Propuesta de Servicio de Directorio Activo en GNU/Linux mediante Samba4
97
0
0
Texto completo
(2) Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA. Propuesta de Servicio de Directorio Activo en GNU/Linux mediante Samba4 Autor: Carlos Miguel Bustillo Rodríguez Email: [email protected]. Tutor: Ing. Roberto Hiribarne Guedes Profesor, Dpto. de Telecomunicaciones y Electrónica Email: [email protected]. Santa Clara 2012 "Año 54 de la Revolución".
(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor. Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Autor. Firma del Jefe de Departamento de Ing. Telecomunicaciones y Electrónica. Firma del Responsable de Información Científico-Técnica.
(4) i. PENSAMIENTO. “El genio es un uno por ciento de inspiración, y un noventa y nueve por ciento de transpiración.” Thomas Alva Edison. Inventor estadounidense..
(5) ii. AGRADECIMIENTOS. Mis agradecimientos a: A Dios por inspirarme en los momentos oscuros. A mi Madre, a Elizabeth y a Teresa por su ayuda en la revisión de este trabajo. A mi antiguo Tutor y amigo Ramón Torres, que me enseñó a dar los primeros pasos en el mundo de Linux y las Redes de Computadoras. A mi tutor Roberto Hiribarne, por su constancia y dedicación. A mis compañeros de trabajo en el DIC, por su apoyo incondicional. A los trabajadores del Joven Club de Ranchuelo, gracias a ellos puse en práctica muchos de mis “experimentos”. A la dirección provincial de CADECA, en especial a Rodelsi, pues gracias a su gestión fue posible aplicar el trabajo en un entorno real. Al equipo de desarrollo de Samba (Samba Team) en especial a Andrew Bartlett y Amitay Issacs ya que sin ellos no hubiera sido posible la realización de este trabajo. Al Movimiento del Software Libre, por sus aportes en la sociedad. A todos aquellos a los que de una forma u otra participaron en la realización de este trabajo..
(6) iii. DEDICATORIA. A Dios por ser el creador de todo. A mis padres, por darme la vida. A mi abuela, que siempre está al tanto de mí. A mis hermanos por estar siempre a mi lado. A mi querida y amada esposa,Elizabeth, por ser mi apoyo y guía. A mi familia, por su apoyo y preocupación. A mi tutor Roberto Hiribarne, por su esmero y dedicación. A mi amigo Leopoldo Cruz, por ser mi tutor en Electrónica. A mis amigos Luis Armando, Yasmany, Humberto, Reinier y Rafael. A mis compañeros de clases, que siempre estuvieron cuando los necesité..
(7) iv. TAREA TÉCNICA. 1. La realización de un estudio de las principales variantes de controladores de dominio basados en GNU/Linux. 2. El análisis de la infraestructura que posee la Universidad para aplicar la nueva implementación. 3. La instalación, configuración y administración de los controladores de dominio basados en Samba4. 4. La sincronización entre Samba4 y Microsoft Active Directory, y viceversa. 5. La configuración de los clientes contra Samba4. 6. La evaluación de la efectividad de la propuesta de la implementación de un dominio basado en Samba4.. Firma del Autor. Firma del Tutor.
(8) v. RESUMEN. Debido a la política trazada en el país de migración hacia plataformas de Software Libre surgió la necesidad de encontrar una propuesta que permita sustituir los actuales controladores de dominio basados en Windows Server. Se procedió a un estudio de las principales implementaciones existentes de servicios de directorios para entornos empresariales destacándose por sus prestaciones y nivel de compatibilidad, Samba4. Para facilitar el proceso de migración se propuso la metodología de instalación y administración de un controlador de dominio basado en dicha implementación. Se montaron dos escenarios de pruebas para comprobar su funcionamiento, la replicación de información entre Windows y Samba4, y la unión al dominio de los clientes con el sistema operativo de Microsoft o distribuciones GNU/Linux. A partir del primer escenario se comprobó la estabilidad, seguridad y compatibilidad con cualquier tipo de sistema operativo cliente en un dominio basado completamente en Samba4. El segundo escenario se dedicó al estudio de la efectividad del proceso de replicación entre ambas tecnologías, con resultados satisfactorios. La investigación demostró ser la alternativa libre al Directorio Activo de Microsoft, entre otros aspectos, por no requerir licencias de uso, lo que significa un ahorro en la economía del país..
(9) vi. TABLA DE CONTENIDOS. PENSAMIENTO .....................................................................................................................i AGRADECIMIENTOS ......................................................................................................... ii DEDICATORIA ................................................................................................................... iii TAREA TÉCNICA ................................................................................................................iv RESUMEN ............................................................................................................................. v INTRODUCCIÓN .................................................................................................................. 1 Organización del informe ................................................................................................... 4 CAPÍTULO 1.. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL... 5. 1.1. Servicio de Directorio .............................................................................................. 5. 1.2. Implementaciones de Servicio de Directorio Empresarial ....................................... 6. 1.3. Directorio Activo de Microsoft ................................................................................ 9. 1.3.1. Estructura ........................................................................................................ 11. 1.3.2. Funciones ........................................................................................................ 15. 1.3.3. Tipos de Servidores ........................................................................................ 15. 1.3.4. Funcionamiento .............................................................................................. 17. 1.3.5. Principales protocolos ..................................................................................... 19. 1.3.6. Características ................................................................................................. 22. 1.4. Directorio Activo de Samba ................................................................................... 23. 1.4.1. Estructura ........................................................................................................ 24. 1.4.2. Funciones ........................................................................................................ 24.
(10) vii 1.4.3. Tipos de Servidores ........................................................................................ 24. 1.4.4. Funcionamiento .............................................................................................. 24. 1.4.5. Principales protocolos ..................................................................................... 26. 1.4.6. Características ................................................................................................. 27. 1.5. Conclusiones .......................................................................................................... 28. CAPÍTULO 2.. METODOLOGÍA DE INSTALACIÓN Y ADMINISTRACIÓN DE. SAMBA4. 29. 2.1. Samba4 Active Directory ....................................................................................... 29. 2.1.1 2.2. Requerimientos ............................................................................................... 31. Entorno de trabajo .................................................................................................. 31. 2.2.1. Debian ............................................................................................................. 32. 2.2.2. Ubuntu ............................................................................................................ 33. 2.2.3. Elección de las distribuciones ......................................................................... 35. 2.3. El proceso de migración ......................................................................................... 35. 2.4. Instalación y configuración de Samba4 ................................................................. 38. 2.5. Administración de los servidores ........................................................................... 42. 2.5.1. Samba-tool ...................................................................................................... 42. 2.5.2. Herramienta de administración remota de servidores (RSAT) ....................... 43. 2.5.3. Consola de administración de Directivas de Grupo (GPMC)......................... 45. 2.5.4. Administración del directorio LDAP .............................................................. 46. 2.5.5. Apache Directory Studio ................................................................................ 46. 2.6. Conclusiones .......................................................................................................... 47. CAPÍTULO 3.. ESCENARIOS PRÁCTICOS DE IMPLEMENTACIÓN DE SAMBA4 48. 3.1. Instalación de un dominio basado en Samba4 ....................................................... 48.
