Integracion Linux Windows

Universidad Politcnica de ValenciaDepartamento de Sistemas Informticos y Computacin

Curso de Integracin de SistemasLinux/Windows

Linux CentOS 4 y Windows Server 2003

porFernando Ferrer GarcaAndrs Terrasa Barrena

Curso Acadmico 2005/2006Valencia, 15 de junio de 2006

Curso de Integracin de Sistemas Linux/Windows

Indice1. Administracin de dominios Windows 2003 ................................................1

1.1. Introduccin .........................................................................................31.2. El Directorio Activo ..............................................................................3

1.2.1. Dominios Windows 2003 y el Directorio Activo .......................31.2.2. Estndares relacionados ............................................................41.2.3. El Directorio Activo y DNS .......................................................51.2.4. Estructura lgica ........................................................................61.2.5. Estructura fsica .......................................................................14

1.3. Objetos que administra un dominio ...................................................181.3.1. Usuarios globales .....................................................................181.3.2. Grupos .....................................................................................191.3.3. Equipos ....................................................................................211.3.4. Unidades Organizativas ..........................................................22

1.4. Comparticin de recursos ..................................................................221.4.1. Permisos y derechos ................................................................221.4.2. Comparticin dentro de un dominio .......................................231.4.3. Mandatos Windows 2003 para compartir recursos .................24

1.5. Delegacin de la administracin ........................................................252. Administracin de dominios en Linux .......................................................27

2.1. Introduccin .......................................................................................292.2. Concepto de dominio .........................................................................292.3. Servicios de directorio y LDAP ..........................................................292.4. Configuracin bsica de OpenLDAP .................................................322.5. Configuracin de OpenLDAP con servidor nico .............................33

2.5.1. Primer paso: instalacin del servidor ......................................332.5.2. Segundo paso: configuracin del servidor ..............................332.5.3. Tercer paso: comprobacin de la configuracin ......................372.5.4. Cuarto paso: configuracin de los clientes ..............................382.5.5. Quinto paso: migracin de la informacin del servidor .........38

2.6. Configuracin de OpenLDAP con varios servidores .........................412.7. Implementacin de un dominio Linux con OpenLDAP ....................422.8. Herramientas grficas de administracin ..........................................44

3. Sistema de archivos en red (NFS) ................................................................473.1. Introduccin .......................................................................................493.2. Acceso a directorios remotos mediante NFS ......................................493.3. Usos tpicos de NFS ............................................................................493.4. Funcionamiento de NFS .....................................................................503.5. Instalacin y configuracin del cliente NFS .......................................513.6. Instalacin y configuracin del servidor NFS ....................................52

4. Configuracin bsica de Samba ..................................................................554.1. Qu es Samba? ..................................................................................574.2. El protocolo SMB ................................................................................584.3. Configuracin de Samba ....................................................................614.4. Niveles de seguridad ..........................................................................624.5. Configuracin de Samba en el nivel domain .....................................644.6. Tratamiento de los accesos como invitado .........................................654.7. El sistema de ficheros SMB para Linux ..............................................664.8. Opciones del servidor Samba .............................................................674.9. Opciones del recurso ..........................................................................68

5. Integracin de dominios mediante servidores Windows Server 2003 ......695.1. Introduccin .......................................................................................715.2. Aspectos bsicos a considerar ............................................................725.3. Modificaciones del Directorio Activo ................................................725.4. Autentificacin en los clientes Linux .................................................75

5.4.1. Linux como cliente de OpenLDAP ..........................................765.4.2. Linux como cliente del Directorio Activo ................................775.4.3. Linux como cliente Winbind ...................................................79

5.5. Directorios home centralizados ..........................................................846. Integracin de dominios mediante servidores Linux .................................89

6.1. Introduccin .......................................................................................916.2. Estructura del Servicio de Directorio .................................................926.3. Instalacin del software ......................................................................946.4. Configuracin del servidor OpenLDAP ............................................956.5. Configuracin del cliente Linux .........................................................986.6. Configuracin del servidor Samba .....................................................996.7. Configuracin del cliente Windows ................................................. 1036.8. Conclusiones .................................................................................... 1036.9. Comandos de referencia ................................................................... 104

A. Nota Legal .................................................................................................. 107

Curso de Integracin de Sistemas Linux/Windows

vi A. Terrasa, F. Ferrer

Lista de figuras2.1. Estructura de directorio del dominio admon.com. ....................................312.2. Vista de la herramienta Directory Administrator ......................................442.3. Vista de la herramienta gq .........................................................................454.1. Protocolos sobre los que puede implementarse SMB. ...............................58

Lista de tablas4.1. Resumen de los accesos como invitado en modo "domain" ......................654.2. Principales opciones de la seccin [global] de Samba ...............................674.3. Principales opciones de los recursos en Samba .........................................68

1Administracin de

dominios Windows 2003

Indice1.1. Introduccin .................................................................................................31.2. El Directorio Activo ......................................................................................3

1.2.1. Dominios Windows 2003 y el Directorio Activo ...............................31.2.2. Estndares relacionados ....................................................................41.2.3. El Directorio Activo y DNS ...............................................................51.2.4. Estructura lgica ................................................................................61.2.5. Estructura fsica ...............................................................................14

1.3. Objetos que administra un dominio ...........................................................181.3.1. Usuarios globales .............................................................................181.3.2. Grupos .............................................................................................191.3.3. Equipos ............................................................................................211.3.4. Unidades Organizativas ..................................................................22

1.4. Comparticin de recursos ..........................................................................221.4.1. Permisos y derechos ........................................................................221.4.2. Comparticin dentro de un dominio ...............................................231.4.3. Mandatos Windows 2003 para compartir recursos .........................24

1.5. Delegacin de la administracin ................................................................25

1.1. IntroduccinEste captulo introduce los conceptos fundamentales sobre dominios Windows 2003,suficientes para poder unificar y centralizar la administracin de conjuntos de siste-mas Windows 2003 en organizaciones de cualquier tamao.

En concreto, se explicarn los conceptos fundamentales que soportan el Directo-rio Activo (Active Directory), as como la administracin del mismo, incluyendo losprincipales objetos que pueden definirseen el mismo, la comparticin de recursosentre sistemas de la organizacin y la delegacin de tareas administrativas dentrode un dominio.

1.2. El Directorio Activo

1.2.1. Dominios Windows 2003 y el Directorio ActivoHoy en da, los ordenadores existentes en cualquier organizacin se encuentran for-mando parte de redes de ordenadores, de forma que pueden intercambiar informa-cin. Desde el punto de vista de la administracin de sistemas, la mejor forma deaprovechar esta caracterstica es la creacin de un dominio de sistemas, en donde lainformacin administrativa y de seguridad se encuentra centralizada en uno o variosservidores, facilitando as la labor del administrador. Windows 2003 utiliza el con-cepto de directorio para implementar dominios de sistemas Windows 2003.

En el mbito de las redes de ordenadores, el concepto de directorio (o almacn dedatos) es una estructura jerrquica que almacena informacin sobre objetos en lared, normalmente implementada como una base de datos optimizada para operacio-nes de lectura y que soporta bsquedas de grandes datos de informacin y con ca-pacidades de exploracin.

Active Directory es el servicio de directorio de una red de Windows 2003. Esteservicio de directorio es un servicio de red que almacena informacin acerca de losrecursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos re-cursos, de forma que se convierte en un medio de organizar, controlar y administrarcentralizadamente el acceso a los recursos de la red.

Como veremos, al instalar el Directorio Activo en uno o varios sistemas Win-dows 2003 (Server) de nuestra red, convertimos a dichos ordenadores en los servi-dores del dominio, o ms correctamente, en los denominados Controladores de Domi-nio (Domain Controllers) o simplemente "DCs". El resto de los equipos de la red pue-den convertirse entonces en los clientes de dicho servicio de directorio, con lo que re-ciben toda la informacin almacenada en los controladores. Esta informacin inclu-

1.1. Introduccin

A. Terrasa, F. Ferrer 3

ye no slo las cuentas de usuario, grupo, equipo, etc., sino tambin los perfiles deusuario y equipo, directivas de seguridad, servicios de red, etc. El Directorio Activose convierte as en la herramienta fundamental de administracin de toda la organi-zacin.

Una de las ventajas fundamentales del Directorio Activo es que separa la estruc-tura lgica de la organizacin (dominios) de la estructura fsica (topologa de red).Ello permite, por una parte, independizar la estructuracin de dominios de la orga-nizacin de la topologa de la(s) red(es) que interconectan los sistemas; y, por otraparte, permite administrar la estructura fsica explcitamente cuando es necesario,de forma independiente de la administracin de los dominios. Ms adelante en estecaptulo se exponen ambas estructuras detalladamente.

1.2.2. Estndares relacionadosA diferencia de su antecesor NT 4.0, Windows 2003 proporciona compatibilidad conun buen nmero de protocolos y estndares existentes, ofreciendo interfaces de pro-gramacin de aplicaciones que facilitan la comunicacin con otros servicios de direc-torio. Entre ellos, podemos destacar los siguientes:

DHCP (Dynamic Host Configuration Protocol). Protocolo de configuracin dinmi-ca de ordenadores, que permite la administracin desatendida de direcciones dered.

DNS (Domain Name System). Servicio de nombres de dominio que permite la ad-ministracin de los nombres de ordenadores. Este servicio constituye el mecanis-mo de asignacin y resolucin de nombres (traduccin de nombres simblicos adirecciones IP) en Internet.

SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que per-mite disponer de un servicio de tiempo distribuido.

LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de ac-ceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden ymodifican la informacin existente en el directorio.

Kerberos V5. Protocolo utilizado para la autenticacin de usuarios y mquinas..

Certificados X.509. Estndar que permite distribuir informacin a travs de lared de una forma segura.

De entre todos ellos, es imprescindible que el administrador conozca en detalle larelacin entre el Directorio Activo y DNS. A continuacin se exponen los aspectosfundamentales de esta relacin.

