Servicio de Directorios: Active Directory y OpenLDAP


servicio de directorios actúa como repositorio estructurado de la información, personas y recursos.
ActiveDirectory es la implantación de Windows del servicio de directorio en una red. Principalmente está basado en el protocolo LDAP, pero hay que tener en cuenta que también utiliza otros protocolos como DNS, DCHP y Kerberos. Gracias a su forma jerárquica dispone información y relaciona objetos como usuarios, equipos y recursos de red, permitiendo el acceso a estos objetos a usuarios y aplicaciones.

Carácterísticas

Almacena la información en una base de datos jerárquica, distribuida y orientada a  objetos.-Utiliza el protocolo TCP/IP.-Extensible.-Fácilmente escalable.-Tolerante a errores.-Fácil de administrar.Arquitectura lógica:

Dominio:

actúan como límite administrativo y ayudan a administrar la seguridad de los recursos, son un conjunto de objetos definidos administrativamente que comparten entre ellos:-Base de datos.-Directivas de seguridad.-Relaciones de confianza.

Árbol:

Un dominio puede ser padre de uno o más, siendo el primero el. El árbol es la agrupación de estos dominios que comparten un espacio de nombre común.-
Bosque – Es una instancia completa del Active Directory, puede constar de más de un árbol. El dominio primario de un bosque se conoce como forest root (dominio raíz del bosque).-
Unidad organizativa – Es un subgrupo de dominio que se refleja la estructura funcional o de negocio de una organización. Son contenedores lógicos que pueden contener cuentas de usuarios, recursos compartidos u otras unidades organizativas. Nos permite localizar y administrar objetos de manera organizada, delegar autoridad sobre un conjunto de objetos reducidos.

Arquitectura física:-


Subredes:

es un grupo de la red con un rango de direcciones IP específicos y una  mascara de red comunes.-

Sites:

es un conjunto de equipos conectados entre ellos, se utilizan para optimizar los procesos de replicación y mejorar el acceso de los clientes.||Grupo de trabajo:
no interactúa con ningún otro sistema operativos, es independiente. Tan sólo gestiona sus propios usuarios y configuraciones locales. Tan sólo permite la validación local.
Miembro de dominio – esta vinculado a un dominio previamente creado. Éste se verá afectado por las directivas del dominio. Se podrán validar tanto usuarios del dominio como usuarios locales.
Controlador de dominio – tiene instalado del role de Active Directory, esté será el encargado de gestionar el dominio. Sólo permite la validación de usuarios de dominios (desaparece la gestión de usuarios locales). Pueden existir varios controladores de dominios.

Instalación

AD:asistente para agregar roles y carácterísticas.Configuramos AD para agregar un dominio, un DC o un nuevo bosque:

Agregar un controlador de dominio a un dominio existente:

Opción cuando ya disponemos de un dominio creado previamente y queremos agregar un controlador de dominio adicional. Para seleccionar esta opción es necesario disponer ya de un PDC y un dominio previo.

Agregar un nuevo dominio a un bosque existente:

Opción cuando queremos crear un nuevo dominio dentro de nuestro bosqueAgregar un nuevo bosque
:Opción inicial cuando queremos crear un nuevo bosque con un dominio principal. Es la opción que escogeremos la primera vez que creamos nuestro dominio.-Indicamos el nombre del dominio nuevo.Hay que seleccionar si el controlador de dominio tendrá la capacidad de DNS o este servicio lo hará un Deberemos de especificar donde se guardarán los archivos de la base de datos del Active Directory.Crear objetos como usuarios y equipos es, Usuarios y equipos de Active Directory.

Equipo:

Deberemos de indicar el nombre del equipo.
Recordar que debe de coincidir con el nombre asignado en las propiedades del equipo real.

Grupo:

Losusuariosquetienenlasmismas carácterísticas las podemos agrupar en grupos.Unidad Organizativa (UO):Las unidades organizativas nos permiten agrupar diferentes objetos. A las unidades organizativas podemos asignar GPOs para asignar políticas de privacidad.

