Active Directory 01

[cas]

¿Que es Active Directory?

http://es.wikipedia.org/wiki/Active_Directory
http://es.wikipedia.org/wiki/LDAP

Servicio de directorio: 

	Es una base de datos que gestiona recursos en la red
	. centralizar la información y el acceso a los recursos de la red
	. centralizar y descentralizar la administración de los recursos de la red
	. Almacenar objetos de una forma segura en una estructura lógica
	. Optimizar el tráfico de la red
	. Dar los servicios para que estos recursos sean útiles.

* Estructura Lógica

http://www.s3v-i.net/2008/11/21/active-directory-la-estructura-logica-arboles-dominios-bosques/

Los objetos: son las unidades mas pequeñas en la red AD, como usuarios, impresoras, etc. Los objetos se almacenan en OU

Clases de objetos: plantillas para definir las características de los tipos de objeto de AD. Cada objeto
tiene una única combinación de atributos.

Los contenedores lógicos o unidades organizativas (OU)
Como podría ser el departamento de una sucursal...

	. facilitan la localización los recursos
	. Permiten repicar la estructura jerárquica de la organización.
	. Permiten delegar responsabilidades administrativas a unidades mas pequeñas.
	. Pueden agruparse en otras OU's

El dominio: Es la unidad mas básica de organización y Seguridad.
	. Es la unidad funcional central, como la unidad de medida de los bosques de dominios.
	. permiten organizar objetos que pertenecen a una institución, empresa, etc.
	. Es un conjunto de objetos definidos de forma administrativas, que comparten una base de datos, directivas de seguridad y reacciones de confianza. 

Arboles de dominios: La unión de varios dominios y subdominios.

El bosque de dominios es la unión de varios arboles. El árbol que se encuentra en la parte superior de la estructura jerárquica se llama Dominio Raíz.

Dominio múltiples: organizan redes administradas por distintas autoridades, como una multinacional con dominios en diferentes idiomas.

Los nombres de dominio son asignados mediante el sistema jerárquico de los DNS. Donde al dominio primario "dominio.com" se le van agregando
a la izquierda los dominios secundarios "ventas.tralara.com"...

Subdominios: Son agregados mediante relaciones de confianza transitiva.

Los arboles de un bosque comparten:
	. Relaciones de confianza transitivas.
	. Esquema común
	. catálogo(de recursos) global general

Catalogo global: todos los objetos de la empresa están representados en el catálogo global, pero solo un subconjunto de las propiedades
de cada objeto, se almacenan en el catálogo. Permite localizar a los usuarios cualquier recurso de la empresa. Al tener pocas entradas de datos por cada
objeto, el tiempo de respuesta es rápido.
C G se replica en todos controladores de dominio del bosque designados como servidores de catálogo.
Los controladores de dominio, administran la información y las interacciones de los usuarios del catálogo global del AD, incluyendo búsquedas del directorio

* Topología, estructura física del directorio Activo):

Un sitio es una o varias subredes IP conectadas por enlaces rápidos
Cuando un usuario inicia sesión, AC buscará que el usuario autentique en el controlador de dominio mas cercano a este usuario.
Esto reduce tráfico innecesario entre controladores de dominio para aumentar la eficiencia de la red.
También se podrían programar que las búsquedas se realicen en sitios en horas donde el consumo de recursos sea bajo.

- Controlador de dominio: Servidores de altas prestaciones que ejecutan windows server 2000, 1002 o 2008 que permite la ejecución de AD.
Administran el catalogo del AD. Realiza funciones de almacenamiento y replicación. Recomendado que existan 2 o mas controladores de dominio por cada dominio, para asegurar la disponibilidad de los objetos,
haciendo de backup en caso de caída de uno de ellos.

- Sitio: Grupos de equipos conectados de forma funcional. La utilidad del sitio es la optimización del acceso a los recursos mediante el control de las vías por las que se comunican los paquetes.

*  Intercambio entre dominios

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa un trust (en español, relación de confianza). El trust es creado automáticamente cuando se crean nuevos dominios. Los límites del trust no son marcados por dominio, sino por el bosque al cual pertenece. Existen trust transitivos, donde los trust de Active Directory pueden ser un acceso directo (une dos dominios en árboles diferentes, transitivo, una o dos vías), bosque (transitivo, una o dos vías), reino (transitivo o no transitivo, una o dos vías), o externo (no transitivo, una o dos vías), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque también soporta NTLM y usuarios webs mediante autenticación SSL / TLS

Confianza transitiva 

	Las Confianzas transitivas son confianzas automáticas de dos vías que existen entre dominios en Active Directory. Se definen como confianzas que fluyen a través de la red, utilizando servidores de paso para utilizar los recursos de dos árboles no conectados directamente. Esto maximiza las relaciones entre dominios de Windows porque evita poseer exceso de confianza para conectarse con todas las máquinas de la red.

