Descargar

Evaluación del nivel de madurez del servicio “Active Directory” en la contraloría general de la República

Enviado por Manuel Alcantara


    INTRODUCCIÓN

    En este trabajo fue realizada una evaluación a la instalación de Active Directory en la Contraloría General de la República Dominicana.

    Active Directory es una poderosa herramienta, confiable y eficaz para compartir, distribuir y organizar los recursos de red dentro de una organización. Esta herramienta apareció por primera vez en Windows 2000 Server® como un repositorio centralizado que facilita el control, la administración y la consulta de todos los elementos lógicos de una red, tales como equipos, usuarios, grupos, aplicaciones, impresoras y archivos

    Los autores Steve Clines y Marcia Loughry en su libro Active Directory for Dummies (2nd ed.) (Active Directory para tontos), lo describen de la siguiente manera:

    "En los últimos años desde que Active Directory (AD) fue lanzado en los productos de Microsoft Windows 2000 Server, AD se ha convertido en uno de los productos más populares (si no el más) entre los servicios de directorio en el mundo. También se ha convertido en una de las tecnologías centrales sobre la que muchos otros productos de Microsoft están construidas"

    En este mismo sentido el sitio web de Microsoft Corporation en la URL: http://www.microsoft.com/windowsserver2008/es/xl/active-directory.aspx, dice lo siguiente:

    "Active Directory ofrece los medios para administrar identidades y relaciones que componen las redes de su organización. Integrado a Windows Server 2008, la última generación de Active Directory le brinda la funcionalidad comercial necesaria para configurar y administrar las configuraciones del sistema, usuarios y aplicaciones en forma central."

    En la actualidad, Active Directory es uno de los servicios de directorio más utilizados a nivel mundial, tanto por su versatilidad y seguridad como también por el hecho de que este es la base para las últimas versiones de Microsoft Exchange Server, el cual a su vez es uno de los servidores de correo electrónico más usados.

    Recientemente, motivada por el acelerado avance de la tecnología y para evitar quedar obsoleta tecnológicamente, la Contraloría General de la República migró su plataforma desde "Windows NT" hacia Windows 2003 Server. Este fue un cambio de gran magnitud y crea la necesidad de realizar una evaluación de esta migración.

    La necesidad de realizar esta evaluación podría estar motivada por el empeño de validar si fueron utilizados los recursos necesarios y si fueron ejecutados los procedimientos de acuerdo a lo establecido para migraciones de este tipo, así como también por la importancia de garantizar el resguardo de la información de esta institución.

    De no realizarse esta evaluación los directivos de la Contraloría General de la República:

    No podrían garantizar si fueron alcanzados los objetivos planteados en la realización de la misma.

    No lograrían asegurar si fueron invertidos los recursos humanos, económicos y de tiempo necesarios en este tipo de cambio.

    No tendrían la forma de determinar si se están aprovechando todas las características disponibles en el nuevo sistema, entre otras cosas.

    La realización de esta evaluación podría proveer a los directivos de la Contraloría General de la República con la información necesaria para:

    ü Demostrar, tanto al gobierno como al país, si los recursos económicos asignados a la institución son utilizados de manera eficiente.

    ü Asegurar si la información confidencial está siendo resguardada mediante las capacidades del servicio de Active Directory.

    Ante todo lo expuesto anteriormente, nos surgen las siguientes inquietudes:

    ¿Cuáles fueron las necesidades que motivaron la migración?

    ¿Fueron evaluados sistemas alternativos al Servicio Active Directory que pudieron haber sido implementados?

    ¿Satisface el servicio de Active Directory las necesidades de la Contraloría General de la República?

    ¿Fueron utilizados los recursos necesarios para la implementación? ¿Cumplen los equipos utilizados con los requerimientos necesarios para la implementación del Servicio Active Directory?

    ¿Se siguieron los procedimientos correctos para la implementación del Servicio Active Directory?

    ¿Están siendo utilizadas las características que posee el Servicio de Active Directory?

    ¿Fueron alcanzados los objetivos que se plantearon antes de realizar la migración?

    OBJETIVOS

    GENERAL

    Evaluar el nivel de madurez del servicio "Active Directory" en la Contraloría General de la República.

    ESPECÍFICOS

    Detallar los conceptos generales del Servicio Active Directory.

    Puntualizar las generalidades de la Contraloría General de la República. Evaluar las razones que motivaron la migración a los servicios Active Directory.

    Examinar los procesos utilizados durante la migración hacia Active Directory.

    Analizar los resultados obtenidos con la migración del Active Directory.

    Durante el desarrollo de esta investigación se utilizó la investigación documental, ya que fue utilizada toda la documentación redactada durante la implementación, además de que fueron consultadas varias fuentes para poder conocer las características de Active Directory. Del mismo modo, fueron utilizados los estudios descriptivos para poder expresar una idea clara de lo investigado. También fue realizado estudio de campo, ya que nos dirigimos al lugar donde fue realizada la migración.

