Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administración de servicios de directorio.
Caso práctico
En la empresa EntreTuyYo, S.L. están valorando cambiar el sistema actual de comunicaciones de datos por otro que le genere
mayores prestaciones.
¿Qué sistema tiene nuestra empresa? Las comunicaciones entre los ordenadores se realizan por difusión de red. En el que cada
equipo trata, de igual a igual, al resto. Esto está provocando inseguridad en la red en todos los aspectos. En el aspecto de los
datos, no se sabe en cuantas máquinas se encuentran archivos duplicados o con versiones distintas. En el aspecto de seguridad
que consistiría, sobre todo, en la difusión de virus, troyanos, etc.
¿Qué solución se plantea? La solución que se plantea es el crear uno o varios servidores (conectados entre sí) dónde se centralice
toda la información, usuarios registrados, modos de acceso y, sobre todo, seguridad en los archivos propios de la empresa.
Jimena y Diego trabajan en el departamento de informática y llevarán el peso de todo el proceso.
Para proceder a la instauración de ese sistema, nuestro departamento de informática debe llevar a cabo una serie de pruebas que permitan tomar una decisión
definitiva a la hora de implantar el sistema.
Lo que tiene claro nuestro departamento, y por unanimidad, es la implantación de un sistema LDAP. Un sistema eficaz y flexible. Pero no nos ponemos de acuerdo en
si todos los servidores LDAP deben ser servidores Windows usando Active Directory o bien, máquinas servidores Linux con soporte OpenLDAP.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 1/30
10/10/2016 ASO01_Contenidos
Servicio de directorio.
Caso práctico
Antes de afrontar todas las instalaciones y configuraciones tanto a nivel de servidores como a nivel de máquinas cliente, hemos decidido
recopilar la información necesaria.
Como parte de esa información, debemos estudiar las ventajas, y desventajas, de un servicio de directorio. Es el principio o concepto
básico de todo LDAP.
Diego se va a encargar de realizar esta tarea y ponerla a disposición del departamento dónde se estudiará detenidamente.
Debemos empezar preguntándonos ¿qué es un servicio de directorio? Es una aplicación o un conjunto de aplicaciones que
almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los
administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una
capa de abstracción entre los usuarios y los recursos compartidos.
Pongamos un ejemplo. Un servicio de directorio es un servicio de nombres para
corresponder los nombres de los recursos de la red, con sus respectivas direcciones de red.
Con este tipo de servicio de directorio, un usuario no tiene que recordar la dirección física de
los diferentes recursos de la red, pues con saber simplemente su nombre estará accediendo
a tal recurso demandado. Cada recurso de la red se considera como un objeto en el servidor
de directorio, donde la información de un recurso en particular se almacena como atributos de ese objeto. La información que
representa un objeto se establece de forma segura, accediendo a tales objetos usuarios con los permisos adecuados para poder
manipular dicha información. Directorios más sofisticados son diseñados con multitud de características y preferencias para poder
manipular la información del directorio, según la dificultad de gestión que su administrador pretenda manejar.
Ahondando en el ejemplo: el típico recurso de una carpeta compartida. En vez de acceder mediante su identificación de red y ruta completa; podríamos acceder mediante su
nombre de máquina y su nombre de recurso. Por ejemplo: la máquina A comparte el directorio o carpeta c:\documents and settings\usuario\compartir y lo nombra como
micarpeta. La máquina B puede acceder al recurso de la siguiente forma: \\A\micarpeta.
En la imagen podemos apreciar cómo se interrelacionan los distintos objetos con servicios como DNS, CARPETAS, SERVIDORES DE IMPRESORAS, GRUPOS, etc.
Para saber más
En el siguiente enlace puedes aprender más sobre este tema.
Servicio de directorio.
Autoevaluación
¿Las carpetas son parte del directorio activo?
Si, dejan de controlarse a nivel local para que lo administre el directorio activo.
No, es parte del sistema operativo a nivel local.
Sí, porque el directorio activo controla todas las transacciones del sistema.
Ninguna respuesta es correcta.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 2/30
10/10/2016 ASO01_Contenidos
Definición, elementos y nomenclatura.
Vamos a empezar a entender los términos que utilizaremos en esta unidad. Y empezaremos por las siglas LDAP: ("Lightweight Directory
Access Protocol", en español Protocolo Ligero de Acceso a Directorios) es un protocolo de tipo clienteservidor para acceder a un servicio de
directorio.
Otro concepto, directorio, es una estructura jerárquica que almacena información acerca de los objetos existentes en la red, tanto en la propia
máquina raíz del dominio como en aquellas que se encuentren en la misma red. Los objetos en cuestión no son sólo carpetas, sino recursos en
general. Es decir, elementos como carpetas (o directorios en su nomenclatura anterior), impresoras, etc.
La estructura del directorio se basa en los siguientes conceptos:
Dominio: es la estructura básica. Permite agrupar todos los objetos que se administrarán en forma estructurada y jerárquica.
Organización: en el caso de que el dominio sólo atienda a una organización, será única. En caso contrario, un mismo dominio puede
albergar varias organizaciones.
Unidad organizativa: es una unidad jerárquica inferior del dominio, puede estar compuesta por otra serie de objetos como unidades
organizativas (de nivel jerárquico inferior), grupos, etc.
Grupos: son objetos del mismo tipo. Se utilizan, sobre todo, para la asignación de los derechos de acceso a los recursos.
Objetos: son representaciones de los recursos de red como: usuarios, ordenadores, impresoras, etc.
Denominamos árbol de dominios del directorio a una estructura jerárquica de dominios que comparten un espacio de nomenclatura contiguo, un esquema común y un
catálogo global común. Pongamos un ejemplo. Tenemos un dominio llamado sored.local y un subdominio de éste, alumnos.sored.local. Estos pueden formar parte de un
árbol puesto que comparten la misma nomenclatura contigua y pueden tener esquema y catálogo global comunes.
Un bosque es la colección de todos los objetos, sus atributos y reglas en el directorio activo.
Los atributos se definen independientemente de las clases. Se define sólo una vez pero se puede utilizar en múltiples clases.
Las clases describen los posibles objetos del directorio que se puede crear. Cada clase es una colección de atributos.
Estamos viendo que, en cuanto a nomenclatura, es similar a las DNS, es decir, hay un dominio.
Reflexiona
Que un espacio de nomenclatura es el conjunto de nombres que representan a un dominio. Y un espacio de nomenclatura contiguo indica que la primera parte del
nombre del dominio es común.
Autoevaluación
Un grupo, ¿Está por encima de una unidad organizativa?
No, si existen unidades organizativas, los grupos deben estar contenidos en una de ellas.
No, todos los objetos están en el mismo nivel. Un grupo puede estar contenido en una unidad organizativa, pero no viceversa.
Sí, porque puede contener derechos y privilegios sobre objetos.
No, todos los grupos y usuarios deben estar contenidos en una unidad organizativa.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 3/30
10/10/2016 ASO01_Contenidos
LDAP.
Caso práctico
Diego nos ha presentado un informe detallado en el departamento para su estudio.
Una vez definido qué es un Servicio de Directorio, debemos saber cómo se organiza, concretamente, un LDAP. Cómo guarda sus
objetos, qué atributos maneja.
Son conceptos amplios, que engloban tanto a sistemas que utilizan Active Directory como los servidores Windows como aquellos
que utilizan OpenLDAP.
A nuestro departamento le resulta importante clarificar estos detalles para afrontar la decisión de elegir sistemas basados en
Windows o en Linux.
