PDC linux+samba junto a un W2K3 + Active Directory

Topología de redes, usos de las redes...

Moderador: Moderadores

PDC linux+samba junto a un W2K3 + Active Directory

Notapor Yorkshire » Mar Mar 15, 2005 10:21 pm

Hola:

Bueno, como ya sabéis, estoy preparando la migración de un PDC NT4 a un linux como PDC (me estoy empapando los post de neofito :wink: ).

El caso es que antes de comenzar, planificando un poco el futuro, se me ha planteado una duda:

Actualmente disponemos de un servidor independiente con NT4 y Oracle 8i, pero, a no muy largo plazo, ese servidor desaparecerá y compraremos uno con W2K3 y SQL Server. Mi idea es poner ese nuevo servidor como independiente y dedicado en exclusiva a SQL Server. Hasta aquí todo correcto, pero hoy me han comentado algo que es lo que me provoca la duda.
Me han dicho que la nueva versión de SQL Server (Yukon, 2005) no tendrá autenticación de usuarios propia sino que necesita de un Active Directory en el que basa la autenticación de los usuarios de la BD. Esto, si es así (que no lo se tampoco seguro), implicaría instalar AD en ese servidor y usar un único usuario en el AD que serviría para la BD, ya que la aplicación que nos están desarrollando usa un solo usuario de BD y la gestión de usuarios del programa la gestiona la misma.
La duda es: ¿Puede existir un PDC linux+samba y un servidor independiente con AD que solo autentifique al usuario de la BD?.

De entrada, me declaro un total ignorante en Active Directory. Nunca he visto ni implementado uno.

Espero haberme explicado bien. Si no ha sido así, aclaro lo que haga falta, y si lo creeis conveniente, os pongo toda la estructura actual de servidores y qué hace cada uno, ya que tambien tenemos un server W2K3 + TS SIN Active Directory, que es donde reside ahora la aplicación de gestión y además da servicio de escritorios a un montón de clientes linux.

Gracias.
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor okahei » Mar Mar 15, 2005 10:27 pm

¿Puede existir un PDC linux+samba y un servidor independiente con AD que solo autentifique al usuario de la BD?.


Si tiene AD, ya no será un servidor Independiente :wink:

No comprendo bien lo que quieres decir........

Los users , con cuenta de usuario en el AD, SE AUTENTICARÁN CONTRA el AD.

Sí tienes DOS AD....... pués tienes que establecer unas Relacciones de Confianza, entre los DOS Dominios que vas a montar......

Yo lo que haría :

Un Solo AD, es decir un Dominio para Todos. Y al Linux, le metes como Segundo AD ( pero del mismo Dominio...).

Así, los clientes, usarán sus credenciales, para el Winchof, y para el Linux.

Tendrás la BBDD del AD Replicada, y eso es muy bueno... imagina que se te cae el Server principal....

un saludo.
-<|:·)
Avatar de Usuario
okahei
-<|:·þ
-<|:·þ
 
Mensajes: 3715
Registrado: Sab Ene 29, 2005 12:12 pm

Notapor okahei » Mar Mar 15, 2005 10:33 pm

Tendrás la BBDD del AD Replicada, y eso es muy bueno... imagina que se te cae el Server principal....


La BBDD del AD, no tiene nada que ver con Tú BBDD SQL-Server.........

La BBDD del AD, es donde están las cuentas, configuraciones etc etc.... en el Dominio.

un saludo.
-<|:·)
Avatar de Usuario
okahei
-<|:·þ
-<|:·þ
 
Mensajes: 3715
Registrado: Sab Ene 29, 2005 12:12 pm

Notapor Yorkshire » Mar Mar 15, 2005 10:35 pm

En el servidor de W2K3 del SQL Server con AD solo habría un user que sería el de la BD. La aplicación usaría internamente ese usuario para conectar con la BD.
El asunto es que el PDC actual de NT4 que quiero pasar a linux es el que quiero que autentique a los usuarios de la red.

Dices que monte un linux como AD. ¿Se puede montar un linux como si fuera un AD?. ¿Es lo mismo que montarlo como un PDC linux?. ¿El W2K3 del SQL Server podria ser un servidor BDC con el AD para que estuviese como dices duplicado el "dominio"?

Salu2
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor Grullanetx » Mar Mar 15, 2005 10:39 pm

Hola!

Interesante situación...ahora no tengo tiempo de explayarme, pero...lo primero decirte:



Yorkshire escribió:¿Se puede montar un linux como si fuera un AD?


NO. actualmente eso no es posible...(quizás en la versión 4, ya eso sea historia)


Pero...podrías configurar el Linux PDC con Samba (Con LDAP como Backend...estudia esa posibilidad), como Domain Member del W2K3 ADS, el Equipo con Samba se encargaría de validar los usuarios del Dominio...

Luego detallo más el asunto (estoy en plena actualización de tablas en una aplicación del curro)


Saludos!
-==Live Like a Suicide==-
-<|:·þ [T] GTC (tm) Team 한경석
Grullanetx is the: Linux Registered User # 366156
Avatar de Usuario
Grullanetx
<|:-)
<|:-)
 
Mensajes: 495
Registrado: Mié Ene 26, 2005 8:59 pm
Ubicación: Venezuela y Wadalbertia!!

Notapor okahei » Mar Mar 15, 2005 10:45 pm

Fortunately, with this beta, Samba 3 has AD support. To be more precise, you can now join your Samba 3 server to an ADS tree as a member server without requiring that AD is running in mixed mode. Instead, AD can be running in native mode. You cannot, however, run it in Server 2003 mode, a superset of native mode which requires that all servers are running the Server 2003 operating system.



:? :? :?

un saludo.
-<|:·)
Avatar de Usuario
okahei
-<|:·þ
-<|:·þ
 
Mensajes: 3715
Registrado: Sab Ene 29, 2005 12:12 pm

Notapor Yorkshire » Mar Mar 15, 2005 10:49 pm

Vale, entonces se puede incluir un linux + samba como miembro de un AD, pero.... es que el linux es el que quiero que sea el PDC.
Si de rebote, el del SQL Server (cuando lo ponga) me sirve como backup, de puta madre, pero el caso es que el PDC de linux habría que montarlo ya y el otro dentro de un año más o menos.
¿Luego habria que retocar el linux o no?

Toy perdido... :oops: :cry:
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor Grullanetx » Mar Mar 15, 2005 11:00 pm

Hola...

Como ta ha dicho okahei si llega el momento de tener dos DC (bueno un DC con W2K3 y un PDC con Samba) puedes crear Trust Relationship entre ambos...PERO, hay que ver bien los roles de ambos, y que por X situación choquen ciertas operaciones (por ejemplo, asuntos con autenticación kerberos, interoperabilidad, mode server ó mode native... y esas cosas, que no recuerdo si son reuqeridas en una implementación con MS SQL Server)

En un rato...intentaré explicar en detalle lo que considero podrías hacer...

¿Luego habria que retocar el linux o no?


Necesariamente. :roll:
-==Live Like a Suicide==-
-<|:·þ [T] GTC (tm) Team 한경석
Grullanetx is the: Linux Registered User # 366156
Avatar de Usuario
Grullanetx
<|:-)
<|:-)
 
Mensajes: 495
Registrado: Mié Ene 26, 2005 8:59 pm
Ubicación: Venezuela y Wadalbertia!!

Notapor neofito » Mié Mar 16, 2005 12:53 am

Yorkshire escribió:Vale, entonces se puede incluir un linux + samba como miembro de un AD, pero.... es que el linux es el que quiero que sea el PDC.


Actualmente, es decir, con samba 3, linux no puede ser controlador primario de un dominio con Active Directory y varios servers winchof, pero si un servidor miembro.

Saludos
Avatar de Usuario
neofito
Wadalbertita
Wadalbertita
 
Mensajes: 1799
Registrado: Dom Ene 30, 2005 7:16 am
Ubicación: En algun lugar

Notapor Grullanetx » Mié Mar 16, 2005 1:26 am

Hola!

Rápidamente describiré como hacer miembro del Dominio con Active Directory (W2K3) a una Debian PDC Samba Server, pero esto no es exacto...es lo que recuerdo a bote pronto, es por eso que invito a revisar la documentación oficial...

Lo primero...

