parte_18.txt

Full Transcript

Guillem Arnau Beneito 4 TEMARIO OPOSICIONES COIICV | TEMA 27 2.1.1. Sitios Los sitios ( sites) representan la estructura física de la red. Están formados por los equipos conectados entre sí por enlaces de alta velocidad, generalmente constituido por una o varias subredes. Con la creación de los sitios se consigue n las siguientes ventajas: • Los usuarios tienen un controlador cercano que perm ite una comunicación rápida, principalmente para las tareas de autenticación. • Replicación: Según el uso de la red y de las necesi dades de actualización de los controladores, se pueden establecer ventanas horari as de sincronización entre controladores. • Localización de servicios: Otros servicios de Micro soft, como por ejemplo Exchange, pueden guardar en el controlador del sitio informac ión que permita dirigir al usuario al proveedor del servicio más cercano. 2.1.2. Controlador de dominio Como se ha visto anteriormente, se trata de un equi po con Windows Server al que se le ha instalado la funcionalidad de Directorio Activo. Re alizará tareas de almacenamiento y de replicación entre controladores. Es conveniente inc orporar más de un controlador por dominio, con el fin de asegurar la disponibilidad. Cada controla dor contiene las siguientes particiones: • Partición de dominio: Es la partición que contiene la información de todos los objetos del dominio y que se sincroniza con el resto de los con troladores del mismo dominio. • Partición de configuración: Es la encargada de salv aguardar la topología del bosque y estructura del dominio como, por ejemplo, las disti ntas conexiones entre los distintos controladores en el mismo bosque. Cualquier control ador puede modificar esta información, la cual será replicada al resto de con troladores. • Partición del esquema: Contiene las definiciones de las clases definidas para los objetos que se pueden crear en el dominio. En un bosque sól o habrá un controlador que tendrá permisos para modificar las definiciones. Se replic ará al resto de los controladores, pues deben ser conocedores, pero sólo en modo lectura. • Partición de aplicaciones: Almacena datos específic os de aplicaciones que tiene permitido el uso del directorio. Es opcional y se puede crear a posteriori de la instalación primera. Los datos guardados en esta partición suelen ser ad ministrados por la propia aplicación. 2.2. Estructuras lógicas La estructura lógica de AD se encarga de proporcion ar distintos elementos jerárquicos con los que poder plasmar las características de la organizació n de forma totalmente independiente de la Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 5 infraestructura subyacente que le da soporte. Para facilitar la administración de los objetos gestionados define los siguientes elementos: 2.2.1. Dominio Es la unidad principal de la estructura lógica, alm acena información exclusivamente de los objetos que contiene, tanto componentes físicos como usuari os y agrupaciones de usuarios. Un dominio necesita de uno o más controladores de d ominio. Aunque originariamente no era así, cualquier controlador puede efectuar cambios y repl icarlos en el resto de los controladores. Se podría decir que los dominios son unidades de repli cación. La existencia del dominio permite disfrutar de una serie de ventajas: • Organización de objetos . AD permite organizar los objetos que gestiona med iante las divisiones y subdivisiones que se creen oportunas ( OU’s, Organizational Unit). Además, se podrán aplicar políticas sobre objetos, grupos o OU ’s que se considere necesarios de forma totalmente independiente. • Repositorio de información . La información almacenada podrá ser consultada po r los objetos del dominio, además de por objetos de otros dominios si así se configura, siendo el alcance de este acceso parametrizable. • Delegación de permisos administrativos . Incorpora múltiples formas de delegar permisos que evita el tener varios administradores con elevados permisos de administración. La delegación personalizada a grupo s o usuarios para determinados objetos o OU’s dota a AD de gran flexibilidad para su administración. Como el dominio en sí también es un límite de seguridad, todos estos p ermisos en un principio se limitan al propio dominio. • Delimitación de seguridad . Configuración y directivas de seguridad del domin io no sobrepasan su ámbito. 