Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Controladores de dominio
Santiago Gmez Ruiz
Un controlador de dominio es una entidad administrativa, esto es, no es un ordenador en concreto, sino un conjunto de ordenadores agrupados que se cien a unas reglas de seguridad y autenticacin comunes. Para regular un dominio, se precisa al menos de un equipo que sea el controlador principal, la fuente primera donde se almacenan las reglas del dominio, y donde sern consultadas esas reglas en ltima instancia. Un controlador primario de dominio (PDC) puede implementarse tanto bajo Windows como bajo Linux. En este artculo vamos a contrastar ambas implementaciones.
os servidores a enfrentar corrern respectivamente Windows Small Business Server 2003 Standard y Debian 3.1 Sarge R2. Ambos sistemas estn cercanos a su renovacin. En el momento de escribir este artculo parece inminente la liberacin como versin estable de Debian 4 Etch. Del mismo modo, Microsoft ha anunciado que podra comercializar su nueva versin de sistema operativo para servidores (codename Longhorn) para 2007, aunque teniendo en cuenta los aos de retrasos sucesivos que ha sufrido Windows Vista, no parece muy fiable esa informacin. No obstante, en un asunto tan crtico como sistemas operativos de servidor, siempre es ms prudente dejar una versin nueva en la calle unos meses antes de ponerla en produccin, para pulir posibles errores. En este aspecto, a Debian le precede una fama de solidez inquebrantable, e incluso en entornos donde se puede asumir cierto riesgo, la versin inestable se est utilizando con plena satisfaccin (de hecho, Ubuntu procede de la rama inestable de Debian). No se puede decir lo mismo de Microsoft, que ha acompaado cada lanzamiento de cada versin de Windows con uno o dos aos de Service Packs (revisiones
mayores), parches y dems correcciones sobre aspectos fundamentales del sistema, intentando dotarles de una mnima estabilidad. As, a Windows 95, famoso por sus constantes cuelgues, le sucedi OSR2, a Windows 98, el rey de las pantallas azules, 98SE, Windows XP va por su segundo Service Pack, intentando cerrar sus interminables agujeros de seguridad, Windows NT tuvo hasta 6 Service Packs, y Windows Millenium nunca lleg a ser usable, siendo probablemente el peor producto que ha salido de Redmond. Cada una de las instalaciones de prueba atendern veinte clientes Windows XP SP2. Los aspectos a comparar entre ambos sistemas operativos sern funcionalidades, rendimiento, instalacin, mantenimiento y precio.
linux@software.com.pl
Funcionalidades
Para que un ordenador con Linux pueda explorar una red Windows, acceder a sus recursos, compartir los propios, autenticarse o, como en el caso actual, ser el controlador de un dominio, tiene que ejecutar un conjunto de programas agrupados bajo el nombre Samba. El nombre del protocolo
32
Linux+ 2/2007
Existen las pequeas mentiras, las grandes mentiras y los benchmarks Un servidor son sus recursos. Cualquier puesto de trabajo suele correr con al menos 256 512 MB de RAM, mientras el servidor puede que disponga de 2 GB para atender 30 puestos, gestionar comunicaciones, ficheros, web, email y dos docenas de servicios ms. Por esto, el rendimiento es fundamental en la eleccin del sistema. En 1999, Microsoft empez a considerar seriamente la amenaza del software libre a su hegemona sobre el mercado. Desde entonces se han sucedido infinidad de campaas publicitarias, cada una con su correspondiente batera de pruebas, testeos y argumentos ms o menos escandalosos. El factor comn de todas estas campaas ha sido su fracaso, ya que no han frenado en absoluto el crecimiento y Linux integra administracin remota el desarrollo de productos libres alternativos con Webmin, que admite todo tipo de mdulos, y puede accederse desde cualquier equipo corriendo cualquier plataforma. Windows se administra desde la consola de Microsoft, que est limitada a los mdulos predefinidos por Microsoft y slo funciona en plataformas Windows; Windows soporta active directory y Linux an no; Aunque ambos sistemas soportan su propia versin de terminal server, las sesiones sern del propio sistema. Es decir, no podemos pedir que un equipo con Linux sirva sesiones terminal server de Windows, ni lo inverso.
