Vous êtes sur la page 1sur 30

10/10/2016 ASO01_Contenidos

Administración de servicios de directorio.

Caso práctico
 
En  la  empresa  EntreTuyYo,  S.L.  están  valorando  cambiar  el  sistema  actual  de  comunicaciones  de  datos  por  otro  que  le  genere
mayores prestaciones.

¿Qué  sistema  tiene  nuestra  empresa?  Las  comunicaciones  entre  los  ordenadores  se  realizan  por  difusión  de  red.  En  el  que  cada
equipo  trata,  de  igual  a  igual,  al  resto.  Esto  está  provocando  inseguridad  en  la  red  en  todos  los  aspectos.  En  el  aspecto  de  los
datos, no se sabe en cuantas máquinas se encuentran archivos duplicados o con versiones distintas. En el aspecto de seguridad
que consistiría, sobre todo, en la difusión de virus, troyanos, etc.

¿Qué solución se plantea? La solución que se plantea es el crear uno o varios servidores (conectados entre sí) dónde se centralice
toda la información, usuarios registrados, modos de acceso y, sobre todo, seguridad en los archivos propios de la empresa.

Jimena y Diego trabajan en el departamento de informática y llevarán el peso de todo el proceso.

Para  proceder  a  la  instauración  de  ese  sistema,  nuestro  departamento  de  informática  debe  llevar  a  cabo  una  serie  de  pruebas  que  permitan  tomar  una  decisión
definitiva a la hora de implantar el sistema.

Lo que tiene claro nuestro departamento, y por unanimidad, es la implantación de un sistema LDAP. Un sistema eficaz y flexible. Pero no nos ponemos de acuerdo en
si todos los servidores LDAP deben ser servidores Windows usando Active Directory o bien, máquinas servidores Linux con soporte OpenLDAP.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 1/30
10/10/2016 ASO01_Contenidos

Servicio de directorio.

Caso práctico
 
Antes de afrontar todas las instalaciones y configuraciones tanto a nivel de servidores como a nivel de máquinas cliente, hemos decidido
recopilar la información necesaria.

Como  parte  de  esa  información,  debemos  estudiar  las  ventajas,  y  desventajas,  de  un  servicio  de  directorio.  Es  el  principio  o  concepto
básico de todo LDAP.

Diego se va a encargar de realizar esta tarea y ponerla a disposición del departamento dónde se estudiará detenidamente.

Debemos  empezar  preguntándonos  ¿qué  es  un  servicio  de  directorio?  Es  una  aplicación  o  un  conjunto  de  aplicaciones  que
almacena  y  organiza  la  información  sobre  los  usuarios  de  una  red  de  ordenadores,  sobre  recursos  de  red,  y  permite  a  los
administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una
capa de abstracción entre los usuarios y los recursos compartidos.

Pongamos  un  ejemplo.  Un  servicio  de  directorio  es  un  servicio  de  nombres  para
corresponder los nombres de los recursos de la red, con sus respectivas direcciones de red.
Con este tipo de servicio de directorio, un usuario no tiene que recordar la dirección física de
los diferentes recursos de la red, pues con saber simplemente su nombre estará accediendo
a tal recurso demandado. Cada recurso de la red se considera como un objeto en el servidor
de  directorio,  donde  la  información  de  un  recurso  en  particular  se  almacena  como  atributos  de  ese  objeto.  La  información  que
representa  un  objeto  se  establece  de  forma  segura,  accediendo  a  tales  objetos  usuarios  con  los  permisos  adecuados  para  poder
manipular  dicha  información.  Directorios  más  sofisticados  son  diseñados  con  multitud  de  características  y  preferencias  para  poder
manipular la información del directorio, según la dificultad de gestión que su administrador pretenda manejar.

Ahondando en el ejemplo: el típico recurso de una carpeta compartida. En vez de acceder mediante su identificación de red y ruta completa; podríamos acceder mediante su
nombre  de  máquina  y  su  nombre  de  recurso.  Por  ejemplo:  la  máquina  A  comparte  el  directorio  o  carpeta  c:\documents  and  settings\usuario\compartir  y  lo  nombra  como
micarpeta. La máquina B puede acceder al recurso de la siguiente forma: \\A\micarpeta.

En la imagen podemos apreciar cómo se interrelacionan los distintos objetos con servicios como DNS, CARPETAS, SERVIDORES DE IMPRESORAS, GRUPOS, etc.

Para saber más
 
En el siguiente enlace puedes aprender más sobre este tema.

Servicio de directorio.

Autoevaluación
 
¿Las carpetas son parte del directorio activo?
  
Si, dejan de controlarse a nivel local para que lo administre el directorio activo.
No, es parte del sistema operativo a nivel local.
Sí, porque el directorio activo controla todas las transacciones del sistema.

Ninguna respuesta es correcta.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 2/30
10/10/2016 ASO01_Contenidos

Definición, elementos y nomenclatura.
Vamos  a  empezar  a  entender  los  términos  que  utilizaremos  en  esta  unidad.  Y  empezaremos  por  las  siglas  LDAP:  ("Lightweight  Directory
Access Protocol", en español Protocolo Ligero de Acceso a Directorios) es un protocolo de tipo cliente­servidor para acceder a un servicio de
directorio.

Otro concepto, directorio, es una estructura jerárquica que almacena información acerca de los objetos existentes en la red, tanto en la propia
máquina raíz del dominio como en aquellas que se encuentren en la misma red. Los objetos en cuestión no son sólo carpetas, sino recursos en
general. Es decir, elementos como carpetas (o directorios en su nomenclatura anterior), impresoras, etc.

La estructura del directorio se basa en los siguientes conceptos:

Dominio: es la estructura básica. Permite agrupar todos los objetos que se administrarán en forma estructurada y jerárquica.
Organización:  en  el  caso  de  que  el  dominio  sólo  atienda  a  una  organización,  será  única.  En  caso  contrario,  un  mismo  dominio  puede
albergar varias organizaciones.
Unidad  organizativa:  es  una  unidad  jerárquica  inferior  del  dominio,  puede  estar  compuesta  por  otra  serie  de  objetos  como  unidades
organizativas (de nivel jerárquico inferior), grupos, etc.
Grupos: son objetos del mismo tipo. Se utilizan, sobre todo, para la asignación de los derechos de acceso a los recursos.
Objetos: son representaciones de los recursos de red como: usuarios, ordenadores, impresoras, etc.

Denominamos  árbol  de  dominios  del  directorio  a  una  estructura  jerárquica  de  dominios  que  comparten  un  espacio  de  nomenclatura  contiguo,  un  esquema  común  y  un
catálogo  global  común.  Pongamos  un  ejemplo.  Tenemos  un  dominio  llamado  sored.local  y  un  subdominio  de  éste,  alumnos.sored.local.  Estos  pueden  formar  parte  de  un
árbol puesto que comparten la misma nomenclatura contigua y pueden tener esquema y catálogo global comunes.

Un bosque es la colección de todos los objetos, sus atributos y reglas en el directorio activo.

Los atributos se definen independientemente de las clases. Se define sólo una vez pero se puede utilizar en múltiples clases.

Las clases describen los posibles objetos del directorio que se puede crear. Cada clase es una colección de atributos.

Estamos viendo que, en cuanto a nomenclatura, es similar a las DNS, es decir, hay un dominio.

Reflexiona
 
Que  un  espacio  de  nomenclatura  es  el  conjunto  de  nombres  que  representan  a  un  dominio.  Y  un  espacio  de  nomenclatura  contiguo  indica  que  la  primera  parte  del
nombre del dominio es común.

Autoevaluación
 
Un grupo, ¿Está por encima de una unidad organizativa?
  
No, si existen unidades organizativas, los grupos deben estar contenidos en una de ellas.

No, todos los objetos están en el mismo nivel. Un grupo puede estar contenido en una unidad organizativa, pero no viceversa.
Sí, porque puede contener derechos y privilegios sobre objetos.
No, todos los grupos y usuarios deben estar contenidos en una unidad organizativa.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 3/30
10/10/2016 ASO01_Contenidos

LDAP.

Caso práctico
 
Diego nos ha presentado un informe detallado en el departamento para su estudio.

Una vez definido qué es un Servicio de Directorio, debemos saber cómo se organiza, concretamente, un LDAP. Cómo guarda sus
objetos, qué atributos maneja.

Son conceptos amplios, que engloban tanto a sistemas que utilizan Active Directory como los servidores Windows como aquellos
que utilizan OpenLDAP.