2.2.2. Árbol Un árbol es un grupo de dominios que dependen de un mismo dominio raíz y que están organizados formando una determinada jerarquía. Com partirán el sufijo del DNS que los identifica. El primer de los dominios creados actuará como domi nio raíz, mientras que los dominios que se le vayan añadiendo para formar el árbol se convertirán en los dominios secundarios. Es una estructura que puede ser válida para diferenciar di stintos departamentos dentro de una misma organización, independientemente de su localización . Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 6 TEMARIO OPOSICIONES COIICV | TEMA 27 Entre los dominios integrantes del árbol habrá una relación de confianza, la cual permitirá que un usuario creado en un dominio sea reconocido en el m omento que intente acceder a cualquier otro dominio del árbol. Aun así, los dominios mantendrán su independencia administrativa, de forma que los administradores de un dominio no pasan a se r administradores de los otros dominios del árbol. Por último, las políticas no serán replicada s automáticamente. 2.2.3. Bosque Un bosque es un grupo de uno o más dominios AD que comparten una estructura lógica, esquema de directorio (tanto las clases de los objetos que se pueden definir como sus atributos), configuración de directorio (sitios y replicaciones ) y un catálogo global (se analizará un poco más adelante). El uso de varios dominios en un sólo bosque es váli do para organizaciones en las que si bien queremos mantener una estructura homogénea en la de finición de los dominios y árboles, se desea mantener cierta independencia en la administr ación de los recursos de cada dominio y aislarlos del resto. 2.2.4. Unidades organizativas Una Unidad Organizativa (OU) es un contenedor, una carpeta que puede contener a otros objetos de AD. Es el símil de carpeta (o antiguamente, dire ctorio) en un sistema de ficheros. Por lo tanto, puede almacenar objetos que representen a equipos, impresoras, usuarios, grupos de usuarios, otras OU’s… Los motivos que pueden aconsejar crear OU’s son los siguientes: • Jerarquía administrativa . Permite agrupar en una única unidad todos aquello s objetos que se considere que tienen una fuerte relación. La jerarquía de OU’s anidadas (unas dentro de otras) que se cree es independiente de un dominio a otro dentro del mismo árbol. Esta flexibilidad posibilita que se pueda intentar adaptar la estructura de OU’s con el modelo administrativo de la organización. • Políticas de grupo . Las políticas de grupo son un conjunto de reglas que determinan las capacidades que tendrán los equipos y usuarios que están contenidos en la OU. Dichas reglas pueden establecer por ejemplo, qué aplicacio nes están disponibles para un grupo de usuarios, dónde se guardan los documentos, o blo quear las modificaciones en el escritorio local. • Delegación de la administración . Cada OU se puede administrar de forma independiente, es posible asignar la capacidad de g estión total o parcial de cualquier OU a un usuario o grupo de usuarios. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 7 Existe un conjunto de contenedores especiales que s on creados por defecto en la instalación de AD y no se pueden eliminar. No les son aplicables p olíticas de grupo y representan a distintos tipos de objetos. Son los siguientes: • Domain : Es el contenedor raíz de la jerarquía. • Built-in : Contenedor por defecto para las cuentas de admini stradores de servicios. • Users : Lugar por defecto para las nuevas cuentas de usua rios y grupos creadas. • Computers : Localización por defecto de las nuevas cuentas de equipos creadas. • Domain Controllers OU : Contenedor por defecto para las cuentas de equipo s de los controladores de dominio. Si bien estos son los contenedores donde se crean p or defecto los distintos objetos explicados, se puede modificar el contenedor destino establecido p or defecto. 