El modelo de datos de LDAP (derivado de X.500) define una estructura jerárquica de objetos en forma de árbol, donde cada objeto o
entrada posee un conjunto de atributos. Cada atributo viene identificado mediante un nombre o acrónimo significativo, pertenece a un
cierto tipo y puede tener uno o varios valores asociados.
Cada objeto está identificado inequívocamente en la base de datos del directorio mediante un atributo especial denominado nombre
distinguido o dn (distinguished name). El resto de los atributos de la entrada depende de qué objeto esté describiendo dicha entrada
u objeto.
La definición de los posibles tipos de objetos, así como de sus atributos, que pueden ser utilizados por el directorio de un servidor de
LDAP, la realiza el propio servidor mediante el denominado esquema del directorio. El esquema contiene las definiciones de los
objetos que pueden darse de alta en el directorio.
El nombre distinguido de cada entrada del directorio es una cadena de caracteres formada por pares tipo_atributo=valor separados por comas, que representa la ruta invertida
que lleva desde la posición lógica de la entrada en el árbol hasta la raíz del mismo. Puesto que se supone que un directorio almacena información sobre los objetos que existen
en una cierta organización, cada directorio posee como raíz (o base, en terminología LDAP) la ubicación de dicha organización, de forma que la base se convierte de forma
natural en el sufijo de los nombres distinguidos de todas las entradas que mantiene el directorio.
Aunque existen dos formas de nombrar la raíz de un directorio LDAP, nosotros utilizaremos la nomenclatura basada en nombres de dominio de Internet (como en los DNS), que
utiliza los dominios DNS para nombrar la raíz de la organización. Por ejemplo, la base de la organización SORED, sería "dc=sored, dc=es".
A partir de esa base, el árbol se subdivide en nodos y subnodos, tantos como se estimen oportunos para estructurar, de forma adecuada, los objetos de la organización.
Objetos que se ubican finalmente como las hojas del árbol. De esta forma, el nombre distinguido de cada entrada describe su posición en el árbol de la organización, de forma
análoga a un sistema de archivos típico, en el que el nombre absoluto (unívoco) de cada archivo equivale a su posición en la jerarquía de directorios del sistema, y viceversa.
Reflexiona
Que, aunque los nombrados se basan en formatos de Internet, no tienen porqué ser nombres cualificados. Es decir, registrados en Internet. Podríamos utilizar
“dc=sored, dc=local”
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 4/30
10/10/2016 ASO01_Contenidos
Esquema del servicio de directorio I.
Caso práctico
Uno de los problemas que se presentan a la hora de identificar usuarios, es que estos pueden ser identificados mediante distintas
credenciales. Es decir, un usuario puede tener distinta credencial para utilizar el servicio de correo electrónico, el acceso a su
carpeta, etc. Para evitar esto, mi departamento estudia cómo afrontar, mediante unas mismas credenciales, el uso de distintos
recursos por el mismo usuario y con las mismas credenciales.
Para lograr este reto, debemos perfilar correctamente nuestro esquema del servicio de directorio.
Este trabajo de campo lo realizará nuestro miembro más joven del departamento, Jimena.
Ya hemos mencionado qué es un esquema del servicio de directorio. Ahora vamos a profundizar un poco en él.
Debemos definir, primero, qué es un esquema de directorio: el esquema es la colección de atributos definidos, clases de objetos
definidas, y ACI para controlar dónde es almacenado cada dato. De forma colectiva se utiliza la nomenclatura ACL o lista de
control de acceso.
Por ejemplo, tu grupo puede dar facilidades de acceso como cambiar la localización de los empleados, su ubicación en general, o
número de oficina, pero no se permite que se modifiquen entradas de cualquier otro campo. Las ACI pueden controlar el acceso
dependiendo de quién está solicitando los datos, que datos están siendo solicitados, dónde están los datos almacenados, y otros
aspectos del registro que está siendo modificado. Todo esto hecho directamente a través del directorio LDAP, así que no necesitas
preocuparte de hacer comprobaciones de seguridad en el nivel de aplicación de usuario.
Cualquier base de datos, sin tener en cuenta su complejidad o tecnología subyacente, tiene un esquema. Para entendernos aún mejor, un esquema es el modelo de los datos,
el diseño de cómo deben almacenarse los datos, qué tipos de datos podrán ser accesibles, y las relaciones entre datos almacenados en varias entradas.
Cuando configuras tu directorio LDAP, la información para cualquier entrada dada se almacena con una serie de atributos. Tú puedes crear nuevos tipos de valores que serán
almacenados en el directorio.
Colectivamente, a todos los atributos que pueden ser utilizados para un tipo de objeto específico se les llama Clases de Objetos (Object Class, en ingles). Como con los
atributos, podemos definir nuevas clases de objetos para adecuarlas a la organización de los datos, es decir, según tus necesidades. Dentro de cada clase de objetos, podemos
designar que atributos son requeridos, y cuales son meramente opcionales.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 5/30
10/10/2016 ASO01_Contenidos
Esquema del servicio de directorio II.
(Para aquellos con un bagaje en bases de datos tradicionales, puede ser útil pensarlo de ésta manera: los campos son similares a los
atributos, las tablas son similares a las clases de objetos.)
En la imagen podemos observar un típico esquema de un servicio de directorio. Dónde, para llegar al identificador "babs" debemos
recorrer una estructura en forma de árbol.
Es decir, en un formato de internet, tipo URL, sería "babs.People.example.com.".
Ahora bien, en formato DN "DN: 'uid=babs, ou=People,dc=example,dc=com'".
Comúnmente se usan las estructuras de árbol para jerarquizar la información en un medio. Por ejemplo, tenemos la estructura de un
sistema de archivos dentro de un sistema operativo. De esta manera nos permiten ordenar y organizar la información en subdirectorios
que contienen información específica.
Como ejemplo, además, podemos añadir el formado de los servidores DNS. Por ejemplo, www.empresa.com que sería, www, un subdominio de empresa.com.
Para saber más
En el siguiente enlace obtendrás más información sobre la personalización del directorio:
Personalizando el esquema de directorio.
Autoevaluación
¿Qué entendemos por esquema en un entorno LDAP?
Un gráfico indicando la organización del LDAP.
Es un modelo de los datos.
Es un modelo transaccional entre varias bases de datos que se interrelacionan con el sistema base.
Es la base de datos del sistema que sirve de referencia o índice de todos los recursos, grupos y usuarios del sistema.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 6/30
10/10/2016 ASO01_Contenidos
Funciones del dominio I.
Caso práctico
En las sucesivas reuniones y puestas en común que hemos tenido, hemos ido recopilando datos de qué es un Servicio de Directorio y, más concretamente, la base de
datos LDAP.
Diego y Jimena, con los datos que han recopilado nos indican que tenemos que definir qué funciones y tareas que gestionará el servicio LDAP queremos implantar.
Actualmente hay, en el mercado, dos productos que están basados en la misma idea, LDAP. Estos son Active Directory de Microsoft
para plataformas propietarias de Windows y OpenLDAP, de libre distribución.
¿Por qué marcamos estas diferencias? Porque Active Directory integra todos los servicios dentro del Directorio Activo. Sin embargo,
openLDAP no los integra, deben ser integrados o, más bien, ceder parte del control de un servicio al servicio openLDAP.
A modo de ejemplo: en Linux existen servicios como Samba, NFS. Son servicios independientes y gestionan recursos de forma
independiente. Puede darse el caso que unos determinados usuarios queramos que entren a unos recursos que gestionan estos dos
servicios. Entonces habrá que configurar ambos servicios para que estos usuarios puedan acceder a los recursos mencionados. Pues
bien, si estos servicios los integramos en OpenLDAP, sólo será necesario configurar estos usuarios dentro del LDAP para que accedan a
dichos recursos.