    Como técnica fue utilizada la lectura, ya que la información está escrita. También fueron utilizados cuestionarios para poder recolectar información de las personas que participaron en la implementación del Servicio Active Directory en la Contraloría General de la República, la población de estudio tomada fue el departamento de cómputos, donde fueron realizadas varias preguntas al supervisor del departamento y al técnico líder del equipo que realizó la migración.

    Este trabajo consta de cuatro capítulos. En el capítulo I, fue realizado un análisis de las generalidades de Active Directory, se detalló qué es, se analizaron sus antecedentes históricos, de donde surgió, que se necesita para instalarlo, que beneficios puede aportar y donde está situado en la actualidad.

    En el capítulo II, detallamos las generalidades de la Contraloría General de la República Dominicana, su historia, como surgió, como fue cambiando con el paso del tiempo hasta llegar a ser lo que es hoy, el marco legal sobre el cual esta es soportada y se muestra su estructura organizacional.

    En el capítulo III, fueron expuestas las razones que motivaron a la Contraloría General de la República Dominicana a cambiar su sistema de autenticación de usuarios, se detalla cual era la estructura que tenían montada y por qué decidieron utilizar Active Directory y no otro servicio de directorio similar.

    Por último en el capítulo IV, fueron presentados, de una forma condensada, los procedimientos utilizados durante la migración, los servicios que fueron instalados, la configuración que fue establecida, así como la estructura que quedó montada al finalizar la migración.

    CAPITULO I

    CONCEPTOS GENERALES DEL SERVICIO ACTIVE DIRECTORY.

    1.1¿Qué es Active Directory?.

    Active Directory es un almacén de información. Esta información se organiza en objetos de datos, cada objeto tiene una cierta cantidad de atributos asociados a él, es algo parecido a un directorio telefónico que contiene informaciones tales como nombres, direcciones y números de teléfono.

    "El Directorio Activo (Active Directory) es un componente central de la plataforma Windows que proporciona los medios para gestionar las identidades y relaciones que organizan los entornos de red."1

    Active Directory no es exactamente una base de datos, pero comparte funcionalidades como almacenamiento, recuperación y modificación de los datos.

    1.2 Antecedentes históricos.

    Active Directory Domain Services inició como un servicio de directorio para las versiones de Microsoft Exchange Server desde la 4.0 hasta la 5.5. Active Directory está basado en el estándar X.500 de servicios de directorio.

    El estándar X.500 es un conjunto de recomendaciones para los diseñadores de servicios de directorio para asegurar que productos de diferentes suplidores puedan trabajar juntos.

    El estándar X.500 está compuesto de los siguientes protocolos:

    Directory Access Protocol (DAP) Directory System Protocol (DSP)

    Directory Information Shadowing Protocol (DISP)

    Directory Operational Binding Management Protocol (DOP)

    "Active Directory utiliza el protocolo ligero de acceso a directorios (del inglés Lightweight Directory Access Protocol – LDAP) versión 3 para acceder a los datos del directorio en lugar de utilizar ninguno de los protocolos existentes en el estándar X.500. Por tanto, Active Directory es compatible con el estándar X.500 ya que puede interactuar con otros servicios de directorio basados en este estándar, pero no se adhiere estrictamente a todas las especificaciones del mismo"2

    Active Directory Domain Services inició con Windows 2000 Server como una de sus características principales. Novell había desarrollado un producto similar en 1993 (7 años antes), sin embargo, Microsoft tuvo la ventaja de aprovechar los avances que habían alanzados los servicios de directorio hasta ese momento.

    "El hecho de que Novell había lanzado su servicio de directorio en 1993 y Windows 2000 fue lanzado en el 2000, podría ser considerado como que Microsoft estaba 7 años detrás de Novell. Sin embargo, en su primera versión, Active Directory ya era un servicio de directorio de clase empresarial. Una ventaja sobre Novell es que Microsoft tuvo la oportunidad de desarrollar un nuevo servicio de directorio adaptado a las necesidades del internet e intranet de la época. La única piedra con la que Microsoft carga, es que tiene los viejos conceptos de dominio de Windows NT, lo que le introduce cierto nivel de rigidez al Active Directory"3

    Para el lanzamiento de Windows 2003 Server Active Directory contaba con varias mejoras como las describimos a continuación:

    Drag and Drop: a diferencia de la versión en Windows 2000 Server, esta nueva versión permite arrastrar un objeto desde un contenedor hacia otro.

    Nuevos comandos de línea: Fueron incluidos varios comandos que se corren por consola, entre los que podemos mencionar los siguientes:

    dsadd – Permite crear objetos a través de línea de comandos.

    dsmove – Mueve objetos de un contenedor a otro.

    dsrm – Borra objetos de Active Directory.

    dsquery – Permite realizar una busqueda de los objetos por medio de un query.

    dsget – Permite ver los atributos de un objeto en particular de Active

    Directory.

    1.3 Estructura de Active Directory

    Active Directory está conformado por una estructura lógica y una estructura física, las cuales en la mayoría de los casos son independientes la una de la otra.

    "Un servicio de directorio, como lo es Active Directory, le permite a los objetos estar almacenados en una jerarquía o estructura. Esta estructura es una de las áreas que deben ser diseñadas durante la implementación de Active Directory. Esta estructura tiene dos lados:

    Un lado lógico: La estructura lógica define la organización de los objetos. Estos objetos pueden representar usuarios, computadores, grupos, y una variedad de elementos que pueden existir en un ambiente de tecnología. Esta estructura depende primordialmente de cómo se desee administrar la infraestructura de tecnología, siempre acorde a la estructura de la organización.

    Un lado físico: Todos los servicios debajo de la sombrilla de Active Directory son provistos por servidores corriendo el software de Active Directory. Estos servidores representan objetos físicos que deben estar colocados dentro de una misma red. Después que estos servidores son instalados, se debe definir como estos hablan entre sí y como los usuarios son dirigidos hacia ellos. Esta topología física es crítica para el correcto funcionamiento de Active Directory."4

    1.3.1 Estructura lógica

    La estructura lógica está diseñada en forma de árbol, agrupada con la siguiente jerarquía descendente:

    Ø Forest (Bosque).

    Ø Trees (Árboles).

    Ø Domains (Dominios).

    Ø Organitational Units — OU"s (Unidades Organizativas).

    Ø Containers (Contenedores).

    Ø Objects (Objetos).

    1.3.1.1 Forest (Bosque)

    Un forest está formado por varios árboles de dominio. Un forest no tiene ningún dominio raíz propiamente dicho. El dominio raíz del forest es el primer dominio que se creó en el forest. Los dominios raíz de todos los árboles de dominio del forest establecen relaciones de confianza transitivas con el dominio raíz del forest.

    1.3.1.2 Trees (Árboles)

    Son espacios de nombre contiguo formados por todos los dominios que comparten el mismo dominio raíz. El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que está inmediatamente ubicado encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario. Esto quiere decir que el nombre de un dominio secundario está compuesto por el nombre de ese dominio secundario más el nombre del dominio principal.

    Los dominios que componen un árbol, están unidos entre sí por medio de relaciones transitivas de confianza bidireccionales. Debido a que estas relaciones de son bidireccionales y transitivas, un dominio de Active Directory recién creado en un forest o árbol de dominio tiene establecidas inmediatamente relaciones de confianza con los demás dominios en ese forest o ese árbol. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del forest o del árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.

    1.3.1.3 Domains (Dominios).

    Un dominio compone un límite de seguridad. El directorio incluye uno o más dominios, cada uno de los cuales tiene sus propias políticas de seguridad y relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas:

    Las políticas y la configuración de seguridad (como son los derechos administrativos y las listas de control de accesos) no pueden ser transferidos de un dominio a otro.

    Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con permisos de administrador global.

    Los dominios sirven para estructurar la red de forma que refleje mejor la organización.

    Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio, Directorio Activo puede ampliarse y llegar a contener una gran cantidad de objetos.

    Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio.

    Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios Al utilizar un solo dominio se simplifican mucho las tareas administrativas.

    Para crear un dominio, debe promover uno o más equipos a controladores de dominio. Un controlador de dominio le da a los usuarios servicios de directorio de Active Directory, del mismo modo a los equipos de la red, almacena datos del directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la autenticación y las búsquedas en el directorio. Cada dominio debe tener al menos un controlador de dominio.

    "Al crear el primer controlador de dominio de la organización, también se crea el primer dominio, el primer bosque, el primer sitio y se instala Active Directory. Los controladores de dominio que ejecutan Windows Server 2003 almacenan datos del directorio y administran las interacciones entre el usuario y el dominio, incluidos los procesos de inicio de sesión de los usuarios, la autenticación y las búsquedas en directorios."5

    1.3.1.4 Organitational Units — OU"s (Unidades organizativas)

    Las unidades organizativas son contenedores del Active Directory en los que puede colocar usuarios, equipos, grupos, y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

    Una unidad organizativa es la unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa.

    Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.

    Las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.

    Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio.

    1.3.1.5 Objetos y contenedores de objetos

    Un objeto puede ser la representación de un sistema, un usuario, un recurso, un servicio, etc. Cada tipo tiene sus propios atributos característicos del tipo de objeto. Un objeto Usuario necesita tener definidos ciertos atributos propios: nombre del usuario, los datos personales, etc. Por su parte, otro tipo de objeto, por ejemplo, el objeto Sistema, tendrá diferentes atributos: la dirección IP, el nombre del ordenador, etc.