A  nuestro  departamento  le  resulta  importante  clarificar  estos  detalles  para  afrontar  la  decisión  de  elegir  sistemas  basados  en
Windows o en Linux.

El modelo de datos de LDAP (derivado de X.500) define una estructura jerárquica de objetos en forma de árbol, donde cada objeto o
entrada posee un conjunto de atributos. Cada atributo viene identificado mediante un nombre o acrónimo significativo, pertenece a un
cierto tipo y puede tener uno o varios valores asociados.

Cada  objeto  está  identificado  inequívocamente  en  la  base  de  datos  del  directorio  mediante  un  atributo  especial  denominado  nombre
distinguido o dn (distinguished name). El resto de los atributos de la entrada depende de qué objeto esté describiendo dicha entrada
u objeto.

La definición de los posibles tipos de objetos, así como de sus atributos, que pueden ser utilizados por el directorio de un servidor de
LDAP,  la  realiza  el  propio  servidor  mediante  el  denominado  esquema  del  directorio.  El  esquema  contiene  las  definiciones  de  los
objetos que pueden darse de alta en el directorio.

El nombre distinguido de cada entrada del directorio es una cadena de caracteres formada por pares tipo_atributo=valor separados por comas, que representa la ruta invertida
que lleva desde la posición lógica de la entrada en el árbol hasta la raíz del mismo. Puesto que se supone que un directorio almacena información sobre los objetos que existen
en  una  cierta  organización,  cada  directorio  posee  como  raíz  (o  base,  en  terminología  LDAP)  la  ubicación  de  dicha  organización,  de  forma  que  la  base  se  convierte  de  forma
natural en el sufijo de los nombres distinguidos de todas las entradas que mantiene el directorio.

Aunque existen dos formas de nombrar la raíz de un directorio LDAP, nosotros utilizaremos la nomenclatura basada en nombres de dominio de Internet (como en los DNS), que
utiliza los dominios DNS para nombrar la raíz de la organización. Por ejemplo, la base de la organización SORED, sería "dc=sored, dc=es".

A  partir  de  esa  base,  el  árbol  se  subdivide  en  nodos  y  subnodos,  tantos  como  se  estimen  oportunos  para  estructurar,  de  forma  adecuada,  los  objetos  de  la  organización.
Objetos que se ubican finalmente como las hojas del árbol. De esta forma, el nombre distinguido de cada entrada describe su posición en el árbol de la organización, de forma
análoga a un sistema de archivos típico, en el que el nombre absoluto (unívoco) de cada archivo equivale a su posición en la jerarquía de directorios del sistema, y viceversa.

Reflexiona
 
Que,  aunque  los  nombrados  se  basan  en  formatos  de  Internet,  no  tienen  porqué  ser  nombres  cualificados.  Es  decir,  registrados  en  Internet.  Podríamos  utilizar
“dc=sored, dc=local”

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 4/30
10/10/2016 ASO01_Contenidos

Esquema del servicio de directorio I.

Caso práctico
 
Uno de los problemas que se presentan a la hora de identificar usuarios, es que estos pueden ser identificados mediante distintas
credenciales.  Es  decir,  un  usuario  puede  tener  distinta  credencial  para  utilizar  el  servicio  de  correo  electrónico,  el  acceso  a  su
carpeta,  etc.  Para  evitar  esto,  mi  departamento  estudia  cómo  afrontar,  mediante  unas  mismas  credenciales,  el  uso  de  distintos
recursos por el mismo usuario y con las mismas credenciales.

Para lograr este reto, debemos perfilar correctamente nuestro esquema del servicio de directorio.

Este trabajo de campo lo realizará nuestro miembro más joven del departamento, Jimena.

Ya hemos mencionado qué es un esquema del servicio de directorio. Ahora vamos a profundizar un poco en él.

Debemos  definir,  primero,  qué  es  un  esquema  de  directorio:  el  esquema  es  la  colección  de  atributos  definidos,  clases  de  objetos
definidas,  y  ACI  para  controlar  dónde  es  almacenado  cada  dato.  De  forma  colectiva  se  utiliza  la  nomenclatura  ACL  o  lista  de
control de acceso.

Por  ejemplo,  tu  grupo  puede  dar  facilidades  de  acceso  como  cambiar  la  localización  de  los  empleados,  su  ubicación  en  general,  o
número  de  oficina,  pero  no  se  permite  que  se  modifiquen  entradas  de  cualquier  otro  campo.  Las  ACI  pueden  controlar  el  acceso
dependiendo  de  quién  está  solicitando  los  datos,  que  datos  están  siendo  solicitados,  dónde  están  los  datos  almacenados,  y  otros
aspectos  del  registro  que  está  siendo  modificado.  Todo  esto  hecho  directamente  a  través  del  directorio  LDAP,  así  que  no  necesitas
preocuparte de hacer comprobaciones de seguridad en el nivel de aplicación de usuario.

Cualquier base de datos, sin tener en cuenta su complejidad o tecnología subyacente, tiene un esquema. Para entendernos aún mejor, un esquema es el modelo de los datos,
el diseño de cómo deben almacenarse los datos, qué tipos de datos podrán ser accesibles, y las relaciones entre datos almacenados en varias entradas.

Cuando configuras tu directorio LDAP, la información para cualquier entrada dada se almacena con una serie de atributos. Tú puedes crear nuevos tipos de valores que serán
almacenados en el directorio.

Colectivamente,  a  todos  los  atributos  que  pueden  ser  utilizados  para  un  tipo  de  objeto  específico  se  les  llama  Clases  de  Objetos  (Object  Class,  en  ingles).  Como  con  los
atributos, podemos definir nuevas clases de objetos para adecuarlas a la organización de los datos, es decir, según tus necesidades. Dentro de cada clase de objetos, podemos
designar que atributos son requeridos, y cuales son meramente opcionales.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 5/30
10/10/2016 ASO01_Contenidos

Esquema del servicio de directorio II.
(Para aquellos con un bagaje en bases de datos tradicionales, puede ser útil pensarlo de ésta manera: los campos son similares a los
atributos, las tablas son similares a las clases de objetos.)

En  la  imagen  podemos  observar  un  típico  esquema  de  un  servicio  de  directorio.  Dónde,  para  llegar  al  identificador  "babs"  debemos
recorrer una estructura en forma de árbol.

Es decir, en un formato de internet, tipo URL, sería "babs.People.example.com.".

Ahora bien, en formato DN "DN: 'uid=babs, ou=People,dc=example,dc=com'".

Comúnmente  se  usan  las  estructuras  de  árbol  para  jerarquizar  la  información  en  un  medio.  Por  ejemplo,  tenemos  la  estructura  de  un
sistema de archivos dentro de un sistema operativo. De esta manera nos permiten ordenar y organizar la información en subdirectorios
que contienen información específica.

Como ejemplo, además, podemos añadir el formado de los servidores DNS. Por ejemplo, www.empresa.com que sería, www, un subdominio de empresa.com.

Para saber más
 
En el siguiente enlace obtendrás más información sobre la personalización del directorio:

Personalizando el esquema de directorio.

Autoevaluación
 
¿Qué entendemos por esquema en un entorno LDAP?
  
Un gráfico indicando la organización del LDAP.
Es un modelo de los datos.
Es un modelo transaccional entre varias bases de datos que se interrelacionan con el sistema base.
Es la base de datos del sistema que sirve de referencia o índice de todos los recursos, grupos y usuarios del sistema.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 6/30
10/10/2016 ASO01_Contenidos

Funciones del dominio I.

Caso práctico
 
En las sucesivas reuniones y puestas en común que hemos tenido, hemos ido recopilando datos de qué es un Servicio de Directorio y, más concretamente, la base de
datos LDAP.

Diego y Jimena, con los datos que han recopilado nos indican que tenemos que definir qué funciones y tareas que gestionará el servicio LDAP queremos implantar.

Actualmente  hay,  en  el  mercado,  dos  productos  que  están  basados  en  la  misma  idea,  LDAP.  Estos  son  Active  Directory  de  Microsoft
para plataformas propietarias de Windows y OpenLDAP, de libre distribución.

¿Por  qué  marcamos  estas  diferencias?  Porque  Active  Directory  integra  todos  los  servicios  dentro  del  Directorio  Activo.  Sin  embargo,
openLDAP no los integra, deben ser integrados o, más bien, ceder parte del control de un servicio al servicio openLDAP.