Dadas las características de LDAP sus usos más comunes son:
Directorios de información. Por ejemplo bases de datos de empleados organizados por departamentos (siguiendo la estructura organizativa de la empresa) o cualquier
tipo de páginas amarillas.
Sistemas de autenticación/autorización centralizada. Grandes sistemas donde se guardan grandes cantidades de registros y se requiere un uso constante de los
mismos.
Por ejemplo:
Active Directory Server de Microsoft, para gestionar todas las cuentas de acceso a una red corporativa y mantener centralizada la gestión del acceso a los
recursos.
Sistemas de autenticación para páginas web, algunos de los gestores de contenidos más conocidos disponen de sistemas de autenticación a través de LDAP.
Sistemas de control de entradas a edificios, oficinas, etc.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 7/30
10/10/2016 ASO01_Contenidos
Funciones del dominio II.
Veamos más características de LDAP:
Sistemas de correo electrónico. Grandes sistemas formados por más de un servidor que accedan a un repositorio de datos común.
Pongamos como ejemplo un caso práctico:
Cada usuario se identifica por su dirección de correo electrónico, los atributos que se guardan de cada usuario son su contraseña, su límite de
almacenamiento o cuota, la ruta del disco duro donde se almacenan los mensajes (buzón) y posiblemente atributos adicionales para activar
sistemas antispa o antivirus.
Como se puede apreciar en este sistema LDAP, recibirá cientos de consultas cada día (una por cada email recibido y una cada vez que el usuario
se conecta mediante POP3, IMAP o webmail, utilizando el protocolo IMAP o POP3). No obstante, el número de modificaciones diarias es muy
bajo, ya que sólo se puede cambiar la contraseña o dar de baja al usuario, operaciones ambas que no se realizan de forma frecuente.
Sistemas de alojamiento de páginas web y FTP, con el repositorio de datos de usuario compartido.
Grandes sistemas de autenticación basados en RADIUS, para el control de acceso de los usuarios a una red de conexión o ISP.
Poniendo un ejemplo:
Cada usuario se identifica con un nombre de usuario y los atributos asignados son la contraseña, los permisos de acceso, los grupos de trabajo a los que pertenece, la fecha de
caducidad de la contraseña, etc.
Este sistema recibirá una consulta cada vez que el usuario acceda a la red y una más cada vez que acceda a los recursos del grupo de trabajo (directorios compartidos,
impresoras, etc.) para comprobar los permisos del usuario.
Frente a estos cientos de consultas solo unas pocas veces se cambia la contraseña de un usuario o se le incluye en un nuevo grupo de trabajo.
Servidores de certificados públicos y llaves de seguridad.
Autenticación única ó " single signon" para la personalización de aplicaciones.
Perfiles de usuarios centralizados, para permitir itinerancia ó "Roaming". Por ejemplo, en Active Directory los perfiles nos permiten mantener ciertos elementos (como
escritorio y "mis documentos") guardados en el propio servidor. En el equipo local aparecen como usuarios móviles, el otro perfil es el local.
Libretas de direcciones compartidas.
Autoevaluación
Un uso muy común de LDAP es …
Controlar los accesos al sistema.
Gestión de usuarios y grupos
Sustituir diversos servicios del sistema.
Actúa como CRM (servicio al cliente) del sistema.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 8/30
10/10/2016 ASO01_Contenidos
Controladores de dominio.
Caso práctico
En la última reunión Jimena planteó la posibilidad de realizar accesos a través de Internet. Plantea un problema —dijo Diego—, la seguridad. Hubo un debate si permitir
accesos desde Internet o bien utilizar la red Internet y crear DNS internas creando una Intranet empresarial.
Finalmente se deja la decisión a gerencia informando de las ventajas y desventajas de tener un dominio cualificado.
Empezamos por preguntarnos, ¿qué es un controlador de dominio? Un controlador de dominio es una entidad administrativa, esto es, no
es un ordenador en concreto, sino un conjunto de ordenadores agrupados que se ciñen a unas reglas de seguridad y autenticación comunes.
Para regular un dominio, se precisa al menos de un equipo que sea el controlador principal, la fuente primera donde se almacenan las reglas
del dominio, y donde serán consultadas esas reglas en última instancia. Un controlador primario de dominio (PDC) puede implementarse
tanto bajo Windows como bajo Linux.
Por ejemplo, el controlador de dominio es el centro neurálgico de un dominio de un servidor Windows con Active Directory. Los controladores
de dominio tienen una serie de responsabilidades. Una de ellas es la autenticación de los usuarios que acceden al sistema. De esta forma
podrá denegar el acceso a los recursos compartidos de la propia máquina o a otra máquina de la red. Y esto se realiza, normalmente,
mediante la combinación de usuario y clave.
¿Pueden existir varios controladores de dominio? No, si queremos implementar un sistema de control único a distintos recursos de la red, no debemos crear varios
dominios. Sí es conveniente que existan varios servidores que permitan distribuir los recursos a los que accederán los distintos usuarios.
Por ejemplo, en servidores Windows el servidor puede estar como controlador de dominio, como servidor miembro (es un equipo en el que se ejecuta Windows 2008 y pertenece
al dominio, pero que no actúa como controlador de dominio. Puede realizar funciones de servidor de aplicaciones, de impresión, etc.), y como servidor independiente (se trata de
un servidor que se incorpora a un grupo de trabajo en lugar de a un dominio).
En el caso de servidores Windows, pueden coexistir más de un servidor como controlador de dominio pero para dominios completamente distintos. Inclusive puede existir lo que
se denomina una confianza mutua. Es decir, se confían datos de un controlador de dominio a otro pero realmente son controladores de su propio dominio.
Otro caso es que un servidor sea subdominio o secundario de otro. Active Directory permite crear estructuras jerárquicas de dominios y subdominios, facilitando la
estructuración de los recursos según su localización o función dentro de la organización a la que sirven. Otra diferencia importante es el uso de estándares como X.500 y LDAP
para el acceso a la información.
Autoevaluación
La función de un controlador de dominios es…
Gestionar las consultas de un dominio.
Dar servicio a las máquinas clientes.
Ceñirse a unas reglas de seguridad y autenticación comunes siendo una entidad administrativa unificada.
Ninguna respuesta es correcta.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 9/30
10/10/2016 ASO01_Contenidos
Acciones sobre el servicio de directorio.
Caso práctico
Ya hemos decidido, en el departamento de informática, qué batería de pruebas realizaremos. Se van a aplicar sobre máquinas virtuales debidamente configuradas para
que soporten los distintos sistemas operativos, tanto los que actuarán como servidores, como los que actuarán como clientes.
Diego va a supervisar a Jimena que será la encargada de realizar esta tarea.
Una vez acabado todo el proceso, se realizará un informe que se remitirá a gerencia.
Ya sabemos que el servicio de directorio se basa en la arquitectura del modelo clienteservidor.
Uno o más servidores LDAP contienen los datos que conforman el árbol de directorio LDAP o base de datos troncal, el cliente LDAP se conecta
con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de donde puede el
cliente encontrar más información. No importa con qué servidor LDAP se conecte el cliente, ya que siempre observará la misma vista del
directorio; el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que haría referencia en otro servidor LDAP.
Para llegar al momento en que el servicio de directorio se comporte para lo que fue diseñado, debemos seguir un proceso: instalación,
configuración y personalización.
Desde luego, debe realizarse una planificación de todo el proceso. Qué vamos a instalar, qué árbol, qué grupos tendremos, qué usuarios y en qué
grupos estarán englobados, qué privilegios tendrán, con qué recursos contaremos, qué privilegios tendrán los distintos usuarios y/o grupos sobre
los recursos, a qué máquinas dará servicio, cómo se conectarán, etc.
Todo eso debe estar planificado antes de proceder a la realización de la instalación.
Autoevaluación
Debemos organizar, antes de proceder a la instalación, el árbol de directorio. Es decir, saber todos los usuarios, claves, máquinas, grupos, etc. que se
unirán al árbol de directorio.
Verdadero.
Falso
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 10/30
10/10/2016 ASO01_Contenidos
Instalación.
Una vez que tengamos planificado cómo organizar el servidor LDAP, procedemos a realizar la instalación. Lo primero que debemos tener es el sistema base,
independientemente del sistema operativo que debemos utilizar (tomaremos como referencia los sistemas operativos Windows 2008 Server, en cualquiera de sus versiones, y el
sistema operativo Linux en cualquiera de sus distribuciones).
Es decir, instalamos el sistema operativo "en bruto".
Para saber más
En el siguiente enlace observamos cómo se instala el Active Directory en el sistema operativo Windows 2008 server.
Instalación de Active Directory.
Resumen textual alternativo
Y en el siguiente la instalación del servicio LDAP en GNU/Linux (Ubuntu server 10.10).
Instalación de LDAP en GNU/Linux.
Resumen textual alternativo
Reflexiona
Las instalaciones de LDAP en sistemas operativos GNU/Linux, suelen tener ciertas diferencias con respecto a las configuraciones especificadas por la web de
openLDAP. Debemos visitar la página oficial de la distribución para observar las diferencias y seguir sus indicaciones y así conseguir instalar, adecuadamente, el
servicio LDAP.
Autoevaluación
Cuando se procede a realizar la instalación de un controlador de dominio debemos indicar el dominio que va a gestionar.
Verdadero.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 11/30
10/10/2016 ASO01_Contenidos
Falso.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 12/30
10/10/2016 ASO01_Contenidos
Configuración.
En primer lugar, deberemos tener organizadas las unidades organizativas, los grupos, los usuarios y los recursos.
Posteriormente, debemos articular todas las interfaces necesarias para que este servicio esté disponible desde una conexión remota.
Como por ejemplo desde otro equipo que actúe como cliente. Recuerda que estamos en una arquitectura cliente/servidor.
¿Qué significa "articular todas las interfaces necesarias"? Pues realizar tareas como:
Configuración del Protocolo Internet (IP).
Activar la conexión de red durante la instalación.
Conexión "Siempre encendido". Sólo si queremos proporcionar a los clientes acceso a Internet.
Configuración DNS.
Conexiones de cliente.
NetBIOS sobre TCP/IP. Sólo Active Directory.
Paquete de cifrado elevado y software de conexión a Internet. Sólo Active Directory.
Para el caso de Active Directory, este servicio integra todo el sistema local en el sistema del dominio. Es decir, no debemos realizar ninguna tarea salvo asignar la clave, en la
instalación, del usuario administrador. Todo el sistema de recursos lo gestiona directamente su LDAP.
En el caso de LDAP para GNU/Linux cambia radicalmente el concepto y la configuración. ¿Por qué? Porque LDAP realmente lo trata como servicio y las tareas que debemos
realizar serán que deleguen los servicios que deseamos integrar para que los gestione LDAP. ¿Qué tareas debemos realizar? En primer lugar, migrar los usuarios y grupos del
sistema como parte integrante del LDAP.
Para saber más
En el ejemplo de configuración que puedes descargarte, veremos más detalladamente cómo configurar un servidor con un cliente.
Configuración de Active Directory para conectarse desde una máquina que actúa de cliente.
Resumen textual alternativo
Y en el siguiente enlace verás la instalación del servicio LDAP en GNU/Linux (Ubuntu server 10.10).
Configuración de LDAP en GNU/Linux y probando su conectividad desde un equipo cliente.
Resumen textual alternativo
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 13/30
10/10/2016 ASO01_Contenidos
Personalización.
¿Qué significa "personalizar" un servicio? La personalización es el acto de adaptar el resultado en primer lugar a la instalación y posterior
configuración general, y en segundo lugar adaptarlo a las necesidades requeridas.
Pongamos un ejemplo, con el AD (Active Directory) necesitamos que los usuarios accedan, desde un terminal, a su área de trabajo
asignando una unidad lógica a esa área de trabajo. Bien, pues debemos lanzar el programa para gestionar los usuarios y equipos de AD y
realizar las tareas que nos conduzcan a cumplir con los requisitos necesarios.
Otro ejemplo más, si tenemos una máquina con servidor Ubuntu 10.10 y queremos configurar la autenticación en LDAP: dpkg‐reconfigure
ldap‐auth‐config podremos modificar cómo queremos que se realice la autenticación.
Más ejemplos. Pongamos el ejemplo de un servidor GNU/Linux con el servicio LDAP instalado. Tendremos también, Samba, para poder
acceder desde máquinas Windows. Si deseamos que el servidor GNU/Linux actúe como PDC, debemos personalizar el servicio Samba teniendo en cuenta que debe estar
debidamente conectado al servicio LDAP. Comprobar los requisitos necesarios para que actúe como controlador de dominio.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 14/30
10/10/2016 ASO01_Contenidos
Integración del servicio de directorio con otros servicios.
Caso práctico
Una vez que Jimena y Diego han instalado el LDAP y configurado todo el esquema, probado las credenciales de los usuarios, deberán pasar a la fase de los servicios
que controlará el servicio LDAP.
Deben tener especial cuidado en el aspecto de seguridad. No deben dar ciertos permisos no controlados y obtener accesos no deseados.
Ya se ha mencionado anteriormente que el LDAP es un servicio independiente. Y debemos tener otros servicios como, por ejemplo, servidor
FTP, servidor de correo electrónico, SMTP y/o POP3/IMAP, etc. Para obtener las ventajas de dicho servicio, debemos estimar cuáles
deseamos integrar dentro del LDAP.
Pongamos un ejemplo.
El servidor FTP cuando un usuario intenta conectarse al servidor FTP lo hará con unas credenciales. Estas credenciales, por defecto,
estarán integradas en el sistema. Si el usuario "juan" con contraseña "SanTanDer" quiere acceder a su área de trabajo, utilizará un cliente
FTP, introducirá su usuario y contraseña, y, si es correcto, accederá a su área de trabajo.
El usuario y su correspondiente contraseña, en sistemas operativos GNU/Linux, se encuentran en los archivos "/etc/passwd" y
"/etc/shadow".
Utilizando el servicio LDAP como soporte para las credenciales de los usuarios, el usuario que intente acceder a su área de trabajo, estará en la base de datos del sistema o en
la base de datos del servicio LDAP. Para conseguir esto, debemos indicarle, en la configuración del servicio FTP, que busque los usuarios, aparte de en la base de datos del
sistema operativo, en la base de datos que utiliza el servicio LDAP.
En el caso de AD (Active Directory) todos los servicios propios del sistema operativo se integran automáticamente. Sólo debemos tener en cuenta aquellos que no son propios
del sistema operativo. Por ejemplo, si instalamos el servidor Apache, es posible que no lo integre en el AD y tenemos que realizarlo nosotros manualmente.
Autoevaluación
El servicio LDAP es un servicio que integra, de forma automática, otros servicios.
Verdadero.
Falso.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 15/30
10/10/2016 ASO01_Contenidos
Filtros de búsqueda.
Caso práctico
Cuando queremos realizar búsquedas de un objeto, o entradas en el directorio, en concreto debemos acotar las restricciones de
búsqueda. Es decir, cuando realizamos una búsqueda de una entrada en el árbol de directorio es porque no sabemos cuál es su entrada.
Pero podemos "intuir" por dónde buscar.
Diego le pone un ejemplo a Jimena:
—Si buscamos en un listín telefónico el número de teléfono de Juan Martínez que sabemos que vive en la calle Juan Fernández.
Buscamos alfabéticamente por la "M" y después seguimos por los apellidos hasta encontrarnos con "Martínez". Como habrá muchos (es
un apellido muy común) comprobaremos aquellos que vivan en la calle "Juan Fernández". ¿Hemos acotado la búsqueda? —pregunta
Diego— Sí, hemos restringido la búsqueda teniendo en cuenta los datos que ya conocemos —responde Jimena.
Pues de eso se trata, restringir las búsquedas mediante filtros, mediante restricciones con información que ya disponemos. Cuanta más información tengamos, menor cantidad
de resultados nos dará y será más fácil encontrar el objeto que buscamos.
La búsqueda de objetos o entradas al directorio se pueden realizar bien a nivel de comando, o bien con un entorno gráfico que permita esta opción.
Autoevaluación
¿Para qué podemos utilizar los filtros de búsqueda?
Para gestionar el LDAP.
Para separar los usuarios del sistema del árbol del directorio.
Para buscar un objeto en el árbol de directorio.
Ninguna respuesta es correcta.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 16/30
10/10/2016 ASO01_Contenidos
Filtros de búsqueda en GNU/Linux I.
En un entorno LDAP de GNU/Linux, y en modo terminal, utilizamos el comando ldapsearch. Este comando abre una conexión a un
servidor LDAP, enlaza y hace una búsqueda usando los parámetros especificados.
El comando ldapsearch incluido en las últimas versiones de OpenLDAP tiene esta sintaxis:
ldapsearch [opciones] [filtros [atributos_a_recuperar]]
Debemos entender por filtro la condición que se debe cumplir para la búsqueda de entradas.
Parámetros obligatorios:
‐b basedn: especifica el DN base para las búsquedas.
‐s scope: alcance de la búsqueda: base, one ó sub.
Parámetros opcionales:
‐A: sólo muestra los nombres de los atributos (no los valores).
‐a deref: referencias a los alias: never, always, search, or find.
‐B: permite imprimir valores noASCII.
‐D binddn: cuando se autentica con un directorio, permite especificar la entrada binddn. Usar con la opción ‐w password.
‐d debug level: nivel de debug.
‐E "character_set": especifica la página de codificación de caracteres.
‐f file: ejecuta la sentencia de búsquedas archivadas en el archivo file.
‐h ldaphost: conecta al servidor LDAP en la dirección ldaphost. El valor por defecto es localhost.
‐L: muestra las entradas en formato LDIF.
‐l timelimit: cuenta atrás en segundos antes de abandonar una búsqueda.
‐p ldapport: conecta al servidor en el puerto TCP especificado en ldapport. Por defecto conecta en el puerto 389.
‐S attr: ordena los resultados por el atributo indicado.
‐v: modo extendido.
‐w passwd: especifica la contraseña para hacer el bind (para autenticación simple).
‐z sizelimit: especifica el número máximo de entradas que pueden ser mostradas.
Un ejemplo completo con el comando:
ldapsearch ‐LLL ‐h localhost ‐p 389 –x ‐D "cn=admin,dc=sored,dc=local" ‐w claveAdmin ‐b "ou=People,dc=sored,dc=local"
Lo veremos más detenidamente en el siguiente apartado.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 17/30
10/10/2016 ASO01_Contenidos
Filtros de búsqueda en GNU/Linux II.
ldapsearch ‐LLL ‐h localhost ‐p 389 –x ‐D "cn=admin,dc=sored,dc=local" ‐w claveAdmin ‐b
"ou=People,dc=sored,dc=local"
¿Qué significa toda la línea?
‐LLL: define el tipo de formato LDIF que entregará el comando. Las tres L permiten obtener una salida que es importable a través de los
comandos de manipulación LDIF adecuados.
‐h localhost: corresponde al host donde se encuentra el árbol. En nuestro caso, nuestra propia máquina.
‐p 389: el puerto sobre el que atiende el servidor.
‐D "cn=admin,DC=sored,DC=local": indica la entrada (usuario) a la que nos uniremos para hacer las consultas. Esto es especialmente
importante, como es lógico, para los árboles LDAP que no permiten ingresos anónimos.
‐w claveAdmin: la contraseña para el bind con el dato anterior. Junto con la clave, el usuario presenta las credenciales de autenticación
que deberían permitir la búsqueda.
‐b "ou=People,DC=sored,DC=local": la base de búsqueda.
Otros ejemplos:
ldapsearch ‐x –h localhost –x –b 'dc=sored,dc=local' 'cn~=profesores' cn sn mail
Busca entradas al directorio que sea parecido a profesores. Sólo mostrará el atributo cn, sn y mail. Si no se marcan los atributos que queramos ver, se mostrarán todos. El
último valor, 'cn~=profesores' busca una entrada similar a "profesores".
Si sustituimos el filtro por, por ejemplo, 'cn=*jos*' nos mostrará todas las entradas que contengan las letras "jos".
La forma de expresar consultas complejas en LDAP es a través de notación prefija, en la que el operador lógico se antepone. Los operadores válidos son !, | y & , para NOT, OR
y AND respectivamente. Podemos utilizar diferentes tipos de consulta. Igualdad: (cn=Juan); Presencia: (uid=*); Substring: (sn=J*); Semejanza: (ou~=Joan)
Ejemplo de uso: (|(cn~=Pedro)(cn=Peter)) : Que tenga el atributo cn parecido a Pedro o sea igual a Peter.
No debemos olvidar que, al tratarse de un comando, podemos combinarlo con otros y obtener una búsqueda más filtrada.
Por ejemplo: ldapsearch ‐x | grep 'mail:' | cut ‐d " " ‐f 2 > pp; echo $(cat pp | awk '{print $1"," }') > email
Explicación: el archivo email contendrá la lista de todos los email, separados por comas "," y en una sola línea.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 18/30
10/10/2016 ASO01_Contenidos
Filtros de búsqueda en Windows server.
Y, ¿en Windows? En Windows Server tenemos comandos que pueden sernos de utilidad para realizar búsquedas restringidas mediante
filtros.
Uno de estos comandos es dsquery. Pongamos un ejemplo:
dsquery user ‐name usua*|dsget user –samid ‐upn
Busca, en el árbol de directorio, a todos los usuarios que comiencen por "usua". Además, muestra el nombre de usuario (samid) y el
nombre principal de usuario (upn).
Otro ejemplo: dsquery user "dc=sored,dc=local" obtendríamos las entradas al árbol del AD. Es decir, como la siguiente:
"CN=Administrador,CN=Users,DC=sored,DC=local"
"CN=Invitado,CN=Users,DC=sored,DC=local"
"CN=krbtgt,CN=Users,DC=sored,DC=local"
"CN=usuario01,OU=misusuarios,DC=sored,DC=local"
"CN=usrlocal01,OU=usrLocal,DC=sored,DC=local"
"CN=usuario02,OU=misusuarios,DC=sored,DC=local"
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 19/30
10/10/2016 ASO01_Contenidos
Creación de dominios.
Caso práctico
Gerencia ha devuelto el informe que se emitió con la valoración sobre qué tipo de dominios que se deben instalar en nuestra empresa.
La motivación para la devolución consiste en que existan pruebas de fatiga para ambos casos. Y, una vez realizadas, remitir un informe con los resultados de esas
pruebas.
Esta tarea deberán realizarla Diego y Jimena. Crearán una base de datos de pruebas y registrarán su resultado.
