15 de septiembre de 2008

Directorio, ¿Activo?

Quisiera comenzar la semana hablando de un recurso presente en... ¿todas? las organizaciones. Aprovechando un cursito de Windows Server 2003 que estoy haciendo, he podido repasar algunos conceptos básicos de Directorio Activo que muchas veces resultan confusos, yo me lio bastante la verdad, es posible que a vosotros os pase lo mismo.


Un Directorio Activo es un sistema muy parecido a una base de datos, que es algo así como un lugar donde se almacena información, se consulta, se modifica, etc. Pero en el caso del Directorio Activo hay una ligera diferencia, este sistema está optimizado para las lecturas, es un repositorio donde por ejemplo los usuarios de un dominio se autentican, así ocurre en muchas organizaciones. Necesitas "estar en red" para que al autenticarte en tu sistema, esa contraseña (o hash de la contraseña) viaje por la red, se compare con la que hay en el directorio y si es la misma, el Directorio te envíe el Ok y tu sistema operativo termine de arrancar.


Llama la atención que para explicar lo que es un Directorio Activo, he introducido el concepto de dominio. Voy a usar la definición de la wikipedia, que parece sencilla de entender:


"Un dominio es un conjunto de ordenadores conectados en una red que confían a uno de los equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los usuarios tiene en dicha red."


Se parece un poquito a los dominios de Internet, por ejemplo, si tu organización se llama todo es seguro, y el dominio es giga. Es posible que tu estés en el dominio giga, y el portal de tu intranet sea algo así como todoesseguro.giga, de manera similar a los .com, .org, etc. (que me perdonen los más técnicos, intento ser generalista xD)

Es posible que tengamos varios directorios activos, de hecho en organizaciones medianas/grandes los tendremos, igual que varios dominios. He encontrado varias imágenes para aclararnos:

Usuario en dominio, pueden establecer relaciones de confianza con otros dominios.


Aquí aparece nuestro amigo Kerberos, guardían del inframundo :D


En un Directorio Activo no aparecen solo los perfiles de los usuarios, sus contraseñas, la política de seguridad que tienen que cumplir, pueden aparecer una gran variedad de los que llamamos Elementos de Configuración, que sin llegar a ser los mismos Elementos que tiene una CMDB, que conocemos de ITIL, si puede incluir todo tipo de máquinas.
Resumimos, tenemos un directorio activo, que forma parte de un dominio, en un dominio hay varias unidades organizativas, entre dominios podemos tener relaciones de confianza según configuremos, varios dominios formarán lo que conocemos como Arbol, y varios Arboles un Bosque, donde se produce herencia entre la raiz, y la estructura jerárquica que cuelgue de ella.
No se si os habrá quedado clara la idea, supongo que algo más si que sabreis. Explicaré como crear un Directorio Activo en Windows Server 2003 (seguro, claro), en próximas entradas.
Por cierto, ¿os imaginais el impacto de un Directorio Activo caido en una empresa?
Salu2 seguros!

0 comentarios: