Evaluación del nivel de madurez del servicio “Active Directory” en la contraloría general de la República
INTRODUCCIÓN
En este trabajo fue realizada una evaluación a la
instalación de Active Directory en la Contraloría
General de la República Dominicana.
Active Directory es una poderosa herramienta, confiable
y eficaz para compartir, distribuir y organizar los recursos de
red dentro de una organización. Esta herramienta
apareció por primera vez en Windows 2000
Server® como un repositorio
centralizado que facilita el control, la administración y
la consulta de todos los elementos lógicos de una red,
tales como equipos, usuarios, grupos, aplicaciones, impresoras y
archivos
Los autores Steve Clines y Marcia Loughry en su libro
Active Directory for Dummies (2nd ed.) (Active Directory
para tontos), lo describen de la siguiente manera:
"En los últimos años desde que Active
Directory (AD) fue lanzado en los productos de Microsoft Windows
2000 Server, AD se ha convertido en uno de los productos
más populares (si no el más) entre los servicios de
directorio en el mundo. También se ha convertido en una de
las tecnologías centrales sobre la que muchos otros
productos de Microsoft están construidas"
En este mismo sentido el sitio web de Microsoft
Corporation en la URL:
http://www.microsoft.com/windowsserver2008/es/xl/active-directory.aspx,
dice lo siguiente:
"Active Directory ofrece los medios para administrar
identidades y relaciones que componen las redes de su
organización. Integrado a Windows Server 2008, la
última generación de Active Directory le brinda la
funcionalidad comercial necesaria para configurar y administrar
las configuraciones del sistema, usuarios y aplicaciones en forma
central."
En la actualidad, Active Directory es uno de los
servicios de directorio más utilizados a nivel mundial,
tanto por su versatilidad y seguridad como también por el
hecho de que este es la base para las últimas versiones de
Microsoft Exchange Server, el cual a su vez es uno de los
servidores de correo electrónico más
usados.
Recientemente, motivada por el acelerado avance de la
tecnología y para evitar quedar obsoleta
tecnológicamente, la Contraloría General de la
República migró su plataforma desde "Windows NT"
hacia Windows 2003 Server. Este fue un cambio de gran magnitud y
crea la necesidad de realizar una evaluación de esta
migración.
La necesidad de realizar esta evaluación
podría estar motivada por el empeño de validar si
fueron utilizados los recursos necesarios y si fueron ejecutados
los procedimientos de acuerdo a lo establecido para migraciones
de este tipo, así como también por la importancia
de garantizar el resguardo de la información de esta
institución.
De no realizarse esta evaluación los directivos
de la Contraloría General de la
República:
No podrían garantizar si fueron
alcanzados los objetivos planteados en la realización de
la misma.
No lograrían asegurar si fueron
invertidos los recursos humanos, económicos y de tiempo
necesarios en este tipo de cambio.
No tendrían la forma de determinar
si se están aprovechando todas las
características disponibles en el nuevo sistema,
entre otras cosas.
La realización de esta
evaluación podría proveer a los directivos de
la Contraloría General de la República
con la información necesaria para:
ü Demostrar, tanto al gobierno como al
país, si los recursos económicos asignados a la
institución son utilizados de manera eficiente.
ü Asegurar si la información
confidencial está siendo resguardada mediante las
capacidades del servicio de Active Directory.
Ante todo lo expuesto anteriormente, nos
surgen las siguientes inquietudes:
¿Cuáles fueron las
necesidades que motivaron la migración?
¿Fueron evaluados sistemas
alternativos al Servicio Active Directory que
pudieron haber sido implementados?
¿Satisface el servicio de Active
Directory las necesidades de la
Contraloría General de la
República?
¿Fueron utilizados los recursos
necesarios para la implementación? ¿Cumplen los
equipos utilizados con los requerimientos necesarios
para la implementación del Servicio Active
Directory?
¿Se siguieron los procedimientos
correctos para la implementación del Servicio Active
Directory?
¿Están siendo utilizadas
las características que posee el Servicio de
Active Directory?
¿Fueron alcanzados los objetivos
que se plantearon antes de realizar la
migración?
OBJETIVOS
GENERAL
Evaluar el nivel de madurez del servicio
"Active Directory" en la Contraloría General
de la República.
ESPECÍFICOS
Detallar los conceptos generales del
Servicio Active Directory.