(11) viii 3.2. Samba4 como controlador de dominio adicional ................................................... 52. 3.3. Configuración de las estaciones de trabajo ............................................................ 57. 3.3.1. Microsoft Windows ........................................................................................ 58. 3.3.2. GNU/Linux ..................................................................................................... 59. 3.4. Análisis económico ................................................................................................ 63. 3.5. Conclusiones .......................................................................................................... 63. CONCLUSIONES ................................................................................................................ 65 RECOMENDACIONES ....................................................................................................... 66 REFERENCIAS BIBLIOGRÁFICAS ................................................................................. 67 GLOSARIO .......................................................................................................................... 71 ANEXOS .............................................................................................................................. 75 Anexo I. Compilación del servidor DNS Bind9.8.1 .................................................. 75. Anexo II. Scritp de inicio (init script) para Samba4 .................................................... 76. Anexo III. Pasos para la instalación de Samba4 como DC de AD ............................... 78. Anexo IV. Pasos para unir Samba4 como DC adicional en dominio existente ............ 83. Anexo V. Aval ............................................................................................................. 86.
(12) INTRODUCCIÓN. 1. INTRODUCCIÓN. Las empresas e instituciones modernas se encuentran ligadas a las redes de computadoras, por lo que se maneja gran cantidad de información y se hace necesario tener control sobre los usuarios y computadoras a través de un servicio que permita la centralización de los recursos de software que componen la red. Es aquí donde los Servicios de Directorio juegan un papel importante en el control y manejo de la información y equipos de red. Las implementaciones de este tipo de tecnología son variadas y no todas poseen las mismas funcionalidades. El gigante de la informática Microsoft Corporation, en el año 1999, con el lanzamiento de Windows Server 2000, logró desplazar muchas de las soluciones existentes con su producto insignia conocido como Active Directory (AD); éste significó un nuevo concepto en los dominios de computadoras ya que permite manejar usuarios, computadoras, aplicar directivas de seguridad, simplifica las tareas de administración, implementa la autenticación centralizada, entre otras características. Entre las limitantes que posee el sistema son el alto costo de las licencias y que es software privativo, por lo que no se puede tener acceso al código del programa para chequear el uso de puertas traseras y evitar el robo de información confidencial. En el caso de Cuba la mayoría de las instituciones usan Active Directory sin pago de licencias, ya sea por cuestiones asociadas con el bloqueo económico o financieras. Desde el 2002, en el país se puso en marcha una estrategia para alcanzar la independencia en el terreno del software, de esta forma se garantiza la seguridad informática y se promueve el uso del Software Libre. Esta decisión se encuentra respaldada desde tres enfoques diferentes: Político: Representa la no utilización de productos informáticos que demanden la autorización de sus propietarios (licencias) para su explotación. Es válido recordar.
(13) INTRODUCCIÓN. 2. que, en el presente, Cuba se encuentra a merced de la empresa norteamericana Microsoft, que tiene la capacidad legal de reclamarle que no utilice un sistema operativo de su propiedad, basado en leyes de propiedad industrial por las cuales también el país se rige, a pesar de que la empresa no desee venderle sus productos a la isla. El Software Libre representa la alternativa para los países pobres, y es por concepción, propiedad social, si se tiene en cuenta que una vez que comienza a circular, rápidamente se encuentra disponible para todos los interesados sin costo alguno o en su defecto a muy bajo costo. Es desarrollado de forma colectiva y cooperativa, tanto en su creación como en su desarrollo cuantitativo y cualitativo, lo que muestra su carácter público y objetivo de beneficiar a toda la comunidad. Económico: Su utilización no implica gastos adicionales por concepto de cambio de plataforma de software, por cuanto es operable en el mismo soporte de hardware con que cuenta el país. La adquisición de cualquiera de sus distribuciones puede hacerse de forma gratuita, descargándolas directamente de internet o en algunos casos a muy bajos precios. Se garantiza su explotación con un mínimo de recursos, por cuanto no hay que pagar absolutamente nada por su utilización (no requiere de licencia de uso, las cuales son generalmente muy caras), distribución y/o modificación. El uso del Software Libre desarrollado con Estándares Abiertos, fortalece la industria del software nacional, con un aumento y fortalecimiento de sus capacidades. Facilita la reducción de la brecha social y tecnológica en el menor tiempo y costo posibles. Su uso en la Institución Pública y en los servicios públicos, permite la interoperabilidad de los sistemas de información del Estado, lo que contribuye a dar respuestas rápidas y oportunas a los ciudadanos. Tecnológico: Permite su adaptación a los contextos de aplicación, al contar con su código fuente, lo cual garantiza un mayor por ciento de efectividad, además de la corrección de errores de programación, la obtención de actualizaciones y nuevas versiones..
(14) INTRODUCCIÓN. 3. Se fomenta la innovación tecnológica del país. Al disponer del código fuente de la aplicación, se puede realizar el desarrollo de mejoras, en vez de encargarlas a empresas de otros países que trabajan con sistemas de licencia propietaria. De este modo, se contribuye a la formación de profesionales en nuevas tecnologías y al desarrollo local bajo los planes estratégicos del país. Limita la introducción de código malicioso, espía o de control remoto; debido a que el código es revisado por muchos usuarios que pueden detectar posibles puertas traseras. Entre las soluciones de Software Libre se encuentran los controladores de dominio basados en Samba. Surgen como una alternativa al software privativo proporcionado por la compañía Microsoft. En la actualidad existen dos proyectos: Samba3 y Samba4. El primero actúa como Controlador Primario de Dominio (Primary Domain Controller, PDC) al estilo de Microsoft Windows NT4, aceptable para instituciones medias. El segundo, se basa en una implementación del Directorio Activo compatible con los protocolos de Microsoft Windows 2000 Server y versiones superiores, permite además la sincronización entre ambas plataformas. Este proyecto aún se encuentra en fase de desarrollo, aunque se ha demostrado que esta última versión presenta un buen grado de madurez que ha permitido su uso por parte de varias universidades, empresas e instituciones en el mundo. Los desarrolladores de ambos proyectos de Samba llegaron al siguiente acuerdo: para tareas relacionadas con AD, emplear Samba4 y para servicios de compartición de archivos e impresión, utilizar Samba3, ya que posee la capacidad de unirse a un dominio como cliente. La situación anterior da paso a la siguiente pregunta: ¿Cómo contribuir a la migración de los servicios de Microsoft a plataformas basadas en GNU/Linux mediante Samba4 para las instituciones cubanas? Por tanto es necesario tener en cuenta: ¿Cuáles son las soluciones actuales basadas en GNU/Linux para Directorios Activos? ¿Qué implementación es la que mejor se adapta a las necesidades de las instituciones cubanas? ¿Es una solución económicamente viable y segura?.
(15) INTRODUCCIÓN. 4. Por ello el objetivo general de este trabajo es: “Lograr la implementación eficiente de un controlador de dominio basado en Samba4 para las redes de instituciones cubanas.” Específicamente: Instalar, configurar y administrar un dominio basado en Samba4. Establecer la sincronización entre controladores de dominio de Windows y Samba4. Instalar y gestionar clientes en SO Windows y GNU/Linux en un dominio Samba4. Organización del informe El informe está estructurado de la siguiente forma: introducción, capitulario, conclusiones, recomendaciones, referencias bibliográficas, glosario de términos y anexos. A continuación se resume brevemente el contenido de los capítulos. Capítulo 1: Servicios de Directorio de aplicación empresarial. Se dedica a la caracterización de las tecnologías existentes para la integración con el servicio de Directorio Activo de Microsoft y al estudio comparativo de las soluciones para la migración a sistemas basados en GNU/Linux que se usan en la actualidad. Capítulo 2: Metodología de instalación y administración de Samba4 Aborda el diseño y la metodología propuesta de integración y migración de los controladores de dominio de Microsoft Windows a Samba4. Además se tratan las herramientas de administración disponibles que existen para Samba4. Capítulo 3: Escenarios prácticos de implementación de Samba4 Recoge los escenarios implementados y expresa los resultados de la validación mediante la comparación con el servicio de Directorio Activo de Microsoft de la efectividad del mismo y calidad..
