Diferència entre revisions de la pàgina «Active Directory»
(Hi ha 4 revisions intermèdies del mateix usuari que no es mostren) | |||
Línia 25: | Línia 25: | ||
AD utilitza el standard de directori [[LDAP]] per gestionar objectes d'una corporació: | AD utilitza el standard de directori [[LDAP]] per gestionar objectes d'una corporació: | ||
* Usuaris | * Usuaris | ||
− | * Màquines | + | * Màquines (login) |
− | + | * Carpetes de xarxa | |
− | + | * Impressores | |
− | |||
* Grups | * Grups | ||
* UO : Unitats Organitzatives | * UO : Unitats Organitzatives | ||
Línia 129: | Línia 128: | ||
# Crea un '''servidor de domini principal PDC''' amb Windows Server 2012 | # Crea un '''servidor de domini principal PDC''' amb Windows Server 2012 | ||
# Crea volum '''RAID5 per les dades''' | # Crea volum '''RAID5 per les dades''' | ||
− | # Crea 3 grups i 2 usuaris a cadascun d'ells | + | # Crea '''3 grups''' i 2 usuaris a cadascun d'ells. |
+ | #* Clients | ||
+ | #* Treballadors | ||
+ | #* Directors | ||
+ | # Crea una '''carpetes compartides de grup'''. | ||
+ | #* Quota de 300 MB per a la dels treballadors. | ||
+ | #* Quota de 600 MB per a la dels directors. | ||
+ | # Configura una GPO per tal que es crei una '''unitat de xarxa''' per cadascun dels ''shares'' de grup. | ||
+ | # Crea carpetes compartides: | ||
+ | #* <code>/recursos</code> : tothom lectura. Directors lectura/escriptura. | ||
+ | #* <code>/projectes_oberts</code> : R/W per treballadors i directors. | ||
+ | #* <code>/projectes_tancats</code> : R/W només per directors. | ||
# Importa una màquina Windows7 i afegeix-la al domini. | # Importa una màquina Windows7 i afegeix-la al domini. | ||
+ | |||
Alumne 2: | Alumne 2: | ||
Línia 142: | Línia 153: | ||
#* [http://www.question-defense.com/2012/08/31/dpkg-error-processing-likewise-open-configure-join-linux-server-to-windows-domain-controller Centrify Express] | #* [http://www.question-defense.com/2012/08/31/dpkg-error-processing-likewise-open-configure-join-linux-server-to-windows-domain-controller Centrify Express] | ||
#* De fet, estrictament es podria configurar "a pelo" amb Samba, però de vegades resulta liós i aquestes son solucions més pràctiques. | #* De fet, estrictament es podria configurar "a pelo" amb Samba, però de vegades resulta liós i aquestes son solucions més pràctiques. | ||
+ | # Comprova que: | ||
+ | ## Ens podem logar des d'una consola virtual i des del Display Manager (lightdm) | ||
+ | ## L'usuari Administrador del domini té permisos de sudo. Si teniu problemes amb això, a l'hora de modificar el ''sudoers file'' penseu que Windows no distingeix majúscules de minúscules i en canvi Linux sí. | ||
+ | ## Podem muntar les carpetes de xarxa de l'usuari |
Revisió de 19:02, 4 des 2015
Active Directory (AD) és un sistema d'administració integrada dels recursos d'informació i serveis d'una xarxa Microsoft.
AD DS és Active Directory Domain Services
Aquí teniu un breu repàs de conceptes bàsics de AD.
Contingut
Windows Server[modifica]
AD ha estat desenvolupant-se en la gama de productes Windows Server:
- Windows NT
- Windows 2003 Server
- Windows 2008 Server: acaba el mainstream support en gener de 2016 (no més actualitzacions) i el extended support en gener de 2020 (suport de pagament).
- Winodws 2012 Server
- ...Windows 2016 Server... coming soon...
Tanta versió, total, per obligar als usuaris a renovar llicències i continuar pagant com burros.
Hi ha dos tipus de controladors de domini:
- PDC: Primary Domain Controller
- BDC: Backup Domain Controller. Es tenen per mantenir el sistema funcionant encara que es talli l'accés al PDC, per exemple si el nostre ISP falla i perdem l'accés a Internet tenint un PDC remot.
Objectes AD[modifica]
AD utilitza el standard de directori LDAP per gestionar objectes d'una corporació:
- Usuaris
- Màquines (login)
- Carpetes de xarxa
- Impressores
- Grups
- UO : Unitats Organitzatives
GUIDs vs GIDs[modifica]
Quan es crea un objecte AD DS:
- GUID: Global Unique IDentifier. Identificador global mundial únic.
- SID: Security IDentifier. Identificador dintre d'un organització. Un objecte pot canviar de SID en cas que es canvii d'ubicació organitzativa (per exemple, un perfil d'usuari que canvia de departament).