A  modo  de  ejemplo:  en  Linux  existen  servicios  como  Samba,  NFS.  Son  servicios  independientes  y  gestionan  recursos  de  forma
independiente.  Puede  darse  el  caso  que  unos  determinados  usuarios  queramos  que  entren  a  unos  recursos  que  gestionan  estos  dos
servicios.  Entonces  habrá  que  configurar  ambos  servicios  para  que  estos  usuarios  puedan  acceder  a  los  recursos  mencionados.  Pues
bien, si estos servicios los integramos en OpenLDAP, sólo será necesario configurar estos usuarios dentro del LDAP para que accedan a
dichos recursos.

Dadas las características de LDAP sus usos más comunes son:

Directorios de información. Por ejemplo bases de datos de empleados organizados por departamentos (siguiendo la estructura organizativa de la empresa) o cualquier
tipo de páginas amarillas.
Sistemas  de  autenticación/autorización  centralizada.  Grandes  sistemas  donde  se  guardan  grandes  cantidades  de  registros  y  se  requiere  un  uso  constante  de  los
mismos.
Por ejemplo:
Active  Directory  Server  de  Microsoft,  para  gestionar  todas  las  cuentas  de  acceso  a  una  red  corporativa  y  mantener  centralizada  la  gestión  del  acceso  a  los
recursos.
Sistemas de autenticación para páginas web, algunos de los gestores de contenidos más conocidos disponen de sistemas de autenticación a través de LDAP.
Sistemas de control de entradas a edificios, oficinas, etc.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 7/30
10/10/2016 ASO01_Contenidos

Funciones del dominio II.
Veamos más características de LDAP:

Sistemas de correo electrónico. Grandes sistemas formados por más de un servidor que accedan a un repositorio de datos común.

Pongamos como ejemplo un caso práctico:

Cada  usuario  se  identifica  por  su  dirección  de  correo  electrónico,  los  atributos  que  se  guardan  de  cada  usuario  son  su  contraseña,  su  límite  de
almacenamiento  o  cuota,  la  ruta  del  disco  duro  donde  se  almacenan  los  mensajes  (buzón)  y  posiblemente  atributos  adicionales  para  activar
sistemas anti­spa o anti­virus.

Como se puede apreciar en este sistema LDAP, recibirá cientos de consultas cada día (una por cada email recibido y una cada vez que el usuario
se  conecta  mediante  POP3,  IMAP  o  webmail,  utilizando  el  protocolo  IMAP  o  POP3).  No  obstante,  el  número  de  modificaciones  diarias  es  muy
bajo, ya que sólo se puede cambiar la contraseña o dar de baja al usuario, operaciones ambas que no se realizan de forma frecuente.

Sistemas de alojamiento de páginas web y FTP, con el repositorio de datos de usuario compartido.
Grandes sistemas de autenticación basados en  RADIUS, para el control de acceso de los usuarios a una red de conexión o ISP.

Poniendo un ejemplo:

Cada usuario se identifica con un nombre de usuario y los atributos asignados son la contraseña, los permisos de acceso, los grupos de trabajo a los que pertenece, la fecha de
caducidad de la contraseña, etc.

Este  sistema  recibirá  una  consulta  cada  vez  que  el  usuario  acceda  a  la  red  y  una  más  cada  vez  que  acceda  a  los  recursos  del  grupo  de  trabajo  (directorios  compartidos,
impresoras, etc.) para comprobar los permisos del usuario.

Frente a estos cientos de consultas solo unas pocas veces se cambia la contraseña de un usuario o se le incluye en un nuevo grupo de trabajo.

Servidores de certificados públicos y llaves de seguridad.
Autenticación única ó " single sign­on" para la personalización de aplicaciones.
Perfiles de usuarios centralizados, para permitir itinerancia ó "Roaming". Por ejemplo, en Active Directory los perfiles nos permiten mantener ciertos elementos (como
escritorio y "mis documentos") guardados en el propio servidor. En el equipo local aparecen como usuarios móviles, el otro perfil es el local.
Libretas de direcciones compartidas.

Autoevaluación
 
Un uso muy común de LDAP es …
  
Controlar los accesos al sistema.
Gestión de usuarios y grupos
Sustituir diversos servicios del sistema.
Actúa como CRM (servicio al cliente) del sistema.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 8/30
10/10/2016 ASO01_Contenidos

Controladores de dominio.

Caso práctico
 
En la última reunión Jimena planteó la posibilidad de realizar accesos a través de Internet. Plantea un problema —dijo Diego—, la seguridad. Hubo un debate si permitir
accesos desde Internet o bien utilizar la red Internet y crear DNS internas creando una Intranet empresarial.

Finalmente se deja la decisión a gerencia informando de las ventajas y desventajas de tener un dominio cualificado.

Empezamos por preguntarnos, ¿qué es un controlador de dominio? Un controlador de dominio es una entidad administrativa, esto es, no
es un ordenador en concreto, sino un conjunto de ordenadores agrupados que se ciñen a unas reglas de seguridad y autenticación comunes.

Para regular un dominio, se precisa al menos de un equipo que sea el controlador principal, la fuente primera donde se almacenan las reglas
del  dominio,  y  donde  serán  consultadas  esas  reglas  en  última  instancia.  Un  controlador  primario  de  dominio  (PDC)  puede  implementarse
tanto bajo Windows como bajo Linux.

Por ejemplo, el controlador de dominio es el centro neurálgico de un dominio de un servidor Windows con Active Directory. Los controladores
de dominio tienen una serie de responsabilidades. Una de ellas es la autenticación de los usuarios que acceden al sistema. De esta forma
podrá  denegar  el  acceso  a  los  recursos  compartidos  de  la  propia  máquina  o  a  otra  máquina  de  la  red.  Y  esto  se  realiza,  normalmente,
mediante la combinación de usuario y clave.

¿Pueden  existir  varios  controladores  de  dominio?  No,  si  queremos  implementar  un  sistema  de  control  único  a  distintos  recursos  de  la  red,  no  debemos  crear  varios
dominios. Sí es conveniente que existan varios servidores que permitan distribuir los recursos a los que accederán los distintos usuarios.

Por ejemplo, en servidores Windows el servidor puede estar como controlador de dominio, como servidor miembro (es un equipo en el que se ejecuta Windows 2008 y pertenece
al dominio, pero que no actúa como controlador de dominio. Puede realizar funciones de servidor de aplicaciones, de impresión, etc.), y como servidor independiente (se trata de
un servidor que se incorpora a un grupo de trabajo en lugar de a un dominio).

En el caso de servidores Windows, pueden coexistir más de un servidor como controlador de dominio pero para dominios completamente distintos. Inclusive puede existir lo que
se denomina una confianza mutua. Es decir, se confían datos de un controlador de dominio a otro pero realmente son controladores de su propio dominio.

Otro  caso  es  que  un  servidor  sea  subdominio  o  secundario  de  otro.  Active  Directory  permite  crear  estructuras  jerárquicas  de  dominios  y  subdominios,  facilitando  la
estructuración de los recursos según su localización o función dentro de la organización a la que sirven. Otra diferencia importante es el uso de estándares como X.500 y LDAP
para el acceso a la información.

Autoevaluación
 
La función de un controlador de dominios es…
  
Gestionar las consultas de un dominio.
Dar servicio a las máquinas clientes.
Ceñirse a unas reglas de seguridad y autenticación comunes siendo una entidad administrativa unificada.
Ninguna respuesta es correcta.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 9/30
10/10/2016 ASO01_Contenidos

Acciones sobre el servicio de directorio.

Caso práctico
 
Ya hemos decidido, en el departamento de informática, qué batería de pruebas realizaremos. Se van a aplicar sobre máquinas virtuales debidamente configuradas para
que soporten los distintos sistemas operativos, tanto los que actuarán como servidores, como los que actuarán como clientes.

Diego va a supervisar a Jimena que será la encargada de realizar esta tarea.

Una vez acabado todo el proceso, se realizará un informe que se remitirá a gerencia.

Ya sabemos que el servicio de directorio se basa en la arquitectura del modelo cliente­servidor.

Uno o más servidores LDAP contienen los datos que conforman el árbol de directorio LDAP o base de datos troncal, el cliente LDAP se conecta
con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de donde puede el
cliente  encontrar  más  información.  No  importa  con  qué  servidor  LDAP  se  conecte  el  cliente,  ya  que  siempre  observará  la  misma  vista  del
directorio; el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que haría referencia en otro servidor LDAP.