(16) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. CAPÍTULO 1.. 5. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y aplicaciones obtener acceso a estos recursos y a la información acerca de ellos, se necesita una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos. Un servicio de directorio se encarga de realizar esta función. El presente capítulo abordará qué es el Servicio de Directorio; las diferentes implementaciones ofrecidas por Oracle, Apache Foundation Software, Novell, Microsoft, Samba, entre otros. Se explicará de forma abreviada en qué se basa Microsoft Active Directory; también se tratará su estructura, componentes, funcionamiento, principales protocolos y características. Análogamente se detallará Samba4 Active Directory, ya que pretende lograr una completa compatibilidad con la solución anterior, por lo que es la idónea para llevar el proceso de migración. Finalmente se explica, de forma muy general, cuál es la solución que se recomienda aplicar en los entornos empresariales cubanos. 1.1. Servicio de Directorio. Es una aplicación o un conjunto de aplicaciones, que almacena y organiza la información sobre los usuarios de una red de ordenadores, recursos de red, y permite a los administradores gestionar el acceso a los recursos sobre dicha red. Además, los servicios de directorio actúan como una capa de abstracción entre los usuarios y los recursos compartidos. (Carter, 2003) Como base de datos, un servicio del directorio está altamente optimizado para lecturas y proporciona alternativas avanzadas de búsqueda en los diferentes atributos que se puedan asociar a los objetos de un directorio. Los datos que se almacenan en el directorio son definidos por un esquema extensible y modificable. Los servicios de directorio utilizan un.
(17) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 6. modelo distribuido para almacenar su información y esa información generalmente está replicada entre los servidores que forman el directorio.. Figura 1.1.1. Estructura de un Directorio.. La réplica y la distribución tienen significados muy distintos en el diseño y la gestión de un servicio del directorio. La primera se utiliza para indicar que el mismo espacio de nombres de un directorio (los mismos objetos) está copiado en otro servidor de directorio por razones de redundancia y de rendimiento de procesamiento. El espacio de nombres replicado es gobernado por la misma autoridad. La distribución indica los servidores de directorios múltiples, es decir, considerar diversos espacios de nombre interconectados para formar parte de un servicio de directorio distribuido. Cada espacio de nombres distintos puede gobernarse por diversas autoridades. 1.2. Implementaciones de Servicio de Directorio Empresarial. Varias son las aplicaciones destinadas para estas funcionalidades, la gran mayoría se basan en el estándar X.500, la base de LDAP (Lightweight Directory Access Protocol) y emplean la capa TCP/IP. Entre las más comunes se encuentran: Comerciales: eDirectory: desarrollado por Novell, es un servicio de directorio que soporta múltiples arquitecturas: Windows, NetWare, Linux y algunas distribuciones de Unix. Se ha utilizado durante mucho tiempo para la administración de usuarios, gestión de configuraciones y software. eDirectory se ha desarrollado como componente central en una gama más amplia.
(18) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 7. de productos para la gestión de identidad. Antes se conocía como Servicio de Directorio de Novell (Novell Directory Service, NDS). (Novell, 2011) Red Hat Directory Server: Red Hat lanzó un servicio del directorio, que adquirió de Netscape Security Solutions de AOL, el cual funcionaba como producto comercial bajo Red Hat Enterprise Linux. Es un servidor compatible con LDAP que centraliza la configuración de la aplicación, los perfiles de usuarios, la información de grupos, las directivas y la información para el control de acceso en un registro con base en la red. Simplifica la gestión de usuarios al eliminar la redundancia de datos y automatizar su mantenimiento. También mejora la seguridad, permitiendo a los administradores almacenar directivas e información para el control de acceso en el directorio y así contar con una única fuente de autenticación en toda la empresa o aplicaciones de extranet. (RedHat, 2012) Microsoft Active Directory: desarrollado por Microsoft Corporation, se incluye en los sistemas operativos Windows 2000 Server y versiones superiores. Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos, asignación de recursos y directivas de acceso. Permite a los administradores establecer directivas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. (Microsoft, 2012a) Open Directory: se incluye en las versiones de servidor de MAC OS X de Apple, integra muchos protocolos estándares abiertos como LDAP y Kerberos así como soluciones propietarias de directorio como Active Directory y eDirectory. Permite almacenar información sobre las computadoras de los usuarios en la red, así como de los recursos de red. (Apple, 2012) Oracle Directory Server Enterprise Edition (ODSEE): conocido anteriormente como SUN Directory Server Enterprise Edition. ODSEE ofrece un servicio de directorio central con base de datos integrada, proxy de directorios, sincronización de Active Directory y una consola de administración web. Puede sincronizarse con otros servidores de directorios por medio de Oracle Directory Integration Platform. (Oracle, 2010).
(19) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 8. No Comerciales (Free): Apache Directory Server: es un proyecto de código abierto de Apache Software Fundation. Está escrito completamente en Java; se encuentra disponible bajo la licencia Apache Software License .Compatible con LDAPv3, también soporta otros protocolos como NTP y Kerberos, pero básicamente es un servidor LDAP. Se puede ejecutar en MAC OS X, Linux y Windows. Posee una herramienta de administración de directorio: Apache Directory Studio; que puede ser utilizada para administrar el directorio LDAP de otras tecnologías. (Apache, 2012) 389 Directory Server: conocido anteriormente como Fedora Directory Server es un servidor LDAP desarrollado por Red Hat, como parte de la comunidad que mantiene el Proyecto Fedora (Fedora Project). Es idéntico a Red Hat Directory Server, sólo que renombrado. Es distribuido libremente bajo los términos de la GNU General Public Licensing (GPL). Soporta la replicación Multimaster y la sincronización de los usuarios y grupos de AD. No se encuentra disponible para los siguientes países: Cuba, Irán, Iraq, Corea del Norte, Sudán y Siria. (Port389, 2012) OpenDS: La nueva generación de servicio de directorio abierto, escrito totalmente en Java. Está basado en los estándares LDAPv3 y DSMLv2 (Directory Service Markup Language). En sus inicios fue un proyecto de Sun Microsystem, luego con la compra de Oracle de Sun pasó a ser un proyecto de código abierto desarrollado por la comunidad. Está preparado para trabajar con grandes cargas de información, para ser extensible, fácil de administrar y monitorear. (Java.net, 2011) OpenLDAP: es una implementación libre y de código abierto del protocolo Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto OpenLDAP. Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un protocolo de comunicación independiente de la plataforma. Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el soporte LDAP. Este software también corre en plataformas BSD, AIX, HP-UX, Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP, Vista, Seven), y z/OS. (OpenLDAP, 2011) Samba: es una implementación libre del protocolo de archivos compartidos de Microsoft Windows (SMB/CIFS) para sistemas de tipo UNIX. Puede actuar como servidor o como.