Impresora:

Podemos agregar una impresora de red como objeto, deberemos de indicar una dirección de red y esta impresora debe de estar compartida.

Usuario

:podrá iniciar sesíón en los diferentes equipos.Indicar la información necesaria.

Integración cliente o miembro del dominio

Unavezhemoscreadonuestrodominiopodemos integrar equipos que hagan de cliente o miembros del dominio, estos serán administrados y controlados por el administrador del dominio. Para realizar la integración iremos a las propiedades de nuestro equipo e indicaremos el nombre del equipo y el nombre del dominio. Hay que tener establecida la configuración IP correcta.

Escritorio remoto de Microsoftpermiten proporcionar sesiones gráficas a múltiples usuarios simultáneamente desde uno o un grupo de servidores.Todos los procesos se ejecutan en el servidor,simplificando la carga de procesos y no necesitando un cliente con gran potencia de procesamiento.la filosofía clásica del Mainframe: una máquina central muypotente que lo ejecuta todo. Una de las carácterísticas principales es poder desplegar el uso de aplicaciones centralizadas en el servidor mediante Escritorio Remoto, la carga se puede realizar directamente desde AppRemote o acceso web.Componentes:

Escritorio Remoto

: El servidor que ofrece la conexión remota para la ejecución de programasTS Licensing Sever
: Controla el gasto de licencias respecto a las instaladas en el sistemaTS Session Bróker
: Puede repartir la carga de sesiones entre diferentes servidores TS de una granja de servidoresTS Web access
: Permite que los usuarios accedan a los servicios de TS a través de una página Web, sin necesidad de tener instalado el clienteTS Gateway
: Permite recibir conexiones directas de clientes externos y redirigirlas a los servidores TS internos. Añade capas de seguridad a la comunicaciónRDC Client
: Remote Desktop Connection Client. Necesario para que se conecten los clientes. Recomendado versión 6.0 o superiorProtocolo RDP (TCP 3389):
Remote Desktop protocol, utilizado para establecer y transmitir sesiones de Escritorio Remoto.


OpenLDAP es la implementación libre de LDAP. Normalmente es implementada en Linux y ayuda a integrar diferentes sistemas como base de datos, correo electrónico u otros sistemas.Carc:-Esta basado en el estándar X500.-Es un protocolo de acceso a la información de un directorio.-Soporta la replicación y permite la delegación de permisos de administración del directorio.|Un directorio es un conjunto de objetos con atributos organizados de una manera lógica y jerárquica. Un árbol de directorio LDAP a veces refleja varios límites, geográficos u organizacionales, dependiendo del modelo elegido. Los despliegues deben de usar DNS para estructurar los niveles jerárquicos. Conforme se desciende en el directorio pueden aparecer entradas que representan personas, unidades organizativas, impresoras, documentos, grupos,etc.Habitualmente, almacena la información de autenticación (usuario y password) y es utilizado para autenticarse, aunque es posible almacenar otra informaciónIntegraciónclienteOmiembrodeldominio-
Es recomendable actualizar el repositorio de los paquetes de Ubuntu antes de realizar la instalación de cualquier paquete.-Realizaremos la instalación de los paquetes slapd ldap-utils. Esto nos prepara la maquina Ubuntu para poder actuar con un dominio.-Cuando acabe la instalación nos pedirá introducir el password que tendrá nuestro administrador de LDAP.-Reconfiguraremos el paquete LDAP para introducir los datos de nuestro dominio.-Nos mostrará el asistente donde nos indicará de si queremos configurar de nuevo los datos y donde podremos configurar todos los parámetros:-Introduciremos el nombre DNS de nuestro dominio LDAP.Linkiafp.Es->“dc=linkiafp,dc=es”- Introducimos el dominio“linkiafp.Es”-Indicamos el motor de Base de Datos.-si queremos purgar el paquete slapd y borrar cualquier configuración anterior.-si queremos mantener la Base de Datos antigua en el caso que hayan datos.-si queremos utilizar la versión 2 del protocolo LDAP.