    Cada objeto en el Directorio Activo tiene una identidad única. Los objetos se pueden mover y renombrar, pero su identidad nunca cambia. Los objetos contenedores son objetos especiales que pueden contener otros objetos y que permiten organizar el Directorio Activo. A diferencia de un elemento de agrupación de objetos que, por su parte, también puede contener a otros objetos contenedores.

    1.4 Beneficios de Active Directory

    Active Directory proporciona una gran cantidad de beneficios para las empresas que lo implementan, entre las más notables podemos destacar las siguientes:

    Permite de una manera muy sencilla administrar y crear un escenario acorde con las necesidades de la empresa.

    Directivas de grupo: las cuales simplifican la gestión de muchas de las tareas de administración.

    Rendimiento: proporciona un rendimiento superior y mucho más optimizado al que proporciona una arquitectura NT 4.

    Servicios ISS, DNS, DHCP: facilita la administración de los web, así como también los servicios DNS y DHCP.

    Terminal Server: permite, de una forma sencilla y segura, la administración del servidor en modo remoto.

    El sitio WEB de Microsoft en España, en la URL "http://www.microsoft.com/spain/windowsserver2003/actualizar/top10best.aspx", describe los diez principales beneficios de utilizar Active Directory y Windows 2003 Server:

    "1 Una Infraestructura Segura.

    2 Fácil de Implementar, Administrar y Usar.

    3 Fiabilidad, Disponibilidad, Escalabilidad y Desempeño de clase empresarial.

    4 Reducir TCO a través de Consolidación y lo último en Tecnología.

    5 Fácil Creación de Sitios Web Dinámicos de Intranet e Internet.

    6 Desarrollo Rápido con un Servidor Integrado de Aplicaciones

    7 Fácil de Encontrar, Compartir y Reutilizar Servicios Web XML

    8 Herramientas Administrativas Robustas

    9 Reducir los Costes de Servicio de Soporte

    10 Profesionalismo de una Red Mundial de Socios y Profesionales Certificados."

    1.5 Plataformas similares.

    Existen varias opciones como alternativa para las empresas que no desean, o no pueden costear la implementación de los servicios de Active Directory y Windows Server. Entre estas podemos mencionar las siguientes:

    1.5.1 Samba

    Samba es un sistema de código libre basado en el protocolo CIFS (Common Interface File System), que permite a plataformas Unix interactuar con plataformas Windows.

    Samba provee servicios de:

    Manejo de archivos.

    Servidor de impresión.

    Autenticación de usuarios. Resolución de nombres.

    Búsqueda.

    "Samba es un paquete de software que les proporciona flexibilidad y libertad a los administradores de red en términos de instalación y configuración. Samba ha crecido en popularidad, y continúa haciéndolo cada año, desde su lanzamiento en 1992".6

    1.5.2 Mandriva Directory Server (MDS).

    Mandriva Directory Server (Servidor de Directorio Mandrive) es un software de código libre que posee las siguientes características:

    Ø Autenticación y manejo de usuarios, a través de LDAP.

    Ø Una interfaz WEB en PHP basada en AJAX llamada MMC (Mandriva Management Console), la cual consta de 6 módulos:

    o Manejo de usuarios y grupos.

    o Manejo de Cuentas Samba.

    o Manejo de impresión.

    o Manejo de envío de correo electrónico.

    o Integración con DNS y DHCP.

    o Manejo de lista negra de WEB proxy.

    Ø Un API de administración hecha en Python para LDAP, Samba y SQUID.

    Ø Un sistema de políticas que permite definir los permisos a los usuarios en los recursos de la red.

    "Mandriva Directory Server (MDS) es una plataforma de directorio empresarial basada en LDAP, designada para manejar identidades, control de acceso, políticas, configuración de aplicaciones y perfiles de usuarios.

    Si usted ha usado Samba, Postfix, Squids o CUPS, usted puede aprovechar las ventajas de MDS para manejar su infraestructura.

    Gracias al MMC, MDS puede reemplazar totalmente a Windows NT4"7

    1.5.3 Novell eDirectory

    Mejor conocido como Novell Directory Service, es un servicio de directorio compatible con es estándar X.500 lanzado por Novell en 1993, este permite manejar y acceder a los recursos de múltiples servidores y estaciones de trabajo en una red. Consiste en una base de datos jerárquica orientada a objetos, en este se puede representar la estructura de una empresa en un árbol lógico, incluyendo: unidades organizacionales, personas, posiciones, servidores, estaciones de trabajo, aplicaciones, impresoras, servicios, grupos, entre otros.

    EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO ORIGINAL. PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION DESCARGAR DEL MENU SUPERIOR.