Tenemos que instalar los paquetes (MIT-Kerberos, Samba, winbind, OpenLDAP):

krb5-clients (mit-krb5)
krb5-config
krb5-user
libkrb5-xx-heimdal
samba
winbind
openldap


Quizás instalando estos otros paquetes, lo instalamos al completo:


krb5-workstation-x.x.x-xx
krb5-devel



Nota: Si estamos compilando Samba desde las fuentes, podemos usar las opciones siguientes:

Código: Seleccionar todo
--prefix=/usr/local --with-winbind --with-ads --with-ldap
  --with-krb5=/usr/local/kerberos5



se podrían añadir algunas otras

Código: Seleccionar todo
./configure --prefix=/usr \ --sysconfdir=/etc \ --localstatedir=/var/lib \ --enable-dns \ --enable-shared \ --mandir=/usr/share/man



y copiar los siguientes archivos a mano:

Código: Seleccionar todo
cp /usr/src/samba-3.x.x/source/nsswitch/pam_winbind.so  /lib/security/
 cp /usr/src/samba-3.x.x/source/nsswitch/libnss_winbind.so /lib/
 cp /usr/src/samba-3.x.x/source/bin/pam_smbpass.so  /lib/security/



Si usamos el maravilloso apt, pues:



Código: Seleccionar todo
 apt-get install paquete




* Debemos tener claro los niveles de seguridad de la configuración de Samba (smb.conf) , en este caso debemos configurarlo con:

Active Directory Security Mode también conocida como ADS

Si estamos en un ambiente con AD, es posible unirnos al dominio como miembro NATIVO de Active Directory. Incluso si las política de seguridad restringen el uso de protocolos de autentificación compatible con NT , el servidor samba puede unirse a ADS usando Kerberos.

Si configuramos Samba en modo "Active Directory member mode", este puede aceptar tickets Kerberos.

[GLOBAL]
...
security = ADS
realm = MIDOMINIO.COM
password server = kerberos.midominio.com



Conf. Básica mínima


#GLOBAL
realm = PREFIX_DOMAIN.SUFFIX_DOMAIN
ads server = IP_ADDRESS_DOMAIN_CONTROLLER
security = ADS
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
workgroup = PREFIX_DOMAIN
winbind uid = 10000-20000
winbind gid = 10000-20000





Entonces...empezamos configurando...


* Configuramos Kerberos:


Configuramos por medio del fichero /etc/krb5.conf el cual puede contener las siguientes líneas:

-Configuración mínima-

[libdefaults]
default_realm = EJEMPLO.COM

[realms]
EJEMPLO.COM = {
kdc = servidorAD.ejemplo.com
}



En mi caso:


Código: Seleccionar todo

[libdefaults]
   default_realm = grullas.dominio.com
[realms]
   grullas.dominio.com = {
      kdc = domcontrol.grullas.dominio.com
      admin_server = domcontrol.grullas.dominio.com
   }



ó algo así (un poco más completo)


/etc/krb5.conf

Código: Seleccionar todo
-----------------------------------------
[libdefaults]
         default_realm = grullas.dominio.com
         clockskew = 300

[realms]
grullas.dominio.com = {
         kdc = domcontrol.dominio.com
         default_domain = dominio
         kpasswd_server = domcontrol.grullas.dominio.com
}
TU.KERBEROS.REALM = {
         kdc = domcontrol.grullas.dominio.com
}

[domain_realms]
         .domcontrol.grullas.dominio.com = dominio.com
[domain_realm]
         .dominio = dominio.com
[appdefaults]
pam = {
         ticket_lifetime = 1d
         renew_lifetime = 1d
         forwardable = true
         proxiable = false
         retain_after_close = true
         minimum_uid = 0
}






* Podemos intentar probar que todo funcione correctamente, autenticandonos con un nombre de usuario válido y su contraseña, contra el AD del Dominio....utilizamos el siguiente comando:

Código: Seleccionar todo
kinit usuario@dominio.com



así podemos verificar si vemos el Dominio AD!



* Editamos nuestro fichero /etc/hosts

Código: Seleccionar todo
xxx.xxx.xxx.xxx    grullas.dominio.com   adserver






* Configuramos Samba y Winbind...

En el fichero /etc/samba/smb.conf :


Código: Seleccionar todo
[global]
   workgroup = grullas
   netbios name = estacion_debian
   realm = grullas.dominio.com
   server string = Debian GNU/Linux Testing
   security = ADS
   password server = domcontrol.grullas.dominio.com
   log level = 0
   local master = No
   idmap uid = 10000-20000
   idmap gid = 10000-20000

   template homedir = /home/%U
   template shell = /bin/false



esto básciamente, puede lucir como este ejmplo... el smb.conf, algo así:

Código: Seleccionar todo
   workgroup = ADSREALM
   netbios name = NOMBRE_SERVIDOR
   realm = ADSREALM.COM
   security = ADS
   server string = nombre_de_servidor Samba 3.0 server
   encrypt passwords = yes
   client use spnego = yes
   printcap name = cups
   printing = cups
   log file = /var/log/samba/smbd.log
   username map = /etc/samba/smbusers
   interfaces =
   hosts allow =
   max log size = 50
   winbind separator = +
   winbind use default domain = yes
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum groups = yes
   winbind enum users = yes
   wins server =
   password server = domcontrol.grullas.dominio.com



Os dejo aquí un smb.conf de ejemplo, para que lo adpaten a sus configuraciones:


# Separar el dominio y el username con el simbolo '+'

[global]
netbios name = NOMRE_SERVIDOR <- Colocar el mismo nombre del Servidor
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384 <- Cambiar estos valores para obtener mejores velocidades en las conexiones (consultar articulos de neofito)
idmap uid = 10000-20000 <- Esto para hacer el mapping de los "uids" entre el servidor Linux y Active Directory
winbind enum users = yes <- Permite realizar "bind" de usuarios.
winbind gid = 10000-20000 <- Esto para hacer el mapping de los "gids" entre el servidor Linux y Active Directory
workgroup = GRUPO_TRABAJO <- Colocar el nombre NetBIOS del Dominio AD.
os level = 20 <- Prioridad de Master Browser
winbind enum groups = yes <- Permite usar Grupos de AD
socket address = 1.2.3.4 <- Cambiar para hacer "match" de dirección IP ó remover para que quede escuchando todas las direcciones
password server = * <- Recomendable dejarlo así, SI se tiene más de un Servidor (en mi caso no)
preferred master = no <- Este valor, se modifica si se quiere o no tener un rol de master browser.
winbind separator = + <- (# Separar el dominio y el username con el simbolo '+')
max log size = 50 <-
log file = /var/log/samba3/log.%m <- Permite logear las actividades de cada estación
encrypt passwords = yes <- Active directory NO acepta contraseñas en texto plano
dns proxy = no <-
realm = EJEMPLO.COM <- Indicar Kerberos.
security = ADS <- Mode de Seguridad de Samba
wins server = 1.2.3.4 <- Dirección IP del WINS server
wins proxy = no <-

# Recursos Compartidos
[recurso] <- Nombre del recurso
comment = Directorio de pruebas <- Comentarios....
writeable = yes <- Permite a los usuarios actualizar el directorio
path = /home/recurso <- la ruta del recurso en el servidor Linux
force user = "..." <- Si se quiere indicar a un usuario determinado como responsable del recurso





* Configuramos en el fichero /etc/nsswitch.conf agregando las siguientes lineas 'winbind'

Código: Seleccionar todo
passwd:      compat winbind
group:      compat winbind


* Unificamos las entradas en ambos:

Código: Seleccionar todo
/usr/bin/getent passwd
  /usr/bin/getent group



* Verificamos en:

Código: Seleccionar todo
# cat /etc/pam.d/sshd


y en

Código: Seleccionar todo
# cat /etc/pam.d/login



para asegurarnos que los usarios de AD están habilitados para hacer login.

* Reiniciamos samba y winbind

Código: Seleccionar todo
/etc/init.d/samba restart


Código: Seleccionar todo
/etc/init.d/winbind restart


* Chequeamos si está corriendo winbind:

Código: Seleccionar todo
ps fax | grep winbindd




* Almacenamos las credenciales winbind:

Código: Seleccionar todo
wbinfo --set-auth-user=DOMINIO\\administrator%password



* Debemos asegurarnos muy bien, que la resolución DNS, estén funcionando BIEN! para que todo funcione con normalidad...

* En el Servidor DC Windows Server 2003

start-settings->control panel->administrative tools->domain controller security policies

En la opción:

Microsoft Network Server: Digitally sign communications (always)


Deshabilitar el firmado digital


* Reiniciamos el Windows Domain Controller


* Registramos el servidor al dominio (con una cuenta AD con provilegios para agregar maquinas al Dominio)

Código: Seleccionar todo
net ads join -U administrator wbinfo --set-auth-user=administrator@ADSREALM.COM%'PASSWORD'



ó una más simple como (en el caso de nuestro ejemplo)


Código: Seleccionar todo
 net ads join -W GRULLAS -U USUARIO


ó aún más simple:

Código: Seleccionar todo
net ads join -U Administrator


Si todo marcha bien, veremos un mensaje así:




Joined 'NOMBRE_SERVIDOR' to realm 'MIDOMINIO.COM.