(20) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 9. cliente en redes de Windows. A partir de la versión 3 permite validar usuarios mediante el rol de Controlador Principal de Dominio y como miembro de dominio. En la versión 4 puede actuar como controlador de dominio de Active Directory. También es capaz de servir colas de impresión, directorios compartidos y autentificar con su propio archivo de usuarios. (Samba.org, 2012f) 1.3. Directorio Activo de Microsoft. Conocido como Active Directory o MS AD, es el servicio de directorio de la familia de productos Microsoft Windows Server 2000 y versiones superiores; excepto las versiones Web Edition que no soportan este rol. Se encarga de almacenar información sobre los objetos que hay en la red y hace que esa información sea fácil de usar y acceder por los administradores y usuarios. (Di'Lello, 2006, Honeycutt, 2003). Figura 1.3.1. Directorio Activo.. Fue implementado por primera vez en 1999 con Microsoft Windows Server 2000, a medida que se han liberado nuevas versiones de servidores, incorpora mayores funcionalidades. Los servidores que ejecutan AD son denominados controladores de dominio (domain controllers, DC). El resto de los equipos de la red pueden convertirse entonces en los.
(21) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 10. clientes de dicho servicio de directorio, por lo que reciben toda la información almacenada en los controladores de dominio. Esta información incluye no sólo las cuentas de usuario, grupo, equipo, etc., sino también los perfiles de usuario y equipo, directivas de seguridad, servicios de red. El Directorio Activo se convierte así en la herramienta fundamental de administración de toda la organización. (García and Barrena, 2007) AD depende del correcto funcionamiento del sistema de nombres de dominios (Domain Name System, DNS). A diferencia de los dominios de Windows NT que poseen una estructura plana, los dominios están organizados en una estructura jerárquica. A través de DNS, una jerarquía de dominio de AD (Figura 1.3.2) puede ser definida a lo largo de internet o puede ser independiente y privada. (Stanek, 2003). Figura 1.3.2. Jerarquía de dominio en Active Directory.. El Directorio Activo utiliza el servicio de DNS, para tres funciones principales (García and Barrena, 2007): 1) Resolución de nombres: el DNS permite realizar la resolución de nombres al convertir los nombres de host a direcciones IP; 2) Definición del espacio de nombres: AD utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios y 3) Búsqueda de los componentes físicos de AD: para iniciar una sesión de red y realizar consultas en el Directorio Activo, un equipo con Windows Server debe encontrar primero un controlador de dominio o servidor de catálogo global para procesar la autenticación de inicio de sesión o la consulta. La base de datos DNS almacena información acerca de qué equipos realizan estas funciones para que se pueda atender la solicitud adecuadamente. En concreto, esto se lleva a cabo mediante registros de recursos.
(22) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 11. SRV que especifican el servidor (o servidores) del dominio que proporcionan los servicios de directorio correspondientes. Active Directory es la solución óptima para cualquier empresa por el nivel de prestaciones y funcionalidades que posee, así como la facilidad de administración. Tiene como limitantes los altos costos de las licencias anuales y requiere de un servidor con mayores recursos de hardware (Tabla 1.3.1). Tabla 1.3.1. Requerimientos de Hardware para Windows Server 2008 R2. (Microsoft, 2010).. Procesador (64 bits). Mínimo: 1.4 GHZ (Si se usa un sistema basado en Itanium se necesita un procesador Intel Intanium 2). Memoria RAM. Mínimo: 512 MB Máximo: 32 GB (Windows Server 2008 R2 Standard). Espacio en disco. Mínimo: 32 GB ó 2 TB (para las versiones Enterprise, Datacenter y sistemas basados en Itanium.). 1.3.1 Estructura En AD la estructura lógica es independiente de la física; la primera permite organizar y administrar usuarios, grupos y recursos de red. La segunda se emplea para optimizar el tráfico de red; define cuándo y dónde se produce el tráfico de inicio de sesión (logon) y de replicación. Ello permite, por una parte, independizar la estructuración de dominios de la organización de la topología de la(s) red(es) que interconectan los sistemas; y, por otra parte, permite administrar la estructura física explícitamente cuando es necesario, de forma independiente de la administración de los dominios. (García and Barrena, 2007) Estructura Lógica Active Directory ofrece un almacenamiento seguro para la información acerca de sus objetos en su estructura lógica jerárquica (Figura 1.3.3), que consta de: Objetos: son los componentes básicos de la estructura lógica, representan a usuarios, equipos e impresoras. Las clases de objetos son esquemas (schemas) o plantillas (templates) de los tipos de objetos que se pueden crear en AD. Cada.
(23) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 12. objeto se define de forma única mediante la combinación de los valores de sus atributos (definen los valores posibles que se pueden asociar a un objeto). Las clases y los atributos de objetos se conocen en conjunto como el esquema de Active Directory. Los objetos se definen de forma única mediante los valores asignados a los atributos que contiene la clase de objeto. Puesto que se almacena la información acerca de los objetos como valores de atributos, los usuarios y las aplicaciones pueden encontrar fácilmente los objetos asociados con valores de atributos específicos. Unidades Organizativas (OU): son objetos contenedores que se utilizan para organizar otros objetos de modo que satisfagan los propósitos de administración. De este modo se facilita la organización y administración de los objetos. También se puede delegar autoridad para administrar una OU o anidarlas entre sí para simplificar aún más los objetos. Las OU organizan los objetos dentro de un único dominio. Dominios: constituyen las unidades básicas funcionales de la estructura de Active Directory. Estos desempeñan tres funciones: 1) actúan como límite administrativo para los objetos, 2) ayudan a administrar la seguridad de los recursos compartidos y 3) actúan como unidad de replicación de los objetos. Un dominio es una colección de objetos definidos administrativamente que comparten: una base de datos de directorio común, directivas de seguridad y relaciones de confianza (Trust) con otros dominios. Es habitual ubicar objetos en un mismo dominio si se desea que compartan una directiva de seguridad común o sean administrados por el mismo administrador de sistemas. Los dominios se pueden emplear para administrar la seguridad en recursos compartidos; las directivas de seguridad se crean en los dominios y proporcionan una seguridad coherente en los recursos del dominio. Los objetos de cada dominio se almacenan en la partición del dominio de la base de datos de AD. Los equipos que se denominan DC contienen copias o replicados de la partición del dominio, estos se actualizan automáticamente entre sí cuando efectúan cambios, de modo que la información de replicado de cada partición del dominio sea coherente..
(24) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 13. Árboles de dominios (tree): son estructuras jerárquicas de dominios. Cuando un segundo dominio se agrega a un árbol, se convierte en dominio secundario del dominio raíz del árbol. El dominio al que se adjunta otro secundario se conoce como dominio primario. Un dominio secundario puede a su vez tener su propio subdominio. El nombre de un dominio secundario se combina con el de su primario para conformar su propio nombre único DNS; de esta forma un árbol tiene un espacio de nombres contiguos. En la mayor parte de las organizaciones es suficiente utilizar un árbol simple, es aquel en el que cada dominio es secundario de un único dominio raíz. Bosques (forest): están formados por uno o varios árboles. El primer dominio del árbol se conoce como dominio raíz del bosque, el nombre de dicho dominio se usa para hacer referencia al bosque. Un bosque contiene una instancia directa de Active Directory, de forma predeterminada la información sólo se intercambia dentro de un bosque; de esta forma el bosque es un límite secundario para toda la información.. Figura 1.3.3. Estructura Lógica de Active Directory..
