Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UN PORTERO DIFERENTE
Los administradores especializados en la virtualizacin centralizada de escritorios llevan tiempo frustrados con la carencia de mecanismos de autenticacin sofisticados para VirtualBox. El nuevo proyecto vrdp-ldap ofrece ahora autenticacin basada en LDAP para las instancias de VirtualBox en la red. POR MICHAEL KROMER Y MARKUS FEILNER
irtualBox [1], una herramienta diseada para los usuarios finales de los escritorios Linux, Windows, FreeBSD y Solaris, est cambiando sus miras para convertirse en un sistema de virtualizacin basado en servidor. En la versin 3.1, Sun present la migracin en vivo de mquinas virtuales, llamndolas Teleportacin.
Ahora que Sun ha sido absorbida por Oracle y ha salido la versin 3.2, Oracle VM VirtualBox tambin virtualiza Mac OS X en mquinas que no son de Apple (vase el cuadro titulado Mac OS sin un Mac). Adems, la versin 3.2. ofrece cach de E/S configurable y NAT, conexin de CPU en caliente, aceleracin de vdeo RDP (Remote Destk-
top Protocol) desafortunadamente slo funciona para clientes Windows 7 as como mltiples vistas. La virtualizacin de escritorios remotos basadas en servidor utiliza la versin de VirtualBox del protocolo RDP, familiar en entornos de servidores de terminal. Por desgracia, RDP slo est disponible en la versin comercial de
18
Nmero 66
WWW.LINUX- MAGAZINE.ES
Figura 1: KVM se mantiene al da; una versin antigua del sistema operativo de Apple.
Figura 2: Tras configurar vrdp-ldap, puede configurar cada mquina virtual para que VirtualBox autentique los clientes VRDP mediante LDAP.
VirtualBox, pero afortunadamente, la licencia de uso personal y evaluacin (PUEL) [2] permite a los usuarios privados y a los centros educativos la oportunidad de usar la versin propietaria sin tener que pagar las licencias. Uno de los problemas con la virtualizacin basada en servidor de VirtualBox surge cuando se utiliza el protocolo de escritorio remoto de VirtualBox (VRDP) para la autenticacin contra una mquina virtual activa. La solucin comn basada en la autenticacin PAM slo permite la autenticacin de un usuario en un host especfico, y ste tiene que ser el usuario que ejecut la mquina virtual en el servidor del VirtualBox. Si el usuario se cambia a otro ordenador cliente RDP, la autenticacin PAM no funcionar. Los administradores que deseen abstraer a sus usuarios de los hosts, tendrn que desactivar PAM e intentar restringir el acceso al puerto VRDP con el cortafuegos. Las deficiencias de esta solucin piden a gritos un mtodo alternativo. El proyecto vrdp-ldap [3] surgi en julio para implementar un mdulo de autenticacin de VirtualBox basado en LDAP (Lightweight Directory Access Protocol). Vrdp-ldap extiende un esquema existente LDAP aadindole una clase objeto y una propiedad que soporte la autenticacin orientada al usuario por medio de la UUID del equipo. Como vrdp-ldap utiliza los atributos de directorios existentes de PAM, la solucin vrdp-ldap proporciona un mtodo de autenticacin transparente contra servicios de directorio existentes con las credenciales de conexin del usuario.
Paso a Paso
En [4] se encuentran disponibles los paquetes RPM listos para instalarse de openSUSE 11.2 y SUSE Linux Enterprise Server (SLES) 11. Los administradores de otros sistemas tendrn que compilarlos desde el cdigo fuente con configure/make/make install . La compilacin manual actualmente implica disponer de los paquetes libHX, pam-devel, openldap2devel y pkg-config (casi todas las distribuciones ms conocidas proporcionan estos paquetes). El procedimiento para configurar una mquina virtual con autenticacin VRDP basada en LDAP consta de cinco pasos en el sistema host VirtualBox: 1. Instalar el plugin vrdp-ldap. 2. Configurar una librera VRDP para VirtualBox. 3. Modificar el esquema LDAP. 4. Modificar la mquina virtual. 5. Extender las cuentas de usuario LDAP aadindole el identifica dor nico universal (UUID) para las mquinas virtuales de los usuarios que vayan a acceder. El plugin se instala fcilmente en openSUSE 11.2:
zypper ar U http://repo.medozas.de/U medozas/SUSE-11.2/U medozas.repo zypper in VirtualBox-vrdp-ldap VBoxManage setproperty U vrdpauthlibrary/usr/lib/U virtualbox/vrdp-ldap
En sistemas de 64-bits, hay que ser root y teclear lo siguiente desde la lnea de comandos:
VBoxManage setproperty s vrdpauthlibrary U /usr/lib64/virtualbox/vrdp-ldap
El nombre del mdulo no tiene extensin de fichero como .so o .dll, que viene bien porque la autenticacin VRDP le permitir utilizar la misma configuracin en diferentes hosts y sistemas operativos. Aunque actualmente no existe un mdulo para Windows de vrdp-ldap, se espera que est disponible en unos meses. El Listado 1 muestra el fichero de configuracin de vrdp-ldap, que necesita el administrador para modificarlo de modo que coincida con el servidor local de LDAP. El siguiente paso consiste en extender el servidor LDAP aadiendo /usr/share/doc/ packages/VirtualBox-vrdp-ldap/ vbox-vrdp.schema. El cuarto paso, modificar las mquinas virtuales, es fcil si se sigue la captura de pantalla de la Figura 2.