1.2.2. Estndares relacionados

4 A. Terrasa, F. Ferrer

1.2.3. El Directorio Activo y DNSEl Directorio Activo y DNS son espacios de nombres. Podemos entender un espaciode nombres como un rea delimitada en la cual un nombre puede ser resuelto. Laresolucin de nombres es el proceso de traduccin de un nombre en un objeto o in-formacin que lo representa. Por ejemplo, el sistema de ficheros NTFS puede serconsiderado un espacio de nombres en cual un fichero puede ser resuelto en el fi-chero propiamente dicho.

DNS es el sistema de nombres de facto para redes basadas en el protocolo TCP/IPy el servicio de nombres que se usa para localizar equipos en Internet. Windows2003 utiliza DNS para localizar equipos y controladores de dominio. Una estacinde trabajo o servidor miembro busca un controlador de dominio preguntando aDNS.

Cada dominio de Windows 2003 se identifica unvocamente mediante un nombreDNS (por ejemplo, miempresa.com) y cada equipo basado en Windows 2003 queforma parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente elnombre DNS de dicho dominio (siguiendo con el ejemplo,pc0100.miempresa.com). De esta forma vemos que dominios y equipos se repre-sentan como objetos en Active Directory y como nodos en DNS. Por tanto resulta f-cil confundir ambos espacios de nombres ya que comparten idnticos nombres dedominio. La diferencia es que aunque comparten la misma estructura, almacenan in-formacin diferente: DNS almacena zonas y registros de recursos y el Directorio Ac-tivo guarda dominios y objetos de dominio.

Como conclusin diremos que Directorio Activo utiliza DNS, para tres funcionesprincipales:

1. Resolucin de nombres: DNS permite realizar la resolucin de nombres al con-vertir los nombres de host a direcciones IP.

2. Definicin del espacio de nombres: Directorio Activo utiliza las convencionesde nomenclatura de DNS para asignar nombre a los dominios.

3. Bsqueda de los componentes fsicos de AD: para iniciar una sesin de red yrealizar consultas en Directorio Activo, un equipo con Windows 2003 debe en-contrar primero un controlador de dominio o servidor de catlogo global paraprocesar la autenticacin de inicio de sesin o la consulta. La base de datos DNSalmacena informacin acerca de qu equipos realizan estas funciones para quese pueda atender la solicitud adecuadamente. En concreto, esto se lleva a cabomediante registros de recursos SRV que especifican el servidor (o servidores)del dominio que proporcionan los servicios de directorio correspondientes.

1.2.4. Estructura lgica


1.2.4. Estructura lgicaLa estructura lgica del Directorio Activo se centra en la administracin de los recur-sos de la red organizativa, independientemente de la ubicacin fsica de dichos re-cursos, y de la topologa de las redes subyacentes. Como veremos, la estructura lgi-ca de la organizacin se basa en el concepto de dominio, o unidad mnima de directo-rio, que internamente contiene informacin sobre los recursos (usuarios, grupos, di-rectivas, etc.) disponibles para los ordenadores que forman parte de dicho dominio.Dentro de un dominio es posible subdividir lgicamente el directorio mediante eluso de unidades organizativas, que permiten una administracin independiente sin lanecesidad de crear mltiples dominios. Sin embargo, si la organizacin desea estruc-turarse en varios dominios, tambin puede hacerlo, mediante los conceptos de rboly bosque; ambos son jerarquas de dominios a distintos niveles, en funcin de si losdominios comparten o no un espacio de nombres comn. A continuacin se presen-tan todos estos conceptos de forma ms detallada.

1.2.4.1. Dominios

La unidad central de la estructura lgica del Directorio Activo es el dominio. Un do-minio es un conjunto de equipos que comparten una base de datos de directorio co-mn. Dentro de una organizacin, el Directorio Activo se compone de uno o msdominios, cada uno de ellos soportado, al menos, por un controlador de dominio.Como hemos visto, cada dominio se identifica unvocamente por un nombre de do-minio DNS, que debe ser el sufijo DNS principal de todos los ordenadores miem-bros del dominio, incluyendo el o los controladores.

El uso de dominios permite conseguir los siguientes objetivos:

Delimitar la seguridad. Un dominio Windows 2003 define un lmite de seguri-dad. Las directivas de seguridad, los derechos administrativos y las listas de con-trol de acceso (Access Control Lists, ACLs) no se comparten entre los dominios.Active Directory puede incluir uno o ms dominios, teniendo cada uno sus pro-pias directivas de seguridad.

Replicar informacin. Un dominio es una particin del directorio, las cuales sonunidades de replicacin. Cada dominio almacena solo la informacin sobre losobjetos localizados en este dominio. Active Directory utiliza un modelo de repli-cacin con varios maestros. Todos los controladores de dominio del dominiopueden recibir cambios realizados sobre los objetos, y pueden replicar estos cam-bios a todos los controladores de dominio en el dominio.

Aplicar Polticas (o Directivas) de Grupo. Un dominio define un posible mbitopara las polticas. Al aplicar un objeto de poltica de grupo (GPO) al dominio, es-te establece como los recursos del dominio se configuran y se usan. Estas polti-



cas se aplican dentro del dominio y no a travs de los dominios.

Delegar permisos administrativos. En las redes que ejecutan Windows 2003, sepuede delegar a medida la autoridad administrativa tanto para unidades organi-zativas (OUs) individuales como a dominios individuales, lo cual reduce el n-mero de administradores necesarios con amplios permisos administrativos. Yaque un dominio representa un lmite de seguridad, los permisos administrativosse limitan al dominio.

1.2.4.2. Mltiples dominios en la misma organizacin

Existen muchos casos en los que es interesante disponer de varios dominios de or-denadores Windows 2003 en la misma organizacin (distribucin geogrfica o de-partamental, distintas empresas, etc.). El Directorio Activo permite almacenar y or-ganizar la informacin de directorio de varios dominios de forma que, aunque la ad-ministracin de cada uno sea independiente, dicha informacin est disponible paratodos los dominios.

Segn los estndares de nombres DNS, los dominios de Active Directory se creandentro de una estructura de rbol invertida, con la raz en la parte superior. Ade-ms, esta jerarqua de dominios de Windows 2003 se basa en relaciones de confian-za, es decir, los dominios se vinculan por relaciones de confianza entre dominios.

Cuando se instala el primer controlador de dominio en la organizacin se crea loque se denomina el dominio raz del bosque, el cual contiene la configuracin y el es-quema del bosque (compartido por todos los dominios de la organizacin). Msadelante, podemos agregar dominios como subdominios de dicha raz (rbol de do-minios) o bien crear otros dominios "hermanos" de la raz (bosque de dominios),debajo del cual podemos crear subdominios, y as sucesivamente.

Arbol Un rbol es un conjunto de uno o ms dominios que comparten un espa-cio de nombres contiguo. Si existe ms de un dominio, estos se disponenen estructuras de rbol jerrquicas.

El primer dominio creado es el dominio raz del primer rbol. Cuan-do se agrega un dominio a un rbol existente este pasa a ser un dominiosecundario (o hijo). Un dominio inmediatamente por arriba de otro do-minio en el mismo rbol de dominio es su padre. Todos los dominiosque tengan un dominio raz comn se dice que forman un espacio denombres contiguo.

Los dominios secundarios (hijos) pueden representar entidades geo-grficas (valencia, madrid, barcelona), entidades administrativas dentro



de la organizacin (departamento de ventas, departamento de desarrollo...), u otras delimitaciones especficas de una organizacin, segn sus ne-cesidades.

Los dominios que forman un rbol se enlazan mediante relaciones deconfianza bidireccionales y transitivas. La relacin padre-hijo entre do-minios en un rbol de dominio es simplemente una relacin de confian-za. Los administradores de un dominio padre no son automticamenteadministradores del dominio hijo y el conjunto de polticas de un domi-nio padre no se aplican automticamente a los dominios hijo.

Por ejemplo, en la Universidad Politcnica de Valencia cuyo dominioactual de Active Directory es upv.es se crean dos nuevos departamen-tos: DSIC y DISCA. Con el fin de permitir la administracin de los domi-nios por parte de los tcnicos de los respectivos departamentos, se deci-de agregar dos nuevos dominios a su rbol de dominios existente en lu-gar de crear dos unidades organizativas en el dominio existente. Los do-minios resultantes, dsic.upv.es y disca.upv.es forman un espaciode nombres contiguo, cuya raz es upv.es. El administrador del domi-nio padre (upv.es) puede conceder permisos para recursos a cuentas decualquiera de los tres dominios del rbol, pero por defecto no los puedeadministrar.

Bosque Un bosque es un grupo de rboles que no comparten un espacio denombres contiguo, conectados a travs de relaciones de confianza bidi-reccionales y transitivas. Un dominio nico constituye un rbol de undominio, y un rbol nico constituye un bosque de un rbol. Los rbolesde un bosque aunque no forman un espacio de nombres comn, es de-cir, estn basados en diferentes nombres de dominio raz de DNS, com-parten una configuracin, un esquema de directorio comn y el denomi-nado catlogo global.

Es importante destacar que, aunque los diferentes rboles de un bos-que no comparten un espacio de nombres contiguo, el bosque tienesiempre un nico dominio raz, llamado precisamente dominio raz delbosque; dicho dominio raz ser siempre el primer dominio creado por laorganizacin.

Aadir nuevos dominios a un bosque es fcil. Sin embargo, existenciertas limitaciones que hemos de tener en cuenta al respecto:

No se pueden mover dominios de Active Directory entre bosques. Solamente se podrn eliminar dominios de un bosque si este no tiene



dominios hijo. Despus de haber establecido el dominio raz de un rbol, no se pue-

den aadir dominios con un nombre de nivel superior al bosque. No se puede crear un dominio padre de un dominio existente.

En general, la implementacin de bosques y rboles de dominio per-mite mantener convenciones de nombres tanto contiguos como disconti-guos, lo cual puede ser til en organizaciones con divisiones indepen-dendientes que quieren mantener sus propios nombres DNS.

Finalmente, debemos relacionar estos conceptos con el procedimiento para crearun dominio. Esto se hace mediante la ejecucin de un asistente denominado dcpro-mo en el sistema Windows 2003 Server que queramos promocionar a controlador dedominio. En concreto, este asistente nos permite elegir entre las siguientes opcionesde instalacin:

1. DC adicional de un dominio existente o DC para un dominio nuevo (creacinde un dominio).

2. En el segundo caso, el dominio (nuevo) puede ser un dominio secundario deotro dominio existente (es decir, un subdominio en un rbol de dominios yacreado), o bien el dominio principal (raz) de un nuevo rbol de dominios.

3. En este segundo caso, el dominio raz puede ser de un bosque existente(agregamos una raz nueva a un bosque) o de un nuevo bosque (creacin delbosque). Por tanto, el primer dominio que creemos en una organizacin siem-pre ser un dominio nuevo de un rbol nuevo de un bosque nuevo.

1.2.4.3. Niveles funcionales

La funcionalidad de los dominios de Windows 2003 es diferente de la que tenan sis-temas anteriores de la misma familia (Windows NT4 y Windows 2000). Tanto Win-dows 2000 como Windows 2003 pueden configurarse en diferentes niveles funcionales("modos de dominio" en Windows 2000) para que puedan ser compatibles con siste-mas anteriores.

En concreto, Windows Server 2003 soporta cuatro niveles funcionales de dominioy tres niveles funcionales de bosque, explicados a continuacin.

Un dominio Windows 2003 puede estar en cuatro niveles funcionales:



1. Windows 2000 mixto. Este es el nivel funcional por defecto cuando se crea unnuevo dominio (o cuando se actualiza de un sistema anterior). En este nivel, losDCs de Windows 2003 son compatibles dentro del mismo dominio con DCsWindows NT4 y Windows 2000. Por este motivo, un conjunto significativo deopciones de configuracin no estn disponibles (como por ejemplo el anida-miento de grupos, el cambio de mbito de grupo y los grupos universales).

2. Windows 2000 nativo. En este nivel funcional, los DCs de Windows 2003 soncompatibles dentro del mismo dominio con DCs que ejecuten Windows 2000pero no Windows NT4. Se tiene una funcionalidad completa del Directorio Ac-tivo a nivel de Windows 2000, aunque se excluyen las nuevas opciones queWindows 2003 ha introducido en los dominios (entre las cuales destaca la posi-bilidad de cambiar de nombre a un DC sin necesidad de despromocionarlo pre-viamente).

3. Windows Server 2003 provisional. En este nivel funcional, los DCs de Win-dows 2003 son compatibles dentro del mismo dominio con DCs que ejecutenWindows NT4 pero no Windows 2000. Se trata de un nivel funcional reservadonicamente para migraciones directas de NT4 a Windows 2003, y se suponeque es completamente transitorio.

4. Windows Server 2003. En este nivel funcional, los DCs de Windows 2003 soncompatibles nicamente entre s (slo puede configurarse si todos los DCs deldominio son Windows Server 2003). Este nivel ofrece la funcionalidad completade dominios, incluyendo todas las caractersticas definidas en Windows 2000ms las nuevas incluidas en Windows Server 2003.

Por otro lado, un bosque de dominios Windows 2003 puede estar en tres nivelesfuncionales:

Windows 2000. Este es el nivel por defecto al crear un nuevo bosque (o actuali-zar desde un sistema anterior). En este nivel funcional, los DCs de Windows2003 son compatibles dentro del bosque con DCs que ejecuten Windows 2000 oWindows NT4. Se tiene una funcionalidad completa del bosque a nivel de Win-dows 2000, aunque se excluyen las nuevas opciones que Windows 2003 ha intro-ducido a este nivel (incluyendo mejoras en la replicacin, las relaciones de con-fianza entre bosques y la posibilidad de renombrar dominios en lugar de elimi-narlos y volverlos a crear).

Windows Server 2003 provisional. En este nivel funcional, los DCs de Windows2003 son compatibles dentro del bosque con DCs que ejecuten Windows NT4 pe-ro no Windows 2000. Se trata de un nivel funcional reservado nicamente parala migracin directa de NT4 a Windows 2003 en el primer dominio del bosque, y



se supone que es completamente transitorio.

Windows Server 2003. En este nivel funcional, los DCs de Windows 2003 soncompatibles nicamente entre s (slo puede configurarse si todos los DCs delbosque son Windows Server 2003). Este nivel ofrece la funcionalidad completapara los bosques, incluyendo todas las caractersticas definidas en Windows 2000ms las nuevas incluidas en Windows Server 2003.

Por tanto, por defecto al crear un nuevo bosque, ste se sita en el nivel funcional"Windows 2000", y al crear un nuevo dominio, ste se sita en el nivel funcional"Windows 2000 mixto", manteniendo, en ambos casos, la compatibilidad completacon sistemas anteriores.

Tanto a nivel de dominio como de bosque, la transicin entre niveles funcionalesslo es posible elevando el nivel actual, es decir, pasando a un nivel con mayor fun-cionalidad (a excepcin de los niveles provisionales, reservados para casos poco fre-cuentes). La elevacin de nivel funcional es, por tanto, un paso irreversible, y slodebe hacerse cuando se est seguro de que no van a aadirse sistemas anteriores co-mo DCs al dominio, o al bosque. La elevacin del nivel funcional de dominio o debosque se realiza desde la herramienta "Dominios y Confianzas de Active Direc-tory".

1.2.4.4. Relaciones de confianza

Una relacin de confianza es una relacin establecida entre dos dominios de formaque permite a los usuarios de un dominio ser reconocidos por los DCs de otro domi-nio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominioy a los administradores definir los permisos y derechos de usuario para los usuariosdel otro dominio.

Windows Server 2003 soporta varios tipos de relaciones de confianza, que vere-mos posteriormente. Al margen de su uso, los diferentes tipos de relaciones se dife-rencian en funcin de tres rasgos caractersticos:

Mtodo de creacin: algunos tipos de relaciones de confianza se crean de formaautomtica (implcita) y otros de forma manual (explcita).

Direccin: algunos tipos de relaciones son unidireccionales y otros bidirecciona-les. Si la relacin es unidireccional, los usuarios del dominio A (de confianza)pueden utilizar los recursos del dominio B (que confa), pero no al revs. En unarelacin bidireccional, ambas acciones son posibles.

Transitividad: algunos tipos de relaciones son transitivas y otras no. Una rela-



cin de confianza transitiva es aquella que permite que si un dominio A confaen otro B, y ste confa en un tercero C, entonces de forma automtica, A confaen C. En las relaciones no transitivas, la confianza entre A y C tendra que aa-dirse explcitamente.

Despus de ver las caractersticas de las relaciones de confianza, se explican acontinuacin los tipos de relaciones de confianza vlidos en dominios y bosquesWindows Server 2003:

Confianza raz de rbol. Esta relacin se establece de forma automtica entre losdominios raz del mismo bosque. Es bidireccional y transitiva.

Confianza principal-secundario. Esta relacin se establece de forma automticaentre un dominio dado y cada uno de sus subdominios (o dominios secunda-rios). Es bidireccional y transitiva.

Confianza de acceso directo. Este tipo de relacin debe establecerse de formamanual, y tiene como objetivo mejorar la eficiencia en los inicios de sesin remo-tos. Si los usuarios de un dominio A necesitan acceder frecuentemente a los re-cursos de un dominio B, y ambos dominios se encuentran "lejos" entre s (conmuchos dominios intermedios), la confianza permite una relacin directa queacorta el tiempo necesario para la autentificacin de los usuarios. Es transitiva yunidireccional (si se necesita en ambos sentidos, deben crearse dos relaciones deconfianza).

Confianza externa . Este tipo de relacin se crea manualmente y permite a usua-rios de un dominio Windows 2003 acceder a recursos ubicados en dominios deotro bosque, o bien dominios Windows NT4. Es unidireccional e intransitiva.

Confianza de bosque . Este tipo de relacin debe crearse de forma manual entrelos dominios raz de dos bosques distintos, y permite a los usuarios de cualquierdominio de un bosque acceder a los recursos de cualquier dominio del otro bos-que. Es unidireccional y slo es transitiva entre dos bosques. Este tipo de relacio-nes slo estn disponibles si ambos bosques se sitan en el nivel funcional "Win-dows Server 2003".

Confianza de territorio . Este tipo de relacin debe crearse de forma manual en-tre un dominio Windows 2003 y un territorio (realm) Kerberos (versin 5) que nosea Windows, y permite interoperabilidad entre ambos. Es unidireccional y pue-de ser transitiva o no.

Por tanto, las relaciones de confianza automticas (implcitas) se crean por defec-



to al ir aadiendo dominios al bosque, y mantienen relacionados todos esos domi-nios de forma bidireccional y transitiva. El efecto de estas relaciones es que de formaautomtica, los usuarios de cualquier dominio del bosque son conocidos (y puedenacceder a los recursos) en todos los dominios de dicho bosque. Las relaciones deconfianza manuales (explcitas) estn reservadas para casos en donde se busca mejo-rar la eficiencia o permitir interactuar con otros bosques o con dominios que no sonWindows 2003.

1.2.4.5. Unidades Organizativas

Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Acti-vo que puede contener a otros objetos del directorio. Es decir, es un contenedor deotros objetos, de forma anloga a una carpeta o directorio en un sistema de archivostradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentasde usuario, de grupo, de equipo, de recurso compartido, de impresora compartida,etc., adems de otras unidades organizativas. Es decir, mediante unidades organiza-tivas podemos crear una jerarqua de objetos en el directorio (lo cual se asemeja otravez a un sistema de archivos tpico de Windows). Los objetos ubicados dentro deuna unidad organizativa pueden moverse ms tarde a otra, si fuera necesario. Sinembargo, un objeto no puede copiarse: cada objeto es nico en el directorio, y su exis-tencia es independiente de la unidad organizativa a la que pertenece.

Por tanto, el objetivo de las unidades organizativas es estructurar u organizar elconjunto de los objetos del directorio, agrupndolos de foma coherente. En el Direc-torio Activo, las unidades organizativas permiten:

1. Delegar la administracin. Cada unidad organizativa puede administrarse deforma independiente. En concreto, se puede otorgar la administracin total oparcial de una unidad organizativa a un usuario o grupo de usuarios cualquie-ra. Esto permite delegar la administracin de subconjuntos estancos del dominioa ciertos usuarios que posean el nivel de responsabilidad adecuada.

2. Establecer de forma centralizada comportamientos distintos a usuarios yequipos. A cada unidad organizativa pueden vincularse polticas de grupo, queaplican comportamientos (generalmente en forma de restricciones) a los usua-rios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, pode-mos aplicar restricciones distintas a subconjuntos de usuarios y equipos del do-minio, en funcin exclusivamente de la unidad organizativa donde se ubican.Por ejemplo, podemos limitar a los usuarios del departamento de contabilidadpara que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique alos usuarios del departamento de informtica.



En muchos sentidos, el concepto de unidad organizativa se puede utilizar enWindows 2003 de la misma forma que se entenda el concepto de dominio en versio-nes anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursosadministrados independientemente. En realidad, en Windows 2003 el concepto dedominio viene ms bien asociado a la distribucin de los sitios (topologa de red) y ala implementacin de DNS que exista (o quiera crearse) en la empresa.

De este modo, en muchas organizaciones de pequeo o medio tamao resultams adecuado implementar un modelo de dominio nico con mltiples unidadesorganizativas que un modelo de mltiples dominios. Si es necesario, cada unidadpuede administrarse independientemente, con uno o varios administradores delega-dos y comportamientos (polticas) diferentes.

1.2.5. Estructura fsicaEn Active Directory, la estructura lgica est separada de la estructura fsica. La es-tructura lgica se utiliza para organizar los recursos de red mientras que la estructu-ra fsica se utiliza para configurar y administrar el trfico de red. En concreto, la es-tructura fsica de Active Directory se compone de sitios y controladores de dominio.

La estructura fsica de Active Directory define dnde y cundo se producen eltrfico de replicacin y de inicio de sesin. Una buena comprensin de los compo-nentes fsicos de Active Directory permite optimizar el trfico de red y el proceso deinicio de sesin, as como solventar problemas de replicacin.

1.2.5.1. Sitios

Un sitio es una combinacin de una o varias subredes IP que estn conectadas porun vnculo de alta velocidad. Definir sitios permite configurar la topologa de repli-cacin y acceso a Active Directory de forma que Windows 2003 utilice los vnculos yprogramas ms efectivos para el trfico de inicio de sesin y replicacin.

Normalmente los sitios se crean por dos razones principalmente:

Para optimizar el trfico de replicacin.

Para permitir que los usuarios se conecten a un controlador de dominio median-te una conexin confiable de alta velocidad.

Es decir, los sitios definen la estructura fsica de la red, mientras que los dominiosdefinen la estructura lgica de la organizacin.

1.2.5. Estructura fsica


1.2.5.2. Controladores de dominio

Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecutaWindows 2003 Server y que almacena una replica del directorio. Los controladoresde dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de se-sin de usuario.

La informacin almacenada en cada controlador de dominio se divide en tres ca-tegoras (particiones): dominio, esquema y datos de configuracin. Estas particionesdel directorio son las unidades de replicacin:

1. Particin del directorio de esquema: contiene todos los tipos de objetos y atri-butos que pueden ser creados en Active Directory. Estos datos son comunes atodos los dominios en el bosque. Por tanto los datos del esquema se replican atodos los controladores de dominio del bosque.

2. Particin de directorio de configuracin: contiene la estructura de los domi-nios y la topologa de replicacin. Estos datos son comunes a todos los domi-nios en el bosque, y se replican a todos los controladores de dominio en el bos-que.

3. Particin de directorio de dominio: contiene todos los objetos del directorio pa-ra este dominio. Dichos datos se replican a todos los controladores de ese domi-nio, pero no a otros dominios.

4. Particin de directorio de aplicaciones: contiene datos especficos de aplica-cin. Estos datos pueden ser de cualquier tipo excepto principales de seguridad(usuarios, grupos y equipos). En este caso, se tiene un control fino sobre el m-bito de la replicacin y la ubicacin de las rplicas. Este tipo de particin es nue-vo de Windows Server 2003.

Adems de estas cuatro particiones de directorio de escritura, existe una cuartacategora de informacin almacenada en un controlador de dominio: el catlogo glo-bal. Un catlogo global es un controlador de dominio que almacena las particionesde directorio de escritura, as como copias parciales de slo lectura de todas las de-ms particiones de directorio de dominio del bosque.

1.2.5.3. Funciones de los controladores de dominio

Las versiones anteriores de Windows NT Server usaban mltiples controladores dedominio y slo se permita que uno de ellos actualizase la base de datos del directo-rio. Este esquema de maestro nico exiga que todos los cambios se replicasen desde



el controlador de dominio principal (Primary Domain Controller, PDC) a los controla-dores de dominio secundarios o de reserva (Backup Domain Controllers, BDCs).

En Windows 2003, todos los controladores de dominio admiten cambios, y estoscambios se replican a todos los controladores de dominio. Las operaciones de admi-nistracin de usuarios, grupos y equipos son operaciones tpicas de mltiples maes-tros. Sin embargo no es prctico que algunos cambios se realicen en mltiples maes-tros debido al trfico de replicacin y a los posibles conflictos en las operaciones b-sicas. Por estas razones, las funciones especiales, como la de servidor de catlogoglobal y operaciones de maestro nico, se asignan slo a determinados controlado-res de dominio. A continuacin veremos estas funciones.

1.2.5.4. Servidor de catlogo global

El catlogo global es un depsito de informacin que contiene un subconjunto de atri-butos para todos los objetos de Active Directory (particin de directorio de domi-nio). Los atributos que se almacenan en el catlogo global son los que se utilizan conms frecuencia en las consultas. El catlogo global contiene la informacin necesariapara determinar la ubicacin de cualquier objeto del directorio.

Un servidor de catlogo global es un controlador de dominio que almacena unacopia del catlogo y procesa las consultas al mismo. El primer controlador de domi-nio que se crea en Active Directory es un servidor de catlogo global. Se puedenconfigurar controladores de dominio adicionales para que sean servidores de catlo-go global con el fin de equilibrar el trfico de autenticacin de inicios de sesin y latransferencia de consultas.

El catlogo global cumple dos funciones importantes en el directorio:

Permite que un usuario inicie una sesin en la red mediante el suministro de lainformacin de pertenencia a grupos universales a un controlador de dominiocuando inicia un proceso de sesin.

Permite que un usuario busque informacin de directorio en todo el bosque, in-dependiente de la ubicacin de los datos.

1.2.5.5. Operaciones de maestro nico

Un maestro de operaciones es un controlador de dominio al que se le ha asignadouna o varias funciones de maestro nico en un dominio o bosque de Active Direc-tory. Los controladores de dominio a los que se les asignan estas funciones realizanoperaciones que no pueden ocurrir simultneamente en otros controladores de do-



minio de la red. La propiedad de estas operaciones de maestro nico puede sertransferida a otros controladores de dominio.

Todos los bosques de Active Directory deben tener controladores de dominio quecumplan dos de las cinco funciones de operaciones de maestro nico. Las funcionespara todo el bosque son:

Maestro de esquema. El controlador de dominio maestro de esquema controlatodas las actualizaciones y modificaciones del esquema. Para actualizar el esque-ma de un bosque, debe tener acceso al maestro de esquema.

Maestro de nombres de dominio. El controlador de dominio maestro de esque-ma controla las operaciones de agregar o quitar dominios del bosque, aseguran-do que los nombres de dominio sean nicos en el bosque.

Todos los dominios de Active Directory deben tener controladores de dominioque cumplan tres de las cinco funciones de operaciones de maestro nico:

Maestro de identificadores relativos (RID). El controlador de dominio maestrode identificadores relativos (RID) asigna secuencias de identificadores relativos acada uno de los distintos controladores de su dominio.

Cuando un controlador de dominio crea un objeto de usuario, grupo o equi-po, asigna al objeto un identificador de seguridad nico (SID). Este identificadorest formado por un identificador de seguridad de dominio, que es el mismo pa-ra todos los que se crean en el dominio, y un identificador relativo que es nicopara cada identificador de seguridad que se crea en el dominio.

Emulador de controlador de dominio principal (PDC). Para mantener la com-patibilidad con servidores basados en Windows NT que puedan funcionar comocontroladores de dominio de reserva (BDC) en dominios de Windows 2003 enmodo mixto, pero todava requieren un controlador principal de dominio (PDC),se asigna a un controlador de dominio especfico basado en Windows 2003, lafuncin de emular a un PDC. A este controlador de dominio lo ven los servido-res basados en NT como un PDC.

Maestro de infraestructuras. Cuando los objetos se mueven o se eliminan, uncontrolador de dominio de cada dominio, el maestro de infraestructura, es el res-ponsable de actualizar los identificadores de seguridad y nombres completos enlas referencias de objetos de dominio cruzado de ese dominio.

1.3. Objetos que administra un dominio


1.3. Objetos que administra un dominioEl Directorio Activo, tal como se ha visto en captulos anteriores, es en realidad unabase de datos jerrquica de objetos, que representan las entidades que pueden admi-nistrarse en una red de ordenadores, o, ms correctamente en nuestro caso, en undominio de sistemas Windows 2003. Esta base de datos de objetos de administracines compartida, para consulta, por todos los ordenadores miembros del dominio y,para modificacin, por todos los controladores del dominio (o DC, Domain Contro-llers).

Por tanto, en Windows 2003, la gestin de un dominio puede realizarse de formacentralizada, administrando nicamente el Directorio Activo. En este contexto, "ad-ministrar" significa crear y configurar adecuadamente los objetos del directorio querepresentan a las entidades o recursos que existen en el dominio (recursos comousuarios, grupos, equipos, etc.).

Este apartado expone con detalle los principales tipos de objetos que puedencrearse en el Directorio Activo de Windows 2003, planteando en cada caso sus op-ciones de configuracin y su utilidad dentro de la administracin del dominio.