Para  llegar  al  momento  en  que  el  servicio  de  directorio  se  comporte  para  lo  que  fue  diseñado,  debemos  seguir  un  proceso:  instalación,
configuración y personalización.

Desde luego, debe realizarse una planificación de todo el proceso. Qué vamos a instalar, qué árbol, qué grupos tendremos, qué usuarios y en qué
grupos estarán englobados, qué privilegios tendrán, con qué recursos contaremos, qué privilegios tendrán los distintos usuarios y/o grupos sobre
los recursos, a qué máquinas dará servicio, cómo se conectarán, etc.

Todo eso debe estar planificado antes de proceder a la realización de la instalación.

Autoevaluación
 
Debemos  organizar,  antes  de  proceder  a  la  instalación,  el  árbol  de  directorio.  Es  decir,  saber  todos  los  usuarios,  claves,  máquinas,  grupos,  etc.  que  se
unirán al árbol de directorio.
  
Verdadero.
Falso

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 10/30
10/10/2016 ASO01_Contenidos

Instalación.
Una  vez  que  tengamos  planificado  cómo  organizar  el  servidor  LDAP,  procedemos  a  realizar  la  instalación.  Lo  primero  que  debemos  tener  es  el  sistema  base,
independientemente del sistema operativo que debemos utilizar (tomaremos como referencia los sistemas operativos Windows 2008 Server, en cualquiera de sus versiones, y el
sistema operativo Linux en cualquiera de sus distribuciones).

Es decir, instalamos el sistema operativo "en bruto".

Para saber más
 
En el siguiente enlace observamos cómo se instala el Active Directory en el sistema operativo Windows 2008 server.

Instalación de Active Directory.

Resumen textual alternativo

Y en el siguiente la instalación del servicio LDAP en GNU/Linux (Ubuntu server 10.10).

Instalación de LDAP en GNU/Linux.

Resumen textual alternativo

Reflexiona
 
Las  instalaciones  de  LDAP  en  sistemas  operativos  GNU/Linux,  suelen  tener  ciertas  diferencias  con  respecto  a  las  configuraciones  especificadas  por  la  web  de
openLDAP.  Debemos  visitar  la  página  oficial  de  la  distribución  para  observar  las  diferencias  y  seguir  sus  indicaciones  y  así  conseguir  instalar,  adecuadamente,  el
servicio LDAP.

Autoevaluación
 
Cuando se procede a realizar la instalación de un controlador de dominio debemos indicar el dominio que va a gestionar.
  
Verdadero.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 11/30
10/10/2016 ASO01_Contenidos
Falso.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 12/30
10/10/2016 ASO01_Contenidos

Configuración.
En primer lugar, deberemos tener organizadas las unidades organizativas, los grupos, los usuarios y los recursos.

Posteriormente, debemos articular todas las interfaces necesarias para que este servicio esté disponible desde una conexión remota.
Como por ejemplo desde otro equipo que actúe como cliente. Recuerda que estamos en una arquitectura cliente/servidor.

¿Qué significa "articular todas las interfaces necesarias"? Pues realizar tareas como:

Configuración del Protocolo Internet (IP).
Activar la conexión de red durante la instalación.
Conexión "Siempre encendido". Sólo si queremos proporcionar a los clientes acceso a Internet.
Configuración DNS.
Conexiones de cliente.
NetBIOS sobre TCP/IP. Sólo Active Directory.
Paquete de cifrado elevado y software de conexión a Internet. Sólo Active Directory.

Para el caso de Active Directory, este servicio integra todo el sistema local en el sistema del dominio. Es decir, no debemos realizar ninguna tarea salvo asignar la clave, en la
instalación, del usuario administrador. Todo el sistema de recursos lo gestiona directamente su LDAP.

En el caso de LDAP para GNU/Linux cambia radicalmente el concepto y la configuración. ¿Por qué? Porque LDAP realmente lo trata como servicio y las tareas que debemos
realizar serán que deleguen los servicios que deseamos integrar para que los gestione LDAP. ¿Qué tareas debemos realizar? En primer lugar, migrar los usuarios y grupos del
sistema como parte integrante del LDAP.

Para saber más
 
En el ejemplo de configuración que puedes descargarte, veremos más detalladamente cómo configurar un servidor con un cliente.

Configuración de Active Directory para conectarse desde una máquina que actúa de cliente.

Resumen textual alternativo

Y en el siguiente enlace verás la instalación del servicio LDAP en GNU/Linux (Ubuntu server 10.10).

Configuración de LDAP en GNU/Linux y probando su conectividad desde un equipo cliente.

Resumen textual alternativo

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 13/30
10/10/2016 ASO01_Contenidos

Personalización.
¿Qué  significa  "personalizar"  un  servicio?  La  personalización  es  el  acto  de  adaptar  el  resultado  en  primer  lugar  a  la  instalación  y  posterior
configuración general, y en segundo lugar adaptarlo a las necesidades requeridas.

Pongamos  un  ejemplo,  con  el  AD  (Active  Directory)  necesitamos  que  los  usuarios  accedan,  desde  un  terminal,  a  su  área  de  trabajo
asignando una unidad lógica a esa área de trabajo. Bien, pues debemos lanzar el programa para gestionar los usuarios y equipos de AD y
realizar las tareas que nos conduzcan a cumplir con los requisitos necesarios.

Otro ejemplo más, si tenemos una máquina con servidor Ubuntu 10.10 y queremos configurar la autenticación en LDAP: dpkg‐reconfigure
ldap‐auth‐config podremos modificar cómo queremos que se realice la autenticación.

Más  ejemplos.  Pongamos  el  ejemplo  de  un  servidor  GNU/Linux  con  el  servicio  LDAP  instalado.  Tendremos  también,  Samba,  para  poder
acceder desde máquinas Windows. Si deseamos que el servidor GNU/Linux actúe como  PDC, debemos personalizar el servicio Samba teniendo en cuenta que debe estar
debidamente conectado al servicio LDAP. Comprobar los requisitos necesarios para que actúe como controlador de dominio.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 14/30
10/10/2016 ASO01_Contenidos

Integración del servicio de directorio con otros servicios.

Caso práctico
 
Una vez que Jimena y Diego han instalado el LDAP y configurado todo el esquema, probado las credenciales de los usuarios, deberán pasar a la fase de los servicios
que controlará el servicio LDAP.

Deben tener especial cuidado en el aspecto de seguridad. No deben dar ciertos permisos no controlados y obtener accesos no deseados.

Ya se ha mencionado anteriormente que el LDAP es un servicio independiente. Y debemos tener otros servicios como, por ejemplo, servidor
FTP,  servidor  de  correo  electrónico,  SMTP  y/o  POP3/IMAP,  etc.  Para  obtener  las  ventajas  de  dicho  servicio,  debemos  estimar  cuáles
deseamos integrar dentro del LDAP.

Pongamos un ejemplo.

El  servidor  FTP  cuando  un  usuario  intenta  conectarse  al  servidor  FTP  lo  hará  con  unas  credenciales.  Estas  credenciales,  por  defecto,
estarán integradas en el sistema. Si el usuario "juan" con contraseña "SanTanDer" quiere acceder a su área de trabajo, utilizará un cliente
FTP, introducirá su usuario y contraseña, y, si es correcto, accederá a su área de trabajo.

El  usuario  y  su  correspondiente  contraseña,  en  sistemas  operativos  GNU/Linux,  se  encuentran  en  los  archivos  "/etc/passwd"  y
"/etc/shadow".

Utilizando el servicio LDAP como soporte para las credenciales de los usuarios, el usuario que intente acceder a su área de trabajo, estará en la base de datos del sistema o en
la base de datos del servicio LDAP. Para conseguir esto, debemos indicarle, en la configuración del servicio FTP, que busque los usuarios, aparte de en la base de datos del
sistema operativo, en la base de datos que utiliza el servicio LDAP.

En el caso de AD (Active Directory) todos los servicios propios del sistema operativo se integran automáticamente. Sólo debemos tener en cuenta aquellos que no son propios
del sistema operativo. Por ejemplo, si instalamos el servidor Apache, es posible que no lo integre en el AD y tenemos que realizarlo nosotros manualmente.

Autoevaluación
 
El servicio LDAP es un servicio que integra, de forma automática, otros servicios.
  
Verdadero.
Falso.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 15/30
10/10/2016 ASO01_Contenidos

Filtros de búsqueda.

