuntu se encuentra en el repositorio partner, su nombre es centrifydc; es posible descargarlo desde la web

oficial y la configuración sólo se realiza mediante comandos, se asemeja más a los entornos

Unix. (Centrify, 2012)

Para unir la computadora al dominio:

# adjoin -u [email protected] -w uclv2.cu

Por administrator se puede utilizar cualquier usuario miembro del grupo Domains Admins. Una vez que ha finalizado el proceso correctamente, se debe reiniciar la computadora o reiniciar los servicios pertinentes para aplicar los cambios.

En la Figura 3.3.4 se muestra el resultado del comando adinfo, el mismo devuelve información sobre la computadora que se unió al dominio y el DC que está en uso; el comando sirve además para comprobar si el proceso fue exitoso.

Figura 3.3.4. Comprobación del proceso de unión al dominio con la herramienta adinfo.

Samba3+Winbind

Samba3 posee la capacidad de unirse a un dominio de AD, para ello se apoya en el componente winbind, perteneciente a la suite de programas de Samba. Winbind se encarga de resolver la autenticación unificada y utiliza la implementación Unix de MSRPC,

Pluggable Authentication Modules (PAMs) y el Servicio de Conmutación de Nombres (Names Service Switch, NSS) para permitir a un usuario de un dominio que parezca y pueda operar como un usuario Unix en una computadora con dicho sistema operativo.

El proceso de configuración, comparado con las soluciones anteriores, es más complejo y consta de los siguientes pasos (Battista, 2009):

1. Sincronizar el tiempo entre el DC y el servidor Samba. Para ello puede emplear el servicio ntpd.

2. Configurar el entorno de Kerberos (/etc/krb5.conf), para que la adquisición del

ticket sea exitosa.

3. Activar el modo Active Directory Services (secure = ADS) en el archivo de configuración de Samba3 (/etc/samba/smb.conf).

4. Configurar la autenticación (/etc/nsswitch.conf). 5. Unir al dominio la computadora cliente:

# kinit

# net ads join -U [email protected]

6. Configurar PAMs.

7. Iniciar los servicios: nmbd, smbd, windbind

Para comprobar si la computadora se unió correctamente al dominio:

# wbinfo –u # wbinfo –g

El primer comando lista todos los usuarios del dominio y el segundo los grupos.

Winbind-SADMS

Es un método automatizado con interfaz gráfica (Figura 3.3.5) de la variante anterior.

A través de la ventana se configuran los pasos requeridos para implementar

Samba3+Winbind; también se pueden controlar los servicios implicados. Este programa se encuentra en los repositorios de Ubuntu (paquete sadms) y es posible descargar el código fuente de la web oficial para instalarlo en otra distribución. (Bou, 2012)

3.4 Análisis económico

Las versiones para servidores de Microsoft poseen altos costos de licencias (Tabla 3.4.1) respecto a las soluciones de código abierto, y algunos casos son gratis como Samba. Además Windows requiere de servidores con mayores prestaciones de hardware, para lograr eficiencia óptima; no así en las distribuciones GNU/Linux donde una computadora con pocos recursos se puede emplear como servidor.

Tabla 3.4.1. Listado de precios para Microsoft Windows Server 2008 R2 (Microsoft, 2012b).

Producto Precio (USD)

Windows Server 2008 R2 Standard $ 1,029 (con 5 CAL)

Windows Server 2008 R2 Standard $ 1,209 (con 5 CAL)

Windows Server 2008 R2 Enterprise $ 3,919 (con 25 CAL)

Windows Server 2008 R2 Datacenter $ 2,999

Windows Server 2008 R2 para sistemas basados en Itanium $ 2,999 (por procesador)

Windows Web Server 2008 R2 $ 469

Implementar una solución de Directorio Activo mediante Samba4 en las empresas cubanas significa un ahorro cuantitativo según muestra la tabla anterior, aunque actualmente no se pagan estas licencias; la dirección del país determinó que es necesario migrar hacia plataformas de Software Libre para evitar en un futuro demandas por parte de grandes compañías como Microsoft Corporation.

3.5 Conclusiones

A través de los escenarios propuestos se demostró el funcionamiento de Samba4 como controlador de dominio en entornos reales. El proceso de unir Samba4 a un dominio existente facilita la migración en las grandes instituciones, ya que aprovecha las ventajas

brindadas por la replicación de información, es posible que se presenten algunos inconvenientes en esta implementación sobre todo en la partición DNS, por lo que se aconseja montar escenarios de pruebas antes de comenzar la migración. Los clientes basados en Windows se unen de forma exitosa al dominio Samba4 y en el caso de

GNU/Linux existen varias herramientas que proveen los mecanismos de autenticación para unirse al AD.