Confianza explícita 

	Las Confianzas explícitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticación. Este tipo de relación puede ser de una o dos vías, dependiendo de la aplicación.

Las Confianzas explícitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0.

Confianza de Acceso Directo 

	La Confianza de acceso directo es, esencialmente, una confianza explícita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticación.

Confianza entre bosques 

	La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.

* Alternativas

La versión 4 de samba está preparando implementación con Active Directory
http://wiki.samba.org/index.php/Samba4

El programa de código libre Mandriva Directory Server ofrece una interfaz web para manejar el controlador de dominios de Samba y el servicio de directorios de LDAP.

likewise-open  https://help.ubuntu.com/8.04/serverguide/C/likewise-open.html

Otra alternativa es Novell eDirectory, que es Multiplataforma: se puede correr sobre cualquier sistema operativo: Linux, AIX, Solaris, Novell Netware, UNIX e integra LDAP v.3 Nativo. Es el precursor en materia de estructuras de Directorio, ya que fue introducido en 1990 con la versión de Novell Netware 4.0 Aunque AD de Microsoft alcanzó mayor popularidad, todavía no puede igualar la fiabilidad y calidad de eDirectory y su capacidad Multiplataforma.

Sun Java ES Directory Server[1] y OpenDS [2] son otras alternativas basadas en java. El primero es un producto de Sun Microsystems y el segundo una alternativa de código abierto.

Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba y además certificación digital y Bind9 (modificado para usar LDAP como backend) es WBSAgnitio ([3]).

[cat]

Què és Active Directory? 

 http://es.wikipedia.org/wiki/Active_Directory 

 http://es.wikipedia.org/wiki/LDAP 

 Servei de directori: 

 És una base de dades que gestiona recursos a la xarxa 

 . centralitzar la informació i l'accés als recursos de la xarxa 

 . centralitzar i descentralitzar l'administració dels recursos de la xarxa 

 . Emmagatzemar objectes d'una forma segura en una estructura lògica 

 . Optimitzar el trànsit de la xarxa 

 . Donar els serveis per a que aquests recursos siguin útils. 

 * Estructura Lògica 

 http://www.s3v-i.net/2008/11/21/active-directory-la-estructura-logica-arboles-dominios-bosques/ 

 Els objectes: són les unitats més petites a la xarxa AD, com usuaris, impressores, etc. Els objectes s'emmagatzemen en OU 

 Classes d'objectes: plantilles per definir les característiques dels tipus d'objecte d'AE. Cada objecte 

 té una única combinació d'atributs. 

 Els contenidors lògics o unitats organitzatives (OU) 

 Com podria ser el departament d'una sucursal ... 

 . faciliten la localització dels recursos 

 . Permeten repicar l'estructura jeràrquica de l'organització. 

 . Permeten delegar responsabilitats administratives a unitats més petites. 

 . Poden agrupar-se en altres OU's 

 El domini: És la unitat més bàsica d'organització i Seguretat. 

 . És la unitat funcional central, com la unitat de mesura dels boscos de dominis. 

 . permeten organitzar objectes que pertanyen a una institució, empresa, etc. 

 . És un conjunt d'objectes definits de forma administratives, que
comparteixen una base de dades, directives de seguretat i reaccions de
confiança. 

 Arbres de dominis: La unió de diversos dominis i subdominis. 

 El bosc de dominis és la unió de diversos arbres. L'arbre que es
troba a la part superior de l'estructura jeràrquica s'anomena Domini
Arrel. 

 Domini múltiples: organitzen xarxes administrades per diferents
autoritats, com una multinacional amb dominis en diferents idiomes. 

 Els noms de domini són assignats mitjançant el sistema jeràrquic
dels DNS. On al domini primari "dominio.com" se li van afegint
 a l'esquerra els dominis secundaris "ventas.tralara.com" ... 

 Subdominis: Són agregats mitjançant relacions de confiança transitiva. 

 Els arbres d'un bosc comparteixen: 

 . Relacions de confiança transitiva. 

 . Esquema comú 

 . catàleg (de recursos) global general 

 Catàleg global: tots els objectes de l'empresa estan representats
en el catàleg global, però només un subconjunt de les propietats
 de cada objecte, s'emmagatzemen en el catàleg. Permet localitzar
els usuaris qualsevol recurs de l'empresa. Al tenir poques entrades de
dades per cada
 objecte, el temps de resposta és ràpid. 

 CG es replica en tots controladors de domini del bosc designats com a servidors de catàleg. 