Caso práctico
 
Cuando  queremos  realizar  búsquedas  de  un  objeto,  o  entradas  en  el  directorio,  en  concreto  debemos  acotar  las  restricciones  de
búsqueda. Es decir, cuando realizamos una búsqueda de una entrada en el árbol de directorio es porque no sabemos cuál es su entrada.
Pero podemos "intuir" por dónde buscar.

Diego le pone un ejemplo a Jimena:

—Si  buscamos  en  un  listín  telefónico  el  número  de  teléfono  de  Juan  Martínez  que  sabemos  que  vive  en  la  calle  Juan  Fernández.
Buscamos alfabéticamente por la "M" y después seguimos por los apellidos hasta encontrarnos con "Martínez". Como habrá muchos (es
un  apellido  muy  común)  comprobaremos  aquellos  que  vivan  en  la  calle  "Juan  Fernández".  ¿Hemos  acotado  la  búsqueda?  —pregunta
Diego— Sí, hemos restringido la búsqueda teniendo en cuenta los datos que ya conocemos —responde Jimena.

Pues de eso se trata, restringir las búsquedas mediante filtros, mediante restricciones con información que ya disponemos. Cuanta más información tengamos, menor cantidad
de resultados nos dará y será más fácil encontrar el objeto que buscamos.

La búsqueda de objetos o entradas al directorio se pueden realizar bien a nivel de comando, o bien con un entorno gráfico que permita esta opción.

Autoevaluación
 
¿Para qué podemos utilizar los filtros de búsqueda?
  
Para gestionar el LDAP.
Para separar los usuarios del sistema del árbol del directorio.
Para buscar un objeto en el árbol de directorio.
Ninguna respuesta es correcta.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 16/30
10/10/2016 ASO01_Contenidos

Filtros de búsqueda en GNU/Linux I.
En  un  entorno  LDAP  de  GNU/Linux,  y  en  modo  terminal,  utilizamos  el  comando  ldapsearch.  Este  comando  abre  una  conexión  a  un
servidor LDAP, enlaza y hace una búsqueda usando los parámetros especificados.

El comando ldapsearch incluido en las últimas versiones de OpenLDAP tiene esta sintaxis:

ldapsearch [opciones] [filtros [atributos_a_recuperar]]
Debemos entender por filtro la condición que se debe cumplir para la búsqueda de entradas.

Parámetros obligatorios:
‐b basedn: especifica el DN base para las búsquedas.
‐s scope: alcance de la búsqueda: base, one ó sub.
Parámetros opcionales:
‐A: sólo muestra los nombres de los atributos (no los valores).
‐a deref: referencias a los alias: never, always, search, or find.
‐B: permite imprimir valores no­ASCII.
‐D binddn: cuando se autentica con un directorio, permite especificar la entrada binddn. Usar con la opción ‐w password.
‐d debug level: nivel de debug.
‐E "character_set": especifica la página de codificación de caracteres.
‐f file: ejecuta la sentencia de búsquedas archivadas en el archivo file.
‐h ldaphost: conecta al servidor LDAP en la dirección ldaphost. El valor por defecto es localhost.
‐L: muestra las entradas en formato LDIF.
‐l timelimit: cuenta atrás en segundos antes de abandonar una búsqueda.
‐p ldapport: conecta al servidor en el puerto TCP especificado en ldapport. Por defecto conecta en el puerto 389.
‐S attr: ordena los resultados por el atributo indicado.
‐v: modo extendido.
‐w passwd: especifica la contraseña para hacer el bind (para autenticación simple).
‐z sizelimit: especifica el número máximo de entradas que pueden ser mostradas.

Un ejemplo completo con el comando:

ldapsearch ‐LLL ‐h localhost ‐p 389 –x ‐D "cn=admin,dc=sored,dc=local" ‐w claveAdmin ‐b "ou=People,dc=sored,dc=local"
Lo veremos más detenidamente en el siguiente apartado.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 17/30
10/10/2016 ASO01_Contenidos

Filtros de búsqueda en GNU/Linux II.
ldapsearch  ‐LLL  ‐h  localhost  ‐p  389  –x  ‐D  "cn=admin,dc=sored,dc=local"  ‐w  claveAdmin  ‐b
"ou=People,dc=sored,dc=local"
¿Qué significa toda la línea?

‐LLL: define el tipo de formato LDIF que entregará el comando. Las tres L permiten obtener una salida que es importable a través de los
comandos de manipulación LDIF adecuados.
‐h localhost: corresponde al host donde se encuentra el árbol. En nuestro caso, nuestra propia máquina.
‐p 389: el puerto sobre el que atiende el servidor.
‐D "cn=admin,DC=sored,DC=local": indica la entrada (usuario) a la que nos uniremos para hacer las consultas. Esto es especialmente
importante, como es lógico, para los árboles LDAP que no permiten ingresos anónimos.
‐w claveAdmin: la contraseña para el bind con el dato anterior. Junto con la clave, el usuario presenta las credenciales de autenticación
que deberían permitir la búsqueda.
‐b "ou=People,DC=sored,DC=local": la base de búsqueda.

Otros ejemplos:

ldapsearch ‐x –h localhost –x –b 'dc=sored,dc=local' 'cn~=profesores' cn sn mail
Busca  entradas  al  directorio  que  sea  parecido  a  profesores.  Sólo  mostrará  el  atributo  cn,  sn  y  mail.  Si  no  se  marcan  los  atributos  que  queramos  ver,  se  mostrarán  todos.  El
último valor, 'cn~=profesores' busca una entrada similar a "profesores".

Si sustituimos el filtro por, por ejemplo, 'cn=*jos*' nos mostrará todas las entradas que contengan las letras "jos".

La forma de expresar consultas complejas en LDAP es a través de notación prefija, en la que el operador lógico se antepone. Los operadores válidos son !, | y & , para NOT, OR
y AND respectivamente. Podemos utilizar diferentes tipos de consulta. Igualdad: (cn=Juan); Presencia: (uid=*); Substring: (sn=J*); Semejanza: (ou~=Joan)

Ejemplo de uso: (|(cn~=Pedro)(cn=Peter)) : Que tenga el atributo cn parecido a Pedro o sea igual a Peter.

No debemos olvidar que, al tratarse de un comando, podemos combinarlo con otros y obtener una búsqueda más filtrada.

Por ejemplo: ldapsearch ‐x | grep 'mail:' | cut ‐d " " ‐f 2 > pp; echo $(cat pp | awk '{print $1"," }') > email

Explicación: el archivo email contendrá la lista de todos los e­mail, separados por comas "," y en una sola línea.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 18/30
10/10/2016 ASO01_Contenidos

Filtros de búsqueda en Windows server.
Y,  ¿en  Windows?  En  Windows  Server  tenemos  comandos  que  pueden  sernos  de  utilidad  para  realizar  búsquedas  restringidas  mediante
filtros.

Uno de estos comandos es dsquery. Pongamos un ejemplo:

dsquery user ‐name usua*|dsget user –samid ‐upn
Busca,  en  el  árbol  de  directorio,  a  todos  los  usuarios  que  comiencen  por  "usua".  Además,  muestra  el  nombre  de  usuario  (­samid)  y  el
nombre principal de usuario (­upn).

Otro ejemplo: dsquery user "dc=sored,dc=local" obtendríamos las entradas al árbol del AD. Es decir, como la siguiente:

"CN=Administrador,CN=Users,DC=sored,DC=local"
"CN=Invitado,CN=Users,DC=sored,DC=local"
"CN=krbtgt,CN=Users,DC=sored,DC=local"
"CN=usuario01,OU=misusuarios,DC=sored,DC=local"
"CN=usrlocal01,OU=usrLocal,DC=sored,DC=local"
"CN=usuario02,OU=misusuarios,DC=sored,DC=local"

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 19/30
10/10/2016 ASO01_Contenidos

Creación de dominios.

Caso práctico
 
Gerencia ha devuelto el informe que se emitió con la valoración sobre qué tipo de dominios que se deben instalar en nuestra empresa.

La  motivación  para  la  devolución  consiste  en  que  existan  pruebas  de  fatiga  para  ambos  casos.  Y,  una  vez  realizadas,  remitir  un  informe  con  los  resultados  de  esas
pruebas.

Esta tarea deberán realizarla Diego y Jimena. Crearán una base de datos de pruebas y registrarán su resultado.