(25) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 14. Estructura Física: Sus elementos son los sitios y los controladores de dominio. Los DC se encargan de realizar las funciones de replicación y almacenamiento. El elemento lógico de un dominio es una unidad de replicación, el DC físico contiene la información que se va a replicar. Un DC físico sólo se aplica a un dominio. Para garantizar la disponibilidad continua de Active Directory, cada dominio debe tener más de un controlador de dominio.. Figura 1.3.4. Estructura Física de Active Directory.. Cada DC contiene varias particiones de Active Directory: Partición de Dominio: contiene replicados de todos los objetos de ese dominio. Se replica únicamente en el resto de los DC del mismo dominio. Partición de Configuración: contiene la topología del bosque; es un registro de todos los controladores de dominios y conexiones entre ellos en un bosque. Partición del Esquema: contiene el esquema de cada bosque; cada uno tiene un esquema de modo que la definición de cada clase de objeto sea coherente. Se replica en cada DC del bosque al igual que la Partición de Configuración. Partición de Aplicación Opcional: contiene objetos no relacionados con la seguridad que son utilizados por una o varias aplicaciones. Se replica en controladores de dominios específicos. Un Sitio es un grupo de equipos con una conexión adecuada. Una vez establecidos los DC se comunican con frecuencia; esta comunicación reduce la latencia (tiempo necesario para que un cambio efectuado en un DC se replique en otros) dentro del sitio. Los sitios se crean para optimizar el uso de ancho de banda entre controladores de dominios separados.
(26) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 15. físicamente y para controlar cuándo y dónde se produce el tráfico de inicio de sesión y de replicación. 1.3.2 Funciones Active Directory proporciona las siguientes funciones (Simmons, 2001): Centralizar el control de los recursos de red. Al centralizar el control de recursos como servidores, archivos compartidos e impresoras, sólo los usuarios autorizados pueden obtener acceso. Centralizar y descentralizar la administración de recursos. Los administradores pueden administrar equipos clientes distribuidos, servicios de red y aplicaciones desde una ubicación central mediante una interfaz de administración coherente o pueden distribuir tareas administrativas mediante la delegación del control de los recursos a otros administradores. Almacenar objetos de forma segura en una estructura lógica. AD almacena todos los recursos como objetos en una estructura lógica, jerárquica y segura. Optimizar el tráfico de red. La estructura física de Active Directory permite utilizar el ancho de banda de red de forma más efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de autenticación más cercana a él lo autentique, lo que reduce la cantidad de tráfico de red. 1.3.3 Tipos de Servidores Los servidores se pueden clasificar como: 1) servidor miembro, 2) controlador de dominio y 3) servidor independiente (standalone server). Este último no es parte del dominio y posee su propia base de datos de usuarios, esto se debe a que los servidores standalone resuelven sus propias peticiones de inicio de sesión. (Stanek, 2003) Microsoft Corporation en su web oficial de soporte técnico TechNet (Microsoft, 2012d) define: Un servidor miembro, como un equipo que: 1. Ejecuta un sistema operativo de la familia Windows 2000 Server y versiones superiores..
(27) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 16. 2. Pertenece a un dominio. 3. No es un controlador de dominio. Un servidor miembro no procesa inicios de sesión de cuentas, no participa en la replicación de Active Directory ni almacena información de directivas de seguridad de dominio. Los servidores miembros operan normalmente como uno de los siguientes tipos de servidores: servidores de archivos, servidores de aplicaciones, servidores de bases de datos, servidores Web, servidores de certificados, servidores de seguridad y servidores de acceso remoto. Las siguientes características relacionadas con la seguridad son comunes a todos los servidores miembros: Adoptan la configuración de Directiva de grupo definida para el sitio, dominio o unidad organizativa. Control de acceso para los recursos disponibles en un servidor miembro. Los usuarios de servidores miembros tienen derechos de usuario asignados. Contienen una base de datos local de cuentas de seguridad, el Administrador de cuentas de seguridad (SAM, Security Account Manager). Un controlador de dominio, como un equipo que: 1. Ejecuta un sistema operativo de la familia Windows 2000 Server y versiones superiores. 2. Utiliza Active Directory para almacenar una copia de lectura y escritura de la base de datos del dominio, participa en la replicación Multimaster y autentica usuarios. Los controladores de dominio almacenan datos del directorio y administran la comunicación entre los usuarios y los dominios, como los procesos de inicio de sesión de usuarios, la autenticación y las búsquedas de directorio. Además sincronizan los datos del directorio utilizando replicación Multimaster, lo que garantiza la coherencia de la información en el tiempo. Active Directory admite la replicación Multimaster (Multimaster Replication) de los datos del directorio entre todos los controladores del dominio en un dominio; no obstante, dicha replicación no es adecuada para algunas replicaciones de datos del directorio; por lo que se emplea Single Master Replication para evitar errores o conflictos durante la réplica, con.
(28) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 17. este método, solamente un DC determinado es el que puede realizar los cambios en el Active Directory, por lo que no se realizan múltiples cambios simultáneos. En este caso, un controlador de dominio, denominado Maestro de Operaciones (Master Operations), procesará los datos. En un bosque de AD, hay al menos cinco funciones diferentes de maestro de operaciones que se asignan a uno o varios controladores de dominio. 1.3.4 Funcionamiento Los controladores de dominio de Windows 200x Server funcionan como iguales, o sea que no hay un controlador de dominio primario. Debido a que se puede emplear cualquier DC para realizar cambios en el Directorio Activo y la tolerancia a fallos es automáticamente incorporada, lo que representa una excelente característica de gestión. Si un DC falla, no es problema, ya que los demás y la red se mantienen operables. En las redes Windows NT, el PDC se encarga de realizar los cambios en la base de datos y una vez realizado, los replica hacia los Controladores de Dominio de Respaldo (Backup Domain Controller, BDC). En las redes Windows 200x todos los controladores de dominio contiene una copia escribible de la base de datos. A pasar que los DCs Windows 200x funcionan como iguales, algunos poseen ciertos roles especializados asignados, debido que no todos pueden operar correctamente en todos los DCs. (Simmons, 2001). Los siguientes puntos detallan estos roles especializados: Servidor de Catálogo Global (Global Catalog Server): algunos controladores de dominio poseen este rol por defecto (el primero que se instala), en dependencia de la configuración de la red se pueden tener varios o cambiar ese rol hacia otro servidor para equilibrar el tráfico de autenticación de inicio de sesión y consultas. Estos contienen una réplica completa de todos los objetos del Directorio Activo en su dominio y una réplica parcial de todos los objetos del AD de otros dominios que están en el bosque. Se encargan de realizar las siguientes funciones: 1) permite que un usuario busque información de directorio en todo el bosque, independiente de la ubicación de los datos y 2) permite que un usuario inicie una sesión en la red mediante el suministro de la información de pertenencia a Grupos Universales (Universal Group) a un controlador de dominio cuando inicia un proceso de sesión. (García and Barrena, 2007, Simmons, 2001).
(29) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 18. Operations Master Roles: (Flexible Single Master Operation Roles, FSMO) son roles específicos del bosque (o del dominio) que son utilizados en las operaciones del Single Master Replication. Sólo el DC que tiene asignado el rol es quien puede realizar los cambios en el directorio. Cada DC responsable de un rol específico es denominado Operation Master Rol, y este es almacenado en el Active Directory. Los Operations Master Roles existen a nivel bosque o nivel dominio. Cada dominio en el bosque tiene su propio PDC Emulator, RID Master e Infraestructure Master (Di'Lello, 2006). Los controladores de dominio a los que se les asignan estas funciones realizan operaciones que no pueden ocurrir simultáneamente en otros controladores de dominio de la red. La propiedad de estas operaciones de maestro único puede ser transferida a otros DC. Todos los bosques de Active Directory deben tener controladores de dominio que cumplan dos de las cinco funciones de operaciones de maestro único (Figura 1.3.5). Las funciones (roles FSMO) para todo el bosque se encuentran resumidas en la Tabla 1.3.2.. Figura 1.3.5. Distribución de los roles FSMO..