Cuando creamos un dominio debemos considerar en qué jerarquía se encuentra el servidor que estamos instalando. Es decir, si la función
del servidor es ser un controlador de dominio raíz, si va a albergar un subdominio y, por consiguiente, debe indicar dónde se ubica el
controlador de dominio, etc. En definitiva, cuando se habla de dominios podemos estar hablando de dominios cualificados (registrados en
Internet) o bien dominios de carácter empresarial, institucional o asociativo.
Pero no debemos olvidar que puede tratarse de un dominio, por ejemplo empresarial, que, a la vez, está registrado en Internet. Puede darse
la coincidencia que registremos un dominio, por ejemplo entretuyyo.com, que utilizaremos para que se estén relacionando entre los
distintos servidores pero que puede ser accesible desde cualquier puesto conectado a Internet y ver la página web de la empresa.
Hemos visto cómo crear un dominio tanto en Windows 2008 como en GNU/Linux con OpenLDAP. Cuando deseemos que un dominio sea
parte integrante de otro, es decir, que sea un subdominio de un dominio ya existente, debemos realizar una serie de operaciones cómo se
indican en el siguiente vídeo.
Para saber más
En este enlace vemos, paso a paso, la configuración de un dominio en Windows 2008.
Configuración de un dominio en Windows 2008.
Autoevaluación
Un dominio LDAP debe estar cualificado por un organismo autorizado en Internet.
Verdadero
Falso
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 20/30
10/10/2016 ASO01_Contenidos
Objetos que administra un dominio.
Caso práctico
Diego y Jimena ya han instalado el LDAP, configurando los servicios que gestiona, etc. Deben organizar los objetos que administrará nuestro LDAP. Cómo
estructurarlos, quién gestionará esos objetos. Ya sabemos que el administrador puede delegar funciones; a quién delegaremos, qué delegaremos y cómo delegaremos.
¿Por qué? Porque las delegaciones tienen una propiedad que es la herencia. Y si no afinamos, podemos tener un problema de acceso.
Los objetos que administra un dominio son: organizaciones, unidades organizativas, grupos, usuarios, equipos.
Asimismo, puede gestionar servicios. En el caso de un servidor Windows, se realiza de forma automática. En el caso de OpenLDAP no.
¿Por qué AD sí y OpenLDAP no? El AD (Active Directory) es parte integrante del Sistema Operativo del servidor Windows. Sin embargo,
OpenLDAP no, es un servicio independiente en las mismas condiciones que el resto de servicios. Para darle utilidad debemos configurar el
servicio OpenLDAP para que gestione otros servicios y también debemos configurar estos los servicios para que acepten la gestión de su
servicio por otro.
Tomemos como referencia el AD de Windows Server en sus diferentes versiones.
El Directorio Activo es una base de datos jerárquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores, o más correctamente en
nuestro caso, en un dominio de sistemas Windows Server. Esta base de datos de objetos de administración es compartida, para consultas, por todos los equipos que son, a su
vez, miembros del dominio y para modificación, por todos los controladores del dominio (o DC, Domain Controllers). Hay que añadir, a esto último, que puede existir lo que se
denomina relación de confianza entre dominios de tal manera que un controlador de dominio puede llegar a gestionar el Directorio Activo de otro.
Por tanto, en Windows Server, la gestión de un dominio puede realizarse de forma centralizada, administrando únicamente el Directorio Activo. En este contexto, "administrar"
significa crear y configurar adecuadamente los objetos del directorio que representan a las entidades o recursos que existen en el dominio: usuarios, grupos, equipos, etc.
Autoevaluación
El administrador de un controlador de dominio Windows server puede administrar cualquier equipo conectado a la red.
Sí, si está dentro de la difusión.
Sí, si está integrado en el dominio.
Sí, si el cortafuegos se lo permite y está integrado en la base de datos del controlador de dominio.
No, porque el administrador no está dado de alta en el equipo local.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 21/30
10/10/2016 ASO01_Contenidos
Usuarios globales.
Los controladores de dominios suelen venir, predeterminados, con un conjunto determinado de usuarios calificados como globales. ¿En qué
consisten y cuál es su misión? En Windows server aparecen usuarios de carácter global como son los administradores.
Estos usuarios tienen una función determinada, con unos derechos y privilegios sobre los objetos del dominio predeterminados.
Pongamos un ejemplo. El usuario administrador del AD (Active Directory) es el encargado de gestionar todo el árbol del directorio. Esto es, crear
objetos como grupos, usuarios, etc.; asignar recursos y derechos y privilegios de éstos, los recursos, a los distintos grupos y usuarios. También
tiene asignado tareas de mantenimiento del servidor. También podremos observar un usuario, invitado, que aparece por defecto deshabilitado.
¿Quiere esto decir que sólo el usuario administrador puede realizar tareas de administración? No, el propio administrador puede asignar o delegar
tareas a otros usuarios. Puede delegarle todo o partes.
¿Sólo pueden ser usuarios globales los que están definidos en la instalación? No, podremos añadir usuarios con esas características y
utilizarlos siguiendo un esquema predeterminado por el administrador del sistema. Pongamos un ejemplo: podremos crear un usuario,
admonprinter, al que deleguemos el mantenimiento de las impresoras conectadas al servidor. Esto quiere decir, gestionar las
impresoras así como sus colas de impresión, etc.
En esta imagen podemos observar cómo hay, después de realizar la instalación de un sistema operativo Windows 2008, un objeto
llamado "users" en el que están englobados todos los grupos y usuarios predeterminados del sistema.
En el caso de Windows, el administrador del AD también administra el sistema de forma global. Hay una "fusión" entre el servicio
LDAP y el sistema.
Sin embargo, en GNU/Linux no ocurre lo mismo. Por defecto, el usuario administrador del servicio LDAP, habitualmente llamado admin o manager, no tiene por qué administrar
el sistema en su conjunto. Esa labor le corresponde al usuario "root".
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 22/30
10/10/2016 ASO01_Contenidos
Grupos.
En el caso de los grupos ocurre otro tanto. Tendremos un conjunto de grupos predeterminados con una serie de funciones, privilegios y
derechos.
Por ejemplo, un servidor Windows crea automáticamente una serie de grupos locales que pueden contener cuentas de usuario, cuentas
de usuario de dominio, cuentas de equipos y otros grupos globales.
Podemos definir tres tipos de grupos en AD:
Grupos locales del dominio: En un dominio en modo mixto, pueden coexistir cuentas de usuario y grupos globales de cualquier dominio
del bosque. En un dominio en modo nativo, pueden contener además grupos universales y otros grupos locales del dominio. Sólo son
visibles en el dominio en que se crean, y suelen utilizarse para conceder permisos y derechos en cualquiera de los ordenadores del
dominio (en modo mixto, sólo son visibles por los DC del dominio, y por tanto sólo se pueden utilizar para administrar permisos y derechos en esos ordenadores).
Grupos globales: En un dominio en modo mixto, pueden contener cuentas de usuario globales del mismo dominio. En un dominio en modo nativo, pueden contener
además otros grupos globales del mismo dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse para clasificar a los usuarios en función de las
labores que realizan.
Grupos universales: Sólo están disponibles en dominios en modo nativo. Pueden contener cuentas de usuario y grupos globales, así como otros grupos universales, de
cualquier dominio del bosque. Son visibles en todo el bosque.
En el caso de OpenLDAP, no tendrá grupos definidos. Sólo obtendremos un usuario, el administrador. Lo que debemos realizar es una parte que sí hace el AD. ¿Cuál es? La
migración de usuarios y grupos del sistema a usuarios y grupos de OpenLDAP.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 23/30
10/10/2016 ASO01_Contenidos
Otros.