CONCLUSIONES

1. Se montaron tres escenarios de pruebas en los que se instaló y configuró Samba4

para ser usado como controlador de dominio, ya sea primario o unido a un dominio de Windows existente.

2. La administración del dominio basado en Samba4 se logró de forma eficiente, mediante las herramientas de consola que ofrece la misma y a través de las herramientas de administración remota de servidores de Windows.

3. La replicación de información entre controladores de Windows y Samba4 fue exitosa, lo que facilitó el proceso de migración y la transparencia al usuario. También se utilizaron otras aplicaciones como phpLDAPadmin y Apache Directory Studio para administrar la base de datos del Directorio Activo.

4. En algunos casos la replicación de la partición DNS del Directorio Activo no se efectuó automáticamente; para solucionarlo hubo que realizar el proceso de forma manual.

5. Las estaciones de trabajo se unieron correctamente al dominio, tanto las que emplean MicrosoftWindows o Ubuntu.

6. Como servidor de archivos se utilizó la versión 3 de Samba, que permite unirse a un dominio y utilizar el sistema de autenticación única que brinda Active Directory, en este caso Samba4.

RECOMENDACIONES

Debido al impacto económico que puede tener este trabajo y la necesidad existente en el país de migrar hacia plataformas de Software Libre se recomienda:

 Utilizar Samba4 en aquellas instituciones que no cuentan con un dominio a fin de explotar las facilidades que brinda el Directorio Activo.

 Montar escenarios de pruebas si se va a migrar de Microsoft Active Directory a

Samba4, antes de proceder con la migración total, ya que pueden presentarse problemas en la replicación.

 Dar seguimiento al estudio de este trabajo, dado que Samba4 actualmente está en desarrollo y se espera alcanzar versiones RC a finales de agosto o septiembre, las cuales serían los primeros pasos para la versión estable.

 Analizar la replicación entre un controlador de dominio de Windows y Samba4 para conocer en detalle los posibles problemas que puedan presentarse y contribuir con los desarrolladores de Samba4.

 Capacitar a los administradores de red en la implementación de controladores de dominio que propone este trabajo.

 Crear en la UCLV un repositorio con los paquetes .deb de Samba4 a partir del código fuente para las distribuciones GNU/Linux Debian y Ubuntu en aras de facilitar el proceso de instalación.

 Realizar una salva de la información del servidor antiguo para evitar pérdidas en caso de que falle el proceso de migración de la versión 3 a la 4 de Samba.

REFERENCIAS BIBLIOGRÁFICAS

APACHE. 2012. Apache Directory Server [En línea]. Disponible en: http://directory.apache.org/ [Accedido en febrero 2012].

APPLE. 2012. Mac OS X Server v10.5 Leopard [En línea]. Disponible en: http://www.apple.com/support/macosxleopardserver/opendirectory/ [Accedido en marzo 2012].

BAPTISTE MARCHAND, J. 2004. Active Directory network protocols and traffic.

Disponible en:

http://www.hsc.fr/ressources/presentations/ad_proto_traffic/ad_proto_traffic_en.pdf [Accedido en marzo 2012].

BARTLETT, A. 2005. Samba 4 - Active Directory. Samba.org.

BARTLETT, A. & DAVIS, D. T. 2009. Notes on how Samba4 uses kerberos, and some of

it's requirements. Disponible en:

http://samba.org/ftp/unpacked/samba_4_0_test/source/auth/kerberos/kerberos- notes.txt.

BATTISTA, M. 2009. Using Winbind to resolve Active Directory accounts in Debian. Disponible en: http://www.ccs.neu.edu/home/battista/articles/winbind/winbind.pdf [Accedido en marzo 2012].

BOU, B. 2012. Samba as Active Directory Member server and station [En línea]. sourceforge.net. Disponible en: http://sadms.sourceforge.net/ [Accedido en febrero 2012].

BUILTWITH.COM. 2012. Ubuntu Usage Statics [En línea]. Disponible en: http://trends.builtwith.com/Server/Ubuntu [Accedido en marzo 2012].

CARTER, G. 2003. LDAP System Administration. O'Reilly.

CENTRIFY. 2012. Free Active Directory Integration Solution [En línea]. Disponible en: http://www.centrify.com/express/free-active-directory-integration-solutions.asp [Accedido en enero 2012].