(30) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 19. Tabla 1.3.2. Roles Flexible Single Master Operations (FSMO). (Simmons, 2001).. Rol FSMO. Función. Schema Master. Se encarga de las actualizaciones del esquema.. (Maestro de Esquema) Domian Naming Master (Maestro de Nombres de Dominio) Relative Identifier Master (RID) (Maestro de RID). PDC Emulator (Emulador PDC) Infrastructure Master (Maestro de Infraestructuras). Controla las altas o las bajas de dominios en el bosque. Sólo puede agregar dominios al bosque el DC que posee este rol. Vincula el RID a los objetos creados. Cuando un DC genera un SID para una nueva cuenta de usuario, grupo o computadora, los indicadores SID y RID son usados. Cada dominio en el bosque tiene un RID master. Actúa como un PDC Windows NT para dar soporte a los BDCs, los cuales se ejecutan en dominios NT, en modo mixto. Es el encargado de actualizar las referencias de cada objeto dentro del dominio cuando sufre alguna modificación.. 1.3.5 Principales protocolos A diferencia de su antecesor Windows NT 4.0, AD proporciona compatibilidad con un buen número de protocolos; algunos son estándares de internet y otros son propietarios, ofrece interfaces de programación de aplicaciones que facilitan la comunicación con otros servicios de directorio. La base está creada por el Protocolo de Internet (Internet Protocol, IP), así como por el Protocolo de Control de la Transmisión (Transmission Control Protocol, TCP). Entre ellos se destacan: SMB/CIFS Common Internet File System (anteriormente conocido por Server Message Block, SMB) es uno de los protocolos más importantes en las redes Windows, desarrollado por Microsoft Corporation, ya que domina las conexiones hechas entre casi todos los clientes y servidores. Este protocolo opera en la capa de aplicación del modelo de red. Es usado principalmente para permitir el acceso a archivos compartidos, impresoras, puertos seriales y diferentes conexiones entre nodos en la red. Emplea los puertos TCP 137, 139 y 445, y los puertos UDP 137 y 138. (Microsoft, 2009).
(31) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 20. LDAP Lightweight Directory Access Protocol (RFC2251) se ha convertido en un estándar de internet para el acceso a la información estructurada, en particular la información en el formato de árbol de X.500. Es un protocolo a nivel de aplicación. LDAP también es considerado una base de datos (aunque su sistema de almacenamiento puede ser diferente) a la que pueden realizarse consultas. Habitualmente, almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red. Está basado sobre TCP y emplea el puerto TCP 389. (OpenLDAP, 2011) CLDAP Connectioneless LDAP es una variante de LDAP no orientada a la conexión. Está basada en UDP y no emplea ningún tipo de autenticación, por lo que sólo soporta consultas. Originalmente era un estándar de internet desarrollado para permitir las consultas sobre UDP de LDAPv2. Microsoft implementó CLDAP pero no siguió las propuestas del estándar, en cambio, crearon una versión de CLDAP basada en LDAPv3. La respuesta CLDAP incluye información sobre los sitios, y los clientes que pueden utilizarlo, así como información del paquete de temporización, para determinar cuál DC utilizar. (Bartlett, 2005) DCE/RPC Distributed Computing Environment / Remote Procedure Call es un protocolo para la transmisión de funciones invocadas en una computadora distante. Es publicado libre de cargo por Open Group. Sin embargo la complejidad de DCE/RPC no está en los mecanismos de transporte o en las operaciones básicas, pero sí en los mecanismos de seguridad propietarios y en la definición de las interfaces (Interface Definition Language, IDL). Active Directory emplea su propia versión del estándar DCE/RPC conocido como MSRPC, así como su IDL: midl. DCE/RPC utiliza como protocolo de transporte los puertos TCP y UDP 135; también puede emplear SMB y SMB2. (Metzmacher, 2007).
(32) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 21. Los dominios en Active Directory están basados en las siguientes interfaces RPC: SAMR: este protocolo provee funciones de administración para usuarios y grupos. El nombre proviene de Security Account Manager (SAM), utilizado para garantizar la compatibilidad con Windows NT4. (Microsoft, 2012i) NETLOGON: ofrece las funciones para la autenticación de usuarios y computadoras dentro del dominio. Estas funciones son usadas además por otros para la autenticación NTLMSSP. Esta interfaz permite descubrir y administrar las relaciones de dominio entre los miembros de un dominio y los DCs. (Microsoft, 2012h) DRSUAPI: Directory Replication Service Update API provee funciones que son usadas para la replicación de Active Directory. (Microsoft, 2012g) KERBEROS Es un protocolo de autenticación de red desarrollado por el Instituto Tecnológico de Massachusetts (Massachusetts Institute of Technology, MIT) y estandarizado por la Internet Engineering Task Force (IETF). El protocolo fue adoptado y extendido por Microsoft, actualmente la versión que se emplea es Kerberos V (RFC4120). Es utilizado para la autenticación de usuarios y máquinas en AD. Esta versión ha sido introducida a los servicios de Windows mediante la capa SSPI. (Baptiste Marchand, 2004) DNS Domain Name System, (RFC1034, RFC1035) es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignados a cada uno de los participantes. Su función más importante es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, con el propósito de poder localizar y direccionarlos mundialmente. Active Directory suministra y usa una gran cantidad de información DNS, particularmente basada en las entradas SRV. Bajo el subdominio _msdcs Microsoft almacena información sobre cada DC en la red y ha ideado su propio esquema para actualizaciones seguras de DNS basado en Kerberos; esto permite a las computadoras actualizar sus propias entradas en el servidor DNS. Es un.
(33) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 22. protocolo de la capa de aplicación del modelo de red; emplea los puertos TCP y UDP 53. (Microsoft, 2012c) SNTP Simple Network Time Protocol (RFC1361) es una versión simplificada del Network Time Protocol (RFC5905). Es usado en AD para mantener la exactitud del tiempo. Cada DC posee su propio servidor de tiempo que puede sincronizarse con otro de mayor exactitud (menor estrato). Microsoft firma las respuestas de tiempo mediante el esquema de seguridad schannel. Esto permite una corrección (sincronización) del tiempo necesario para el correcto funcionamiento de Kerberos en los clientes. SNTP es un protocolo de la capa de aplicación del modelo de red; utiliza el puerto TCP 123. (Microsoft, 2012f) 1.3.6 Características A continuación se exponen algunas características que hacen de Active Directory una solución viable y robusta: Actualizaciones Dinámicas de DNS (DNS Dynamic Updates). El protocolo de Actualizaciones Dinámicas (RFC2136) permite a los servidores DNS actualizar dinámicamente sus entradas cuando una dirección DNS o IP cambia (es el caso de la asignación de direcciones IP mediante DHCP). Esta característica no es obligatoria para el funcionamiento de Active Directory pero hace más cómodo el proceso de administración. Mejoras en la replicación. La replicación de valores vinculados posibilita replicar distintos miembros del grupo en la red, en lugar de tratar todos los miembros del grupo como una sola unidad de replicación. Particiones de directorio de aplicaciones. El ámbito de replicación se puede configurar con datos específicos de aplicaciones entre controladores de dominio. Por ejemplo, puede controlar el ámbito de replicación de los datos de la zona del sistema de nombres de dominio almacenados en Active Directory, para que sólo determinados controladores de dominio del bosque participen en la replicación de zonas DNS. Función de arrastrar y colocar. Permite mover los objetos de Active Directory de contenedor en contenedor, mediante la función de arrastrar y colocar en la ubicación.