1.3.1. Usuarios globalesEn la administracin de sistemas Windows 2003 independientes (administracin lo-cal), se crean en los sistemas cuentas de usuario y de grupo que sirven para:

1. identificar y autentificar a las personas (usuarios) que deben poder acceder alsistema, y

2. administrar los permisos y derechos que permitirn aplicar el control de accesoadecuado a dichos usuarios en el sistema.

Por lo tanto, utilizando nicamente proteccin local, si una persona debe trabajaren varios ordenadores, necesita poseer una cuenta de usuario en cada uno de ellos.A continuacin explicaremos una alternativa a esto.

En un dominio Windows 2003, cualquier servidor que acta como DC puedecrear cuentas de usuario global. En este caso, el trmino "global" debe interpretarsecomo global al dominio. Los datos de una cuenta de usuario global se almacenan en elDirectorio Activo y por tanto son conocidos por todos los ordenadores del dominio(en realidad, por todos los ordenadores de bosque). Em otras palabras, no es que secree una cuenta para ese usuario en cada ordenador miembro, sino que existe unanica cuenta (con un nico SID) que es visible en todos los ordenadores del dominio.En este caso, cuando una persona se conecta a cualquiera de dichos ordenadores uti-

1.3.1. Usuarios globales


lizando para ello su cuenta de usuario global, el ordenador en cuestin realiza unaconsulta al Directorio Activo (i.e., a alguno de los DCs) para que se validen las cre-denciales del usuario. El resultado de la validacin es enviado al ordenador miem-bro (y de ste al usuario), concediendo o rechazando la conexin.

Los ordenadores miembros de un dominio que no sean DCs, adems de conocera los usuarios globales del dominio, pueden crear tambin sus propios usuarios loca-les. En este caso, estos usuarios son nicamente visibles en el ordenador en el quehan sido creados. Cuando una persona desea entrar en el sistema utilizando unacuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador.Adems, es importante resaltar que a dicho usuario local no se le pueden asignarpermisos sobre recursos que residan en otro sistema Windows 2003 (puesto que allno existe). Por el contrario, a un usuario global se le pueden conceder permisos so-bre cualquier recurso (archivo, directorio, impresora, etc.) de cualquier ordenadormiembro del dominio, puesto que es visible (y posee el mismo SID) en todos ellos.

1.3.2. GruposDe forma anloga a los usuarios globales, existen grupos que son almacenados en elDirectorio Activo y que por tanto son visibles desde todos los ordenadores del do-minio (y, en algunos casos, tambin de otros dominios del bosque). En el directoriopueden crearse dos tipos de grupos: grupos de distribucin y grupos de seguridad.Los primeros se utilizan exclusivamente para crear listas de distribucin de correoelectrnico, mientras que los segundos son los que se utilizan con fines administrati-vos. Por este motivo, a partir de ahora nos referiremos exclusivamente a los gruposde seguridad.

En concreto, en dominios Windows 2003 se definen tres clases de grupos de se-guridad (o, de forma ms precisa, se pueden definir grupos de tres mbitos distin-tos):

1. Grupos locales del dominio. En un dominio en nivel funcional Windows 2000mixto, pueden contener cuentas de usuario y grupo globales de cualquier domi-nio del bosque. En un dominio en nivel Windows 2000 nativo o Windows Ser-ver 2003, pueden contener, adems, grupos universales y otros grupos localesdel dominio. Slo son visibles en el dominio en que se crean, y suelen utilizarsepara conceder permisos y derechos en cualquiera de los ordenadores del domi-nio (ntese que en modo mixto, slo son visibles por los DCs del dominio, y portanto slo se pueden utilizar para administrar permisos y derechos en esos or-denadores).

2. Grupos globales. En un dominio en nivel funcional Windows 2000 mixto, pue-den contener cuentas de usuario globales del mismo dominio. En un dominio

1.3.2. Grupos


en nivel Windows 2000 nativo o Windows Server 2003, pueden contener, ade-ms, otros grupos globales del mismo dominio. Son visibles en todos los domi-nios del bosque, y suelen utilizarse para clasificar a los usuarios en funcin delas labores que realizan.

3. Grupos universales. Slo estn disponibles en dominios en nivel funcionalWindows 2000 nativo o Windows Server 2003 nativo. Pueden contener cuentasde usuario y grupos globales, as como otros grupos universales, de cualquierdominio del bosque. Son visibles en todo el bosque.

En un ordenador miembro de un dominio tambin se pueden definir grupos lo-cales. Los grupos locales pueden estar formados por cuentas de usuario locales yusuarios y grupos globales de cualquier dominio del bosque (en modo mixto) y ade-ms por grupos universales (en modo nativo). Un grupo local no puede ser miem-bro de otro grupo local. Los grupos locales pueden utilizarse para conceder permi-sos y derechos en el equipo en que son creados.

Por tanto, la administracin de la proteccin en cada ordenador del dominio pue-de realizarse mediante grupos locales del dominio o grupos locales del equipo enque reside el recurso a administrar. Por tanto, la recomendacin que se haca en laproteccin local respecto a la asignacin de permisos en base a grupos locales siguesiendo vlida. En el caso ms general, la regla que recomienda Windows 2003 es lasiguiente:

1. Asignar usuarios globales a grupos globales, segn las labores que desempeenen la organizacin.

2. Incluir (usuarios y/o) grupos globales en grupos locales (del equipo o del domi-nio) segn el nivel de acceso que vayan a tener.

3. Asignar permisos y derechos nicamente a estos grupos locales (del equipo odel dominio).

La utilizacin de grupos universales tiene sentido slo cuando un mismo conjun-to de usuarios (y/o grupos) de varios dominios deben recibir permisos/derechos envarios dominios simultneamente. En Windows 2000, el uso de este tipo de grupoestaba muy desaconsejado, por dos motivos: primero, porque estos grupos y susmiembros deben replicarse en todos los catlogos globales del bosque, y segundo,porque cualquier incio de sesin de un usuario debe consultar a un catlogo globalpara determinar la pertenencia de dicho usuario a posibles grupos universales. Win-dows 2003 ha suavizado el primero de los problemas, mejorado la eficiencia de esareplicacin (slo si el bosque est en nivel funcional Windows Server 2003), de for-

1.3.2. Grupos


ma que su uso no est ahora tan desaconsejado como lo estaba en Windows 2000. Encualquier caso, el uso de un grupo universal siempre puede simularse con la combi-nacin adecuada de grupos globales y locales del dominio. Se recomienda al lectorreflexionar sobre cmo podra hacerse.

En relacin con esto, es importante saber que cuando un ordenador pasa a sermiembro de un dominio, el grupo global Administradores del dominio se in-cluye automticamente en el grupo local Administradores de dicho ordenador.De igual forma, el grupo global Usuarios del dominio se incluye dentro delgrupo local Usuarios. De esta forma, los administradores y usuarios normales deldominio tienen en cada miembro los mismos derechos y permisos que los que ten-gan ya definidos los administradores y usuarios locales, respectivamente. El admi-nistrador local puede, si lo desea, invalidar esta accin automtica, extrayendo pos-teriormente los grupos globales de los locales.

1.3.3. EquiposComo hemos visto, en el Directorio Activo de un dominio se conserva toda la infor-macin relativa a cuentas de usuarios y grupos globales. Esta misma base de datosde directoio recoge tambin una cuenta de equipo por cada uno de los ordenadoresmiembro de un dominio.

Entre otras informaciones, en cada una de estas cuentas se almacena el nombredel ordenador, as como un identificador nico y privado que lo identifica unvoca-mente. Este identificador es anlogo al SID de cada cuenta de usuario o grupo, y s-lo lo conocen los DCs y el propio ordenador miembro. Es por tanto, un dato internodel sistema operativo, y ni siquiera el administrador puede cambiarlo. Es precisa-mente este dato, propio de las cuentas de usuario, grupo y equipo, lo que permiteasignar permisos y derechos en los sistemas a estos tres tipos de cuentas. Por estemotivo, se denominan principales de seguridad (security principals). Por tanto, la asig-nacin de derechos y permisos (NTFS) a cuentas de equipo es posible, pero se limitaa situaciones muy poco frecuentes y est fuera del mbito de este texto.

Windows 2003 puede utilizar distintos protocolos de comunicaciones seguros en-tre los ordenadores miembro de un dominio y los DCs. Entre ellos los ms impor-tantes son NTLM (el protocolo utilizado por versiones anteriores de Windows NT,que se mantiene por compatibilidad hacia atrs) y Kerberos V5. Kerberos presentanumerosas ventajas respecto a NTLM, pero slo es viable en la prctica si todas lasmquinas del dominio son Windows 2000, Windows XP o Windows Server 2003.Estos protocolos se utilizan siempre que informacin relativa a aspectos de seguri-dad se intercambia entre sistemas pertenecientes a algn dominio y, en concreto, pa-ra autenticar usuarios (como se ha explicado arriba).

1.3.3. Equipos


1.3.4. Unidades OrganizativasComo hemos visto en Seccin 1.2.4.5, Unidades Organizativas, las unidades orga-nizativas son objetos del directorio que a su vez, pueden contener otros objetos. Eluso fundamental de las OUs es delegar la administracin de sus objetos a otrosusuarios distintos del administrador del dominio, y personalizar el comportamientode los usuarios y/o equipos mediante la aplicacin de directivas de grupo (GPOs)especficas a la unidad.

1.4. Comparticin de recursosCuando un sistema Windows 2003 participa en una red (grupo de trabajo o domi-nio), puede compartir sus recursos con el resto de ordenadores. En este contexto, s-lo vamos a considerar como recursos a compartir las carpetas o directorios que exis-ten en un sistema Windows. La comparticin de otros recursos (tales como impreso-ras, por ejemplo) queda fuera del mbito de este texto.

