Active Directory (1-6)

En las siguientes entradas realizaré una práctica sobre Active Directory en Windows 2008 Server. En esta haré los ejercicios del 1 al 6.

Enunciado

Perteneces al departamento de sistemas de la empresa Asir2 S.A. A fecha de 28 de Octubre de este año, se plantea una migración del entorno corporativo a la versión de Windows Server 2008.

Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores (tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia se va a proceder al traslado de toda la empresa a un nuevo edificio situado en la C/Arcos de la Frontera s/n

Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos necesarios para dicha migración y llevarlos a cabo para tal fecha.

Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están actualmente en producción:

·         Administración de usuarios y grupos.

·         Administración de ficheros.

·         Administración de discos.

·         Copias de seguridad.

y añadir otros más.

El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos.

Primero instalamos Active Directory. Para ello vamos a Ejecutar y escribimos “dcpromo”.

Ahí configuramos el nombre del dominio, que será asir2.gcap.net. Después le damos al servidor una IP.

Ya está todo listo para comenzar la práctica.

Realización de la práctica

La información necesaria para esta labor en relación al entorno actual es la siguiente:

1. La empresa consta de 20 empleados.

Entramos en Inicio, Herramientas Administrativa, Usuarios y Equipos de Active Directory. Nos vamos a Users y creamos un nuevo usuario.

Introducimos los datos del usuario y le damos a Siguiente. Seguimos los pasos hasta tener el usuario creado. Hacemos esto con los otros 19 empleados. También podemos hacer click derecho sobre el usuario creado y darle a Copiar.

2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco duro diferente a la del sistema operativo.

Primero creamos el grupo en el que meteremos a los usuarios 3, 4 y 5. Le damos a Crear grupo y lo llamamos Sistemas.

Seleccionamos los usuarios 3, 4 y 5 haciendo click sobre ellos con la tecla Ctrl pulsada, ckick derecho, Agregar a un grupo. Escribimos el nombre del grupo y le damos a Aceptar.

Le he cambiado el nombre al Usuario3, ahora se llama Admin. Los otros dos se llamarán Encargado1 y Encargado2. Ahora le agregamos los permisos en el grupo. Admin será el que administre el grupo.

 

Ahora crearemos un nuevo disco duro virtual y la carpeta Sistemas. Al disco lo llamaré Asir2.

Modificamos los permisos de la carpeta para que sólo puedan acceder los usuarios del grupo Sistemas.

3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al proyecto en el que estén trabajando.

Creamos el grupo Software en el que meteremos los usuarios del 6 al 20.

Creamos su carpeta correspondiente en el disco virtual. Dentro de ella creamos las carpetas Proyecto 1, 2 y 3 y dentro de cada una de ellas las carpetas Repositorios y Documentación.

Damos permisos al grupo Software en la carpeta Software.

Damos permisos a 5 empleados para cada proyecto. Para esto debemos desmarcar la casilla Incluir todos los permisos heredables para que no herede permisos de la carpeta superior.

4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente tendrá acceso a toda la documentación y código ejecutable C.F.G.S de Administración de Sistemas Informáticos en Red Administración de Sistemas Operativos de los proyectos. El director tendrá acceso ilimitado a todos los recursos disponibles.

El Usuario1 y Usuario2 serán Director y Gerente respectivamente. Los meteremos dentro de un grupo llamado Especiales.

Damos permisos al Director para todos los recursos.

Y damos permisos al Gerente para toda la documentación y código de los proyectos.

5. La empresa tiene una serie de servicios que quiere seguir manteniendo (incluidos sus nombres):

a. Controlador de Dominio => tunombre.gcap.net

b. Servicio DNS

c. Servicio DHCP =>192.168.100.0/24

i. Ámbito: 192.168.100.2 – 192.168.100.254

ii. Servidor: 192.168.100.1
Creamos la zona inversa en el servidor DNS. La directa se creó al instalar Active Directory y el Controlador de Dominio.

Instalamos el servidor DHCP si no lo tenemos instalado en Agregar funciones. Luego vamos al servicio DHCP en el Administrador del servidor. Hacemos click derecho sobre nuestro dominio y vamos a Nuevo Ámbito. Ahí ponemos el ámbito indicado.

Ponemos la puerta de enlace para los nuevos clientes.

Y definimos cuál va a ser nuestro servidor.

Comprobamos que lo hemos creado bien.

6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch

virtual que trabaje es la subred 192.168.100.0/24. Configura una interfaz de red

para simular lo anterior y que no tengan salida a Internet. Como si estuvieran

todos conectados físicamente a un switch.

Vamos a la configuración de la máquina y ponemos un nuevo adaptador de tipo Red Interna.

IIS en Windows 2008 Server

Internet Information Services o IIS es un servidor web y un conjunto de servicios para el sistema operativo Microsoft Windows. Este servicio convierte un PC en un servidor web para Internet o una intranet, es decir que en las computadoras que tienen este servicio instalado se pueden publicar páginas web tanto local como remotamente.

Se basa en varios módulos que le dan capacidad para procesar distintos tipos de páginas. Por ejemplo, Microsoft incluye los de Active Server Pages (ASP) y ASP.NET. También incluyen otros como PHP o Perl.

Explicaré su funcionamiento haciendo una demostración en una máquina virtual Windows 2008 Server.

El servicio se instala activando al casilla de Servidor web (IIS) en Agregar funciones. Una vez instalado, comprobamos que funciona accediendo a un navegador y escribiendo "localhost" sin las comillas en la barra de direcciones.

Antes que nada, borramos el sitio web que viene por defecto. En el servidor ISS del Administrador del Servidor, vamos a Sitios, hacemos click derecho sobre el que viene por defecto y le damos a Quitar.

Ahora vamos a crear un sitio web nuevo. Dentro del servidor ISS, en Sitios, hacemos click derecho, Agregar sitio web. Nos saldrá una ventana donde tenemos que poner el nombre de nuestro sitio web y la ruta donde se encuentra en nuestro equipo, así como el nombre por el que los usuarios podrán acceder al sitio desde sus navegadores, el protocolo, la IP y el puerto. El sitio web estará alojado en una carpeta que he creado en la ruta C:\inetpub\wwwroot llamada ASIR2. La dirección IP es la dirección del equipo servidor.

Le damos a Aceptar. Creamos en la ruta que le hemos puesto un archivo HTML que será el índice de la pagina.

Comprobamos el resultado en el navegador.

Diferencias y similitudes entre IIS y Apache.

La diferencia más clara es que Apache es multiplataforma mientras que IIS sólo funciona en Windows, además de tener que pagar una licencia por su uso. En cambio, IIS acepta nativamente el lenguaje ASP, mientras que Apache acepta el PHP.

Hasta la versión 7.0, IIS no era modular. En cambio, Apache siempre lo ha sido.

Apache utiliza hosts virtuales para cada sitio web. IIS usa encabezados HTTP, es decir, para el sitio web www.gcap.net utilizará el encabezado www.gcap.net; para www.example.com utilizará el encabezado www.example.com, pero no usa en ningún momento hosts virtuales.

Otra diferencia es que el soporte técnico de IIS lo da la compañía Microsoft, mientras que el de Apache lo da la comunidad.

IIS y Apache tienen en común que los dos pueden elegir mediante un filtro la información que desean mostrar, además de la arquitectura en módulos a partir de IIS 7.0.

El más utilizado es Apache por su bajo coste y alto rendimiento.


Valoración personal

Yo veo mejor utilizar Apache porque, además de ser gratuito, es fácil de usar y no es tan complicado como IIS. Además, Apache se puede utilizar en multitud de plataformas mientras que IIS sólo se puede utilizar en Windows.

Autenticación PAM con Apache

Hemos visto muchos métodos de autenticarse en Apache usando módulos, LDAP, etc. Yo voy a hablar de cómo autenticarse con PAM, que es el sistema de autenticación de la máquina dodne está instalado el servidor Apache..

Necesitamos instaalr y activar el módulo mod_auth_pam. Para ello usamos el comando  

apt-get install libapache2-mod-auth-pam

Luego nos vamos al archivo de configuración de un sitio web que tengamos y añadimos lo siguiente:

En este caso, sólo podra autenticarse el usuario "usuario". Si quisiéramos que pudieran autenticarse todos los usuarios de la máquina, pondríamos Require valid-user. Activamos el sitio con a2ensite nombredelsitio (en mi caso he creado un nuevo sitio web llamado pam con su carpeta y su index.html) y reiniciamos Apache con /etc/init.d/apache2 restart.

Ahora hay que añadir el usuario "www-data", que es el que usa Apache, al grupo shadow para que pueda verificar las contraseñas:

usermod -a -G shadow www-data

Vamos a hacer un enlace para que Apache pueda leer el archivo /etc/pam.d/httpd:

ln -s /etc/pam.d/apache2 /etc/pam.d/httpd

Y ya está hecha toda la configuración necesaria. Ahora vamos a probar a entrar en el sitio web. Nos pedirá autenticación y no podremos entrar si ponemos un usuario que no sea el pusimos antes:

Entramos con ese usuario y nos saldrá el index del sitio:

Control de acceso en Apache: mod_access

En esta entrada explicaré qué es y cómo funciona el modulo mod_access de Apache para el control de acceso.

https://drive.google.com/file/d/0B2vPQwKY9ZZicjZHMUFKRHNyNWM/edit?usp=sharing

SSHFS en Debian

Secure Shell Filesystem (SSHFS) es un sistema de archivos para Linux, que opera sobre archivos en una computadora remota usando un entorno seguro de acceso.

