Servicio de Directorio en Linux (LDAP)

Uno de los muchos problemas que se puede encontrar  un administrador de una red local es el mantenimiento de las distintas bases de datos de usuarios que pueden acceder a los distintos recursos que se comparten.

El objetivo a lograr es unificar las distintas bases de datos de usuarios de en un único sistema centralizado de forma que sirva, para validar usuarios de la máquina local y para actuar como servidor de validación para otros ordenadores en red como complemento a los datos de sus ficheros locales. Existen diferentes formas de autenticar clientes en una red GNU/Linux, pero una de las más usadas es la combinación de tres herramientas diferentes: PAM, NSS y LDAP.

• ¿Qué es LDAP?

LDAP (Protocolo compacto de acceso a directorios) es un protocolo estándar  que proporciona servicios de directorio, organizando la información en forma de árbol jerárquico garantizando así la unicidad de la información y la posibilidad de dividir la gestión por ramas. Puede ejecutarse sobre TCP/IP o sobre cualquier otro servicio de transferencia orientado a la conexión.

Se desarrolló en 1993 en la Universidad de Michigan, reemplazó al protocolo DAP (utilizado para acceder a los servicios de directorio X.500 por OSI) integrándose al TCP/IP. Desde 1995, DAP se convirtió en LDAP independiente, con lo cual se dejó de utilizar sólo para acceder a los directorios tipo X500. LDAP es una versión más simple del protocolo DAP, de allí deriva su nombre Protocolo compacto de acceso a directorios. La nueva versión (LDAPv3) se publicó en 1997 e integraba mecanismos de autenticación sencilla y una capa de seguridad. Después de esto, la IETF ha añadido numerosas extensiones y especificaciones propias que le han ido incorporando nuevas capacidades.

• ¿Qué es NSS?

NSS (Name Service Switch) es un servicio que permite la resolución de nombres de usuario y contraseñas (o grupos) mediante el acceso a diferentes orígenes de información. Normalmente, esta información se halla en los ficheros locales del sistema operativo, en concreto en /etc/passwd, /etc/shadow y /etc/group, pero puede proceder de otras fuentes, como DNS (Domain Name System), NIS (Network Information Service), LDAP (Lightweight Directory Access Protocol) o WINS (Windows Internet Name Service).

Lo que pretende conseguir NSS es que los programas o los comandos del sistema operativo puedan manejar información administrativa relacionada con los usuarios, las contraseñas y los grupos sin tener que conocer el lugar donde se encuentran almacenados.

• ¿Qué es PAM?

PAM (Pluggable Authentication Module) es una interfaz genérica de autenticación accesible a cualquier aplicación compilada con soporte PAM. El mecanismo de validación subyacente puede ser cualquiera (ficheros locales, Kerberos, LDAP, etc.). El proceso de validación ya conoce el nombre de usuario y ahora tiene que comparar la contraseña leída con la contraseña almacenada y decirle al proceso si coinciden o no.

PAM complementa en algunos aspectos el funcionamiento de NSS ya que mientras éste se centra en la búsqueda y mapeo de los usuarios, PAM controla la autenticación, el inicio de sesión y su configuración.

En la actualidad, PAM es el método que utilizan la mayoría de las aplicaciones y herramientas de GNU/Linux que necesitan relacionarse, de algún modo, con la autenticación de los usuarios.

¿Qué es SWAT?

Tare

Samba Web Administration tool (SWAT) Es una herramienta de administración basada en Web para Samba, el cual permite la configuración de GUI desde cualquier computador que contenga un navegador web. Este servidor requiere de una configuración mínima para su funcionamiento. También cabe mencionar que Swat es el servidor Samba pero utilizado en ambientes gráficos como Windows y se puede acceder a el ingresado la dirección IP del servidor ya configurado a un navegador web. Como decíamos Swat se comporta como un servidor web el cual nos permite configurar Samba de forma remota.

