domingo, agosto 05, 2007

Un AD para gobernarlos a todos

Todo el que alguna vez haya administrado alguna red (por favor, todos los técnicoless que se den por excluidos) mediana o grande, habrá disfrutado de esa maravilla que se llama Directorio Activo. Con sus estructuras en bosque, son sus árboles, con sus relaciones de confianza unidireccionales o bidireccionales, con sus opciones de replicación en sites, con sus directivas. Sí, las GPO son un invento. Eso de configurar las opciones de las cuentas de forma centralizada en el dominio, configurar las políticas IPSec desde el controlador de dominio distribuyendo certificados digitales para máquinas, usuarios y smartcards con solo hacer una GPO en el AD y sin tener que ir máquina por máquina, o con su configuración de los servicios de actualización de los clientes, las opciones del firewall, las opciones del antivirus ahora y con Vista los dispositivos USB. Todo a una GPO de distancia en el AD. El que no haya trabajado con algo así no sabe lo que es eso.

Tanto es así, que ya es una solución para muchos problemas. Incluso para administrar redes Linux y por supuesto, perfecto para administrar redes heterogéneas. No es la primera vez que se buscan soluciones de este tipo, ya hace unos años, las empresas de pre-impresión en la artes gráficas utilizaban redes de mac y todo los sistemas de ripeo se gestionaban con un bonito NT y luego Windows 2000.

A la hora de introducir redes heterogéneas puedes utilizar los servicios NIS (incluso Windows Server 2003 R2 es un servidor NIS), ejecutar aplicaciones sobre el subsitema UNIX de R2 (Interix) y usar los servicios NFS o SAMBA, pero nada llega a ser como la administración en el AD.

Recientemente en las Linux World Conferrences Paul Moore ha dado una sesión para que los administradores de sistemas Linux vean al AD como la solución para la autenticación y gestión centralizada de las máquinas Linux. De hecho, creo que Spectra prepara sorpresas en el futuro para este tipo de entornos heterogéneos y con Active Directory:

“We are trying to persuade the *nix administrators within an organization that it is OK to trust AD as a master security store”

Y otra frase para enmarcar:

“We often encounter two types of *nix administrators: those that have embraced [Active Directory] and those who see it as a necessary evil,"

A la hora de gestionar esas máquinas Linux con el AD es necesario contar con software de terceros. Yo he visto funcionar muy de cerca la solución Vintela Authenticaion Services de Quest Software, dónde Carles Martín, en el lanzamiento de Windows Server 2003 R2 en España hizo unas demos buenísimas integrando máquinas RedHat y SuSE en el AD, haciéndolas funcionar con el Kerberos y el LADP del AD y gestionando políticas para ellas. La última versión también funciona para los clientes MAC.

Vintela Authentication Services

No es esta la única solución para integrar máquinas Linux en entornos de Directorio Activo, aunque sí que es la única que yo he probado. La empresa Centerix ofrece otra solución para realizar esto.

Centerix Likewise Identity

Un Directorio Activo para gobernarlos a todos, es el principio del fin, Spectra dominará el planeta!

Saludos Malignos!

5 comentarios:

Sergio Hernando dijo...

Holas,

Si bien es cierto que Active Directory es una solución extendida, por su fácil manejo y su cumplimiento con lo que un directorio exige, no menos cierto es que tiene rivales que están perfectamente a su altura.

En lo que a directorios respecta, yo he administrado Directory de Fedora, y la verdad, no tiene nava que envidiarle al AD de Spectra

http://directory.fedoraproject.org/

De todos modos, yo soy fiel a las estructuras SSO, naturalmente, basadas en Kerberos. Pero para gustos, colores :)

Saludos,

mmadrigal dijo...

EL ad como directorio no está mal.
Pero como siempre la fuerza del Ad no
es tanto el directorio en si, como la integración con los demás productos de Microsoft.
Por ejemplo, Exchange.
Pero......
sin un buen diseño de Ad, no tienes nada más que un buen lio.
Y como decía el gran Miguel Arana ;D un diseño debe ser Simple, luego otra vez simple, y por último simple
En cuanto a lo de Linux (ejem, ejem), conozco a Carles y su producto, y es cierto que es un poco más de lo que habia en la gestión de Linux en Ad (o un mucho si cubre tus necesidades) pero las GPO cubren mucho más que lo que se puede hacer con su producto.
Quizás en una próxima versión

Maligno dijo...

Hola holita!

perdonad el retraso en contestar, pero estaba en unas piscinas jacuzzi y no me llevé el HTC. ;P

@Sergio, FDP (sigue vivo, creía que Fedora Project había sido abandonado!!). Pero vamos, te voy a decir que sí que tiene que envidiarle, primero porque FDP solo es un árbol LDAP así que nada de Kerberos, pero ya lo de las GPO es que ni las huele. El equivalente de FDP es al ADAM (Active Directory Application Mode) de Spectra, que es un árbol LDAP v3, que te puedes bajar para crear y editar los LDIFs, consultar, y gesitonar tus servicios.

Kerberos, lógicamente es un sistema centralizado de autenticación, pero toda empresa necesita un árbol de información y autorización en LDAP, esa es la mágia de AD. Además, las GPOs no existen en esos entornos. Yo FDP no lo uso, tiro directamente con OpenLdap y Kerberos del MIT, pero es una pena que IPSec, en los entornos Linux no se integres con Kerberos ni con LDAP. Podría ser una forma de empezar a forzar políticas de seguridad por la red!

Saludos!

Maligno dijo...

@mmadrigal,

estoy contigo, le faltan muchas cosas que añadir, es un primer gran paso, pero le faltan opciones que añadir, aunque a día de hoy conseguir el autoenrollment de certificados con un AD y una máquina gestionada Linux lo veo lejos. En fin, aunque sea para gestionar la autenticación, la política de contraseñas y alguna opción más, ya es un avance!.

Saludos!

Gura dijo...

Para controlar la autenticación, política de contraseñas y demás no hace falta mucho... Hace cosa de mes y medio probé SuSE Enterprise Server 10 y la facilidad para unir la máquina a un dominio y gestionar directivas de bloqueo de cuenta, complejidad de contraseñas, caducidad de las mismas... etc, era sencillísimo. Simplemente funcionaba. Lo que echo de menos es sin duda, las GPO.

Eleven Paths Blog

Seguridad Apple

Entradas populares