CHICO, J. G. 2011. Estudio de viabilidad de Directorio Activo en Linux. Escuela Politécnica Superior Universidad Carlos III de Madrid.

DEROEST, J. 2000. Samba: Unix and NT Networking. McGraw-Hill Companies. DI'LELLO, R. 2006. FSMO de Active Directory. NEX IT SPECIALIST. Nexweb.com.ar.

EZEQUIEL. 2010. ¿Cómo elegir la mejor distribución Linux? [En línea]. Disponible en: http://www.puntogeek.com/2010/09/02/tip-%c2%bfcomo-elegir-la-mejor-

distribucion-linux/#comments [Accedido en marzo 2012].

GARCÍA, F. F. & BARRENA, A. T. 2007. Curso de Integración de Sistemas Linux/Windows. Universidad Politécnica de Valencia.

HONEYCUTT, J. 2003. Introducing Microsoft Windows Server 2003. Microsoft Press. JAVA.NET. 2011. The OpenDS Project [En línea]. Disponible en:

http://java.net/projects/opends/pages/2_4_About [Accedido en marzo 2012]. METZMACHER, S. 2007. Active Directory Replication. Institut für Nachrichtentechnik. MICROSOFT. 2009. Microsoft SMB Protocol and CIFS Protocol Overview [En línea].

Microsoft Corporation. Disponible en: http://msdn.microsoft.com/en- us/library/aa365233%28VS.85%29.aspx [Accedido en marzo 2012].

MICROSOFT. 2010. Instalar Windows Server 2008 R2 [En línea]. Microsoft Corporation.

Disponible en: http://technet.microsoft.com/es-

es/library/dd379511%28v=ws.10%29.aspx [Accedido en febrero 2012].

MICROSOFT. 2012a. Active Directory Architecture [En línea]. Microsoft Corporation.

Disponible en: http://technet.microsoft.com/en-

us/library/bb727030(d=lightweight,l=en-us,v=technet.10).aspx [Accedido en febrero 2012].

MICROSOFT. 2012b. Comprehensive Resource for Licensing and Pricing. Windows Server, System Center, and Forefront Licensing Guide [En línea]. Disponible en: http://download.microsoft.com/download/0/D/9/0D9DDF52-A855-487B-9B74- 5A09A9389551/Windows%20Server%20System%20Center%20and%20Forefront %20Pricing%20and%20Licensing%20Guide.pdf [Accedido en febrero 2012]. MICROSOFT. 2012c. Domain Name System [En línea]. Microsoft Corporation. Disponible

en: http://technet.microsoft.com/es-es/library/cc779380%28v=ws.10%29 [Accedido en marzo 2012].

MICROSOFT. 2012d. Funciones de servidor de Active Directory [En línea]. Microsoft Corporation. Disponible en: http://technet.microsoft.com/es- es/library/cc737933%28v=ws.10%29.aspx [Accedido en marzo 2012].

MICROSOFT. 2012e. Group Policy Management Console with Service Pack [En línea].

Microsoft Corporation. Disponible en:

http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD- 4B35-9272-DD3CBFC81887&displaylang=en [Accedido en enero 2012].

MICROSOFT. 2012f. How the Windows Time Service Works [En línea]. Microsoft Corporation. Disponible en: http://technet.microsoft.com/en- us/library/cc773013%28v=ws.10%29 [Accedido en marzo 2012].

MICROSOFT. 2012g. MS-DRSR: Directory Replication Service (DRS) Remote Protocol Specification [En línea]. Microsoft Corporation. Disponible en: http://msdn.microsoft.com/en-us/library/cc228086%28PROT.13%29.aspx

MICROSOFT. 2012h. [MS-NRPC]: Netlogon Remote Protocol Specification [En línea]. Microsoft Corporation. Disponible en: http://msdn.microsoft.com/en- us/library/cc237008%28v=prot.13%29.aspx [Accedido en marzo 2012].

MICROSOFT. 2012i. [MS-SAMR]: Security Account Manager (SAM) Remote Protocol Specification [En línea]. Microsoft Corporation. Disponible en: http://msdn.microsoft.com/en-us/library/cc245476%28v=prot.10%29.aspx

[Accedido en marzo 2012].

MICROSOFT. 2012j. Remote Server Administration Tools for Windows 7 with Service Pack 1 (SP1) [En línea]. Microsoft Corporation. Disponible en: http://www.microsoft.com/en-us/download/details.aspx?id=7887 [Accedido en enero 2012].