* Comprobamos:


* Podemos ver información

Código: Seleccionar todo
/usr/bin/wbinfo -u


y de los Grupos:

Código: Seleccionar todo
/usr/bin/wbinfo -g




* Configuramos los servicios para que se inician en el arranque:

Código: Seleccionar todo
# rc-update add samba default
# rc-update add winbind default



* Por ultimo podemos realizar las siguientes operaciones:

Acceder aun recurso administrativo del Domain Controller (DC)

Código: Seleccionar todo
smbclient //Controlador_Dominio/c$ -k



* Montamos el recurso del DC en el Servidor Samba:

Código: Seleccionar todo
mkdir /win2k3_C



Código: Seleccionar todo
mount -t smbfs -o username=administrator,password=PASSWORD //Controlador_Dominio/c$/win2k3_C



Código: Seleccionar todo
cd /win2k3_C


Código: Seleccionar todo
ls


y veremos (si todo salió bien) listado los ficheros del recurso C$



* Asi mismo, en el DC con Windows, haremos una operación similar a esta:

Código: Seleccionar todo
net use * \\servidor\recurso_compartido




Hay muchas cosas que de seguro se me pasan.... :roll:


Recursos:

Kerberos source: http://web.mit.edu/kerberos/www/dist/

OpenLDAP source: http://www.OpenLDAP.org/

Samba 3 source: http://www.samba.org/


===============================================

***EDTITED***

Corregidos unos enlaces, y unas intrucciones...

***EDITED***

Otra edición :oops:
Última edición por Grullanetx el Mié Mar 16, 2005 7:30 am, editado 4 veces en total
-==Live Like a Suicide==-
-<|:·þ [T] GTC (tm) Team 한경석
Grullanetx is the: Linux Registered User # 366156
Avatar de Usuario
Grullanetx
<|:-)
<|:-)
 
Mensajes: 495
Registrado: Mié Ene 26, 2005 8:59 pm
Ubicación: Venezuela y Wadalbertia!!

Notapor Grullanetx » Mié Mar 16, 2005 2:55 am

Links de interés:

Samba ADS How To

winbind

Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability

Samba-HOWTO-Collection.html

Autenticación ADS

ads-create-machine-account


Yorkshire!

ahora intentaré plantear algo con el escenario que describes...estoy investigando sobre MS SQL Server! y revisando unos pasos que se deben comprobar en el DC con Windows Server 2003...

si puedes ofrecer más detalle, mucho mejor...está bastante claro, pero cuando se trata de AD, Samba, Windows y Linux,etc...pues ya sabes!




Saludos!
-==Live Like a Suicide==-
-<|:·þ [T] GTC (tm) Team 한경석
Grullanetx is the: Linux Registered User # 366156
Avatar de Usuario
Grullanetx
<|:-)
<|:-)
 
Mensajes: 495
Registrado: Mié Ene 26, 2005 8:59 pm
Ubicación: Venezuela y Wadalbertia!!

Notapor Grullanetx » Mié Mar 16, 2005 7:51 am

Ahora bien...entrando en materia con el escenario de Yorkshire!

primero aclararnos con el futuro Servidor (W2K3) y el rol que tendrá...


York escribió:En el servidor de W2K3 del SQL Server con AD solo habría un user que sería el de la BD. La aplicación usaría internamente ese usuario para conectar con la BD.


Pues según esto que dices...NO sería necesario dar de alta las máquinas y cuentas de usuarios en ese DC (esto si es que hay que promoverlo a DC, instalando AD...porque MS SQL Server- Yukon 2005- lo requiere) cierto ?

Explicanos, de que forma trabajará esa aplicación que refieres ? como se conectarán los clientes a esa(s) BBDD ? para acceder a la DATA...ya sabes...toda la implementación relacionada

Porque entiendo que existen muchas maneras de conectarte a tu DB que reside (residirá pues) en el MS SQL Server (Windows Server 2003) desde Linux, por ejemplo: ODBC Driver for Linux, Sybase Client Library y FreeTDS

...de esto sabes más que yo, incluso (creo) se puede usando PHP :roll:

http://www.php.net/manual/es/ref.mssql.php


Sigue contandonos...
-==Live Like a Suicide==-
-<|:·þ [T] GTC (tm) Team 한경석
Grullanetx is the: Linux Registered User # 366156
Avatar de Usuario
Grullanetx
<|:-)
<|:-)
 
Mensajes: 495
Registrado: Mié Ene 26, 2005 8:59 pm
Ubicación: Venezuela y Wadalbertia!!