Puntualizar las generalidades de la
Contraloría General de la República. Evaluar las
razones que motivaron la migración a los servicios
Active Directory.
Examinar los procesos utilizados durante la
migración hacia Active Directory.
Analizar los resultados obtenidos con la
migración del Active Directory.
Durante el desarrollo de esta investigación se
utilizó la investigación documental, ya que fue
utilizada toda la documentación redactada durante la
implementación, además de que fueron consultadas
varias fuentes para poder conocer las características de
Active Directory. Del mismo modo, fueron utilizados los estudios
descriptivos para poder expresar una idea clara de lo
investigado. También fue realizado estudio de campo, ya
que nos dirigimos al lugar donde fue realizada la
migración.
Como técnica fue utilizada la lectura, ya que la
información está escrita. También fueron
utilizados cuestionarios para poder recolectar información
de las personas que participaron en la
implementación del Servicio Active Directory en la
Contraloría General de la República, la
población de estudio tomada fue el departamento de
cómputos, donde fueron realizadas varias preguntas al
supervisor del departamento y al técnico líder del
equipo que realizó la migración.
Este trabajo consta de cuatro capítulos. En el
capítulo I, fue realizado un análisis de las
generalidades de Active Directory, se detalló qué
es, se analizaron sus antecedentes históricos, de donde
surgió, que se necesita para instalarlo, que beneficios
puede aportar y donde está situado en la
actualidad.
En el capítulo II, detallamos las generalidades
de la Contraloría General de la República
Dominicana, su historia, como surgió, como fue cambiando
con el paso del tiempo hasta llegar a ser lo que es hoy, el marco
legal sobre el cual esta es soportada y se muestra su estructura
organizacional.
En el capítulo III, fueron expuestas las razones
que motivaron a la Contraloría General de la
República Dominicana a cambiar su sistema de
autenticación de usuarios, se detalla cual era la
estructura que tenían montada y por qué decidieron
utilizar Active Directory y no otro servicio de directorio
similar.
Por último en el capítulo IV, fueron
presentados, de una forma condensada, los procedimientos
utilizados durante la migración, los servicios que fueron
instalados, la configuración que fue establecida,
así como la estructura que quedó montada al
finalizar la migración.
CAPITULO I
CONCEPTOS
GENERALES DEL SERVICIO ACTIVE DIRECTORY.
1.1¿Qué es Active
Directory?.
Active Directory es un almacén de
información. Esta información se organiza en
objetos de datos, cada objeto tiene una cierta cantidad de
atributos asociados a él, es algo parecido a un directorio
telefónico que contiene informaciones tales como nombres,
direcciones y números de teléfono.
"El Directorio Activo (Active Directory) es un
componente central de la plataforma Windows que proporciona los
medios para gestionar las identidades y relaciones que organizan
los entornos de red."1
Active Directory no es exactamente una base de datos,
pero comparte funcionalidades como almacenamiento,
recuperación y modificación de los
datos.
1.2 Antecedentes históricos.
Active Directory Domain Services inició como un
servicio de directorio para las versiones de Microsoft Exchange
Server desde la 4.0 hasta la 5.5. Active Directory está
basado en el estándar X.500 de servicios de
directorio.
El estándar X.500 es un conjunto de
recomendaciones para los diseñadores de servicios de
directorio para asegurar que productos de diferentes suplidores
puedan trabajar juntos.
El estándar X.500 está
compuesto de los siguientes protocolos:
Directory Access Protocol (DAP) Directory
System Protocol (DSP)
Directory Information Shadowing Protocol
(DISP)
Directory Operational Binding Management
Protocol (DOP)
"Active Directory utiliza el protocolo ligero de acceso
a directorios (del inglés Lightweight Directory Access
Protocol – LDAP) versión 3 para acceder a los
datos del directorio en lugar de utilizar ninguno de los
protocolos existentes en el estándar X.500. Por tanto,
Active Directory es compatible con el estándar X.500 ya
que puede interactuar con otros servicios de directorio basados
en este estándar, pero no se adhiere estrictamente a todas
las especificaciones del
mismo"2
Active Directory Domain Services inició con
Windows 2000 Server como una de sus características
principales. Novell había desarrollado un producto similar
en 1993 (7 años antes), sin embargo,
Microsoft tuvo la ventaja de aprovechar los avances que
habían alanzados los servicios de directorio hasta ese
momento.