1.4.1. Permisos y derechosCualquier sistema Windows 2003 puede compartir carpetas, tanto si es un servidorcomo si es una estacin de trabajo. Para poder compartir una carpeta basta con des-plegar su men contextual desde una ventana o desde el explorador de archivos, yseleccionar Compartir.... En la ventana asociada a esta opcin se determina elnombre que tendr el recurso (que no tiene por qu coincidir con el nombre de lapropia carpeta), as como qu usuarios van a poder acceder al mismo. En relacincon esto, existe una gran diferencia entre que el directorio resida en una particinFAT y que resida en una NTFS.

Si la carpeta reside en una particin FAT, este filtro de acceso ser el nico quedetermine los usuarios que van a poder acceder al contenido de la carpeta, puestoque no es posible determinar permisos sobre la misma o sus archivos. Es decir, el fil-tro slo se establece para poder acceder al recurso. Si un usuario tiene permisos sufi-cientes para conectarse a un recurso, tendr acceso sobre todos los archivos y sub-carpetas del recurso. Concretamente, el tipo de acceso sobre todos ellos ser el que lepermita el permiso sobre el recurso (Lectura, Escritura o Control Total).

Por el contrario, si la carpeta se encuentra en una particin NTFS, sta tendrunos permisos establecidos (as como sus subcarpetas y archivos), al margen de es-tar o no compartida. En este caso tambin es posible establecer permisos desde laventana de Compartir..., pero entonces slo los usuarios que puedan pasar am-bos filtros podrn acceder a la carpeta compartida y a su contenido. En este caso serecomienda dejar Control Total sobre Todos en los permisos asociados al recur-so (opcin por defecto), y controlar quin (y cmo) puede acceder al recurso y a sucontenido mediante los permisos asociados a dicha carpeta (y a sus archivos y sub-

1.4. Comparticin de recursos


carpetas). Sin embargo, esta no es la opcin por defecto en Windows Server 2003(aunque s lo era en Windows 2000), que slo concede inicialmente el permiso delectura al grupo Todos al compartir una carpeta.

Esta recomendacin es muy til, si tenemos en cuenta que de esta forma para ca-da carpeta (y archivo) del sistema no utilizamos dos grupos de permisos sino unosolo, independientemente de que la carpeta sea o no compartida. Este forma de tra-bajar obliga al administrador a asociar los permisos correctos a cada objeto del siste-ma (aunque no est compartido), pero por otra parte se unifica la visin de la segu-ridad de los archivos, con lo que a la larga resulta ms segura y ms sencilla.

Cuando compartimos recursos a otros usuarios en la red (especialmente en undominio) hay que tener en cuenta no slo los permisos del recurso y su contenido,sino tambin los derechos del ordenador que comparte el recurso. En concreto, si unusuario ha iniciado una sesin interactiva en un ordenador Windows 2003 denomi-nado A, y desea conectarse a un recurso de red que exporta otro Windows 2003 de-nominado B, adems de poseer suficientes permisos (sobre el recurso, sobre el pro-pio carpeta y sobre su contenido), tiene que tener concedido en B el derecho Acce-der a este equipo desde la red. De lo contrario, dicho usuario ni siquierapodr obtener la lista de los recursos que el ordenador A comparte.

1.4.2. Comparticin dentro de un dominioCuando la comparticin de recursos la realizan equipos que forman parte de un do-minio Windows 2003, existen consideraciones que el administracin debe conocer.

Primero, una vez se ha compartido fsicamente una carpeta en la red (segn elprocedimiento descrito arriba), el administrador del dominio puede adems publicareste recurso en el directorio. Para ello debe crear un nuevo objeto, en la unidad orga-nizativa adecuada, de tipo Recurso compartido. A este objeto se le debe asociarun nombre simblico y el nombre de recurso de red que representa (de la forma\\equipo\recurso). Es importante tener en cuenta que cuando se publica el re-curso de esta forma, no se comprueba si realmente existe o no, por lo que es respon-sabilidad del administrador el haberlo compartido y que su nombre coincida con elde la publicacin. Una vez publicado, el recurso puede localizarse mediante bsque-das en el Directorio Activo, como el resto de objetos del mismo. Windows Server2003 ha introducido otra forma de publicacin: entre las opciones de la pestaa"Compartir" del explorador de archivos, puede publicarse dicha comparticin en eldirectorio, simplemente asignndole un nombre simblico. Si se publica de esta for-ma, el proceso crea automticamente el objeto que representa la carpeta compartidaen el directorio.

Y segundo, cuando un sistema Windows 2003 se agrega a un dominio, los si-guientes recursos se comparten de forma automtica y por defecto (estas comparti-

1.4.2. Comparticin dentro de un dominio


ciones no deben modificarse ni prohibirse):

letra_de_unidad$. Por cada particin existente en el sistema Windows 2003(C:, D:, etc.) se crea un recurso compartido denominado C$, D$, etc. Los admi-nistradores del dominio, as como los operadores de copia del domino, puedenconectarse por defecto a estas unidades.

ADMIN$. Es un recurso utilizado por el propio sistema durante la administracinremota de un ordenador Windows 2003.

IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por los pro-gramas para comunicarse entre ellos. Se utiliza durante la administracin remotade un ordenador Windows 2003, y cuando se observa los recursos que comparte.

NETLOGON. Recurso que exporta un DC para proporcionar a los ordenadoresmiembros del dominio el servicio de validacin de cuentas globales a travs dela red (Net Logon service).

SYSVOL. Recurso que exporta cada DC de un dominio. Contiene informacin delDirectorio Activo (por ejemplo, de directivas de grupo) que debe replicarse entodos los DCs del dominio.

En relacin con los nombres de estos recursos, es interesante saber que aadir elcarcter "$" al final de cualquier nombre de recurso tiene un efecto especfico: prohi-be que dicho recurso se visualice dentro de la lista de recursos que una mquina ex-porta al resto. Es decir, convierte un recurso en "invisible" para al resto del mundo.En este caso, un usuario remoto slo podr conectarse al recurso si conoce su nom-bre de antemano (y tiene suficientes permisos, obviamente).

1.4.3. Mandatos Windows 2003 para compartir recursosLa comparticin de recursos en Windows 2003 puede realizarse en lnea de rdenesutilizando los mandatos net share y net use. La sintaxis de ambos mandatos es la si-guiente:

1. Mandato net share: Crea, elimina o muestra recursos compartidos.

net sharenet share recurso_compartidonet share recurso_compartido=unidad:ruta_de_acceso

[/users:nmero | /unlimited] [/remark:"texto"]net share recurso_compartido [/users:nmero | unlimited]

[/remark:"texto"]net share {recurso_compartido | unidad:ruta_de_acceso} /delete

1.4.3. Mandatos Windows 2003 para compartir recursos


2. Mandato net use: Conecta o desconecta un equipo de un recurso compartido omuestra informacin acerca de las conexiones del equipo. Tambin controla lasconexiones de red persistentes.

net use [nombre_dispositivo][\\nombre_equipo\recurso_compartido[\volumen]][contrasea | *]] [/user:[nombre_dominio\]nombre_usuario][[/delete] | [/persistent:{yes | no}]]

net use nombre_dispositivo [/home[contrasea | *]][/delete:{yes | no}]

net use [/persistent:{yes | no}]

1.5. Delegacin de la administracinPara delegar, total o parcialmente, la administracin de una unidad organizativaexiste un asistente (wizard) que aparece cuando se selecciona la accin Delegar elcontrol... en el men contextual de la unidad organizativa. Este asistente pre-gunta bsicamente los dos aspectos propios de la delegacin: a quin se delega y quse delega. La primera pregunta se contesta o bien con un usuario o con un grupo (serecomienda un grupo). Para responder a la segunda pregunta, se puede elegir unatarea predefinida a delegar (de entre una lista de tareas frecuentes), o bien podemosoptar por construir una tarea personalizada. En este ltimo caso, tenemos que espe-cificar la tarea mediante un conjunto de permisos sobre un cierto tipo de objetos deldirectorio. Esto se explica a continuacin.

Internamente, los derechos de administracin (o control) sobre un dominio o uni-dad organizativa funcionan de forma muy similar a los permisos sobre una carpetao archivo: existe una DACL propia y otra heredada, que contienen como entradasaquellos usuarios/grupos que tienen concedida (o denegada) una cierta accin sobrela unidad organizativa o sobre su contenido. En este caso, las acciones son las pro-pias de la administracin de objetos en el directorio (control total, creacin de obje-tos, modificacin de objetos, consulta de objetos, etc.), donde los "objetos" son las en-tidades que pueden ser creados dentro de la unidad: usuarios, grupos, unidades or-ganizativas, recursos, impresoras, etc.

En resumen, la delegacin de control sobre una unidad organizativa puede ha-cerse de forma completa (ofreciendo el Control Total sobre la unidad) o de formaparcial (permitiendo la lectura, modificacin y/o borrado de los objetos de la mis-ma). Hay que tener en cuenta que en el caso de la delegacin parcial, el nmero deposibilidades es inmenso: por una parte, se incluye la posibilidad de establecer el

1.5. Delegacin de la administracin


permiso sobre cada atributo de cada tipo de objeto posible; por otra parte, se puedeestablecer a qu unidades se va a aplicar la regla (slo en esa unidad organizativa,en todas las que se sitan por debajo, en parte de ellas, etc.). Por tanto, para una de-legacin parcial se recomienda el uso del asistente, ya que su lista de delegacin detareas ms frecuentes (como por ejemplo "Crear, borrar y administrar cuentas deusuario" o "Restablecer contraseas en cuentas de usuario") resulta muy til. Sin em-bargo, cuando la delegacin que buscamos no se encuentra en la lista, tendremosque disear una a medida, asignando los permisos oportunos sobre los objetos deldirectorio que sean necesarios.