Notapor Yorkshire » Mié Mar 16, 2005 8:23 am

Hola:

Los usuarios trabajan en el W$ que les suministra el servidor W2K3 + Terminal Server (servidor independiente en el actual dominio).
Ellos abrirán una aplicación en C# que conectará con SQL Server mediante un único usuario de BD. La gestión de usuarios para la aplicación esta integrada en la misma.

Es decir, para todos los usuarios, el ambiente es W$, aunque por debajo les corre un linux con rdesktop conectando al TS.

El asunto es que según leo, si hay que aplicar AD y el linux no puede ser PDC... ¿para qué instalar un PDC linux?. Me espero a que tengamos que instalar el W2K3 y SQL Server y montamos en él el AD y que se encargue de autenticar a TODOS los usuarios del dominio incluido al user de la aplicación ¿no?.

Si sólo hace esa función, no penalizaría mucho el rendimiento del SQL Server, ¿verdad?.

Salu2
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Notapor Grullanetx » Mié Mar 16, 2005 10:03 am

Bueno..bueno...la cosa se complica, ó soy yo el que se complica...jeje! por eso decía que esta situación era INTERESANTE!

Vamos a ver...antes que nada, ir recomendando empezar a leer información clasificada acerca del Active Directory en Windows Server 2003

http://www.microsoft.com/windowsserver2 ... fault.mspx

(no se resistan) Yorkshire...tu DEBES (quieras o no) irte leyendo esto..xD

Luego, hay que definir e identificar muy BIEN los roles de estos Servidores (antes de implementarlos)

Tenemos que (corrobora estos datos York, por favor):

* Existe un Dominio (controlado actualmente por el PDC con Windows NT Server) que se encarga únicamente de autenticar usuarios, etc...usando sus protocolos de autenticación NT comaptible.

* Tenemos un Servidor Terminal Server con W2K3, que NO es DC de Dominio alguno, ni es Servidor Miembro de Dominio, ni PDC; ni BDC, ni ná....solo es un Servidor por su cuenta

* Clientes Windows 2000 Pro que trabajan localmente (nada de Dominio ni Servidores)

* Terminales GNU/Linux que se validan en...? (yorkshire.com > ejemplo) o solo al Servidor TS ? este no tiene AD recuerda!!! (detalla bien la parte de este Servidor en especial)

* Servidor NT4 y Oracle 8i que sirve la Aplicación de Gestión en C# a los clientes Windows, cierto ? y asi mismo, aloja la BD de esa misma aplicación...cierto ?

* Servidor DHCP es un Linux si no recuerdo mal no ?




Ahora vamos por partes (para entender mejor esto)

Clientes:

- Estaciones GNU/Linux que cojen la IP de un PDC Windows NT no ? se validan tambien allí ? (creo que no) -primer paso-
- luego se conectan con rdesktop al TS con W2K3, no hay valdación en AD ni nada similar...



----Nota----

Recordemos que con Samba como Domain Controller

podemos escojer el método de authentication back-end que queremos usar...estos pueden ser:


# Unix/Linux system password database (no es una opción viable);
# SMB password database (puede ser replicada usando rsync);
# TDB SAM (ya lo explicó neofito);
# LDAP back-end (mi favorita...ya que puede integrarse con ciertos aspectos de AD,ya hay una implementación dentro de W2k3 de LDAPv3... leed esto : http://www.microsoft.com/windowsserver2 ... pcomp.mspx )

# Winbind (el cual puede usar cualquier Servidor CIFS cumpliendo rol de "domain control" como la base de datos de autenticación)
# Una BD SQL (usando MySQL, leed documentación oficial).


Todo esto, para beneficiarse de la centralización y administración central de authentication y control.


PERO, hasta ahora Samba, solo puede operar al estilo Windows NT domain controller, que crece según se requiera...(muy poco se parece a los Servidores con AD)

Esa funcionalidad y flexibilidad podría darsela la implementación de un back-end con autenticación "using" LDAP.

---------


Es bueno tener claros cada tecnología


Un servicio de directorio proporciona una localización centralizada para almacenar información en un ambiente distribuido, almacena la info sobre los dispositivos de red y los servicios y los usuarios que los utilizan. Un servicio de directorio también implementa los servicios que ponen esta información a disposición de los usuarios, las computadoras, y aplicaciones. Un servicio de directorio es tanto un sistema de almacenaje de la base de datos (almacén del directorio) y un conjunto de servicios que proporcionan los medios para agregar, modificar, suprimir, y localizar con seguridad datos en el almacén del directorio.