• Por qué y Para qué empleamos SWAT:

La primer razón por qué se utiliza swat es porque se puede acceder desde cualquier Pc que contenga un ambiente gráfico en nuestro caso Windows y así hace mucho mejor la interacción con el servidor Samba.
Y en cuanto al para qué: es proporcionando a los usuarios una mejor manera para compartir recursos desde una máquina como Ubuntu Server que no contenga modo gráfico a una máquina como Windows. 


Hemos intentado instalar SWAT en ubuntu 16.04, pero lo hemos dejado por imposible ya que la arquitectura que presenta no es compatible, ademas del kernel. Es posible intalarla en versiones anteriores como Ubuntu 12.04, Ubuntu 10.04, etc.

Aquí dejo un vídeo de como se utiliza dicha herramienta, en este ejemplo se utiliza para configurar linux como controlador de dominio con SWAT

Hemos optado por conectarnos a nuestro servidor Windows Server 2012 mediante Remmina:

Antes de nada cabe destacar que Remmina es un cliente de escritorio remoto con el cual podemos acceder a un equipo de manera remota, viene incorporado en Ubuntu por defecto.

 Lo primero es habilitar la opción Permitir conexiones remotas a nuestro servidor Windows Server 2012, es necesario para tener acceso a él

Abrimos la herramienta Remmina Remote Desktop Client, para ello en el lanzador buscamos remmina

Escribimos la IP del equipo al que nos queramos conectar, en nuestro caso la IP de nuestro servidor; y hacemos clic en Connect!

Nos solicitara las credenciales(usuario y contraseña) para acceder al equipo

Listo! Ahora ya tenemos control total de nuestro servidor como si estuviésemos sentados frente a él

¿Qué es RSAT?

Es una herramienta para los server admin, que permite administrar desde un equipo a partir de Windows 7 el Directorio Activo, DNS, GPO, Hyper V.. etc.

RSAT también permite a los administradores de TI administrar funciones y características que están instalados en los equipos remotos que ejecutan Windows Server 2008 R2 SP1 o Windows Server 2008 R2 .Incluye soporte para la administración remota de equipos que ejecutan tanto el núcleo del servidor o las opciones de instalación completa de Windows Server 2008 R2 con SP1,algunas funciones y características en Windows Server 2003 se pueden administrar en forma remota utilizando Remote Server Administration tools para Windows 7 con SP1, aunque la opción de instalación Server Core no está disponible con el sistema operativo Windows Server 2003.

Vamos a proceder a instalar RSAT en Windows 10:

Descargamos el paquete RSAT de la web oficial de Microsoft (https://www.microsoft.com/es-ES/download/details.aspx?id=45520)

Instalamos el paquete descargado en nuestro equipo con Windows 10

Esperamos a que termine el proceso de instalación de la actualización necesaria

Una vez terminado el proceso de instalación de la actualización, deberemos hacer clic en el botón Reiniciar

Ya tendriamos instalado la herramienta de administración remota en nuestro equipo con Windows 10, ahora debemos de integrar este equipo al dominio creado, en mi caso 2ASIR.local

Una vez integrado el equipo nos pedira que reiniciemos el equipo, una vez iniciado nos loguearemos con el usuario Administrador de nuestro dominio

Ahora en nuestro servidor Windows Server 2012 instalaremos el rol de Acceso Remoto, ya que es necesario para posteriormente administrarlo desde nuestro equipo Windows 10

Ademas permitiremos conexiones remotas a nuestro servidor

Ahora en nuestro cliente Windows 10 abrimos la herramienta denominada Administrador del Servidor ubicada dentro de las Herramientas Administrativas

Hacemos clic en Agregar otros servidor para administrar y añadimos el/los servidores a administrar, en nuestro caso nosotros administraremos nuestro servidor Windows Server 2012

Ahora ya podremos administrar nuestro servidor de manera remota, a través de esta herramienta

Ahora vamos a probar su funcionamiento, para ello como ejemplo nos iremos a la herramienta Usuarios y Equipos de Active Directory y restableceremos la contraseña de uno de los usuarios

Observamos que podemos administrar de una manera muy intuitiva nuestro servidor, como si estuviésemos sentados frente a él.