1.5. Delegacin de la administracin


2Administracin dedominios en Linux

Indice2.1. Introduccin ...............................................................................................292.2. Concepto de dominio .................................................................................292.3. Servicios de directorio y LDAP ..................................................................292.4. Configuracin bsica de OpenLDAP .........................................................322.5. Configuracin de OpenLDAP con servidor nico .....................................33

2.5.1. Primer paso: instalacin del servidor ..............................................332.5.2. Segundo paso: configuracin del servidor ......................................332.5.3. Tercer paso: comprobacin de la configuracin ..............................372.5.4. Cuarto paso: configuracin de los clientes ......................................382.5.5. Quinto paso: migracin de la informacin del servidor .................38

2.6. Configuracin de OpenLDAP con varios servidores .................................412.7. Implementacin de un dominio Linux con OpenLDAP ............................422.8. Herramientas grficas de administracin ..................................................44

2.1. IntroduccinEn el mundo Linux no existe un concepto de dominio tan elaborado como en elmundo de Windows 2000. Sin embargo, se consigue un efecto similar al activar unservicio en una mquina Linux (que actuara como "servidor" de cuentas y grupos) yotro servicio que permite la exportacin de directorios a mquinas remotas. En con-creto, dichos servicios se denominan LDAP y NFS, respectivamente. Ambos son ex-plicados en este captulo y en el siguiente, respectivamente.

2.2. Concepto de dominioDesde el punto de vista de la administracin de sistemas, suele denominarse dominioa un conjunto de equipos interconectados que comparten informacin administrati-va (usuarios, grupos, contraseas, etc.) centralizada. Ello requiere fundamentalmen-te la disponibilidad de (al menos) un ordenador que almacene fsicamente dicha in-formacin y que la comunique al resto cuando sea necesario, tpicamente medianteun esquema cliente-servidor. Por ejemplo, cuando un usuario desea iniciar una co-nexin interactiva en cualquiera de los ordenadores (clientes) del dominio, dicho or-denador deber validar las credenciales del usuario en el servidor, y obtener de stetodos los datos necesarios para poder crear el contexto inicial de trabajo para elusuario.

En Windows 2000, la implementacin del concepto de dominio se realiza me-diante el denominado Directorio Activo, un servicio de directorio basado en diferen-tes estndares como LDAP (Lightweight Directory Access Protocol}) y DNS (DomainName System). En el mundo Unix, los dominios solan implementarse mediante el fa-moso Network Information System (NIS), del que existan mltiples variantes. Sin em-bargo, la integracin de servicios de directorio en Unix ha posibilitado la incorpora-cin de esta tecnologa, mucho ms potente y escalable que NIS, en la implementa-cin de dominios.

Este captulo describe cmo una implementacin libre del protocolo LDAP paraUnix, denominada OpenLDAP (www.openldap.org), puede utilizarse para imple-mentar dominios en RedHat/Fedora Linux.

2.3. Servicios de directorio y LDAPEn el contexto de las redes de ordenadores, se denomina directorio a una base de da-tos especializada que almacena informacin sobre los recursos, u "objetos", presen-tes en la red (tales como usuarios, ordenadores, impresoras, etc.) y que pone dichainformacin a disposicin de los usuarios de la red. Por este motivo, esta base de da-tos suele estar optimizada para operaciones de bsqueda, filtrado y lectura ms que

2.1. Introduccin


para operaciones de insercin o transacciones complejas. Existen diferentes estnda-res que especifican servicios de directorio, siendo el demominado X.500 tal vez elms conocido.

El estndar X.500 define de forma nativa un protocolo de acceso denominadoDAP (Directory Access Protocol) que resulta muy complejo (y computacionalmentepesado) porque est definido sobre la pila completa de niveles OSI. Como alternati-va a DAP para acceder a directorios de tipo X.500, LDAP (Lightweight Directory Ac-cess Protocol) ofrece un protocolo "ligero" casi equivalente, pero mucho ms sencilloy eficiente, diseado para operar directamente sobre TCP/IP. Actualmente, la mayo-ra de servidores de directorio X.500 incorporan LDAP como uno de sus protocolode acceso.

LDAP permite el acceso a la informacin del directorio mediante un esquemacliente-servidor, donde uno o varios servidores mantienen la misma informacin dedirectorio (actualizada mediante rplicas) y los clientes realizan consultas a cual-quiera de ellos. Ante una consulta concreta de un cliente, el servidor contesta con lainformacin solicitada y/o con un "puntero" donde conseguir dicha informacin odatos adicionales (normalmente, el "puntero" es otro servidor de directorio).

Internamente, el modelo de datos de LDAP (derivado de X.500, pero algo restrin-gido) define una estructura jerrquica de objetos o entradas en forma de rbol, dondecada objeto o entrada posee un conjunto de atributos. Cada atributo viene identifica-do mediante un nombre o acrnimo significativo, pertenece a un cierto tipo y puedetener uno o varios valores asociados. Toda entrada viene identificada unvocamenteen la base de datos del directorio mediante un atributo especial denominado nombredistinguido o dn (distinguished name). El resto de atributos de la entrada depende dequ objeto est describiendo dicha entrada. Por ejemplo, las entradas que describenpersonas suelen tener, entre otros, atributos como cn (common name) para describirsu nombre comn, sn (surname) para su apellido, mail para su direccin de correoelectrnico, etc. La definicin de los posibles tipos de objetos, as como de sus atri-butos (incluyendo su nombre, tipo, valor(es) admitido(s) y restricciones), que pue-den ser utilizados por el directorio de un servidor de LDAP la realiza el propio ser-vidor mediante el denominado esquema del directorio. Es decir, el esquema contienelas definiciones de los objetos que pueden darse de alta en el directorio.

El nombre distinguido de cada entrada del directorio es una cadena de caracteresformada por pares = separados por comas, que repre-senta la ruta invertida que lleva desde la posicin lgica de la entrada en el rbolhasta la raz del mismo. Puesto que se supone que un directorio almacena informa-cin sobre los objetos que existen en una cierta organizacin, cada directorio poseecomo raz (o base, en terminologa LDAP) la ubicacin de dicha organizacin, de for-ma que la base se convierte de forma natural en el sufijo de los nombres distinguidosde todas las entradas que mantiene el directorio. Existen dos formas de nombrar, o

2.3. Servicios de directorio y LDAP


estructurar, la raz de un directorio LDAP:

1. Nombrado "tradicional": formado por el pas y estado donde se ubica la organi-zacin, seguida por el nombre de dicha organizacin. Por ejemplo, la raz o basede la Universidad Politcnica de Valencia podra ser algo as: "o=UPV,st=Valencia, c=ES".

2. Nombrado basado en nombres de dominio de Internet (es decir, en DNS): estenombrado utiliza los dominios DNS para nombrar la raz de la organizacin. Eneste caso, la base de la UPV sera: "dc=upv, dc=es". Este es el nombrado que va-mos a utilizar puesto que permite localizar a los servidores de LDAP utilizandobsquedas DNS.

A partir de esa base, el rbol se subdivide en los nodos y subnodos que se estimeoportuno para estructurar de forma adecuada los objetos de la organizacin, objetosque se ubican finalmente como las hojas del rbol. De esta forma, el nombre distin-guido de cada entrada describe su posicin en el rbol de la organizacin (y vice-versa), de forma anloga a un sistema de archivos tpico, en el que el nombre abso-luto (unvoco) de cada archivo equivale a su posicin en la jerarqua de directoriosdel sistema, y vice-versa. En la Figura 2.1, Estructura de directorio del dominio ad-mon.com. se muestra un ejemplo de un directorio sencillo (dos usuarios y dosequipos) de la organizacin admon.com.

Figura 2.1. Estructura de directorio del dominio admon.com.

De acuerdo con dicha figura, la entrada correspondiente al usuario "pepe" ten-dra como nombre distinguido "uid=pepe, ou=People, dc=admon, dc=com".Al margen de ese identificador nico, cada entrada u objeto en el directorio puede

2.3. Servicios de directorio y LDAP


tener, como hemos dicho, un conjunto de atributos tan descriptivo como se desee.Cada objeto necesita, al margen de su nombre distinguido, su "clase de objeto", quese especifica mediante el atributo ObjectClass (un mismo objeto puede pertene-cer a diferentes clases simultneamente, por lo que pueden existir mltiples atribu-tos de este tipo para un mismo objeto en el directorio). Este atributo especifica impl-citamente el resto de atributos de dicho objeto, de acuerdo con la definicin estable-cida en el esquema. Siguiendo con el ejemplo anterior, a continuacin se muestra unsubconjunto de los atributos del usuario "pepe":

dn: uid=pepe, ou=People, dc=admon, dc=comobjectClass: personcn: Jose Garcasn: Garcadescription: alumnomail: [email protected]

El formato en el que se han mostrado los atributos del objeto se denomina LDIF(LDAP Data Interchange Format), y resulta til conocerlo porque es el formato que losservidores LDAP (y OpenLDAP entre ellos) utilizan por defecto para insertar y ex-traer informacin del directorio.

Puesto que nosotros vamos a utilizar el directorio con un uso muy especfico(centralizar la informacin administrativa de nuestro dominio para autentificarusuarios de forma global) deberamos asegurarnos que en el esquema de nuestro di-rectorio existen los tipos de objetos (y atributos) adecuados para ello. Afortunada-mente, OpenLDAP posee por defecto un esquema suficientemente rico para cubrireste cometido. Por ejemplo, cada usuario puede definirse mediante un objeto de tipoposixAccount, que posee entre otros atributos para almacenar su UID, GID, con-trasea, etc. A ttulo de curiosidad, la entrada en el esquema que define el atributopara la contrasea (userPassword) se muestra a continuacin:

attributetype (2.5.5.35 NAME 'userPassword'EQUALITY octetStringMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.40{128})

2.4. Configuracin bsica de OpenLDAPLa utilizacin de LDAP para centralizar las labores administrativas (es decir, la crea-cin de un "dominio Linux") tiene dos partes bien diferenciadas: primero hay queinstalar y configurar uno o varios ordenadores del futuro dominio como servidores deLDAP y el resto de ordenadores del dominio como clientes de dicha informacin.Una vez conseguido este objetivo, el segundo paso es configurar los clientes paraque utilicen a los servidores como fuente de informacin administrativa (cuentas deusuarios y grupos, contraseas, hosts, etc.) en vez de (o mejor dicho, adems de) sus

2.4. Configuracin bsica de OpenLDAP


ficheros de configuracin locales.