2.3. Catálogo global El catálogo global es el conjunto de todos los obje tos de un bosque de Active Directory. Un servidor de catálogo global es un controlador de dominio. Almacenará una copia íntegra de todo el directorio del dominio al que pertenece y u na copia parcial (y de sólo lectura) de los otros dominios de la estructura organizativa a la que per tenezca (bosque, árbol…). La copia parcial se refiere a un subconjunto de la información almacena da de los objetos y que corresponden a los atributos que se consultan con mayor frecuencia. Es ta característica ayuda a mejorar el rendimiento de la red, pues se evita consultas inne cesarias a otros controladores de dominio. Debe existir como mínimo un servidor de catálogo gl obal en cada dominio, pudiendo añadir posteriormente a cualquier otro controlador como se rvidor de catálogo global. Las principales funcionalidades del catálogo global son: • Búsqueda de objetos: Como se acaba de ver, el catálogo permitirá búsque das de información de cualquier objeto dentro de su estruc tura organizativa, sea del propio dominio o no. • Autenticación de nombre principal de usuario (UPN, User Principal Name ). En el momento de iniciar sesión, el usuario no especifica rá el nombre completo de su usuario en AD en formato @. El equipo en el q ue esté intentando iniciar sesión realizará la consulta al controlador del dominio al que pertenezca. En caso de que no pertenezca a dicho dominio, es el catálogo global e l que le indicará en que dominio debe realizar la búsqueda para su validación. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 8 TEMARIO OPOSICIONES COIICV | TEMA 27 • Validar referencias de objeto de un bosque. En el momento en el que un controlador de dominio necesite validar una referencia a un objeto de otro dominio hará uso del catálogo global. • Proporcionar información de pertenencia a grupos un iversales en estructuras organizativas. El controlador de dominio puede resolver la perten encia de un usuario de su dominio a un grupo local o global, pero en el ca so de que se trate de un usuario de un grupo universal, el controlador deberá consultar co n el servidor de catálogo global para determinar la pertenencia del usuario a grupos univ ersales de otros dominios. 3. Estándares A partir de la versión de Windows Server 2000, AD h a introducido en su desarrollo protocolos y estándares ya existentes con el fin de mejorar su i nteroperabilidad con otros sistemas. Los más destacados son los siguientes: 3.1. DHCP La convivencia de varios servidores DHCP en el mism o dominio puede provocar conflictos en caso de que intenten gestionar los mismos rangos de dire cciones. AD intenta evitar que se produzca esta situación de dos formas distintas, según el se rvidor DHCP que está intentando entrar pertenezca al dominio o no: • Si el servidor es miembro del dominio (puede ser un controlador de dominio) pregunta a AD el listado de servidores autorizados (direcciones I P). Si el servidor que realiza la consulta no encuentra su IP en el listado, finaliza automáti camente el servicio de DHCP. • En caso de que no sea miembro del dominio, el servi dor enviará un mensaje solicitando información del nodo raíz en el que se encuentra co nfigurado el servicio de DHCP. Los servidores DHCP autorizados responderán con un mens aje indicando cuál es el nodo raíz autorizado. A continuación, el servidor que ha inic iado el diálogo consulta en el nodo en el que se le ha respondido por la lista de servidores autorizados, actuando de la misma forma que se ha visto en el punto anterior. El listado de servidores autorizados es gestionado por un grupo de administradores autorizados. Hasta que un servidor DHCP que ingresa en el domini o no esté en dicha lista, no podrá proveer a los clientes que les solicite configuración de red.
3.2. DNS El estándar se explica con más detalle en el tema c orrespondiente. Vamos a centrarnos en la importancia de dicho protocolo para AD. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Gestión de entornos Microsoft. Active Directory TEMARIO OPOSICIONES COIICV | TEMA 27 9 Active Directory utiliza DNS para identificar a su controlador de dominio y aprovecha el diseño del espacio de nombres de DNS en el diseño de los nombr es de dominio. Cualquier controlador de dominio puede convertirse en servidor de DNS. En el momento de crear el dominio (se crea al instalar la funcionalidad de controlador de dominio a un Windows Server) se debe especificar su nombre. A partir de este moment o, todos los equipos que se añadan al dominio se les podrá hacer referencia siguiendo la nomencla tura de DNS, .. Esta forma de hacer referencia a dominios y equipos implica que ambos estén representados como objetos en AD y como nodos en DNS. Así pues, AD usará DNS para la resolución de los no mbres en su dominio. En el momento en el que se realice un inicio de sesión, el equipo deber á localizar un controlador de dominio. Para ello, efectuará una búsqueda DNS para obtener la direcció n de dicho controlador. Aunque la