En el caso de AD podremos observar que hay otros objetos que gestiona. Uno especialmente útil es el apartado de "computers", que son
los equipos que se conectan con el servidor. En esta carpeta tendremos información de todos los equipos cliente que han sido dados de alta
en el sistema. El sistema necesita saber quién ha entrado, con qué credenciales y desde dónde. Es decir, debe existir una relación de
confianza a nivel cliente/servidor.
¿Tiene alguna utilidad más? Por supuesto, podremos seleccionar un equipo y administrarlo de forma remota. Eso sí, con una cuenta con
nivel de administración.
No debemos olvidar las unidades organizativas. ¿Qué son y para qué se utilizan? Las unidades organizativas, cuyo acrónimo es OU
(Organizational Unit), son objetos del directorio que pueden contener otros objetos. El uso fundamental de las OU es organizar de forma
lógica los objetos de un dominio. Además, podemos utilizarlos para delegar derechos y privilegios que competen a la administración los objetos seleccionados a otros usuarios
distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas específicas a la unidad.
Autoevaluación
Hemos instalado, en el servidor, un software que permite imprimir archivos PDF. ¿Se puede administrar derechos y privilegios a usuarios y/o grupos a
través del LDAP?
Verdadero.
Falso.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 24/30
10/10/2016 ASO01_Contenidos
Relaciones de confianza entre dominios.
Caso práctico
Nuestro departamento, como parte del banco de pruebas, va a realizar la instalación de varios servidores que estarán conectados
entre sí. Para ello, Jimena y Diego asesorarán al resto de sus compañeros para que conozcan qué tienen que establecer, cómo y a
qué nivel se conectarán.
Para realizar esta tarea, nos indica Jimena y Diego, debemos establecer una relación de confianza entre dominios. Lo que estamos
dilucidando es cómo realizar esa confianza, si hacerlo con dominios distintos o bien con subdominios de uno principal.
En ocasiones puede ser interesante que dos organizaciones o dominios necesiten una de la otra por intereses comunes. Pongamos un
ejemplo. En una UTE hay empleados, de una de las empresas A, que necesita acceder a recursos que están ubicados en la otra empresa
B. Bien, pues una de las empresas puede generar una relación de confianza entre dominios para que un usuario determinado acceda a un
servidor en el que no ha sido dada de alta la máquina cliente.
¿Cómo funcionaría? Se da de alta al usuario en la empresa B. Al existir una relación de confianza, que puede ser unidireccional o
bidireccional, le deberá aparecer, al usuario, la posibilidad de autenticarse en dos dominios. Una vez seleccionado el dominio al que quiere
acceder, introducirá sus credenciales para que le autentique el servidor al que desea acceder.
Otra forma de generar una relación de confianza es crear un servidor que sea subdominio de otro. Imagínate, un grupo de empresas tiene su
servidor con su dominio, entretuyyo.com, al cual acceden una serie de usuarios. La empresa tiene una sucursal en Laredo y desea
descentralizar el servidor. ¿Qué puede hacer? Crear un servidor en Laredo que sea, a su vez, subdominio del principal. Como subdominio podríamos escoger, por ejemplo,
laredo.entretuyyo.com.
Con las relaciones de confianza obtendremos la ventaja de no tener que dar de alta el equipo como clienteterminal de todos los servidores, con una vez bastará. Es decir,
comprobará si el equipo que no está en la base de datos del sistema está, sino, consultará, por el principio de relación de confianza, con el otro servidor para consultar si está
dado de alta en ese servidor.
Para saber más
En el siguiente ejemplo vemos más detalladamente cómo se crea una relación de confianza instalando un subdominio de otro ya existente.
Creación de un controlador de dominio que es subdominio de otro servidor.
Resumen textual alternativo
Autoevaluación
¿Se pueden realizar relaciones de confianza, Windows 2008, entre servidores de distinto dominio?
No, en ningún caso.
Sí, pero sólo en un sentido.
Sí, puede ser unidireccional y bidireccional.
No, sólo es posible en el sentido subdominio a dominio.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 25/30
10/10/2016 ASO01_Contenidos
Herramientas gráficas de administración del servicio de directorio.
Caso práctico
Ya tenemos todo instalado y funcionando. Nuestro principal inconveniente es la administración. Hay que intentar que esta sea lo más cómoda y rápida posible. La
manera más cómoda es mediante herramientas gráficas.
Jimena y Diego, que ya están suficientemente cualificados sobre el tema, nos introducirán en el tema de las herramientas gráficas.
Entre todos, con el debido asesoramiento de Diego y Jimena, valoraremos de qué herramientas disponemos, sus características y ver si es factible utilizarlas por su
sencillez y, sobre todo, por su nivel de seguridad.
Hoy en día, es impensable trabajar todas las aplicaciones a nivel de comando. Así como en sistemas basados en Windows, las herramientas
gráficas están completamente integradas en el sistema, no ocurre tanto en sistemas basados en GNU/Linux.
A diferencia de Windows, las herramientas gráficas, habitualmente realizan tareas de frontend. Es decir, realmente funcionan como rutinas que
llaman a comandos del sistema para realizar las tareas encomendadas.
¿Esto es bueno? Tal vez, pero lo que es innegable es que si el entorno gráfico de una aplicación no funciona adecuadamente, siempre podremos
trabajar a nivel de terminal. Lo cual, siempre será una ventaja contra aquellas aplicaciones que sólo funcionan en modo gráfico (Windows).
A continuación vamos a valorar las ventajas de las herramientas gráficas.
Escribir menos código y ahorrar tiempo: gracias a las herramientas gráficas, se pueden crear interfaces de usuario basadas en tecnologías
visuales. De esta manera, podemos generar una orden sencilla o compleja seleccionando objetos y relacionando estos con la tarea que queremos generar.
Ayuda personalizada: la definición de interfaces de usuario supone algunas ventajas adicionales. Por ejemplo, el administrador es quien decide qué temas de ayuda u objetos se
necesitan para administrar.
Independiente de plataforma: las herramientas gráficas pueden ser independientes de la plataforma, por ejemplo, en GNU/Linux disponemos de una herramienta gráfica que se
maneja a través de un servidor web, Webmin. Con este panel podremos administrar, local o remotamente, un servidor.
Sitio oficial de Webmin
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 26/30
10/10/2016 ASO01_Contenidos
Herramientas gráficas en Windows Server.
La herramienta administrativa más utilizada de Active Directory es "usuarios y equipos de Active Directory". Esta herramienta
permite gestionar todos los permisos y privilegios de: unidades organizativas, grupos, usuarios, etc. Agregar máquinas al dominio,
administrar dichas máquinas, etc.
En la imagen se muestra la organización del dominio con esta herramienta.
En el panel izquierdo de Usuarios y equipos de Active Directory está el árbol de la consola, que
muestra el nombre de dominio completo en el nivel raíz. El contenedor raíz incluye varios
contenedores predeterminados:
Builtin: contenedor para cuentas de usuario integradas.
Computers: contenedor predeterminado para objetos de equipo.
Domain Controllers: contenedor predeterminado para controladores de dominio.
ForeignSecurityPrincipals: contenedor para entidades principales de seguridad de dominios externos de confianza. Los administradores
no deben modificar manualmente el contenido de este contenedor.
UsersContenedor: predeterminado para objetos de usuario.
Además de ésta útil herramienta, tenemos otras más específicas. Todas ellas las encontramos en el menú de "herramientas administrativas" pulsando en el botón "Inicio". Tal
como se muestra en la imagen.
Para saber más
En Active Directory, las herramientas administrativas gráficas nos permiten gestionar, muy eficientemente el árbol de directorio. El siguiente enlace nos muestra
distintas herramientas gráficas que gestionan el mencionado árbol de directorio.