Como ampliación, administraremos nuestro servidor Windows Server 2012 Core:


Integramos a nuestro equipo con Windows 10 en el dominio 2asircore.local

Nos logueamos con el usuario Administrador de nuestro dominio y si se une correctamente nos avisara de que se a unido correctamente al dominio

Debemos reiniciar el equipo para que los cambios sean aplicados

Entramos una vez iniciado con el Administrador del dominio

Nos vamos a herramientas administrativas y abrimos la herramienta Administrador del servidor, despues hacemos clic en Agregar otros servidores para administrar 

Añadimos el/los servidores a administrar, en nuestro caso nosotros administraremos nuestro servidor Windows Server 2012 Core

Ahora ya podremos administrar nuestro servidor de manera remota, a través de esta herramienta

Ahora vamos a probar su funcionamiento, para ello como ejemplo nos iremos a la herramienta Usuarios y Equipos de Active Directory y restableceremos la contraseña de uno de los usuarios

Observamos que podemos administrar de una manera muy intuitiva nuestro servidor, como si estuviésemos sentados frente a él.

¿Qué es SAMBA?

  

Samba es una implementación libre del protocolo de archivos de compartidos, que posee Windows (antes llamado SMB, actualmente llamado como CIFS) y sirve para los sistemas tipo Unix.

Samba es la idea de Andrew Tridgell, quien actualmente lidera el equipo de desarrollo de Samba development desde su casa de Canberra, Australia. El proyecto nació en 1991 cuando Andrew creó un programa servidor de ficheros para su red local, que soportaba un raro protocolo DEC de Digital Pathworks. Aunque él no lo supo en ese momento, aquel protocolo más tarde se convertiría en SMB. Unos cuantos años después, él lo expandió como su servidor SMB particular y comenzó a distribuirlo como producto por Internet bajo el nombre de servidor SMB. Sin embargo, Andrew no pudo mantener ese nombre -ya pertenecía como nombre de producto de otra compañía-, así que intentó lo siguiente para buscarle un nuevo nombre desde Unix:

grep -i 's.*m.*b' /usr/dict/words

y la respuesta fue:

salmonberry samba sawtimber scramble

De ésta manera nació el nombre de Samba. Hoy, la suite Samba implica a un par de demonios que proporcionan recursos compartidos a clientes SMB sobre la red (las comparticiones son denominadas a veces también como servicios). Estos demonios son:

smbd

Un demonio que permite compartición de archivos e impresoras sobre una red SMB y proporciona autenticación y autorización de acceso para clientes SMB.

nmbd

Un demonio que busca a través del Windows Internet Name Service (WINS), y ayuda mediante un visualizador.

Permite que equipos con distros GNU/Linux puedan compartir archivos e impresoras con otros equipos de su red local.De esta manera hace posible que equipos con GNU/Linux, Mac OS X o Unix en general puedan ser usadas como servidores o actúen como clientes.

Actualmente el proyecto de SAMBA es mantenido por un grupo de desarrollo usando el licenciado bajo la ampliamente usada GNU/Linux.---> https://www.samba.org/

• Características:

Samba es una aplicación de servidor poderosa y versátil. Hasta los administradores bien empapados deben conocer sus habilidades y limitaciones antes de intentar una instalación y configuración.

Lo que Samba puede hacer:

• Sirve árboles de directorios e impresoras a clientes Linux, UNIX y Windows
• Asiste en la navegación de la red (con o sin NetBIOS)
• Autentifica las conexiones a dominios Windows
• Proporciona resolución de nombres de Windows Internet Name Service (WINS)
• Actúa como un Controlador de Dominio Primario (Primary Domain Controller, PDC) estilo Windows NT®
• Actúa como un Backup Domain Controller (BDC) para un PDC basado en Samba
• Actúa como un miembro servidor de dominio de Active Directory
• Une un Windows NT/2000/2003 PDC

Lo que Samba no puede hacer:

• Actúa como un BDC para un Windows PDC (y viceversa)
• Actúa como un controlador de dominio de Active Directory