Creación de usuarios

-Creación del fichero con el comando nano con los diferentes valores del usuario.-Añadimos el fichero a nuestro sistema LDAP con el comando ldapadd.

Creación de grupos:

Creación del fichero con el comando nano con los diferentes atributos del grupo

Concep:-Domain Controller


Es una máquina de Windows Server y Active Discovery instalado que guarda y/o replica la información del dominio que controla. Para la tolerancia a errores es aconsejable disponer de más de un DC.-

Schema:

Es un conjunto de clases (una plantilla) que define la estructura del AD. Cuando lo instalamos, partimos de una schema base, pero es expandible ya que podemos crear nuevas clases o nuevos atributos. Podemos expandirlo utilizando lenguajes de programación o al instalar aplicaciones como Exchange modifican el schema añadiendo nuevos atributos…-

LDAP (Lightweight Directory Access Protocol):

Protocolo ligero de acceso al directorio que permite acceder a directorios que se basan en X500.-

DNS:

Gracias al servicio DNS, las máquinas clientes podrán encontrar los controladores de dominio, este le dará información al cliente de la IP que dispone.

OpenSSH Server


Linux para poder realizar conexiones remotas de forma segura disponemos de una de las mejores alternativas segura, la suite OpenSSH (Open Secure Shell). Esta suite esta formada por una serie de aplicaciones que nos permiten realizar estas conexiones cifrando las comunicaciones de red. Es una alternativa totalmente gratuita y abierta. Es compatible con la mayoría de sistemas operativos, ya que se utiliza para la comunicación entre diferentes equipos.
Aplicaciones:ssh, permite el acceso remoto a otra máquina, equivale a la forma segura de telnet.
sshmarc@linkiafp.Comscp, sustituye a rcp.      scp marc@linkiafp.Com:~/archivosftp, sustituye a ftp para copiar archivos entre dos computadoras. sftp marc@linkiafp.Comsshd, el demonio SSH.Comando:  sshdssh-keygen, herramienta que nos permite inspeccionar y generar claves RSA y DSA.
ssh-agent y ssh-add, herramientas para poder autenticarse de manera más fácil utilizando como acceso una frase.

Configuracióndispone de un fichero de configuración, el cual editaremos con un editor de texto. El fichero de configuración es sshd_config, en el directorio /etc/ssh.
Reiniciar el servicio para que se apliquen:
sudo service ssh start[start|restart|stop|status]

Creación de túneles


Podemos utilizar ssh para realizar túneles y navegar mediante nuestro servidor. Para ello deberemos de tener activado la opción AllowTcpForwarding, en el fichero de configuración.ssh -l tunnel -N -f -L portlocal:servidor:portservei servidor(-l indica el usuario que realiza la conexión-N no interactivo-f pasa a bg después de la conexión-L puertolocal:servidor:puertoservicio Establece la conexión desde el puerto local al puerto del servidor)realizar los túneles con un cliente Windows,utilizar Putty para conectarnos.

EjecutarAplicacionesEnElserverUbuntu

Mediante ssh podemos ejecutar en el cliente aplicaciones del servidor. De esta forma la carga de ejecución será en el servidor. Para poder ejecutar aplicaciones gráficas necesitamos que el servidor disponga de las XWindows instaladas.Si utilizamos un cliente Windows y Putty, para poder ejecutar aplicaciones de XWindows necesitaremos tener instalado en nuestro cliente el software Xming.disponer de la directiva activada X11Forwarding en el fichero sshd_config.

Concept-

ssh

Es el comando que nos permite conectarnos remotamente al servicio OpenSSH. Suele estar instalado en todos los sistemas Linux para poder usarlo.

Rsa:

Es un sistema de criptografía de clave pública que nos permite cifrar las claves de OpenSSH.

Shadow:

Es el modo sombra del escritorio remoto, este nos permite conectarnos y poder llevar el control de un equipo de forma remota. Siempre con el consentimiento del usuario al que nos queremos conectar.

EmoteApp:

Son las aplicaciones publicadas en Escritorio Remoto de Windows. Estas aplicaciones publicadas nos permiten la ejecución sin cargar nuestro equipo. La carga del sistema estará en el servidor que comparte la aplicación.