Active Directory (Directorio Activo, que no es más que el Servicio de Directorio centralizado), particularmente en W2K3, es usado para tres propósitos básicos:

# Internal directory (Directorio Interno). Utilizado dentro de la red corporativa para publicar información de usuarios y recursos dentro de la empresa. El directorio interno de una compañía puede ser accesible a los empleados cuando están fuera de la red de la compañía usando una conexión segura tal como una conexión privada virtual(VPN), pero no es accesible a los no-empleados (es decir, a los NO autorizados).
# External directory (Directorio externo). Éstos son directorios típicamente localizados en los servidores en la red perímetral o en la zona (DMZ) en el límite entre la red de área local corporativa (LAN) y el Internet público. Los directorios externos se utilizan típicamente para almacenar la información sobre clientes, clientes, y los socios de negocio que tienen acceso a usos o a servicios externos. También se ponen a disposición los clientes, y los socios de negocio para proporcionarles de información seleccionada
# Application directory (Directorio de Aplicación). Estos almacenan los datos "privados" del directorio que son relevantes solamente a la aplicación en un directorio local, quizás en el mismo servidor, sin requerir ninguna configuración adicional al directorio activo.


Para que lo vean mejor:

Imagen


Si un Servidor con W2K3 tiene instalado AD, pasa a tener el ROL de un Controlador de Dominio (PDC es en Windows NT Server)

PERO, de cual Dominio ? esa es la pregunta que debes hacerte y responder... ese Dominio será miembro de otro Dominio ? será un DC adicional de un Dominio existente ? será un Dominio de Confianza ? estará en un BOSQUE de Dominios ?

Todas estas interrogantes, deben tener respuesta clara...para diseñar la implementación final...ya que estamos hablando de Servidores y de roles en un Dominio..

Porque, perfectamente puedes considerar el uso del directorio activo (AD) de Microsoft como servicio de autentificación para los sistemas Linux. Aunque Linux tiene un sistema demautentificación basado en directorio muy bueno (OpenLDAP), puede ser recomendable en algunos sitios authenticar a usuarios de Linux contra un servidor de Microsoft Windows. Aunque sepamos que AD no es el mejor sistema de autentificación en un ambiente multiplataforma, y que es un Sistema cerrado que NO permite autentificación de nada que no sea MS!...debido a la estructura de nuestras redes y las aplicaciones que nos gastamos, algunas veces se recurre a AD para estas labores...

Si usamos AD para autenticar clientes Linux, podemos hacerlo directamente usando los módulos PAM ó Kerberos nativo (cualquiera de MIT Kerberos o Heimdal), como ya lo intenté explicar en mi post sobre hacer miembro del dominio con AD (W2K3) a un Samba Server...

LDAP no puede ser un "socio" de downstream distribuido para una infraestructura de Active Directory (Servidores W2K3). Los dominios controlados por Windows NT NO interáctuan en nada con LDAP. Si se desea utilizar cuentas del dominio NT con Linux, entonces Winbind es la única opción...

Al menos que se compren la solución Volution Authentication Server ( http://www.sco.com) que provee FULL integración con Active Directory para Linux y Unix...

Sin embargo, podemos almacenar toda lainformación de cuentas en un back-end LDAP , tanto para samba como para Linux (ojo, diferenciar esto bien). En el lado de Linux se utilizarían los módulos PAM LDAP. Y claro, todos los clientes MS WINDOWS podrían authenticar a ése LDAP back-end vía samba. (esta es una buena solución)



Pues bien, Yorkshire...insisto en identificar y definir bien los roles de esos Servidores, tener bien claro la infraestructura de la red del curro, los requerimientos que les exige cada Aplicación que es servida a los clientes, las características de eso clientes, etc...para pensar en la solución más adecuada y para diseñar muy bien la implementación.

El asunto es que según leo, si hay que aplicar AD y el linux no puede ser PDC... ¿para qué instalar un PDC linux?.


Si hay que aplicarlo, no pasa nada...pero no pasa nada, hasta el momento que ese Dominio sea el que vaya a validar los clientes, y en que las máquinas van a ser unidas...para compartir una BD centralizada de servicios, Dispositivos de Red, usuarios, cuentas, etc...(lo que comenté arriba de AD)

Recuerda lo de los roles!