Herramientas de soporte de Active Directory
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 27/30
10/10/2016 ASO01_Contenidos
Herramientas gráficas en distribuciones GNU/Linux.
En similar situación se encuentran las herramientas gráficas de LDAP. Tenemos una herramienta web muy popular, phpldapadmin,
con la cual podremos gestionar todos los objetos LDAP del servidor. En la imagen se muestra la apariencia de esta utilidad.
La forma de acceso es indicándole el usuario con nombre distinguido (DN). Es decir, el usuario admin se le indicará, en el login, como
cn=admin,dc=sored,dc=local. Posteriormente, introducimos la clave correspondiente.
A nivel de aplicación de escritorio, destacamos dos: jxplorer y gq.
Una herramienta, a nivel de aplicación escritorio, es la aplicación jxplorer. Nos permite
conectar a un servidor LDAP, tanto si ese servidor está en nuestro propio equipo como en
otro externo, y realizar tareas comunes de administración del árbol de directorio.
No debemos olvidar que la forma de acceso a los recursos LDAP se debe realizar en formato LDAP. Es decir, introducimos el dominio
indicando el formato, por ejemplo el dominio sored.local y el usuario admin:
DN: dc=sored, dc=local
User DN: cn=admin, dc=sored, dc=local
Password: su clave correspondiente.
Para saber más
Si quieres más información sobre esta aplicación, puedes conseguirla en el siguiente enlace:
Sitio oficial de jxplorer
Aparte de estas dos herramientas, tenemos una de ámbito general. Se trata de la aplicación Webmin. Es una herramienta de configuración de sistemas accesible vía web
compatible son el servicio Apache (suele utilizar el puerto 10000 para su acceso) para OpenSolaris, GNU/Linux y otros sistemas derivados de Unix. Aunque es general,
podremos administrar, también, el servicio LDAP.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 28/30
10/10/2016 ASO01_Contenidos
Anexo. Licencias de recursos.
Licencias de recursos utilizados en la Unidad de Trabajo.
Recurso (1) Datos del recurso (1) Recurso (2) Datos del recurso (2)
Autoría: Tricky.
Autoría: Lemonade_Jo.
Licencia: CC byncsa.
Licencia: Dominio público.
Procedencia:
Procedencia: http://www.openclipart.org/detail/98833/folde
http://www.flickr.com/photos/sovietuk/245712772/sizes/o/in/photostream/
Autoría: Ministerio de Educación Autoría: Ministerio de Educación
Licencia: CC bysa. Licencia: CC bysa
Autoría: Topsy at Waygood Autoría: Paulrossman
Licencia: CC byncsa Licencia: CC byncnd
Procedencia: Procedencia:
http://www.flickr.com/photos/wygd/1350904981/sizes/o/in/photostream/ http://www.flickr.com/photos/paulrossman/4246322529/siz
Autoría: Ministerio de Educación Autoría: Davide Capasso / daccap
Licencia: public domain. Licencia: public domain.
Procedencia: http://commons.wikimedia.org/wiki/File:LDAP_RFC_Hist.jpg Procedencia: http://www.openclipart.org/detail/131179/inte
Autoría: Wilfredo Rodriguez
Autoría: OpenLDAP
Licencia: CC bysa
Licencia: Copyright (Cita)
Procedencia:
Procedencia: http://www.openldap.org/devel/admin/guide.
http://commons.wikimedia.org/wiki/File:Esquema_Navegacional.png
Autoría: gTarded Autoría: querkmachine
Licencia: CC byncnd Licencia: CC by
Procedencia: Procedencia:
http://www.flickr.com/photos/gtarded/3210432763/sizes/l/in/photostream/ http://www.flickr.com/photos/querkmachine/5742825143/s
Autoría: jared Autoría: Andrés Rueda.
Licencia: CC by. Licencia: CC by
Procedencia: Procedencia:
http://www.flickr.com/photos/generated/1475474/sizes/o/in/photostream/ http://www.flickr.com/photos/andresrueda/5274283568/siz
Autoría: barriosenaccion. Autoría: frankdasilva.
Licencia: CC byncnd. Licencia: CC byncnd.
Procedencia: Procedencia:
http://www.flickr.com/photos/barriosenaccion/5248299521/sizes/l/in/photostream/ http://www.flickr.com/photos/crystaleagle/2386230724/siz
Autoría: tresrazones.
Autoría: Ministerio de Educación
Licencia: CC byncnd.
Licencia: CC bync
Procedencia:
Procedencia: http://www.flickr.com/photos/yggg/73479292
http://www.flickr.com/photos/tresrazones/4068412312/sizes/o/in/photostream/.
Autoría: Tawel Autoría: JorgeBrazil
Licencia: CC byncsa Licencia: CC by
Procedencia: Procedencia:
http://www.flickr.com/photos/tawel/2186735918/sizes/m/in/photostream/ http://www.flickr.com/photos/jorgebrazil/3488730782/sizes
Autoría: imad Autoría: ratsinis
Licencia: Dominio Público. Licencia: CC byncnd
Procedencia: http://www.openclipart.org/detail/133363 Procedencia: http://www.flickr.com/photos/ratsinis/285692
Autoría: Tamorlan Autoría: ajgelado
Licencia: CC byncnd. Licencia: CC byncnd
Procedencia: Procedencia:
http://www.flickr.com/photos/ajgelado/2614003403/sizes/l/in/photostream/. http://www.flickr.com/photos/ajgelado/2614003403/sizes/l
Autoría: arquitextonica.
Autoría: Kn
Licencia: CC byncnd.
Licencia: CC bysa
Procedencia:
Procedencia: http://commons.wikimedia.org/wiki/File:Ciclo_mientras.png.
http://www.flickr.com/photos/arquitextonica/4376549330/s
Autoría: haydelis.
Autoría: Jurastick
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 29/30
10/10/2016 ASO01_Contenidos
Licencia: CC byncsa Licencia: CC bync.
Procedencia: http://www.jurastick.fr/chozkifo/astuces_old.php Procedencia:
http://www.flickr.com/photos/12001622@N02/1424926952
Autoría: Sebastian Anthony.
Autoría: warszawianka
Licencia: CC bynd
Licencia: Dominio Público
Procedencia:
Procedencia: http://www.openclipart.org/detail/35347
http://www.flickr.com/photos/mrseb/5367646778/sizes/l/in/photostream/
Autoría: Microsoft. Autoría: czara1
Licencia: copyright (cita). Licencia: Dominio Público.
Procedencia: Captura de pantalla en Windows 2008. Procedencia: http://www.openclipart.org/detail/17302
Autoría: Antonio Marín Segovia.
Autoría: Benjamin Pavie
Licencia: CC byncnd.
Licencia: Dominio Público.
Procedencia:
Procedencia: http://www.openclipart.org/detail/17506.
http://www.flickr.com/photos/antoniomarinsegovia/584257
Autoría: whologwhy Autoría: Daquella manera.
Licencia: CC by Licencia: CC by.
Procedencia: Procedencia:
http://www.flickr.com/photos/hulagway/3741551340/sizes/z/in/photostream/ http://www.flickr.com/photos/daquellamanera/113575868/s
Autoría: Anonymous Autoría: Microsoft
Licencia: Dominio Público. Licencia: copyright (cita)
Procedencia: http://www.openclipart.org/detail/107401 Procedencia: captura de pantalla en Windows 2008.
Autoría: Microsoft. Autoría: PLA
Licencia: copyright (cita) Licencia: copyright (cita).
Procedencia: captura de pantalla en Windows 2008. Procedencia: captura de pantalla en Ubuntu 10.10.
Autoría: Computer Associates.
Licencia: copyright (cita).
Procedencia: captura de pantalla en Ubuntu 10.10.
http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 30/30