(34) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 23. deseada de la jerarquía de dominios. También puede agregar objetos a las listas de pertenencia a grupos con la función de arrastrar uno o más objetos, incluidos otros objetos de grupo, al grupo de destino. Servicios Integrados. No se necesitan aplicaciones de terceros, los servicios necesarios para el funcionamiento del rol Active Directory, así como el servidor DNS y el de tiempo vienen incorporados en el sistema. Aunque se puede usar otro servidor DNS, por ejemplo Bind9. 1.4. Directorio Activo de Samba. Samba es una suite de software de código abierto de servicios compatibles con sistemas UNIX y derivados que permite a Microsoft Windows y otros clientes de escritorio acceder a los sistemas de archivos e impresoras a través del protocolo SMB/CIFS de Microsoft. Desde su creación en 1992, Samba ha crecido sin parar, se le han incorporado más funcionalidades, y en numerosas ocasiones se ha comparado con el propio software de Microsoft, en cuanto a seguridad y rendimiento. Las últimas versiones de Samba ofrecen gran parte de la funcionalidad proporcionada por el sistema de dominio de Windows NT. Originalmente utilizado principalmente dentro de las instituciones académicas y de investigación, Samba ha crecido en popularidad y en la actualidad, cuenta con gran cantidad de programadores voluntarios, posee una conferencia anual: “Samba eXPerience” (Samba.org, 2012e), y el apoyo de grandes corporaciones como IBM, Novell o Silicon Graphics. Samba está disponible, incluyendo el código fuente, para la mayoría de las plataformas GNU/Linux y UNIX bajo los acuerdos de la GPL. (DeRoest, 2000, Chico, 2011) El proyecto Samba4 comenzó como un esfuerzo por reescribir Samba de forma tal que permita mayores funcionalidades, esto también incluía una reescritura de la librería DCE/RPC. Entre las funcionalidades se encuentra la posibilidad de actuar como controlador de dominio de Active Directory y unirse a un dominio existente como DC adicional. La primera característica superior a Samba3.6.x es que soporta los protocolos de inicio de sesión de AD usado por Windows 2000 y versiones superiores..
(35) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 24. 1.4.1 Estructura Posee la estructura mencionada en el apartado 1.3.1, puesto que se basa en un servicio de Directorio Activo y emula lo mayor posible la tecnología de Microsoft. 1.4.2 Funciones Samba4 pretende ser una réplica de Microsoft Active Directory, por lo que realiza las funciones mencionadas en el apartado 1.3.2. 1.4.3 Tipos de Servidores Hasta la fecha de realización de este trabajo Samba4 soporta los siguientes tipos de servidores: 1) Controlador de Dominio (DC), rol predeterminado. 2) Servidor Miembro, permite también unirse como Read Only Domain Controller (RODC) a un controlador de dominio de Windows, aunque esta funcionalidad se encuentra en desarrollo se puede implementar. 3) Miembro de un dominio, se recomienda utilizar Samba3, ya que el servicio winbind en esta versión presta mayores funcionalidades que el de la versión 4, actualmente en desarrollo; no obstante se le ha incorporado mejoras y nuevas funcionalidades. 4) Servidor Standalone. Las funciones de estos servidores son idénticas a las del AD de Microsoft, las cuales se explican con detalles en el apartado 1.3.3 Los desarrolladores de Samba recomiendan utilizar la versión 3 como servidor de archivos y la versión 4 como DC de AD. Muchas de las funcionalidades disponibles en la primera no están en Samba4, ya que se encuentra en fase de desarrollo. 1.4.4 Funcionamiento Sigue la misma filosofía que se definió en el apartado 1.3.4. A continuación se describe de forma abreviada cómo fue que se realizó la elección de la infraestructura de Samba4..
(36) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 25. En el desarrollo de la infraestructura de Samba4, se decidió implementar las llamadas de la forma que lo hace Microsoft Windows 2003 Server y superiores. La decisión está basada en la siguiente política: emular las últimas versiones de los productos de Microsoft siempre que sea posible; debido a que otros vendedores de software prueban los últimos lanzamientos de los productos de Microsoft y estos lanzamientos son los únicos que se pueden referenciar, por lo que se deben emular detenidamente. (Bartlett, 2005) Para reducir la carga tecnológica que representa emplear OpenLDAP como servidor LDAP, se creó el servidor de directorio LDB que es incorporado con un servicio interno en Samba4. LDB se define como LDAP like Database e incluye una capa de abstracción que permite ser un backend sobre LDAP o sobre archivos de base de datos, en formato TDB. LDB está disponible como una librería compartida y está licenciada bajo la LGPL. (Sorce, 2006) Como servidor de autenticación de red se empleó la implementación de Kerberos: Heimdal, realizada fuera de los Estados Unidos de América y desarrollada independientemente de la distribución creada por el MIT. Su código fuente ha sido bien probado y es bastante fácil de modificar. La presencia de un backend HDB (no presente la distribución del MIT) ha sido uno de los puntos por lo que se eligió Heimdal, además los desarrolladores de Samba le han agregado mejoras. Es incorporado como un servicio interno en Samba4. (Bartlett and Davis, 2009) Se creó el servicio cldap para manejar el protocolo CLDAP, escrito en parte por IBM. Microsoft posee su propia Interfaz de Definición de Lenguaje (midl) que es propietaria por lo que los desarrolladores de Samba4 crearon una basada en Perl conocida como PIDL ya que es un compilador de Perl de la IDL. El servidor DNS que se usa por el momento es Bind9, ya que soporta actualizaciones dinámicas (se recomienda emplear la versión 9.8.x ó 9.9.x), y mediante un complemento conocido como DLZ (Dynamically Loadable Zones) se puede utilizar como backend DNS el servidor LDAP (opción predeterminada actualmente en la compilación de Samba4), esto posibilita realizar la replicación de las entradas DNS de un DC a otro y consume menos memoria que los tradicionales archivos de configuración (flat files) del Bind. Se encuentra en desarrollo un servidor DNS para incorporarlo con Samba4 como es el caso de LDB y.
(37) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 26. Heimdal, pero falta desarrollar las actualizaciones dinámicas y realizar pruebas de rendimiento. Para la sincronización de tiempo entre los clientes y el servidor, fundamental para el funcionamiento del protocolo de autenticación Heimdal Kerberos, se debe emplear el servicio (ntpd) que provee el paquete ntp. El servicio actúa como servidor de tiempo en el controlador de dominio Samba4, permite la sincronización con otros servidores y se puede configurar para que utilice el propio reloj de la computadora, en caso de que falle la conexión con otros servidores. 1.4.5 Principales protocolos Emplea los mismos protocolos de Active Directory, que en caso de ser propietarios sufren algunas modificaciones, pero aseguran la compatibilidad para la replicación con los DC de Windows, como se muestra en la figura:. Figura 1.4.1. Protocolos de red implicados en la replicación. (Metzmacher, 2007)..