Me espero a que tengamos que instalar el W2K3 y SQL Server y montamos en él el AD y que se encargue de autenticar a TODOS los usuarios del dominio incluido al user de la aplicación ¿no?.


Es una posible opción...es posible con los factores que tenemos ?

Si sólo hace esa función, no penalizaría mucho el rendimiento del SQL Server, ¿verdad?.


Según mi experiencia, SI. y según la carga y envergadura del Dominio y del tráfico de la data (centralizada) entre los Clientes y el Server....MUCHO!

Pero depende...



Te invito a echarle un vistazo a este Articulo (es viejo pero bueno, dá una amplia visión del asunto):

Active Directory and Linux
http://www.securityfocus.com/infocus/1563



Sigue contandonos....
-==Live Like a Suicide==-
-<|:·þ [T] GTC (tm) Team 한경석
Grullanetx is the: Linux Registered User # 366156
Avatar de Usuario
Grullanetx
<|:-)
<|:-)
 
Mensajes: 495
Registrado: Mié Ene 26, 2005 8:59 pm
Ubicación: Venezuela y Wadalbertia!!

Notapor Yorkshire » Mié Mar 16, 2005 11:26 am

Hola:

Ante todo, gracias por ayudarme a tomar esta decisión. Es muy importante para mí planificar todos los posibles problemas futuros ya que se trata de dinero y no quiero equivocarme.

* Existe un Dominio (controlado actualmente por el PDC con Windows NT Server) que se encarga únicamente de autenticar usuarios, etc...usando sus protocolos de autenticación NT comaptible.

Exacto. Ni siquiera almacena directorios de los usuarios.
* Tenemos un Servidor Terminal Server con W2K3, que NO es DC de Dominio alguno, ni es Servidor Miembro de Dominio, ni PDC; ni BDC, ni ná....solo es un Servidor por su cuenta
Exacto. No tiene AD y tiene instalado TS para dar servicio a los clientes linux suministrándoles un escritorio W$ para trabajar. Aquí todos (menos yo) trabajan SOLO con W$.
Este servidor es el que alberga los directorios home de cada user y los directorios compartidos en general.

* Clientes Windows 2000 Pro que trabajan localmente (nada de Dominio ni Servidores)
NO. Esos equipos con W2K y algunos con XP Pro están unidos al dominio

* Terminales GNU/Linux que se validan en...? (yorkshire.com > ejemplo) o solo al Servidor TS ? este no tiene AD recuerda!!! (detalla bien la parte de este Servidor en especial)
Se conectan al Terminal Server mediante rdesktop. Éste les da una pantalla de login y se validan en el dominio (el del PDC, evidentemente) mediante el W$ que les proporciona el TS. A partir de ahí son como un puesto más de W$ dentro del dominio.

* Servidor NT4 y Oracle 8i que sirve la Aplicación de Gestión en C# a los clientes Windows, cierto ? y asi mismo, aloja la BD de esa misma aplicación...cierto ?
Cierto. Pero la aplicación actual está en Developer y PL/SQL con Oracle. Lo del C# será cuando nos tengamos que pasar a SQL Server (para el cual habrá que comprar un servidor nuevo y un W2K3 server nuevo). Concretamente, este servidor SOLO aloja la BD de Oracle. La apicación también está almacenada en un directorio compartido del servidor de TS. También recuerdo, que a efectos de trabajo, todos los terminales son (finalmente) Windows.

* Servidor DHCP es un Linux si no recuerdo mal no ?
Sí. Además ese servidor es el de correo.

Tambien tengo una máquina linux como firewall, proxy y servidor fax, que es el que hace de "muro" entre el router de ONO y la red interna.



Las preguntas entonces (ya que dices que sí que penaliza el AD el rendimiento) son........

- ¿Me tocará migrar el PDC a W2K3 y AD para que cuando instalemos el del SQL Server ya tenga un AD donde validarse la BD?.
- ¿Digo adiós a la posibilidad de linux como controlador principal de dominio (solo quiero tener un dominio) si necesito un AD por culpa del SQL Server?.

Salu2
Linux registered user #346840
Avatar de Usuario
Yorkshire
Gran Wadalbertita
Gran Wadalbertita
 
Mensajes: 4488
Registrado: Mié Ene 26, 2005 5:05 pm
Ubicación: -<|:-P[G]

Siguiente

Volver a Redes

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 2 invitados