El rendimiento
fragadas por Microsoft demuestran sin lugar a dudas una gran superioridad de los sistemas Windows, mientras que aquellas realizadas de forma independiente muestran de forma general que los sistemas Linux son ms rpidos, estables y seguros. Idealmente la prueba de rendimiento debera hacerse en la propia instalacin final, lo cual es irreal, ya que obligara a mucho ms trabajo y a adquirir previamente un conjunto de licencias nada baratas que probablemente nunca lleguen a usarse. Independientemente de la guerra de los benchmarks, hay una serie de hechos objetivos que deben tenerse en cuenta para estimar el rendimiento final: Los servidores Windows no pueden cerrar sus sesiones grficas (GUI en Windows). Una sesin grfica ocupa una cantidad nada desdeable de recursos, gastados absurdamente en un equipo que estar casi toda su vida con la pantalla apagada; Ya que los sistemas operativos de Microsoft son vulnerables a los virus, usarlos obliga a la instalacin de un antivirus. Aparte de los gastos de licencia y el tiempo de instalacin y mantenimiento (actualizaciones, nuevas versiones...), hay que considerar que un antivirus es probablemente el tipo de software ms intrusivo que existe. Ya que tiene que intervenir en todos los procesos del sistema que impliquen lectura, escritura o transmisin entre otros, ralentiza sensiblemente la mquina. Ninguno de los benchmarks que he consultado se han realizado en equipos con antivirus instalado, pero es evidente que hubiesen afectado de forma notable a los resultados.
a los de la multinacional. Tras examinar una decena larga de benchmarks comparando servidores Windows con servidores Linux, he llegado a la con- clusin de que stos se podran clasificar siguiendo dos criterios. El primer criterio sera su financiacin, esto es, testeos financiados directa o indirectamente por Microsoft, o ejecutados por sus proveedores inmediatos (Veritest, Mindcraft...), y testeos ejecutados por entidades independientes (Itweek, ZD...). El segundo criterio sera el resultado; hay benchmarks tanto favorables a Windows como favorables a Linux. Sorprendentemente (o no), los dos criterios coinciden, de modo que las pruebas su-
Instalacin
Los productos Microsoft tienen fama de ser fciles de instalar. En este caso es cierto. Es mucho ms fcil instalar un servidor de dominio sobre Windows que sobre Linux. En windows, un par de asistentes y el sistema queda listo para funcionar. Para un equipo de escritorio, eso es una gran ventaja, ya que la optimizacin del sistema, la eleccin de los servicios que ejecuta y multitud de parmetros no son importantes. Pero instalar en cuatro clics un servidor slo puede significar que no se ha optimizado, que no se han cuidado multitud de aspectos. Si luego se quiere afinar ese equipo, habremos de vernos con el registro de Windows, y con el
Figura 1. El escritorio por defecto de la distribucin Debian, su aspecto asctico esconde su gran usabilidad
www.lpmagazine.org
33
Resumen de la comparativa
Funcionalidades: A da de hoy y como controlador de dominio, Windows 2000/ 2003 es ms completo que una instalacin Linux + Samba. No obstante, las funcionalidades de Linux son mucho ms flexibles y configurables; Rendimiento: Tanto en rendimiento punta como en estabilidad (las interrupciones tambin afectan al rendimiento), los sistemas Linux superan ampliamente a los Windows; Instalacin: Mucho ms sencilla en los equipos Windows. Mucho ms tediosa
Precio
go una licencia ms o CAL por cada equipo pero tambin flexible en los equipos Lio usuario que se va a conectar al servidor. nux; Mantenimiento No confundir estas CAL con las licencias Mantenimiento: Los equipos Linux requieEn este aspecto est muy claro que los ser- del sistema operativo que tenga instalado ren menos mantenimiento y son menos vidores Windows requieren de muchas ms la estacin de trabajo, hay que pagarlas las susceptibles a catstrofes; horas de trabajo que sus homlogos Linux. dos: Precio: La instalacin Linux propuesta Casi cada actualizacin de seguridad de Wintiene coste cero, la instalacin Windows dows obliga a un reinicio. Muchos antivirus Licencia de Servidor ms 5 CAL's : 1907,56 . requieren reiniciar tras una actualizacin 490,24 ; del programa. Adems, no es raro que tras Cada conjunto de 5 CAL's extra (3): Por lo tanto: una actualizacin, el ordenador no funcione 457,36 ; correctamente. Esto obliga a realizar estas la- Antivirus NOD32, versin profesional Es sensato elegir Windows si alguna funbores de mantenimiento fuera de las horas de monousuario: 45,24 Por lo tanto, la inscionalidad imprescindible an no est improduccin, lo cual normalmente significa de talacin de servidor + licencias + antiviplementada en Linux. Aunque a primenoche o en fines de semana, ya que si despus rus: 1907,56. ra vista parezca la eleccin para alguien sin demasiados conocimientos, la facilidad de la instalacin oculta un mantenimiento y unos problemas posteriores mucho ms difciles de superar; Es sensato elegir Linux en cualquier otro caso menos en el anterior.