El segmento TCP
En la capa de transporte los datos provenientes de la capa de aplicación son troceados y encapsulados en segmentos. Los campos del encabezado que definen al segmento TCP son:

Puerto origen

Identifica a la aplicación que ha generado el segmento.

Puerto destino

Identifica a la aplicación hacia la que va dirigido el segmento.

Número de secuencia

Número que garantiza que la entrega de segmentos se realiza en el mismo orden con el que salieron. Permite el control de errores, el control de pérdidas, el control de duplicados y el control de flujo.

Número de acuse

Usado por el receptor para indicarle al emisor que ha recibido los bytes esperados y que espera los siguientes. Este campo es válido sólo si el bit de control ACK está activo. Permite el control de errores, el control de pérdidas y el control de flujo.

Longitud de la cabecera

Indica el tamaño de la cabecera en grupos de 32 bits.

Reservado

Establecido a 0. Para uso futuro.

Bits de código

Formado por seis bits independientes:- URG: activado, valida el campo de puntero urgente.- ACK: activado, valida el campo de número de acuse.- PSH: se le indica al receptor que ha de enviar los datos a la aplicación sin esperar a recibir más segmentos.- RST: se usa para reiniciar la conexión cuando hay confusión con los números de secuencia.- SYN: se usa en el establecimiento de una conexión para sincronizar los números de secuencia entre el emisor y el receptor.- FIN: se usa para finalizar una conexión.

Ventana

Número de bytes que el emisor puede enviar sin esperar acuse de recibo por parte del receptor. Permite el control de flujo.

Suma de comprobación

Garantiza la integridad de todo el segmento, tanto de la cabecera como de los datos encapsulados.

Puntero urgente

Cantidad de bytes a partir del número de secuencia que indica el lugar donde acaban los datos urgentes. Planificación y administración de redes
Tema 5: La capa de transporte 6Opciones:
Su posible uso en un futuro es la de poder añadir carácterísticas no definidas por la cabecera actual.

Datos

Datos encapsulados del protocolo de la capa de aplicación. Tiene una longitud variable.

Servicios de impresión


Un servidor de impresión es un ordenador que recibe trabajos de impresión de clientes y los manda al dispositivo de impresión, que están conectados de forma local o conectado a la red.Un driver de impresora es el software que convierte los trabajos generados por las aplicaciones a una serie de comandos adecuados para cada dispositivo de impresión.Existen impresoras que disponen de interfaz de red y es el propio cliente quien se encarga de gestionar los trabajos y los envía directamente a la impresora. Aunque si lo preferimos podemos implementarla mediante el Servidor de impresión y así tener un mayor control.
Role Servicios de impresión en Windows Servernos permite llevar un control de nuestras impresoras y compartirlas de forma sencilla con todos nuestros usuarios de la red. Al agregar el Role nos aparecerá una MMC para poder agregar, controlar y administrar nuestras impresoras. Gracias a las directivas de seguridad (GPOs), podremos agregar de forma sencilla las impresoras a nuestros usuarios de dominio.

Instalación

Agregar Roles y Características –>  Servicios de Impresión y documentos.Que servicios de Role queremos seleccionar:

Servidor de Impresión

Nos permite la administración de impresoras u otros servidores de impresión.

Impresión en Internet

Crea un sitio web para poder administrar el Servidor de impresión desde un navegador Web.

Servicio LPD

Permite que equipos basados en UNIX (Linux o Mac) pueda utilizar las impresoras.