 Els controladors de domini, administren la informació i les
interaccions dels usuaris del catàleg global de l'AD, incloent
recerques del directori 

 * Topologia, estructura física del directori Actiu): 

 Un lloc és una o diverses subxarxes IP connectades per enllaços ràpids 

 Quan un usuari inicia la sessió, AC cercarà que l'usuari autentiqueu al controlador de domini més proper a aquest usuari. 

 Això redueix trànsit innecessari entre controladors de domini per augmentar l'eficiència de la xarxa. 

 També es podrien programar que les cerques es realitzin en llocs en hores on el consum de recursos sigui baix.

 - Controlador de domini: Servidors d'altes prestacions que
executen windows server 2000, 1002 o 2008 que permet l'execució de AE.
 Administren el catàleg de l'AE. Realitza funcions
d'emmagatzematge i replicació. Recomanat que hi hagi 2 o més
controladors de domini per cada domini, per assegurar la disponibilitat
dels objectes,
 fent de backup en cas de caiguda d'un d'ells.

 - Lloc: Grups d'equips connectats de manera funcional. La utilitat
del lloc és la optimització de l'accés als recursos mitjançant el
control de les vies per les quals es comuniquen els paquets. 

 * Intercanvi entre dominis 

 Per permetre que els usuaris d'un domini accedeixin a recursos
d'un altre domini, Active Directory utilitza un trust (en espanyol,
relació de confiança). El trust és creat automàticament quan es creen
nous dominis. Els límits del trust no són marcats per domini, sinó pel
bosc al qual pertany. Existeixen trust transitius, on els trust
d'Active Directory poden ser un accés directe (uneix dos dominis en
arbres diferents, trànsit, una o dues vies), bosc (trànsit, una o dues
vies), regne (trànsit o no transitable, una o dues vies), o extern (no
transitable, una o dues vies), per connectar-se a altres boscos o
dominis que no són de Active Directory. Active Directory utilitza el
protocol V5 de Kerberos, encara que també suporta NTLM i usuaris webs
mitjançant autenticació SSL / TLS 

 Confiança transitiva 

 Les Confiança Transit són confiances automàtiques de dues vies que
existeixen entre dominis en Active Directory. Es defineixen com
confiances que flueixen a través de la xarxa, utilitzant servidors de
pas per utilitzar els recursos de dos arbres no connectats directament.
Això maximitza les relacions entre dominis de Windows perquè evita
posseir excés de confiança per connectar totes les màquines de la
xarxa. 

 Confiança explícita 

 Les Confiança explícites són aquelles que estableixen les
relacions de forma manual per lliurar una ruta d'accés per
l'autenticació. Aquest tipus de relació pot ser d'una o dues vies,
depenent de l'aplicació. 

 Les Confiança explícites s'utilitzen amb freqüència per accedir a dominis compostos per ordinadors amb Windows NT 4.0. 

 Confiança d'Accés Directe 

 La Confiança d'accés directe és, essencialment, una confiança
explícita que cregui accessos directes entre dos dominis en
l'estructura de dominis. Aquest tipus de relacions permet incrementar
la connectivitat entre dos dominis, reduint les consultes i els temps
d'espera per a la comprovació. 

 Confiança entre boscos 

 La Confiança entre boscos permet la interconnexió entre boscos de
dominis, creant relacions transitiva de doble via. En Windows 2000, les
confiances entre boscos són de tipus explícit, al contrari de Windows
Server 2003. 

 * Alternatives 

 La versió 4 de samba està preparant implementació amb Active Directory 

 http://wiki.samba.org/index.php/Samba4 

 El programa de codi lliure Mandriva Directory Server ofereix una
interfície web per a gestionar el controlador de dominis de Samba i el
servei de directoris LDAP. 

 likewise-open https: / / help.ubuntu.com/8.04/serverguide/C/likewise-open.html 

 Una altra alternativa és Novell eDirectory, que és
Multiplataforma: es pot córrer sobre qualsevol sistema operatiu: Linux,
AIX, Solaris, Novell Netware, UNIX i integra LDAP v.3 Natiu. És el
precursor en matèria d'estructures de Directori, ja que va ser
introduït en 1990 amb la versió de Novell Netware 4.0 Encara que AD de
Microsoft va assolir gran popularitat, encara no pot igualar la
fiabilitat i qualitat de eDirectory i la seva capacitat
Multiplataforma. 

 Sun Java ÉS Directory Server [1] i OpenDS [2] són altres
alternatives basades en java. El primer és un producte de Sun
Microsystems i el segon una alternativa de codi obert. 

 Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba ia
més certificació digital i bind9 (modificat per a usar LDAP com
backend) és WBSAgnitio ([3]).