Figura 2. Al unir un equipo XP a un dominio, este solicita varios conjuntos de usuario/clave, correspondientes al usuario del equipo, a un administrador del dominio y al administrador del equipo
Al describir este proceso de instalacin y configuracin, se presupone una cierta soltura en edicin de ficheros y arranque y parada de servicios. La instalacin de una distribucin Debian de GNU/Linux es hoy en da muy sencilla. Una de las escasas dificultades que podemos encontrar es que el instalador no encuentre el disco duro. Si ocurre, y nuestro equipo tiene discos Serial ATA, la solucin es configurar la BIOS en modo compatibilidad, y lo encontrar sin problemas. Por lo dems, facilitar la labor si le indicamos que queremos instalar el equipo como:
34
Linux+ 2/2007
Abrimos el fichero smb.conf para editarlo, Terminada la instalacin, hay que configu- y buscamos o creamos las siguientes lneas: Samba intentar sincronizar las contraseas rar cada aspecto del sistema. Ya que probacon el sistema: blemente deseemos asignar permisos per- workgroup = el_dominio sonalizados para cada usuario o grupo en domain master = yes los recursos compartidos por el servidor, la Siendo el_dominio el nombre del dominio manera ms sencilla de hacerlo es mediante a crear: Nuestro equipo se erige as como controlador listas acl. Para ello instalamos el paquete primario del dominio.: acl (bien desde Synaptic, bien haciendo un wins support = yes sencillo apt-get acl desde una consola de domain logons = yes root). Con esta directiva le indicamos que debe Para activar las listas de control de ac- de dar soporte para wins. Wins es el acr- Se admitirn accesos de dominio: ceso, es necesario editar el fichero /etc/fstab y aadir acl a los parmetros de la particin donde se ubicarn los recursos compartidos, por ejemplo: nimo de Windows Internet Name Service, y es el protocolo de resolucin de nombres en una red que usa principalmente Windows 98, pero sigue siendo necesario en las versiones posteriores. De hecho, si co/dev/hda6 /home ext3 nectamos clientes con Windows 98 a nuesdefaults,acl 0 2 tro servidor, resolvern mucho mejor si en las propiedades de TCP/IP le indicamos Para que los cambios tengan efecto, es necesa- la IP de nuestro servidor como servidor rio desmontar y volver a montar la particin, Wins: y para ello es necesario haber cerrado la sesin grfica. En el ejemplo anterior, se ira a wins server = yes una consola con Ctrl+Alt+F1, se hara logon con el usuario root, y los comandos a ejecutar Nuestro servidor actuar como servidor wins: seran :
netbios name = el_nombre /etc/init.d/gdm stop umount /home mount /home /etc/init.d/gdm start socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
Es el nivel de sistema operativo que se anuncia. Un valor de 65 debe de ser totalmente suficiente.:
dns proxy=yes
Configuracin de Samba
Samba es una suite bastante amplia y compleja. A continuacin se detallarn los distintos pasos para configurar Samba como controlador de dominio, con una explicacin muy somera del parmetro, no obstante, para entender cmo funciona (y mucho ms importante, qu puede estar fallan do en un momento dado), es muy recomendable leer la documentacin de Samba. La configuracin de Samba se realiza en el fichero /etc/samba/smb.conf. Este es el punto ms importante de la implementacin del do- Figura 3. Finalizado con xito el agregado del equipo al dominio, ahora toca reiniciar otra vez
www.lpmagazine.org
35
a -> vamos a aadir; m -> es una cuenta de mquina; %u -> nombre de la mquina, como se ha especificado -m, no es necesario aadir el smbolo del dlar.
Debe admitir contraseas nulas. Los sistemas operativos Windows 2000 y XP registran la mquina adems del usuario en el dominio, y las mquinas no tienen contrasea.:
admin users= fulanito, menganito
A continuacin, se configurara el recurso netlogon, los scripts de inicio si se desean, y los recursos compartidos e impresoras en el fichero smb.conf. Cada caso sera completamente diferente, y es relativamente sencillo. La configuracin base del dominio est detallada.