"El hecho de que Novell había lanzado su servicio
de directorio en 1993 y Windows 2000 fue lanzado en el 2000,
podría ser considerado como que Microsoft estaba 7
años detrás de Novell. Sin embargo, en su primera
versión, Active Directory ya era un servicio de directorio
de clase empresarial. Una ventaja sobre Novell es que Microsoft
tuvo la oportunidad de desarrollar un nuevo servicio de
directorio adaptado a las necesidades del internet e intranet de
la época. La única piedra con la que Microsoft
carga, es que tiene los viejos conceptos de dominio de
Windows NT, lo que le introduce cierto nivel de rigidez al
Active Directory"3
Para el lanzamiento de Windows 2003 Server Active
Directory contaba con varias mejoras como las describimos a
continuación:
Drag and Drop: a diferencia de la versión
en Windows 2000 Server, esta nueva versión permite
arrastrar un objeto desde un contenedor hacia otro.
Nuevos comandos de línea: Fueron incluidos
varios comandos que se corren por consola, entre los
que podemos mencionar los siguientes:
dsadd – Permite crear objetos
a través de línea de comandos.
dsmove – Mueve objetos de un
contenedor a otro.
dsrm – Borra objetos de Active
Directory.
dsquery – Permite realizar una
busqueda de los objetos por medio de un query.
dsget – Permite ver los
atributos de un objeto en particular de Active
Directory.
1.3 Estructura de Active Directory
Active Directory está conformado por una
estructura lógica y una estructura física, las
cuales en la mayoría de los casos son independientes la
una de la otra.
"Un servicio de directorio, como lo es Active Directory,
le permite a los objetos estar almacenados en una
jerarquía o estructura. Esta estructura es una de las
áreas que deben ser diseñadas durante la
implementación de Active Directory. Esta estructura tiene
dos lados:
Un lado lógico: La estructura
lógica define la organización de los objetos. Estos
objetos pueden representar usuarios, computadores,
grupos, y una variedad de elementos que pueden existir en un
ambiente de tecnología. Esta estructura depende
primordialmente de cómo se desee administrar la
infraestructura de tecnología, siempre acorde a la
estructura de la organización.
Un lado físico: Todos los servicios debajo
de la sombrilla de Active Directory son provistos por servidores
corriendo el software de Active Directory. Estos servidores
representan objetos físicos que deben estar colocados
dentro de una misma red. Después que estos servidores son
instalados, se debe definir como estos hablan entre sí y
como los usuarios son dirigidos hacia ellos. Esta
topología física es crítica para el correcto
funcionamiento de Active Directory."4
1.3.1 Estructura lógica
La estructura lógica está diseñada
en forma de árbol, agrupada con la siguiente
jerarquía descendente:
Ø Forest (Bosque).
Ø Trees (Árboles).
Ø Domains (Dominios).
Ø Organitational Units — OU"s
(Unidades Organizativas).
Ø Containers
(Contenedores).
Ø Objects (Objetos).
1.3.1.1 Forest (Bosque)
Un forest está formado por varios árboles
de dominio. Un forest no tiene ningún dominio raíz
propiamente dicho. El dominio raíz del forest es el primer
dominio que se creó en el forest. Los dominios raíz
de todos los árboles de dominio del forest establecen
relaciones de confianza transitivas con el dominio raíz
del forest.
1.3.1.2 Trees (Árboles)
Son espacios de nombre contiguo formados por todos los
dominios que comparten el mismo dominio raíz. El primer
dominio de un árbol de dominio se denomina dominio
raíz. Los dominios adicionales del mismo árbol de
dominio son dominios secundarios. Un dominio que está
inmediatamente ubicado encima de otro dominio del mismo
árbol se denomina dominio principal del dominio
secundario. Esto quiere decir que el nombre de un dominio
secundario está compuesto por el nombre de ese dominio
secundario más el nombre del dominio principal.
Los dominios que componen un árbol, están
unidos entre sí por medio de relaciones transitivas de
confianza bidireccionales. Debido a que estas relaciones de son
bidireccionales y transitivas, un dominio de Active Directory
recién creado en un forest o árbol de dominio tiene
establecidas inmediatamente relaciones de confianza con los
demás dominios en ese forest o ese árbol. Estas
relaciones de confianza permiten que un único proceso de
inicio de sesión sirva para autenticar a un usuario en
todos los dominios del forest o del árbol de dominio. Sin
embargo, esto no significa que el usuario, una vez autenticado,
tenga permisos y derechos en todos los dominios del árbol
de dominio. Dado que un dominio es un límite de seguridad,
los derechos y permisos deben asignarse para cada
dominio.
1.3.1.3 Domains (Dominios).
Un dominio compone un límite de seguridad. El
directorio incluye uno o más dominios, cada uno de los
cuales tiene sus propias políticas de seguridad y
relaciones de confianza con otros dominios. Los dominios ofrecen
varias ventajas:
Las políticas y la configuración de
seguridad (como son los derechos administrativos y las listas de
control de accesos) no pueden ser transferidos de un dominio a
otro.
Al delegar la autoridad administrativa en dominios o
unidades organizativas desaparece la necesidad de tener varios
administradores con permisos de administrador global.
Los dominios sirven para estructurar la red de forma que
refleje mejor la organización.
Cada dominio almacena solamente la información
acerca de los objetos que se encuentran ubicados en ese dominio.
Al crear particiones en el directorio, Directorio Activo puede
ampliarse y llegar a contener una gran cantidad de
objetos.
Los dominios son las unidades de replicación.
Todos los controladores de dominio de un dominio determinado
pueden recibir cambios y replicarlos a los demás
controladores del dominio.
Un único dominio puede abarcar varias ubicaciones
físicas distintas o sitios Al utilizar un solo dominio se
simplifican mucho las tareas administrativas.
Para crear un dominio, debe promover uno o más
equipos a controladores de dominio. Un controlador de dominio le
da a los usuarios servicios de directorio de Active Directory,
del mismo modo a los equipos de la red, almacena datos del
directorio y administra las operaciones entre usuarios y
dominios, incluidos los procesos de inicio de sesión, la
autenticación y las búsquedas en el directorio.
Cada dominio debe tener al menos un controlador de
dominio.
"Al crear el primer controlador de dominio de la
organización, también se crea el primer dominio, el
primer bosque, el primer sitio y se instala Active Directory. Los
controladores de dominio que ejecutan Windows Server 2003
almacenan datos del directorio y administran las interacciones
entre el usuario y el dominio, incluidos los procesos de inicio
de sesión de los usuarios, la
autenticación y las búsquedas en
directorios."5
1.3.1.4 Organitational Units — OU"s (Unidades
organizativas)
Las unidades organizativas son contenedores del Active
Directory en los que puede colocar usuarios,
equipos, grupos, y otras unidades organizativas. Una unidad
organizativa no puede contener objetos de otros
dominios.
Una unidad organizativa es la unidad más
pequeña a la que se pueden asignar configuraciones de
Directiva de grupo o en la que se puede delegar la autoridad
administrativa.
Con las unidades organizativas, puede crear contenedores
dentro de un dominio que representan las estructuras
lógicas y jerárquicas existentes dentro de una
organización. Esto permite administrar la
configuración y el uso de cuentas y recursos en
función de su modelo organizativo.
Las unidades organizativas pueden contener otras
unidades organizativas. La jerarquía de contenedores se
puede extender tanto como sea necesario para modelar la
jerarquía de la organización dentro de un dominio.
Las unidades organizativas le ayudarán a disminuir el
número de dominios requeridos para una red.
Puede utilizar unidades organizativas para crear un
modelo administrativo que se puede ampliar a cualquier
tamaño. A un usuario se le puede conceder autoridad
administrativa sobre todas las unidades organizativas de un
dominio o sobre una sola de ellas. El administrador de una unidad
organizativa no necesita tener autoridad administrativa sobre
cualquier otra unidad organizativa del dominio.
1.3.1.5 Objetos y contenedores de
objetos
Un objeto puede ser la representación de un
sistema, un usuario, un recurso, un servicio, etc. Cada tipo
tiene sus propios atributos característicos del tipo de
objeto. Un objeto Usuario necesita tener definidos ciertos
atributos propios: nombre del usuario, los datos
personales, etc. Por su parte, otro tipo de objeto, por ejemplo,
el objeto Sistema, tendrá diferentes atributos: la
dirección IP, el nombre del ordenador, etc.
Cada objeto en el Directorio Activo tiene una identidad
única. Los objetos se pueden mover y renombrar, pero su
identidad nunca cambia. Los objetos contenedores son objetos
especiales que pueden contener otros objetos y que permiten
organizar el Directorio Activo. A diferencia de un elemento de
agrupación de objetos que, por su parte, también
puede contener a otros objetos contenedores.
