| Artículos | 01 NOV 2000

Windows 2000: El Directorio Activo

Tags: Histórico
José M. Alarcón.
Se trata de una de las novedades más destacables de Windows 2000, y una de las bazas más importantes de este sistema operativo para competir en el difícil mercado de las grandes redes corporativas. El Directorio Activo elimina la necesidad de trabajar con conceptos arcaicos como relaciones de confianza, dominios maestros, la existencia de sistemas críticos, etc. En este artículo se presentarán sus características más relevantes, así como los conceptos y definiciones necesarios para entender su funcionamiento.

Un directorio, en su acepción más general, es una fuente de datos en la cual se almacena información sobre objetos o personas. El típico ejemplo de directorio es una guía telefónica, en la cual se guardan datos acerca de los abonados a una compañía; generalmente nombre, dirección, y teléfono.
En el caso de un sistema de ordenadores interconectados en red, un servicio de directorio que almacene información sobre los componentes del mismo (impresoras, usuarios, bases de datos...), es de primordial importancia en cuanto el tamaño comienza a ser considerable. A partir de este directorio los usuarios podrán realizar búsquedas en la red para encontrar lo que necesitan, y los administradores tendrán un lugar en el que se centraliza toda la administración de la red y los sistemas.
En cualquier caso, pensar que un servicio de directorio solamente debe ofrecer administración de usuarios y recursos de red es tener una visión simplista de este tipo de servicios. Un servicio de directorio debe ofrecer además:
- Servicios de autenticación y seguridad.
- Escalabilidad para permitir el manejo de redes muy grandes.
- Debe tratarse de un servicio distribuido.
- Debe permitir la división de sus contenidos en varios “almacenes de datos” para facilitar la gestión de enormes cantidades de objetos y realización rápida de búsquedas.
- Debe ser extensible en cuanto a los objetos que puede contener, así como los atributos de éstos.
Actualmente existen en el mercado PC varios servicios de directorio, siendo los mas conocidos StreetTalk de Banyan y los Novell Directory Services (NDS), ambos disponibles en el mercado desde hace tiempo.

El Directorio Activo
El Directorio Activo (DA) es el servicio de directorio incluido con Windows 2000 Server. Cumple virtualmente con todas las características exigibles a un servicio de esta índole y, en teoría, es capaz de gestionar desde pequeñas redes con un único servidor hasta redes gigantescas con miles de servidores y millones de objetos constituyentes. El DA permite administrar no sólo los usuarios y la seguridad, sino también otras características de Windows 2000 como la infraestructura de clave pública incluida en este sistema, o volúmenes del sistema distribuido de archivos (DFS).
La información contenida en el directorio activo es muy variada. Los objetos predefinidos que contempla son los más habituales, e incluyen:
- Usuarios: representan a las personas que utilizan la red. Poseen características de seguridad, y se le pueden asignar diversos permisos.
- Contactos: son personas que no utilizan la red, es decir, no tienen permisos de seguridad. Se trata de meros contenedores de datos personales, como por ejemplo los que tiene la agenda personal de Outlook.
- Equipos: un objeto del DA que representa un ordenador de nuestra red.
- Impresoras: representan las impresoras compartidas en la red con todas sus características relevantes.
- Carpeta compartida: se trata de un recurso del sistema de archivos compartido en la red. Puede ser un directorio o una unidad de disco completa.
- Grupos: un grupo simplifica la administración pudiendo agrupar objetos que estén relacionados entre sí, incluyendo, cómo no, a otros grupos.
- Unidades Organizativas (OU): se utilizan como contenedores para organizar de manera lógica objetos de directorio como usuarios, grupos y computadoras, de la misma manera que las carpetas se utilizan para organizar archivos en el disco duro. Las OU constituyen un concepto muy importante dentro del DA, ya que permiten delegación de responsabilidades en su administración, lo cual los hace muy útiles en redes grandes. La figura 1 muestra un dominio, krasis.com, que contiene una unidad organizativa llamada Desarrollo que a su vez contiene otras OU para las distintas actividades dentro del área. También contiene usuarios, grupos, recursos compartidos, etc... En lugar de tener que ser administrada por una única persona, podemos delegar responsabilidades de administración de cada OU a los jefes de cada equipo de desarrollo, flexibilizando la gestión de la red y sus recursos.

Dominios y árboles de dominios. Protocolo Kerberos
En Windows 2000 las directivas de seguridad siguen vinculadas a dominios. Sin embargo los dominios de DA no son NetBIOS como en Windows NT (aunque se mantienen estos nombres por compatibilidad) sino que se utilizan nombres articulados DNS, como en Internet. Pueden existir varios dominios diferentes dentro del Directorio Activo. Un árbol de dominios es un conjunto de dominios que confían entre sí y que pertenecen a un ámbito contiguo. Todos los dominios de un árbol de dominios comparten el mismo esquema (enseguida veremos qué es esto), la misma configuración y el mismo catálogo global. El DA puede estar formado por uno o mas árboles de dominios.
Las relaciones de confianza entre los dominios son transitivas, a diferencia de los dominios de Windows NT. Esto es así porque la autenticación se confía al protocolo Kerberos, versión 5, el cual permite que las relaciones entre dominios sean en dos sentidos y transitivas. Si un dominio A confía en otro dominio B y éste a su vez confía en un dominio C, este último confía implícitamente en el dominio A debido a la transitividad proporcionada por Kerberos, como se ilustra en la figura 2.
La autenticación basada en el protocolo Kerberos se basa en el concepto de “ticket” o “billete”. Es algo que se puede parecer a entrar en un parque de atracciones y comprar un billete: se compra un billete a la entrada que permite montar en todas las atracciones que queramos, pues dicha entrada es común a todas ellas.
Cuando un usuario se autentica en un dominio Windows 2000, Kerberos otorga un “ticket” al sistema cliente. Esta “entrada” está cifrada y contiene información suficiente para identificar al usuario. Ahora el usuario puede moverse por todo el árbol de dominios (el parque de atracciones de la analogía) sin necesidad de ser autenticado de nuevo, ya que posee el pase necesario. Esto supone una ventaja fundamental frente a Windows NT 4, en donde uno debía autenticarse frente al controlador de dominio y después se enviaba una nueva petición de autenticación a éste cada vez que se accedía a un recurso de red.
Microsoft clama a los cuatro vientos que el Kerberos de Windows 2000 es totalmente compatible con la especificación estándar de la IETF (RFC 1510), y por lo tanto se asegura la interoperatividad de los dominios Windows 2000 con clientes UNIX y otros sistemas operativos. Sin embargo, recientemente se han alzado voces discrepantes (www.counterpane .com/crypto-gram-0003.html#KerberosandWindows2000) que aseguran que la implementación de Kerberos de Windows 2000 no es compatible con el estándar, ante lo cual parece que Microsoft no ha dado respuesta todavía.

Características
Las principales características del directorio

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información