Los usuarios que actuarn como administradores del dominio (por ejemplo, para aadir equipos al mismo). No se recomienda utilizar el usuario root para esto, por motivos de seguridad.:
invalid users = root
Configuracin de Webmin
Webmin es un entorno potentsimo de administracin remota, que permite crear y aadir mdulos nuevos para cada tarea. La versin de Webmin que viene con Debian ha quedado superada por la nueva. La instalacin es muy sencilla, desde una consola de
Por defecto, y por motivos de seguridad, Webmin viene configurado para ser usado slo desde el equipo en el que est instalado. Para permitir su uso desde cualquier equipo, hay que editar el fichero /etc/ webmin/miniserv.conf, buscar la clave allow= 127.0.0.1 y cambiar por allow=0.0.0.0 Esta clave tambin permite determinar o restringir los equipos desde los cuales se tendr acceso. La instalacin por defecto habr creado un slo usuario de Webmin, root, y con la clave de root. Los usuarios de Webmin son independientes de los de Linux, por lo que si cambiamos la clave de root, en Webmin quedara la clave antigua. Para acceder a Webmin, abrimos cualquier navegador e introducimos: https://1.2. 3.4:10000 Sustituyendo 1.2.3.4 por la IP de nuestro servidor. Vale la pena echar un rato configurando Webmin, empezando por el idioma (Webmin->change language and theme-> language). Para poder administrar remotamente de forma visual los permisos de cada carpeta, es preciso instalar un mdulo concreto. Para ello, nos situamos en Webmin-> configuracin de Webmin->mdulos de Web min. Elegimos configuracin estndar de www.webmin.com, pulsamos el botn de exploracin que aparece a la derecha y elegimos el mdulo file manager. Antes de pulsar sobre instalar mdulo, es conveniente marcar la opcin Permitir acceso a todos
root: De hecho, es prudente invalidar a root para acceder como usuario del dominio.: apt-get install libio-pty-pear
guest account=nobody
Este paquete es necesario para la ejecucin de esta versin de Webmin.: wget http://prdownloads.sourceforge.net/webadmin/webmin_ 1.300_all.deb Se descarga el paquete desde la web del proyecto Webmin.:
dpkg -i webmin_1.300_all.deb
Esta lnea contiene el comando a ejecutar Se instala el paquete. cuando se aade una mquina al dominio, y presupone que cuando aadamos un equipo deseamos que la mquina se aada automticamente. La alternativa es aadir manualmente las mquinas adems de los usuarios (es la prctica en Windows). Detalladamente, el encadenamiento de estos dos comandos sera:
/usr/bin/useradd -> aadir un usuario Unix; c Comentario -> comentario del usuario, descripcin de la mquina en la red, en este caso; d /dev/null -> sin directorio de inicio; s /bin/false -> sin shell (por seguridad); g Maquinas -> perteneciente al grupo Maquinas, que crearemos antes de empezar a usar el dominio; %u'$' -> nombre de la mquina, ms el smbolo del dlar (los nombres de equipo van seguidos de dlar en Windows); smbpasswd -> crear/modificar un usuario Figura 4. Administrando los permisos de un directorio de forma remota mediante Webmin samba;
36
Linux+ 2/2007
www.lpmagazine.org
37
38
Linux+ 2/2007
Las ventajas de un dominio montado sobre un equipo GNU/Linux Debian 3.1 Sarge son: Licencia gratuita, no requiere coste por licencias ni por servidor ni por puestos; La optimizacin depender de los conocimientos del administrador, incluso llegando a poder recompilar el ncleo del sistema si es necesario; Es invulnerable a virus; El rendimiento es considerablemente ms alto; El mantenimiento es muy bajo; Altsima estabilidad. La necesidad de reiniciar ser casi inexistente.
Conclusiones
Exponiendo de otra forma las mismas con- clusiones de la comparativa, tendramos que. Las ventajas de un dominio montado sobre un equipo con Windows 2000/2003 son: Las desventajas de un dominio montado sobre un equipo GNU/Linux Debian 3.1 Sarge Facilidad de instalacin (aunque a veces son: lleve al error de considerar que cualquiera puede hacerlo); Es difcil y tedioso de instalar. No sola Plena funcionalidad. mente quien lo hace tiene que saber muy bien lo que hace, sino que podra perfectamente estar ms asistido sin necesidad de perder detalle; An carece de algunas de las funcionalidades de los dominios Windows 2000/3 puros. Lgicamente, las ventajas de uno son las desventajas del otro y viceversa, aunque habra que reflexionar sobre la primera ventaja de los sistemas Windows, Realmente es una ventaja que alguien sin los mnimos conocimientos de administracin pueda implementar un dominio? Si bien le aporta facilidad al procedimiento, no parece muy conveniente que alguien no suficientemente preparado administre algo tan delicado como el corazn de una red. Es como si a una persona con el carnet de conducir ciclomotores le animasen a pilotar un Boeing ayudado por un par de asistentes. Tal vez por eso hay redes que se estrellan.
www.lpmagazine.org
39