Servidor de digitalización distribuida

Permite la compartición y administración de escáneres de Red.Accederemos a Herramientas Administrativas > Administración de Impresión.
Podemos gestionar nuestros Servidores de ImpresiónPara realizar una configuración múltiple en varios clientes, nos permite configurar una GPO de forma sencilla, para automatizar la conexión y que sea más rápida su implementación.Deberemos seleccionar la impresora que queremos instalar en nuestros clientes,le damos a “Implementar con directiva de grupo…”.
 indicar si se aplicará “por usuario” o “por equipo”, así como a que Unidad Organizativa la asignaremos. Una vez implementada podemos consultarla desde la MMC Directivas de Grupos.
Servicio CUPS en Linux(Common Unix Printing System), es un Sistema de impresión modular para sistemas Unix que permite añadir el servicio de impresión. Permite recibir peticiones de otros equipos clientes, procesar las peticiones y enviarlas al servidor de impresión apropiado.Las aplicaciones de Linux normalmente envían los trabajos de impresión como documentos PostScript. Cups gestiona la cola de estos trabajos y los envía a la impresora.

Arquitect:


CUPS Scheduler atiende las peticiones mandadas por los clientes que usan IPP (Internet Printing Protocol).
Cupsd también actúa como servidor web para proveer una interfaz para la administración de colas de impresión CUPS.

Configuration Files

Los ficheros de configuración (/etc/cups) determinan el funcionamiento del sistema.

Printing Commands

Comandos de impresión que permiten enviar trabajos de impresión y consultar su estado.

Filters

Programas que convierten formatos de textos, PostScript e imágenes, en una salida que entienda la impresosa. /usr/lib/cups/filter.

Backend

Programas que envían la salida a cada impresora destino (usb, lpd, ipp, …). Los programas están ubicados en /usr/lib/cups/backend.
Instalación de CUPS  sudo apt install cupsConfiguraciónfichero: /etc/cups/cupsd.Conf.

ServerAdmin

Para configurar la dirección de email del administrador del servidor. ServerAdmin admin@linkiafp.Com

Listen


Por defecto en Ubuntu, la instalación de CUPS solo escucha la interfaz loopback (127.0.0.1).  Listen 192.168.0.100:631 #Atiende peticiones a la IP:Puerto indicados.

Acceso a la interfaz web de CUPS

Podemos acceder a la configuración de CUPS mediante un navegador web introduciendo localhost o la IP del servidor. 

Http://localhost:631

Para poder ejecutar tareas administrativas deberemos de usar la cuenta de root,para ello:   sudo usermod –G ldapmin usuario.Para imprimir: lpr [opciones] [nombre_fichero …]Para consultar la cola de impresión y ver que trabajos disponemos: lpqPara cancelar trabajos enviados lpr – (cancela todos los trabajos)  lpr 31 (cancela trabajo específico)lpr 31Concepts

:GPOs

Directivas de grupo, nos permite restringir o permitir a diferentes objetos agrupados en unidades organizativas.

CUPS:

Common UNIX Printing System, es el servicio de impresión incorporado en los sistemas Linux. Nos permite crear un servidor de impresión.

MMC:

Microsoft Management Consolé, son las consolas gráficas de Windows que nos muestran los datos de los servicios que hemos entrado.


Procesos e integración de sistemas


Cada programa que se ejecuta en Linux es un proceso con recursos asignados y gestionados por el núcleo del sistema (kernel). Podemos interactuar con ellos, realizando la monitorización, detención o incluso realizar el cambio de sus prioridades.Cada proceso tiene un número asociado llamado process id (PID)
. Estos son números enteros únicos para todo el sistema. También tienen asociado unos privilegios que limiten el acceso al sistema de ficheros. Estos privilegios quedan determinados por el user ID y el group ID del usuario que haya iniciado el proceso. Todo proceso está creado por un proceso padre (parent process)
. Como mínimo todo proceso será hijo del proceso init iniciado por el Kernel al arrancar el sistema. Este proceso tiene el PID 1 y es el padre de cualquier proceso del sistema.
Funcionamientoes ejecutado en primer plano, esto implica que bloquea la terminal desde donde se lanzó el proceso.Escribir el nombre del proceso y presionar intro.
Ejecutar un proceso en segundo plano (background), y de este modo no bloquear el terminal y poder seguir trabajando. Deberemos de añadir el carácter & al final del comando.En segundo plano el sistema le asigna a más del PID correspondiente, un número de trabajo (job). Éste, es un número entero, empezando por el 1 y el sistema seguirá numerando secuencialmente a los siguientes trabajos.Podemos realizar las siguientes acciones desde el terminal que tiene asociado:
Matar el proceso: C-c (Ctrl-c ), se cancela el proceso y se liberan todos los recursos que tuviera asignados. Sólo podremos matar procesos sobre los que tengamos permiso.