Cuando creamos un dominio debemos considerar en qué jerarquía se encuentra el servidor que estamos instalando. Es decir, si la función
del  servidor  es  ser  un  controlador  de  dominio  raíz,  si  va  a  albergar  un  subdominio  y,  por  consiguiente,  debe  indicar  dónde  se  ubica  el
controlador  de  dominio,  etc.  En  definitiva,  cuando  se  habla  de  dominios  podemos  estar  hablando  de  dominios  cualificados  (registrados  en
Internet) o bien dominios de carácter empresarial, institucional o asociativo.

Pero no debemos olvidar que puede tratarse de un dominio, por ejemplo empresarial, que, a la vez, está registrado en Internet. Puede darse
la  coincidencia  que  registremos  un  dominio,  por  ejemplo  entretuyyo.com,  que  utilizaremos  para  que  se  estén  relacionando  entre  los
distintos servidores pero que puede ser accesible desde cualquier puesto conectado a Internet y ver la página web de la empresa.

Hemos  visto  cómo  crear  un  dominio  tanto  en  Windows  2008  como  en  GNU/Linux  con  OpenLDAP.  Cuando  deseemos  que  un  dominio  sea
parte integrante de otro, es decir, que sea un subdominio de un dominio ya existente, debemos realizar una serie de operaciones cómo se
indican en el siguiente vídeo.

Para saber más
 
En este enlace vemos, paso a paso, la configuración de un dominio en Windows 2008.
Configuración de un dominio en Windows 2008.

Autoevaluación
 
Un dominio LDAP debe estar cualificado por un organismo autorizado en Internet.
  
Verdadero
Falso

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 20/30
10/10/2016 ASO01_Contenidos

Objetos que administra un dominio.

Caso práctico
 
Diego  y  Jimena  ya  han  instalado  el  LDAP,  configurando  los  servicios  que  gestiona,  etc.  Deben  organizar  los  objetos  que  administrará  nuestro  LDAP.  Cómo
estructurarlos, quién gestionará esos objetos. Ya sabemos que el administrador puede delegar funciones; a quién delegaremos, qué delegaremos y cómo delegaremos.

¿Por qué? Porque las delegaciones tienen una propiedad que es la herencia. Y si no afinamos, podemos tener un problema de acceso.

Los objetos que administra un dominio son: organizaciones, unidades organizativas, grupos, usuarios, equipos.

Asimismo, puede gestionar servicios. En el caso de un servidor Windows, se realiza de forma automática. En el caso de OpenLDAP no.

¿Por  qué  AD  sí  y  OpenLDAP  no?  El  AD  (Active  Directory)  es  parte  integrante  del  Sistema  Operativo  del  servidor  Windows.  Sin  embargo,
OpenLDAP no, es un servicio independiente en las mismas condiciones que el resto de servicios. Para darle utilidad debemos configurar el
servicio OpenLDAP para que gestione otros servicios y también debemos configurar estos los servicios para que acepten la gestión de su
servicio por otro.

Tomemos como referencia el AD de Windows Server en sus diferentes versiones.

El Directorio Activo es una base de datos jerárquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores, o más correctamente en
nuestro caso, en un dominio de sistemas Windows Server. Esta base de datos de objetos de administración es compartida, para consultas, por todos los equipos que son, a su
vez, miembros del dominio y para modificación, por todos los controladores del dominio (o DC, Domain Controllers). Hay que añadir, a esto último, que puede existir lo que se
denomina relación de confianza entre dominios de tal manera que un controlador de dominio puede llegar a gestionar el Directorio Activo de otro.

Por tanto, en Windows Server, la gestión de un dominio puede realizarse de forma centralizada, administrando únicamente el Directorio Activo. En este contexto, "administrar"
significa crear y configurar adecuadamente los objetos del directorio que representan a las entidades o recursos que existen en el dominio: usuarios, grupos, equipos, etc.

Autoevaluación
 
El administrador de un controlador de dominio Windows server puede administrar cualquier equipo conectado a la red.
  
Sí, si está dentro de la difusión.
Sí, si está integrado en el dominio.
Sí, si el cortafuegos se lo permite y está integrado en la base de datos del controlador de dominio.
No, porque el administrador no está dado de alta en el equipo local.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 21/30
10/10/2016 ASO01_Contenidos

Usuarios globales.
Los  controladores  de  dominios  suelen  venir,  predeterminados,  con  un  conjunto  determinado  de  usuarios  calificados  como  globales.  ¿En  qué
consisten y cuál es su misión? En Windows server aparecen usuarios de carácter global como son los administradores.

Estos usuarios tienen una función determinada, con unos derechos y privilegios sobre los objetos del dominio predeterminados.

Pongamos un ejemplo. El usuario administrador del AD (Active Directory)  es  el  encargado  de  gestionar  todo  el  árbol  del  directorio.  Esto  es,  crear
objetos como grupos, usuarios, etc.; asignar recursos y derechos y privilegios de éstos, los recursos, a los distintos grupos y usuarios. También
tiene asignado tareas de mantenimiento del servidor. También podremos observar un usuario, invitado, que aparece por defecto deshabilitado.

¿Quiere esto decir que sólo el usuario administrador puede realizar tareas de administración? No, el propio administrador puede asignar o delegar
tareas a otros usuarios. Puede delegarle todo o partes.

¿Sólo pueden ser usuarios globales los que están definidos en la instalación? No, podremos añadir usuarios con esas características y
utilizarlos siguiendo un esquema predeterminado por el administrador del sistema. Pongamos un ejemplo: podremos crear un usuario,
admonprinter,  al  que  deleguemos  el  mantenimiento  de  las  impresoras  conectadas  al  servidor.  Esto  quiere  decir,  gestionar  las
impresoras así como sus colas de impresión, etc.

En  esta  imagen  podemos  observar  cómo  hay,  después  de  realizar  la  instalación  de  un  sistema  operativo  Windows  2008,  un  objeto
llamado "users" en el que están englobados todos los grupos y usuarios predeterminados del sistema.

En  el  caso  de  Windows,  el  administrador  del  AD  también  administra  el  sistema  de  forma  global.  Hay  una  "fusión"  entre  el  servicio
LDAP y el sistema.

Sin embargo, en GNU/Linux no ocurre lo mismo. Por defecto, el usuario administrador del servicio LDAP, habitualmente llamado admin o manager, no tiene por qué administrar
el sistema en su conjunto. Esa labor le corresponde al usuario "root".

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 22/30
10/10/2016 ASO01_Contenidos

Grupos.
En el caso de los grupos ocurre otro tanto. Tendremos un conjunto de grupos predeterminados con una serie de funciones, privilegios y
derechos.

Por ejemplo, un servidor Windows crea automáticamente una serie de grupos locales que pueden contener cuentas de usuario, cuentas
de usuario de dominio, cuentas de equipos y otros grupos globales.

Podemos definir tres tipos de grupos en AD:

Grupos locales del dominio: En un dominio en modo mixto, pueden coexistir cuentas de usuario y grupos globales de cualquier dominio
del  bosque.  En  un  dominio  en  modo  nativo,  pueden  contener  además  grupos  universales  y  otros  grupos  locales  del  dominio.  Sólo  son
visibles  en  el  dominio  en  que  se  crean,  y  suelen  utilizarse  para  conceder  permisos  y  derechos  en  cualquiera  de  los  ordenadores  del
dominio (en modo mixto, sólo son visibles por los DC del dominio, y por tanto sólo se pueden utilizar para administrar permisos y derechos en esos ordenadores).
Grupos  globales:  En  un  dominio  en  modo  mixto,  pueden  contener  cuentas  de  usuario  globales  del  mismo  dominio.  En  un  dominio  en  modo  nativo,  pueden  contener
además  otros  grupos  globales  del  mismo  dominio.  Son  visibles  en  todos  los  dominios  del  bosque,  y  suelen  utilizarse  para  clasificar  a  los  usuarios  en  función  de  las
labores que realizan.
Grupos universales: Sólo están disponibles en dominios en modo nativo. Pueden contener cuentas de usuario y grupos globales, así como otros grupos universales, de
cualquier dominio del bosque. Son visibles en todo el bosque.

En el caso de OpenLDAP, no tendrá grupos definidos. Sólo obtendremos un usuario, el administrador. Lo que debemos realizar es una parte que sí hace el AD. ¿Cuál es? La
migración de usuarios y grupos del sistema a usuarios y grupos de OpenLDAP.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 23/30
10/10/2016 ASO01_Contenidos

Otros.
En el caso de AD podremos observar que hay otros objetos que gestiona. Uno especialmente útil es el apartado de "computers",  que  son
los equipos que se conectan con el servidor. En esta carpeta tendremos información de todos los equipos cliente que han sido dados de alta
en  el  sistema.  El  sistema  necesita  saber  quién  ha  entrado,  con  qué  credenciales  y  desde  dónde.  Es  decir,  debe  existir  una  relación  de
confianza a nivel cliente/servidor.