(38) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 27. 1.4.6 Características Soporte del protocolo DCE/RPC sobre TCP. El soporte para el protocolo CIFS es un elemento característico en Samba, en la versión 4 es ampliado: Samba4 se mueve más allá de CIFS para exponer DCE/RPC sobre transportes que no usan CIFS, por ejemplo directamente en TCP/IP. (Bartlett, 2005) A continuación se detallan algunas características (Samba.org, 2012b) incorporadas en versiones recientes: Samba4 beta soporta el entorno de inicio de sesión de Active Directory usado en Windows 2000 y versiones superiores, por lo que se puede montar un dominio completo y realizar las operaciones de inicio de sesión de esos clientes; además de unirse a un dominio existente como un DC adicional. La implementación del controlador de dominio incluye su propio servidor LDAP y Centro de Distribución de Llaves (Key Distribution Center, KDC) de Kerberos; así como los servicios de inicio de sesión sobre CIFS que provee Samba3. Samba4 beta contiene dos servidores de archivos diferentes: 1) NTVFS usado en las versiones alpha anteriores de Samba4, y se ajusta para que coincida con los requisitos de un controlador de dominio de AD, y 2) S3FS que emplea el servicio smbd usado en Samba3. Para proporcionar marcas de tiempo precisas a los clientes de Windows, se integra con el proyecto de NTP, con lo que se logra ofrecer respuestas seguras de paquetes de tiempo. La administración se puede realizar por consola a través de las herramientas sambatool basadas en Python o mediante las herramientas remotas de administración de Windows (Windows Remote Server Administration Tools, RAST). Soporta la gestión de Directivas de Grupos, lo que hace el proceso de administración más fácil..
(39) CAPÍTULO 1. SERVICIOS DE DIRECTORIO DE APLICACIÓN EMPRESARIAL. 1.5. 28. Conclusiones. El servicio de directorio hoy en día desempeña un papel fundamental en las empresas por el nivel de información y recursos que se puede manejar a través de él. Microsoft Active Directory, líder en este ámbito se destaca por las facilidades de instalación y administración que brinda; donde la única limitante para algunos son los altos costos de las licencias. Como alternativas surgen diferentes aplicaciones de código abierto, siendo Samba4 la mejor elección para la migración en las instituciones cubanas..
(40) CAPÍTULO 2. METODOLOGÍA DE INSTALACIÓN Y ADMINISTRACIÓN DE SAMBA4. CAPÍTULO 2.. 29. METODOLOGÍA DE INSTALACIÓN Y ADMINISTRACIÓN DE SAMBA4. Todo proceso de migración requiere del análisis de los elementos implicados y de una metodología que sea capaz de responder a los requerimientos de la institución en que se va aplicar. Se debe elegir cuidadosamente los programas libres que remplazarán a los privativos sin afectar el funcionamiento de los servicios de red, además debe ser transparente para los usuarios. En el presente capítulo se realiza un recuento sobre la versión 4 de Samba, así como los requerimientos para la instalación. Se aborda también el entorno de trabajo en el que se desarrolla la implementación y los pasos a seguir en la migración de plataformas Windows a GNU/Linux. Además se expone la metodología a seguir en la instalación de Samba4 y los tres posibles escenarios de desarrollo. Finalmente se presentan las herramientas más comunes para la administración de los controladores de dominio basados en esta nueva versión. 2.1. Samba4 Active Directory. Samba es un producto que se distribuye gratuitamente para sistemas de tipo UNIX, de acuerdo con los términos de la General Public License de GNU, básicamente permite a estos sistemas interactuar con Windows a través de la red de forma nativa. Samba ha ido evolucionando activamente desde su creación, actualmente la versión 3 es estable y la versión 4 se encuentra en desarrollo; las pruebas de rendimiento que se han aplicado, a la nueva versión, demuestran que posee gran estabilidad. Entre las metas de Samba4 está implementar un controlador de dominio que sea compatible con Microsoft Active Directory, esto se ha logrado en buena parte gracias al apoyo de éste último mediante la facilitación de documentación sobre el funcionamiento de su tecnología de Directorio.
(41) CAPÍTULO 2. METODOLOGÍA DE INSTALACIÓN Y ADMINISTRACIÓN DE SAMBA4. 30. Activo y a la designación de un equipo de ingenieros para realizar intercambios con los desarrolladores de Samba4. Según la wiki oficial de Samba4 (Samba.org, 2012c) entre las características que más se destacan se encuentran: Soporta los protocolos de inicio de sesión y de administración de Microsoft Active Directory; además de clientes basados en Windows XP, Seven y OS X. Soporta las definiciones de Directivas de Grupo (Group Policies) Compatibilidad completa con el sistema de archivos NTFS para la compartición de archivos. Servidor interno LDAP con semántica de AD. Servidor interno de Kerberos con compatibilidad PAC. Integración con Bind9 para el soporte DNS de AD (con DLZ). Internos completamente asíncronos. Modelos de procesos flexibles. Nueva infraestructura RPC (PIDL). Base de datos con arquitectura flexible (LDB). Soporte para Python: usado extensiblemente en las herramientas de administración. Subsistema genérico de seguridad (GENSEC). Samba es usado frecuentemente en combinación con sistemas operativos libres GNU/Linux, esto posibilita a los ingenieros y programadores ver y ampliar el código fuente según sus necesidades. En muchos casos el alto costo de licencias que presenta MS AD es un punto decisivo para elegir Samba. Por otra parte, Linux y Samba se pueden comparar muy bien con los servidores de Windows en áreas de estabilidad, rendimiento y seguridad. Samba4 se presenta como la solución que más se adecua a las empresas cubanas, ya que el servicio de directorio que poseen es Active Directory y en caso de poseer Samba3 se puede migrar la base de datos a la versión 4; además es de código abierto y totalmente gratis; cuenta con una comunidad activa de desarrolladores y su código fuente se encuentra en constante perfeccionamiento. Samba4 se destaca por ser la alternativa libre a AD con mayor grado de compatibilidad..
(42) CAPÍTULO 2. METODOLOGÍA DE INSTALACIÓN Y ADMINISTRACIÓN DE SAMBA4. 2.1.1. 31. Requerimientos. Se puede emplear como sistema operativo cualquier distribución GNU/Linux. Actualmente posee soporte para Debian, Ubuntu, FreeBSD, Red Hat Enterprise Linux, CentOS, OpenSUSE y Gentoo. Se recomienda Ext4 como sistema de archivos, pues permite utilizar los atributos extendidos de este sistema (característica avanzada de Samba4), sin tener que recompilar el kernel. Todo controlador de dominio requiere de un servidor DNS para su funcionamiento. Como servidor DNS se debe utilizar Bind9.8.x o Bind9.9.x, dado que ambas versiones permiten las actualizaciones dinámicas de direcciones DNS y son compatibles con el plugin DLZ, el cual emplea como backend DNS el directorio LDAP del AD, al igual que Windows Server. La sincronización del tiempo entre las estaciones de trabajo y los controladores de dominio es esencial para el funcionamiento del protocolo Kerberos. Los clientes basados en Windows Seven requieren que los paquetes de tiempos se encuentren firmados; a partir de la versión 2.4.6 el servidor de tiempo ntp permite esta característica. Para compilar e instalar Samba4 correctamente es necesario tener las siguientes librerías de desarrollo instaladas: python (paquete python-dev) acl y xattr (paquetes libacl1-dev y libattr1-dev) blkid (paquete libblkid-dev) gnutls (paquete libgnutls-dev) readline (paquete libreadline-dev) 2.2. Entorno de trabajo. En el mundo Linux, existe gran cantidad de distribuciones orientadas según el espacio de aplicación: usuarios domésticos, servidores, juegos, empresas, uso general, etc. A partir de criterios establecidos por varias fuentes (Tecnologíapyme, 2010, Ezequiel, 2010) se elaboraron los siguientes puntos para determinar qué distribución elegir: 1. Una distribución estable..
Figure
+7
Documento similar