- SIDs coneguts (Everyone, Creator, etc.)
Control d'accés[modifica]
Es distingeixen 2 parts en el procés:
- Autenticació: demostració que l'usuari és qui diu ser.
- Autorització: un cop autenticat, permís d'accés o denegació dels recursos.
Conceptes:
- Security Principal: entitat AD DS que pot ser autenticada (usuaris, grups, equips). Al generar l'objecte se'ls crea un SID.
- Token d'accés: identificador temporal a mode de certificat utilitzat per concedir accés a recursos.
- Permisos: regles per permetre o denegar l'accés a objectes.
- ACL: Access Control List
- DACL: Discretionary ACL
- SACL: System ACL. Utilitzades per enregistrar accessos a un recurs (auditoria).
- ACE: Acces Control Entry. Cadascun dels elements d'una ACL.
- ACL: Access Control List
Carpetes[modifica]
AD utilitza el protocol privatiu SMB/CIFS inicialment establert per IBM però desenvolupat a fons per Microsoft. La versió Linux ha pres el nom de Samba i ha estat una enginyeria inversa del protocol privatiu.
Permisos de carpetes:
- Lectura: llegir, executar
- Canvi: llegir, generar arxiu/carpeta, modificar arxiu/carpeta, esborrar
- Control total: canvi, canviar permisos NTFS en arxius i carpetes
Permisos NTFS | |
Permís per arxiu | Permís per carpeta |
Lectura Escriptura |
Lectura Escriptura |
Lectura i execució Canvi |
Lectura i execució Canvi Veure continguts |
Control total | Control total |
La denegació té prioritat sobre els permisos d'accés.
Hi ha uns permisos especials NTFS que permeten un control més granulat. Per exemple, el permís de lectura inclou llistar carpeta, llegir dades, llegir atributs, llegir atributs extensos, llegir permisos, etc.
L'herència permet administrar accés a recursos de forma implícita. Per defecte el fill hereta del pare. L'herència es pot bloquejar i així donar nous permisos als fills.
Polítiques de grup (GPOs)[modifica]
Una administració eficient necessita l'ús dels grups i de les polítiques de grup, group policies o GPO (Group Policy Object).
Les GPOs s'apliquen sobre:
- Usuaris : HKCU
- Equips : HKLM
- Les GPOs NO s'apliquen sobre grups! (?)
S'enllacen sobre:
- Local
- Domini
- Lloc
- Unitat Organitzativa
Actualitzacions de les GPOs:
- Domini: cada 5 minuts, inici
- Equip: cada 90 minuts, inici
- Usuari: cada 90 minuts, inici
- Excepcions:
- connexions lentes
- credencials en caché
- connexions d'accés remot
Pràctiques[modifica]
Pràctica per fer en parelles.
Alumne 1:
- Crea un servidor de domini principal PDC amb Windows Server 2012
- Crea volum RAID5 per les dades
- Crea 3 grups i 2 usuaris a cadascun d'ells.
- Clients
- Treballadors
- Directors
- Crea una carpetes compartides de grup.
- Quota de 300 MB per a la dels treballadors.
- Quota de 600 MB per a la dels directors.
- Configura una GPO per tal que es crei una unitat de xarxa per cadascun dels shares de grup.
- Crea carpetes compartides:
/recursos
: tothom lectura. Directors lectura/escriptura./projectes_oberts
: R/W per treballadors i directors./projectes_tancats
: R/W només per directors.
- Importa una màquina Windows7 i afegeix-la al domini.
Alumne 2:
- Crea un servidor de domini secundari o "backup" (BDC) associat al 1r domini
- Afegeix la màquina FunkyDesktop (Ubuntu) al domini a través del BDC. Hi ha diversos softwares que ho permeten:
- LikeWise ara es diu PoweBroker. Existeix la Open Edition (free) de http://www.powerbrokeropen.org/
- Un bon tutorial de PowerBroker amb els tunnings necessaris (també indica com fer-ho amb els paquets antics de likewise més avall).
- Un altre tutorial per PowerBroker interessant.
- En el procés d'instal·lació podeu trobar un error ERROR_GEN_FAILURE. Es pot solventar amb:
# apt-get remove avahi-daemon
- Winbind.
- Centrify Express
- De fet, estrictament es podria configurar "a pelo" amb Samba, però de vegades resulta liós i aquestes son solucions més pràctiques.
- LikeWise ara es diu PoweBroker. Existeix la Open Edition (free) de http://www.powerbrokeropen.org/
- Comprova que:
- Ens podem logar des d'una consola virtual i des del Display Manager (lightdm)
- L'usuari Administrador del domini té permisos de sudo. Si teniu problemes amb això, a l'hora de modificar el sudoers file penseu que Windows no distingeix majúscules de minúscules i en canvi Linux sí.
- Podem muntar les carpetes de xarxa de l'usuari