¿Tiene  alguna  utilidad  más?  Por  supuesto,  podremos  seleccionar  un  equipo  y  administrarlo  de  forma  remota.  Eso  sí,  con  una  cuenta  con
nivel de administración.

No  debemos  olvidar  las  unidades  organizativas.  ¿Qué  son  y  para  qué  se  utilizan?  Las  unidades  organizativas,  cuyo  acrónimo  es  OU
(Organizational  Unit),  son  objetos  del  directorio  que  pueden  contener  otros  objetos.  El  uso  fundamental  de  las  OU  es  organizar  de  forma
lógica los objetos de un dominio. Además, podemos utilizarlos para delegar derechos y privilegios que competen a la administración los objetos seleccionados a otros usuarios
distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas específicas a la unidad.

Autoevaluación
 
Hemos  instalado,  en  el  servidor,  un  software  que  permite  imprimir  archivos  PDF.  ¿Se  puede  administrar  derechos  y  privilegios  a  usuarios  y/o  grupos  a
través del LDAP?
  
Verdadero.
Falso.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 24/30
10/10/2016 ASO01_Contenidos

Relaciones de confianza entre dominios.

Caso práctico
 
Nuestro departamento, como parte del banco de pruebas, va a realizar la instalación de varios servidores que estarán conectados
entre sí. Para ello, Jimena y Diego asesorarán al resto de sus compañeros para que conozcan qué tienen que establecer, cómo y a
qué nivel se conectarán.

Para realizar esta tarea, nos indica Jimena y Diego, debemos establecer una relación de confianza entre dominios. Lo que estamos
dilucidando es cómo realizar esa confianza, si hacerlo con dominios distintos o bien con subdominios de uno principal.

En  ocasiones  puede  ser  interesante  que  dos  organizaciones  o  dominios  necesiten  una  de  la  otra  por  intereses  comunes.  Pongamos  un
ejemplo. En una UTE hay empleados, de una de las empresas A, que necesita acceder a recursos que están ubicados en la otra empresa
B. Bien, pues una de las empresas puede generar una relación de confianza entre dominios para que un usuario determinado acceda a un
servidor en el que no ha sido dada de alta la máquina cliente.

¿Cómo  funcionaría?  Se  da  de  alta  al  usuario  en  la  empresa  B.  Al  existir  una  relación  de  confianza,  que  puede  ser  unidireccional  o
bidireccional, le deberá aparecer, al usuario, la posibilidad de autenticarse en dos dominios. Una vez seleccionado el dominio al que quiere
acceder, introducirá sus credenciales para que le autentique el servidor al que desea acceder.

Otra forma de generar una relación de confianza es crear un servidor que sea subdominio de otro. Imagínate, un grupo de empresas tiene su
servidor  con  su  dominio,  entretuyyo.com,  al  cual  acceden  una  serie  de  usuarios.  La  empresa  tiene  una  sucursal  en  Laredo  y  desea
descentralizar  el  servidor.  ¿Qué  puede  hacer?  Crear  un  servidor  en  Laredo  que  sea,  a  su  vez,  subdominio  del  principal.  Como  subdominio  podríamos  escoger,  por  ejemplo,
laredo.entretuyyo.com.

Con  las  relaciones  de  confianza  obtendremos  la  ventaja  de  no  tener  que  dar  de  alta  el  equipo  como  cliente­terminal  de  todos  los  servidores,  con  una  vez  bastará.  Es  decir,
comprobará si el equipo que no está en la base de datos del sistema está, sino, consultará, por el principio de relación de confianza, con el otro servidor para consultar si está
dado de alta en ese servidor.

Para saber más
 
En el siguiente ejemplo vemos más detalladamente cómo se crea una relación de confianza instalando un subdominio de otro ya existente.

Creación de un controlador de dominio que es subdominio de otro servidor.

Resumen textual alternativo

Autoevaluación
 
¿Se pueden realizar relaciones de confianza, Windows 2008, entre servidores de distinto dominio?
  
No, en ningún caso.
Sí, pero sólo en un sentido.
Sí, puede ser unidireccional y bidireccional.
No, sólo es posible en el sentido subdominio a dominio.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 25/30
10/10/2016 ASO01_Contenidos

Herramientas gráficas de administración del servicio de directorio.

Caso práctico
 
Ya  tenemos  todo  instalado  y  funcionando.  Nuestro  principal  inconveniente  es  la  administración.  Hay  que  intentar  que  esta  sea  lo  más  cómoda  y  rápida  posible.  La
manera más cómoda es mediante herramientas gráficas.

Jimena y Diego, que ya están suficientemente cualificados sobre el tema, nos introducirán en el tema de las herramientas gráficas.

Entre todos, con el debido asesoramiento de Diego y Jimena, valoraremos de qué herramientas disponemos, sus características y ver si es factible utilizarlas por su
sencillez y, sobre todo, por su nivel de seguridad.

Hoy  en  día,  es  impensable  trabajar  todas  las  aplicaciones  a  nivel  de  comando.  Así  como  en  sistemas  basados  en  Windows,  las  herramientas
gráficas están completamente integradas en el sistema, no ocurre tanto en sistemas basados en GNU/Linux.

A  diferencia  de  Windows,  las  herramientas  gráficas,  habitualmente  realizan  tareas  de  frontend.  Es  decir,  realmente  funcionan  como  rutinas  que
llaman a comandos del sistema para realizar las tareas encomendadas.

¿Esto es bueno? Tal vez, pero lo que es innegable es que si el entorno gráfico de una aplicación no funciona adecuadamente, siempre podremos
trabajar a nivel de terminal. Lo cual, siempre será una ventaja contra aquellas aplicaciones que sólo funcionan en modo gráfico (Windows).

A continuación vamos a valorar las ventajas de las herramientas gráficas.

Escribir  menos  código  y  ahorrar  tiempo:  gracias  a  las  herramientas  gráficas,  se  pueden  crear  interfaces  de  usuario  basadas  en  tecnologías
visuales. De esta manera, podemos generar una orden sencilla o compleja seleccionando objetos y relacionando estos con la tarea que queremos generar.

Ayuda personalizada: la definición de interfaces de usuario supone algunas ventajas adicionales. Por ejemplo, el administrador es quien decide qué temas de ayuda u objetos se
necesitan para administrar.

Independiente de plataforma: las herramientas gráficas pueden ser independientes de la plataforma, por ejemplo, en GNU/Linux disponemos de una herramienta gráfica que se
maneja a través de un servidor web, Webmin. Con este panel podremos administrar, local o remotamente, un servidor.

Sitio oficial de Webmin

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 26/30
10/10/2016 ASO01_Contenidos

Herramientas gráficas en Windows Server.
La  herramienta  administrativa  más  utilizada  de  Active  Directory  es  "usuarios  y  equipos  de  Active  Directory".  Esta  herramienta
permite  gestionar  todos  los  permisos  y  privilegios  de:  unidades  organizativas,  grupos,  usuarios,  etc.  Agregar  máquinas  al  dominio,
administrar dichas máquinas, etc.

En la imagen se muestra la organización del dominio con esta herramienta.

En  el  panel  izquierdo  de  Usuarios  y  equipos  de  Active  Directory  está  el  árbol  de  la  consola,  que
muestra  el  nombre  de  dominio  completo  en  el  nivel  raíz.  El  contenedor  raíz  incluye  varios
contenedores predeterminados:

Builtin: contenedor para cuentas de usuario integradas.
Computers: contenedor predeterminado para objetos de equipo.
Domain Controllers: contenedor predeterminado para controladores de dominio.
ForeignSecurityPrincipals: contenedor para entidades principales de seguridad de dominios externos de confianza. Los administradores
no deben modificar manualmente el contenido de este contenedor.
UsersContenedor: predeterminado para objetos de usuario.

Además de ésta útil herramienta, tenemos otras más específicas. Todas ellas las encontramos en el menú de "herramientas administrativas" pulsando en el botón "Inicio". Tal
como se muestra en la imagen.

Para saber más
 
En  Active  Directory,  las  herramientas  administrativas  gráficas  nos  permiten  gestionar,  muy  eficientemente  el  árbol  de  directorio.  El  siguiente  enlace  nos  muestra
distintas herramientas gráficas que gestionan el mencionado árbol de directorio.