En concreto, la Seccin 2.5, Configuracin de OpenLDAP con servidor nico yla Seccin 2.6, Configuracin de OpenLDAP con varios servidores a continuacinmuestran sendas guas de instalacin bsica de OpenLDAP en dos escenarios dife-rentes: con servidor nico y con mltiples servidores. Posteriormente, la Seccin 2.7,Implementacin de un dominio Linux con OpenLDAP explica cmo utilizar la in-fraestructura de OpenLDAP para implementar un dominio Linux.

Es importante resaltar que buena parte de la configuracin que se describe a con-tinuacin es dependiente del software de LDAP concreto que se va a utilizar (en estecaso, OpenLDAP) y de la versin de UNIX utilizada (RedHat Linux). La configura-cin de otros servidores de LDAP, en la misma u otras versiones de UNIX, puedeser distinta a la que aqu se va a exponer.

2.5. Configuracin de OpenLDAP con servidor nicoEn el caso ms sencillo, nuestra red puede requerir un solo servidor de LDAP, sien-do el resto de los ordenadores clientes del mismo. Si este es el caso, esta seccin ex-pone los pasos a seguir para configurar el servidor y los clientes.

2.5.1. Primer paso: instalacin del servidorEl paquete que incorpora el servidor de OpenLDAP se denomina openldap-ser-vers y puede encontrarse en la distribucin correspondiente de RedHat/Fedora Li-nux.

Una vez descargado e instalado, este paquete instala los ficheros de configura-cin por defecto bajo el directorio /etc/openldap, crea un directorio vaco deno-minado /lib/var/ldap para albergar la base de datos con la informacin del di-rectorio y sus ndices, y finalmente incorpora el servicio o "demonio" de LDAP, de-nominado slapd. Curiosamente, el nombre del servicio presente en /etc/rc.d/init.d , y que utilizaremos para iniciar y parar el demonio, se denomi-na ldap y no slapd.

2.5.2. Segundo paso: configuracin del servidorLa configuracin del servicio slapd se realiza en /etc/openldap/slapd.conffundamentalmente. Este fichero contiene referencias a los dems ficheros necesariospara el servicio slapd (como por ejemplo, las definiciones del esquema), y un con-junto de secciones donde se describen los directorios de los que se mantiene infor-macin. Es incluso posible almacenar los directorios en bases de datos de distintosformatos internos y definir opciones especficas diferentes para cada una. En el caso

2.5. Configuracin de OpenLDAP con servidor nico


ms sencillo, sin embargo, tendremos un nico directorio almacenado en una basede datos en el formato por defecto (lbdm), cuyas opciones no modificaremos.

De hecho, de los numerosos parmetros que pueden configurarse en este fichero,slo vamos a comentar los estrictamente necesarios para configurar un servidor b-sico de LDAP que luego haga de servidor de un dominio Linux. Para configurarcualquier otro parmetro avanzado, se recomienda la lectura previa del documento"OpenLDAP Administrator's Guide" [http://www.openldap.org/doc/admin22/].

En definitiva, los cinco parmetros fundamentales que es necesario configurarson los siguientes (el resto pueden dejarse con sus opciones por defecto):

1. Sufijo. Este es el sufijo de las entradas del directorio, es decir, lo que hemos de-nominado base o raz del directorio. Por ejemplo, para el dominio "admon.com"deberamos configurar:

suffix "dc=admon, dc=com"

2. Directorio de la(s) base(s) de datos. Se especifica mediante la directiva siguien-te:

directory /var/lib/ldap

3. Cuenta del administrador (del directorio). Esta es la cuenta del usuario admi-nistrador del directorio, lgicamente en formato de LDAP. Las credenciales quese sitan en esta opcin (y la siguiente) tienen validez independientemente deque este usuario exista realmente en la base de datos del directorio o no. Elnombre por defecto es "manager", pero si queremos lo podemos cambiar por"root" (a la UNIX):

rootdn "cn=root, dc=admon, dc=com"

Sin embargo, no hay que confundir a este usuario con el usuario "root" delsistema Linux donde estamos instalando el servidor de LDAP. Ms adelante, siqueremos, podemos hacerlos coincidir.

4. Contrasea del administrador. Cuando las operaciones a realizar en la base dedatos no permitan una conexin annima (sin acreditarse), y en concreto, cuan-do necesiten del usuario "administrador del directorio" definido arriba, dichasoperaciones deben acompaarse de la contrasea de esta cuenta, que se especi-fica en la siguiente opcin:

2.5.2. Segundo paso: configuracin del servidor


rootpw

Hay que tener en cuenta que la contrasea que pongamos aqu ser visiblepor cualquier usuario que pueda leer el fichero (aunque por defecto, ste es unpermiso slo de root). Por tanto, es conveniente ponerla cifrada. Para ello, siqueremos utilizar la misma contrasea que tiene "root", podemos por ejemplocopiar su contrasea cifrada del archivo /etc/shadow y pegarla as:

rootpw {crypt}

O, an mejor, podemos crear una contrasea nueva mediante la orden:

slappasswd -h {MD5}

Que nos pide una contrsea y nos la muestra cifrada. Luego simplemente co-piamos el resultado de dicha orden tras la cadena, cambiando en este caso"{crypt}" por "{MD5}" (no debe haber espacios en blanco entre la cadena que in-dica el tipo de cifrado y la contrasea).

5. Niveles de acceso. Esta opcin permite especificar, con un grano muy fino, aquin se da el permiso para leer, buscar, comparar, modificar, etc., la informa-cin almacenada en el directorio. Para ello se utilizan una o mltiples reglas decontrol de acceso, cuya sintaxis se muestra a continuacin:

access to [by ]+

donde:

es una expresin que especifica a qu datos del directorio se aplicala regla. Existen tres opciones: (1) puede indicarse todo el directorio median-te un asterisco (*), (2) un subconjunto de entradas cuyo nombre distinguidocontiene un cierto sufijo (por ejemplo, dn=".*, dc=admon, dc=com") o(3) un atributo concreto de dichos objetos (por ejemplo, dn=".*,ou=People, dc=admon, dc=com" attr=userPassword).

indica a quin (a qu usuario(s)) se especifica la regla. Puede tomardiferentes valores, siendo los ms comunes los siguientes: self (el propieta-rio de la entrada), dn="..." (el usuario representado por el nombre distin-guido), users (cualquier usuario acreditado), anomymous (cualquier usua-rios no acreditado) y * (cualquier usuario).



indica qu operacin concede la regla: none (sin acce-so), auth (utilizar la entrada para validarse), compare (comparar), search(bsqueda), read (lectura), y write (modificacin).

Para entender correctamente la semntica de las reglas de control de acceso,es imprescindible conocer el mtodo que sigue slapd para evaluarlas, cada vezque recibe una peticin por parte de un cliente: primero se busca, secuencial-mente, la primera regla cuya expresin incluye la entrada, o entradas,afectadas por la peticin. Dentro de ella, se busca secuencialmente la primeraexpresin que incluye al usuario que ha realizado la peticin desde elcliente. Una vez encontrado, si el nivel de acceso expresado por es mayor o igual al requerido por la peticin, entonces s-ta se concede, y en caso contrario se deniega. Si no existe ninguna expresin que incluya al usuario, o bien no existe ninguna regla cuya expresin incluya la informacin afectada por la peticin, se deniega la peticin.

Por tanto, el orden en que aparecen las reglas en el fichero, y el orden internode las clusulas "by" dentro de cada regla, es relevante: si varias reglas afectan alos mismos objetos, las reglas ms especficas deberan ubicarse antes en el fi-chero; y, dentro de una regla, si incluimos varias clusulas by, tambin debe-mos situar las ms especficas primero.

Un ejemplo razonable de reglas de acceso podra ser el siguiente:

access to dn=".*,ou=People,dc=admon,dc=com" attr=userPasswordby self writeby dn="cn=root,dc=admon,dc=com" writeby * auth

access to dn=".*,ou=People,dc=admon,dc=com"by dn="cn=root,dc=admon,dc=com" writeby * read

access to *by dn="cn=root,dc=admon,dc=com" writeby * read

En este ejemplo, la primera regla de acceso permite a cada usuario a cam-biarse su propia contrasea (la contrasea es el atributo userPassword en losobjetos de tipo usuario, que se sitan por defecto dentro de la unidad organiza-tiva "People"), al administrador cambiar la de cualquier usuario y al resto deusuarios slo pueden utilizar este campo para autentificarse. La segunda reglade acceso se aplica al resto de los atributos de las cuentas de usuario, y permiteal administrador su cambio y al resto slo su consulta (de esta forma evitamosque un usuario pueda cambiarse su UID, GID, etc.). Finalmente, la tercera regla



permite al administrador cambiar cualquier entrada del directorio y al resto deusuarios slo leerlas.

2.5.3. Tercer paso: comprobacin de la configuracinUna vez realizada la configuracin del apartado anterior, ya estamos en condicionesde iniciar el servicio slapd y comprobar que, de momento, todo funciona correcta-mente. Para ello:

service ldap start

Si el servicio ha arrancado correctamente, y a pesar de que actualmente el direc-torio est vaco, deberamos ser capaces de preguntar al menos por un tipo de atri-buto denominado "namingContexts". Para ello, utilizamos la orden ldapsearch:

bash# ldapsearch -x -b " -s base '(objectclass=*)' namingContexts

Si todo funciona bien, el resultado debera ser algo as:

## filter: (objectclass=*)# requesting: namingContexts### dn: namingContexts: dc=admon, dc=com# search resultsearch: 2result: 0 success# numResponses: 2# numEntries: 1

Es imprescindible que en la salida por pantalla aparezca en sufijo del dominio(dc=admon,dc=com en el ejemplo). Si no es as, lo ms probable es que las reglas decontrol de acceso especificadas en el fichero de configuracin de slapd no admitanla lectura del directorio a usuarios no autentificados (en la orden anterior estamosaccediendo sin credenciales conocidas, es decir, de forma annima). Para ac

Integracion Linux Windows

Documents

Transcript of Integracion Linux Windows