1.4 Beneficios de Active Directory
Active Directory proporciona una gran
cantidad de beneficios para las empresas que lo implementan,
entre las más notables podemos destacar las
siguientes:
Permite de una manera muy sencilla
administrar y crear un escenario acorde con las necesidades de la
empresa.
Directivas de grupo: las cuales
simplifican la gestión de muchas de las tareas de
administración.
Rendimiento: proporciona un
rendimiento superior y mucho más optimizado al que
proporciona una arquitectura NT 4.
Servicios ISS, DNS, DHCP: facilita
la administración de los web, así como
también los servicios DNS y DHCP.
Terminal Server: permite, de una forma sencilla y
segura, la administración del servidor en modo
remoto.
El sitio WEB de Microsoft en España,
en la URL
"http://www.microsoft.com/spain/windowsserver2003/actualizar/top10best.aspx",
describe los diez principales beneficios de utilizar Active
Directory y Windows 2003 Server:
"1 Una Infraestructura Segura.
2 Fácil de Implementar,
Administrar y Usar.
3 Fiabilidad, Disponibilidad,
Escalabilidad y Desempeño de clase
empresarial.
4 Reducir TCO a través de
Consolidación y lo último en
Tecnología.
5 Fácil Creación de Sitios
Web Dinámicos de Intranet e Internet.
6 Desarrollo Rápido con un
Servidor Integrado de Aplicaciones
7 Fácil de Encontrar, Compartir y
Reutilizar Servicios Web XML
8 Herramientas Administrativas
Robustas
9 Reducir los Costes de Servicio de
Soporte
10 Profesionalismo de una Red Mundial de Socios y
Profesionales Certificados."
1.5 Plataformas similares.
Existen varias opciones como alternativa para las
empresas que no desean, o no pueden costear la
implementación de los servicios de Active Directory y
Windows Server. Entre estas podemos mencionar las
siguientes:
1.5.1 Samba
Samba es un sistema de código libre basado en el
protocolo CIFS (Common Interface File System), que permite a
plataformas Unix interactuar con plataformas Windows.
Samba provee servicios de:
Manejo de archivos.
Servidor de impresión.
Autenticación de usuarios.
Resolución de nombres.
Búsqueda.
"Samba es un paquete de software que les
proporciona flexibilidad y libertad a los administradores de red
en términos de instalación y configuración.
Samba ha crecido en popularidad, y continúa
haciéndolo cada año, desde su lanzamiento en
1992".6
1.5.2 Mandriva Directory Server
(MDS).
Mandriva Directory Server (Servidor de
Directorio Mandrive) es un software de código libre que
posee las siguientes características:
Ø Autenticación y manejo de
usuarios, a través de LDAP.
Ø Una interfaz WEB en PHP basada en
AJAX llamada MMC (Mandriva Management Console), la
cual consta de 6 módulos:
o Manejo de usuarios y grupos.
o Manejo de Cuentas Samba.
o Manejo de impresión.
o Manejo de envío de correo
electrónico.
o Integración con DNS y
DHCP.
o Manejo de lista negra de WEB
proxy.
Ø Un API de administración
hecha en Python para LDAP, Samba y SQUID.
Ø Un sistema de políticas que
permite definir los permisos a los usuarios en los recursos de la
red.
"Mandriva Directory Server (MDS) es una plataforma de
directorio empresarial basada en LDAP, designada para manejar
identidades, control de acceso, políticas,
configuración de aplicaciones y perfiles de
usuarios.
Si usted ha usado Samba, Postfix, Squids o
CUPS, usted puede aprovechar las ventajas de MDS
para manejar su infraestructura.
Gracias al MMC, MDS puede reemplazar
totalmente a Windows NT4"7
1.5.3 Novell eDirectory
Mejor conocido como Novell Directory
Service, es un servicio de directorio compatible con es
estándar X.500 lanzado por Novell en 1993, este permite
manejar y acceder a los recursos de múltiples servidores y
estaciones de trabajo en una red. Consiste en una base de datos
jerárquica orientada a objetos, en este se
puede representar la estructura de una empresa en un árbol
lógico, incluyendo: unidades organizacionales, personas,
posiciones, servidores, estaciones de trabajo,
aplicaciones, impresoras, servicios, grupos, entre
otros.
EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO
ORIGINAL.
PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION
DESCARGAR DEL MENU SUPERIOR.