Herramientas de soporte de Active Directory

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 27/30
10/10/2016 ASO01_Contenidos

Herramientas gráficas en distribuciones GNU/Linux.
En  similar  situación  se  encuentran  las  herramientas  gráficas  de  LDAP.  Tenemos  una  herramienta  web  muy  popular,  phpldapadmin,
con la cual podremos gestionar todos los objetos LDAP del servidor. En la imagen se muestra la apariencia de esta utilidad.

La forma de acceso es indicándole el usuario con nombre distinguido (DN). Es decir, el usuario admin se le indicará, en el login, como
cn=admin,dc=sored,dc=local. Posteriormente, introducimos la clave correspondiente.

A nivel de aplicación de escritorio, destacamos dos: jxplorer y gq.

Una  herramienta,  a  nivel  de  aplicación  escritorio,  es  la  aplicación  jxplorer.  Nos  permite
conectar  a  un  servidor  LDAP,  tanto  si  ese  servidor  está  en  nuestro  propio  equipo  como  en
otro externo, y realizar tareas comunes de administración del árbol de directorio.

No debemos olvidar que la forma de acceso a los recursos LDAP se debe realizar en formato LDAP. Es decir, introducimos el dominio
indicando el formato, por ejemplo el dominio sored.local y el usuario admin:

DN: dc=sored, dc=local
User DN: cn=admin, dc=sored, dc=local
Password: su clave correspondiente.

Para saber más
 
Si quieres más información sobre esta aplicación, puedes conseguirla en el siguiente enlace:

Sitio oficial de jxplorer

Aparte  de  estas  dos  herramientas,  tenemos  una  de  ámbito  general.  Se  trata  de  la  aplicación  Webmin.  Es  una  herramienta  de  configuración  de  sistemas  accesible  vía  web
compatible  son  el  servicio  Apache  (suele  utilizar  el  puerto  10000  para  su  acceso)  para  OpenSolaris,  GNU/Linux  y  otros  sistemas  derivados  de  Unix.  Aunque  es  general,
podremos administrar, también, el servicio LDAP.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 28/30
10/10/2016 ASO01_Contenidos

Anexo.­ Licencias de recursos.
Licencias de recursos utilizados en la Unidad de Trabajo.
Recurso (1) Datos del recurso (1) Recurso (2) Datos del recurso (2)

Autoría: Tricky.
Autoría: Lemonade_Jo.
Licencia: CC by­nc­sa.
Licencia: Dominio público.
Procedencia:
Procedencia: http://www.openclipart.org/detail/98833/folde
http://www.flickr.com/photos/sovietuk/245712772/sizes/o/in/photostream/

Autoría: Ministerio de Educación Autoría: Ministerio de Educación

Licencia: CC by­sa. Licencia: CC by­sa

Procedencia:  Montaje  sobre: Procedencia:  Montaje 


http://commons.wikimedia.org/wiki/File:AD2003.JPG. http://www.flickr.com/photos/arrayexception/3661642615/s

Autoría: Topsy at Waygood Autoría: Paulrossman

Licencia: CC by­nc­sa Licencia: CC by­nc­nd

Procedencia: Procedencia:
http://www.flickr.com/photos/wygd/1350904981/sizes/o/in/photostream/ http://www.flickr.com/photos/paulrossman/4246322529/siz

Autoría: Ministerio de Educación Autoría: Davide Capasso / daccap

Licencia: public domain. Licencia: public domain.

Procedencia: http://commons.wikimedia.org/wiki/File:LDAP_RFC_Hist.jpg Procedencia: http://www.openclipart.org/detail/131179/inte

Autoría: Wilfredo Rodriguez
Autoría: OpenLDAP
Licencia: CC by­sa
Licencia: Copyright (Cita)
Procedencia:
Procedencia: http://www.openldap.org/devel/admin/guide.
http://commons.wikimedia.org/wiki/File:Esquema_Navegacional.png

Autoría: gTarded Autoría: querkmachine

Licencia: CC by­nc­nd Licencia: CC by

Procedencia: Procedencia:
http://www.flickr.com/photos/gtarded/3210432763/sizes/l/in/photostream/ http://www.flickr.com/photos/querkmachine/5742825143/s

Autoría: jared Autoría: Andrés Rueda.

Licencia: CC by. Licencia: CC by

Procedencia: Procedencia:
http://www.flickr.com/photos/generated/1475474/sizes/o/in/photostream/ http://www.flickr.com/photos/andresrueda/5274283568/siz

Autoría: barriosenaccion. Autoría: frankdasilva.

Licencia: CC by­nc­nd. Licencia: CC by­nc­nd.

Procedencia: Procedencia:
http://www.flickr.com/photos/barriosenaccion/5248299521/sizes/l/in/photostream/ http://www.flickr.com/photos/crystaleagle/2386230724/siz

Autoría: tresrazones.
Autoría: Ministerio de Educación
Licencia: CC by­nc­nd.
Licencia: CC by­nc
Procedencia:
Procedencia: http://www.flickr.com/photos/yggg/73479292
http://www.flickr.com/photos/tresrazones/4068412312/sizes/o/in/photostream/.

Autoría: Tawel Autoría: JorgeBrazil

Licencia: CC by­nc­sa Licencia: CC by

Procedencia: Procedencia:
http://www.flickr.com/photos/tawel/2186735918/sizes/m/in/photostream/ http://www.flickr.com/photos/jorgebrazil/3488730782/sizes

Autoría: imad Autoría: ratsinis

Licencia: Dominio Público. Licencia: CC by­nc­nd

Procedencia: http://www.openclipart.org/detail/133363 Procedencia: http://www.flickr.com/photos/ratsinis/285692

Autoría: Tamorlan Autoría: ajgelado

Licencia: CC by­nc­nd. Licencia: CC by­nc­nd

Procedencia: Procedencia:
http://www.flickr.com/photos/ajgelado/2614003403/sizes/l/in/photostream/. http://www.flickr.com/photos/ajgelado/2614003403/sizes/l

Autoría: arquitextonica.
Autoría: Kn
Licencia: CC by­nc­nd.
Licencia: CC by­sa
Procedencia:
Procedencia: http://commons.wikimedia.org/wiki/File:Ciclo_mientras.png.
http://www.flickr.com/photos/arquitextonica/4376549330/s

Autoría: haydelis.
Autoría: Jurastick

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 29/30
10/10/2016 ASO01_Contenidos
Licencia: CC by­nc­sa Licencia: CC by­nc.

Procedencia: http://www.jurastick.fr/chozkifo/astuces_old.php Procedencia:
http://www.flickr.com/photos/12001622@N02/1424926952

Autoría: Sebastian Anthony.
Autoría: warszawianka
Licencia: CC by­nd
Licencia: Dominio Público
Procedencia:
Procedencia: http://www.openclipart.org/detail/35347
http://www.flickr.com/photos/mrseb/5367646778/sizes/l/in/photostream/

Autoría: Microsoft. Autoría: czara1

Licencia: copyright (cita). Licencia: Dominio Público.

Procedencia: Captura de pantalla en Windows 2008. Procedencia: http://www.openclipart.org/detail/17302

Autoría: Antonio Marín Segovia.
Autoría: Benjamin Pavie
Licencia: CC by­nc­nd.
Licencia: Dominio Público.
Procedencia:
Procedencia: http://www.openclipart.org/detail/17506.
http://www.flickr.com/photos/antoniomarinsegovia/584257

Autoría: whologwhy Autoría: Daquella manera.

Licencia: CC by Licencia: CC by.

Procedencia: Procedencia:
http://www.flickr.com/photos/hulagway/3741551340/sizes/z/in/photostream/ http://www.flickr.com/photos/daquellamanera/113575868/s

Autoría: Anonymous Autoría: Microsoft

Licencia: Dominio Público. Licencia: copyright (cita)

Procedencia: http://www.openclipart.org/detail/107401 Procedencia: captura de pantalla en Windows 2008.

Autoría: Microsoft. Autoría: PLA

Licencia: copyright (cita) Licencia: copyright (cita).

Procedencia: captura de pantalla en Windows 2008. Procedencia: captura de pantalla en Ubuntu 10.10.

Autoría: Computer Associates.

Licencia: copyright (cita).

Procedencia: captura de pantalla en Ubuntu 10.10.

http://fpadistancia.caib.es/pluginfile.php/150078/mod_resource/content/5/ASO01/ASO01_Web/index.html 30/30