En la computadora local donde se monta SSHFS, la implementación hace uso del módulo del kernel FUSE. Los efectos prácticos de esto es que el usuario final puede interactuar amigablemente con archivos remotos estando en un servidor SSH,viéndolos como si estuvieran en su computadora local. En la computadora remota se utiliza el subsistema SFTP de SSH.

Para implementar SSHFS, primero tenemos que instalar el servicio SSH en el equipo servidor, en este caso Debian. Usamos el comando apt-get install ssh.

Usaremos una máquina Ubuntu como cliente. Instalamos el cliente del servicio con el comando sudo apt-get install sshfs.

 

Ejecutamos el mod fuse con el comando modprobe fuse, ya que sin él no funcionará. Otra opción es añadir fuse al fichero de mocules para que lo cargue automáticamente y no tener que ejecutar el comando todas las veces. Editamos el fichero /etc/modules de la siguiente forma:

 

Creamos la carpeta que queremos montar en el cliente con mkdir, yo la voy a llamar sshfs. Después la montamos con el comando sshfs usuarioremoto@hostremoto:/home/usuarioremoto/carpeta /home/usuariolocal/carpeta

La ha montado correctamente. La opción nonempty significa que vamos a montar en un directorio que no está vacío.

Para desmontarla utilizamos fusermount -u /mnt/sshfs.

Fuente: http://es.wikipedia.org/wiki/Secure_Shell_Filesystem

 

 

DFS en Windows 2008 Server

Voy a hablar de lo que es DFS y pondré los pasos para implementarlo en una máquina virtual Windows 2008 Server.

Un Distributed File System (Sistema de Archivos Distribuido) es un sistema de archivos de computadoras que sirve para compartir archivos, impresoras y otros recursos como un almacenamiento persistente en una red de ordenadores. Otros sistemas notables utilizados fueron el sistema de archivos Andrew (AFS) y el sistema Server Message Block SMB, también conocido como CIFS, del que hablamos en la anterior entrada.


Instalación y configuración de DFS

En Administrador del Servidor, Funciones, agregamos al servidor la función de Servicios de Archivo.

En mi caso, ya lo tengo instalado. Hacemos click en Siguiente y seleccionamos las siguientes opciones:

Le damos a Siguiente. Nos pedirá crear un espacio de nombres, lo crearemos más adelante.

Le damos a Siguiente. Seleccionamos el Disco Local C.

Le damos a Siguiente. Dejamos por defecto la carpeta donde guardaremos los reportes.

Cuando esté todo correctamente configurado, le damos a Instalar.

Una vez instalado, entramos en Herramientas Administrativas, DFS Management.

Creamos un nuevo espacio de nombres.

Aquí escribimos la IP del servidor:

Ahora escribimos el nombre que tendrá nuestro espacio de nombres.

Elegimos Espacio de Nombres Independiente:

Le damos a Siguiente para finalizar la creación de nuestro espacio de nombres.

 

Vamos a ver si la carpeta ASO aparece como recurso compartido. Entramos en Herramientas Administrativas, Administracion de almacenamiento y recursos compartidos.

Podemos ver que la carpeta ASO está compartida.

Vamos a crear una carpeta dentro de ASO llamada Escritorio que apuntará al directorio C:\Raíces DFS\ASO\Usuario\Escritorio del servidor, en el que hemos creado un archivo llamado FuncionaDFS y con el que comprobaremos que si entramos desde un cliente a dicha carpeta, podremos acceder a este archivo.

Volvemos al Administrador de DFS y hacemos click en Nueva carpeta:

Le ponemos de nombre Escritorio y la creamos. Luego, en la pestaña Servidores de espacios de nombres, hacemos click derecho sobre la carpeta ASO, Propiedades y Permisos de los Recursos. Ponemos permisos de sólo lectura.

En el cliente Windows XP, vamos a Ejecutar y escribimos lo siguiente:

 

donde W2008S-SERRANOM es el nombre de nuestro servidor Windows 2008 Server.  Nos aparecerá una ventana donde escribir usuario y contraseña.

Entramos y vamos a la carpeta. 

Intentamos crear un archivo dentro de ella. Nos lo negará porque no tenemos permisos para crear archivos en esa carpeta.

Y así es como funciona el servicio DFS.