Listado 1: /etc/vrdpldap.conf
01 CHECK_UUID=yes 02 CHECK_PAM=yes 03 PAM_SERVICE=sshd 04 LDAP_URI=ldap://localhost/ 05 BASE_DN=dc=company,dc=com 06 #BIND_DN= 07 #BIND_PW=
20
Nmero 66
WWW.LINUX- MAGAZINE.ES
apague ( VBoxMaListado 2: Usuario LDAP con Acceso VRDP nage controlvm 01 dn: uid=mkromer,ou=users,dc=linux-magazin,dc=de savestate). 02 cn: mkromer Cuando reinicie, el sistema de eva03 uid: mkromer luacin inmedia04 mail: medozas@medozas.de tamente le propor05 objectClass: top cionar a los usuarios sus 06 objectClass: person entornos, asu07 objectClass: inetOrgPerson miendo que no ha 08 objectClass: posixAccount habido cambios 09 objectClass: VBoxVRDP en la configuracin de 10 VBoxVRDPUUID: la mquina virtual {3f7d197f-072a-4bf9-9528-aebefdfa2a2e} (tarjetas de red, 11 VBoxVRDPUUID: etc.) desde que el {af4bed3e-f94e-48f8-ba1e-6c7c504b38ca} sistema se ha reiniciado. vrdp-ldap, el nuevo portero para entorPara configurar el script inicial necenos LDAP, implica que VirtualBox est sita crear un usuario y hacer que dicho ms preparado que nunca para los usuario sea miembro del grupo vboxuentornos de servidor. I sers . Tambin necesita aadir el nombre de la mquina virtual definida, incluyendo el nmero del puerto RECURSOS VRDP y la prioridad del proceso (valor [1] Oracle VM VirtualBox: http:// nice), para el fichero autostart . El Lisvirtualbox.org tado 3 muestra los comandos para [2] VirtualBox Personal Use y Licencia openSUSE.
Script Init
El equipo de virtualizacin formado por LDAP y VirtualBox le permite a los usuarios utilizar Rdesktop o cualquier otro terminal RDP para configurar una conexin utilizando sus credenciales de registro:
rdesktop -u LDAP-user -p U password_or_-_for_prompt U VirtualBox-Host-IPU:VRDP-Port
Contagioso
Oracle lanza una nueva versin de VirtualBox una vez al mes. Sobre la base de las nuevas caractersticas aadidas desde la versin 3.1 y los resultados positivos de los test de E/S [9], es casi seguro que Oracle est intentando hacer un hbrido entre virtualizacin de escritorios y servidores con capacidad de asumir la carga de operaciones que funcionan 24 horas al da los 7 das de la semana. Unas cuantas cuestiones requieren atencin, tales como el driver USB para la Blackberry o la gestin de interrupciones en sistemas con mltiples ncleos (la comunicacin IO/APIC de algunos invitados hace que la carga de CPU suba [10]). Pero sobre todo, VirtualBox est tomando posiciones y
Con el material presentado hasta el momento puede configurar su propio servidor VirtualBox con vrdp-ldap. Es una buena idea utilizar un script de inicio especial [8]. El script congela todas las mquinas virtuales definidas en el fichero autostart a fin de salvar el estado actual para cuando el host se
de Evaluacin: http://www. virtualbox.orgwiki/VirtualBox_PUEL [3] vrdp-ldap: http://vrdp-ldap.sf.net [4] Paquetes SUSE RPM: http://repo. medozas.de/medozas [5] GQ: http://sourceforge.net/projects/ gqclient/ [6] LDAP Admin: http://ldapadmin. sourceforge.net [7] Solicitud para ver el UUID en la GUI de VirtualBox: http://virtualbox.org/ ticket/6989 [8] Script Init: http://dev.medozas.de/ files/VirtualBox [9] Tests de E/S con imgenes de disco VirtualBox antes y despus de la versin 3.2: http://virtualbox.org/ ticket/4392 [10] Corrupcin de datos bajo una gran carga de E/S: http://virtualbox.org/ ticket/2524
22
Nmero 66
WWW.LINUX- MAGAZINE.ES