nomenclatura es idéntica en ambos ámbitos , representan distintas ideas: • DNS almacena zonas y registros de recursos, mientra s que AD almacena información de dominios y sus objetos. Ambos sistemas usan una bas e de datos para la resolución de nombres. • Mientras que DNS resuelve nombres de dominio y de e quipos a registros de recursos a partir de peticiones recibidas por los servidores D NS, las cuales se transforman en consultas DNS a bases de datos DNS, AD resuelve nom bres de objetos del dominio a registros de objetos por peticiones recibidas por e l controlador de dominio a partir de, o bien consultas de LDAP, o bien peticiones de modifi caciones de la base de datos de AD. Por lo tanto, el nombre de objeto que representa a un ordenador en Active Directory se encuentra en un espacio de nombres diferente que el registro de recurso que representa al mismo equipo en DNS. 3.3. LDAP El protocolo LDAP es el núcleo de Active Directory, siendo el único protocolo de conexión que soporta. Se ha convertido en la vía principal que u san el resto de sistemas para integrarse con AD. Debido a esta circunstancia, se considera en Micros oft que es tanto un protocolo como una API. LDAP (Lightweight Directory Access Protocol) es un protocolo del nivel de aplicación que facilita el acceso a un servicio de directorio distribuido en u n entorno de red, entendiendo como directorio un conjunto de objetos con atributos organizados de fo rma jerárquica. La versión actual de LDAP es la v3 y tiene su espec ificación técnica en el RFC 4510, el documento base es el RFC 4511, la especificación de modelos e l RFC 4512 y los aspectos referentes a seguridad y métodos de autenticación se encuentran en el RFC 4513. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019Guillem Arnau Beneito 10 TEMARIO OPOSICIONES COIICV | TEMA 27 El servicio de LDAP se basa en un modelo cliente/se rvidor. Los servidores LDAP contienen la información que conforma el árbol de directorios. E n una conexión típica, el cliente solicitará una acción o consulta a un servidor LDAP (a un controla dor de dominio). El servidor, si puede satisfacer la petición la ejecutará, en caso contra rio se referenciará al cliente el servidor LDAP que
pueda resolver la petición. LDAP puede utilizar tanto TCP como UDP, usando por defecto el puerto 389. Se establecen una serie de operaciones con las que el cliente puede s olicitar operaciones al servidores, tales como crear, borrar, actualizar o consultar. El formato más extendido para representar la inform ación almacenada en LDAP es LDIF ( LDAP Data Interchange Format ), aunque la información que trata el protocolo es binaria. 3.3.1. Estructura Cada entrada del directorio contiene un conjunto de atributos, los cuáles pueden contar con más de un valor. Los atributos que pueden presentar un registro se encuentran definidos en un esquema. Un registro estará identificado mediante dos formas distintas: • Por su Distinguished name (DN), el cual lo identifi cará según en qué parte del árbol se encuentre. • De forma opcional, por un UUID, que lo identificará de forma unívoca en todo el árbol. En el caso de AD, tal como veremos, se trata del GUID.
El DN está compuesto por 2 o 3 partes. La parte der echa está formada por la raíz del objeto, mientras que la izquierda corresponde a la hoja en la que se encuentra el registro. Dichas partes son, de derecha a izquierda: • DC: Domain Component. Especifica en que dominio se encuentra el objeto que queremos representar. Un ejemplo podría ser “dc=airius, dc=c om”, se trataría del nombre DNS de la compañía en la que trabaja un usuario. • OU: Organization Unit. Esta parte es opcional. Corr espondería a los distintos niveles jerárquicos en los que se quiere dividir la organiz ación. Si no se quisiese realizar ninguna clasificación se omitiría. Como ejemplo podríamos s uponer que el objeto que buscamos se encuentra en el segundo nivel de la jerarquía de la organización: “ou=Contabilidad, ou=Departamentos”. • CN: Common Name. Literalmente, el nombre común, el nombre del objeto que estamos definiendo. En AD es válido para cualquier objeto y los contenedores creados por defecto por AD. El resto de OU’s que se creen y se incluyan en en DN deberán constar como OU’s. Siguiendo el ejemplo, la organización podría contar con el usuario “cn=Foo Foo”. Se autoriza el uso exclusivo de este documento a María Amparo Pavía García, DNI 20013968N, a 26 de julio de 2019