MICROSOFT. 2012k. Windows Server 2003 Service Pack 1 32-bit Support Tools [En línea]. Microsoft Corporation. Disponible en: http://www.microsoft.com/en- us/download/details.aspx?id=7911 [Accedido en enero 2012].

MICROSOFT. 2012l. Windows Server 2003 Service Pack 2 Administration Tools Pack for x86 editions [En línea]. Microsoft Corporation. Disponible en: http://www.microsoft.com/en-us/download/details.aspx?id=6315 [Accedido en enero 2012].

NOVELL. 2011. Novel eDirectory Product Page [En línea]. Disponible en: http://www.novell.com/products/edirectory/ [Accedido en marzo 2012].

OPENLDAP 2011. OpenLDAP Software 2.4 Administrator's Guide. The OpenLDAP Foundation.

ORACLE. 2010. Oracle Directory Server Enterprise Edition Overview [En línea]. Disponible en: http://www.oracle.com/technetwork/middleware/id- mgmt/overview/index-085178.html [Accedido en febrero 2012].

PORT389. 2012. 389 Directory Server [En línea]. Disponible en: http://port389.org/wiki/Main_Page [Accedido en marzo 2012].

REDHAT. 2012. Red Hat Directory Server [En línea]. Disponible en: http://www.redhat.com/products/identity-management/directoryserver/ [Accedido en marzo 2012].

RFC1034. Domain Names. Concepts and Facilities. Disponible en: http://www.ietf.org/rfc/rfc1034.txt [Accedido en marzo 2012].

RFC1035. 1987. Domain Names. Implementation and Specification. Disponible en: http://www.ietf.org/rfc/rfc1035.txt [Accedido en marzo 2012].

RFC1361. 1992. Simple Network Time Protocol. Disponible en: http://www.ietf.org/rfc/rfc1361.txt [Accedido en marzo 2012].

RFC2136. 1997. Dynamic Updates in the Domain Name System. Disponible en: http://www.ietf.org/rfc/rfc2136.txt [Accedido en marzo 2012].

RFC2251. 1997. Lightweight Directory Access Protocol (v3). Disponible en: http://www.ietf.org/rfc/rfc2251.txt [Accedido en marzo 2012].

RFC4120. 2005. The Kerberos Network Authentication Service (V5). Disponible en: http://tools.ietf.org/rfc/rfc4120.txt [Accedido en marzo 2012].

RFC5905. 2010. Network Time Protocol Version 4: Protocol and Algorithms Specification. Disponible en: http://tools.ietf.org/rfc/rfc5905.txt [Accedido en marzo 2012].

SAMBA.ORG. 2011. Samba4/HOWTO/Join a domain as a DC [En línea]. Samba.org.

Disponible en:

http://wiki.samba.org/index.php/Samba4/HOWTO/Join_a_domain_as_a_DC [Accedido en enero 2012].

SAMBA.ORG. 2012a. Migrating an Existing Samba3 Domain to Samba4 [En línea].

Samba.org. Disponible en:

https://wiki.samba.org/index.php/Samba4/samba3upgrade/HOWTO [Accedido en febrero 2012].

SAMBA.ORG. 2012b. Release Notes about Samba4 [En línea]. Samba.org. Disponible en: http://wiki.samba.org/index.php/Samba4/Releases/4.0.0beta1 [Accedido en junio 2012].

SAMBA.ORG. 2012c. Samba4 [En línea]. Samba.org. Disponible en: http://wiki.samba.org/index.php/Samba4 [Accedido en marzo 2012].

SAMBA.ORG. 2012d. Samba4 HOWTO [En línea]. Samba.org. Disponible en: http://wiki.samba.org/index.php/Samba4/HOWTO [Accedido en enero 2012]. SAMBA.ORG. 2012e. Samba eXPerience [En línea]. Samba.org. Disponible en:

http://sambaxp.org/ [Accedido en mayo 2012].

SAMBA.ORG. 2012f. Sitio Web Oficial de Samba [En línea]. Disponible en: http://www.samba.org/ [Accedido en febrero 2012].

SAMÓN, R. P., VILLAZÓN, Y. P. & ABAD, A. M. 2009. Guía cubana para la migración a SWL. Disponible en: http://es.scribd.com/doc/17779155/Guia-Cubana-Migracion- a-Software-Libre [Accedido en marzo 2012].

SIMMONS, C. 2001. Active Directory Bible. IDG Books Worlwide, Inc.

SORCE, S. 2006. LDB and LDAP server in Samba4. Disponible en: http://sambaxp.org/fileadmin/user_upload/media/07_-_simo_sorce_-

_samba_team_-_ldb_and_the_ldap_in_samba4.pdf [Accedido en abril 2012].

STANEK, W. R. 2003. Microsoft Windows Server 2003 Administrator's Pocket Consultant. Microsoft Press.

TECNOLOGÍAPYME. 2010. Cómo elegir una distribución linux para nuestra empresa entre las basadas en Debian [En línea]. Disponible en: http://www.tecnologiapyme.com/software/como-elegir-una-distribucion-linux-para- nuestra-empresa-entre-las-basadas-en-debian [Accedido en marzo 2012].

GLOSARIO

Eclipse RCP Es una plataforma para construir y desplegar aplicaciones de cliente enriquecido. Incluye Equinox, un marco de componentes basado en el estándar OSGi.

DEB Es la extensión del formato de paquetes de software de Debian y derivadas (ejemplo Ubuntu). Los paquetes deb son archivos ar estándar de Unix que incluyen dos archivos tar en formato gzip, bzip2 o lzma: uno de los cuales alberga la información de control y el otro los datos.

DLZ Dynamically Loadable Zones es un parche para la versión 9 del servidor DNS Bind, que simplifica la administración, reduce el uso de memoria y el tiempo de arranque. DLZ permite almacenar la zona DNS en una base de datos, por ejemplo OpenLDAP y LDB, al igual que Microsoft Active.

GIT Es un software de control de versiones diseñado por Linus Torvalds, pensando en la eficiencia y la confiabilidad del mantenimiento de versiones de aplicaciones cuando estas tienen un gran número de archivos de código fuente.

GENSEC Creado para replicar SSPI sobre Windows en usos generalizados. Permite a

Samba4 usar la misma implementación de los protocolos de autenticación de los desarrolladores de Samba.

GNOME Es un entorno de escritorio e infraestructura de desarrollo para sistemas operativos Unix y derivados como GNU/Linux, BSD o Solaris; compuesto enteramente por software libre.

GPL GNU General Public License, en español Licencia Pública General de GNU. Es una licencia creada por la Free Software Foundation en 1989 (la primera versión, escrita por Richard Stallman), y está orientada principalmente a

proteger la libre distribución, modificación y uso de software. Su propósito es declarar que el software cubierto por esta licencia es software libre y protegerlo de intentos de apropiación que restrinjan esas libertades a los usuarios.

GSSAPI Generic Security Services Application Program Interface, también conocido como GSS-API, es una interfaz de programación de aplicación (API) para usar sistemas de seguridad de forma genérica. GSSAPI es un estándar de la IETF que aborda el problema que implica la existencia en la actualidad de muchos sistemas de seguridad similares pero incompatibles. El sistema de seguridad más común que se utiliza mediante GSSAPI es Kerberos.

HDB Se emplea como backend. Dentro de Heimdal, hay una capa de abstracción que separa la contraseña del resto de la implementación de Kerberos. En el código sin modificar, esto permite a los administradores elegir entre un

backend LDAP o una simple base de datos.

LGPL GNU Lesser General Public License, en español Licencia Pública General Reducida de GNU. Es una licencia de software creada por la Free Software Foundation que pretende garantizar la libertad de compartir y modificar el software cubierto por ella, asegurando que es libre para todos sus usuarios. La principal diferencia entre la GPL y la LGPL es que la última puede enlazarse a (en el caso de una biblioteca, “ser utilizada por”) un programa no-GPL, que puede ser software libre o software no libre.

MIT Massachusetts Institute of Technology, en español Instituto Tecnológico de Massachusetts, es una institución de educación superior privada situada en Cambridge, Massachusetts (Estados Unidos).

NSS Name Service Switch provee una interfaz para configurar y acceder a diferentes bases de datos de cuentas de usuarios y claves.

NTFS New Technology File System es un sistema de archivos de Windows NT

incluido en las versiones de Windows 2000, Windows XP, Windows Server 2003, Windows Server 2008, Windows Vista y Windows 7. Está basado en el sistema de archivos HPFS de IBM/Microsoft usado en el sistema operativo

OS/2, y también tiene ciertas influencias del formato de archivos HFS diseñado por Apple.

NTLMSSP NT LAN Manager Security Support Provider es una envoltura genérica del protocolo de autenticación NTLM, abarcando opciones de negociación y un motor de encriptación. Es un protocolo de mensajería usado por Microsoft

para facilitar el reto y respuesta de la autenticación NTLM.

In document Propuesta de Servicio de Directorio Activo en GNU/Linux mediante Samba4 (página 69-86)