Parar el proceso: C-z (Ctrl-z)

, en este caso sólo se detiene la ejecución del proceso, conservando su estado y sus recursos para poder continuar en el momento que se de la orden adecuada.
bg (background):Mueve el trabajo jobspec a segundo plano, como si se hubiese iniciado con &.
Si el trabajo especificado está detenido, el comando bg lo reiniciará en segundo plano.  bg [jobspec]fg (foreground) :Se utiliza para traer a primer plano un trabajo que está en segundo plano, bien esté activo o bien esté detenido.   fg [jobspec]jobs:
Lista todas las tareas activas. Si se incluye jobspec únicamente listará la información sobre esas tareas.  jobs [options] [jobspec]Comandos:

Ps :

Muestra la lista de procesos del sistema, y algunas de sus carácterísticas:  ps [opciones]pstree:
Muestra la jerarquía de los procesos mediante una estructura de árbol. Si se especifica el PID de un proceso, el árbol empezará desde ese procesoSi se especifica un usuario válido se mostrará la jerarquía de todos los procesos del usuario.    pstree [opciones] [PID | usuario]kill:
permite enviar un mensaje arbitrario a un proceso, o varios, con un PID igual a pids. El parámetro sigspec es el valor entero de la señal o el nombre de la señal que enviaremos al proceso.kill [-s sigspec | –sigspec] [pids] kill -9 337nice:
se usa para iniciar un proceso y proporcionarle un determinado valor al parámetro nice. nicenumber es un entero comprendido entre 1 y 19. Para root, nicenumber -20 y 19. command es cualquier orden válida del intérprete de comandos, incluyendo opciones, argumentos, redireccionamientos y el carácter especial &.   nice [-n nicenumber] commandrenice:
nos permite modificar el parámetro nice de un proceso ya iniciado. Sintaxis:  renice [+|- nicenumber] [options] targetstop:
ofrece una lista de los procesos similar al comando ps, pero la salida se actualiza continuamente. top [options]Integración
En una red podemos disponer de diferentes sistemas operativos que tienen que interactuar entre ellos y entenderse. Podemos disponer de Sistemas Windows y Linux.Pasos a seguir para configurar un Servidor Ubuntu como Miembro de dominio:-Instalamos los paquetes de SAMBA que nos permitirá que nuestro servidor Ubuntu sea un miembro del dominio.  apt-get install -y samba krb5-user winbind libnsswinbind libpam-winbind.-Modificamos el fichero de configuración:
nsswitch.Conf con la finalidad de que el servidor ubuntu haga uso de Active Directory como sistema de validación passwd: compat winbind group: compat winbind.-Modificamos el fichero /etc/samba/smb.Conf.
Modificamos el fichero /etc/krb5.Conf, con los parámetros de nuestro dominio-Añadiremos nuestro DNS correcto en el fichero de configuración de la red:-Realizamos un test para autenticar Kerberos con el DC de Windows:  kinit administrator-Podemos comprobar si disponemos de un ticket de kerberos:    klist-Unimos SAMBA a nuestro dominio:    sudo net ads join -U administrator@linkia.Fp.-Podemos realizar los siguientes test para comprobar el resultado: sudo update-rc.D winbind defaults sudo service winbind |start wbinfo -u # Lista los usuarios del AD| wbinfo -g # Lista los grupos del ADConcepts

Kill


Opción de enviar una señal para finalizar un proceso. Podemos enviar señales de parado de forma correcta un proceso o podemos cerrar de forma forzada un proceso.

PDC:

Primary Domain Controller, es el controlador primario de un dominio. Es el encargado de controlar todos los objetos, replicando si lo deseamos en otros controladores.

Background:

Proceso o programa que se ejecuta en segundo plano, de esta manera el usuario puede seguir

Dejar un Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *