Active Directory

Active Directory (AD) o Directori Actiu són els termes que utilitza Microsoft per referir-se a la seva implementació de servei de directori en una xarxa distribuïda de computadors. Utilitza diferents protocols, principalment LDAP, DNS, DHCP i Kerberos.

De manera senzilla es pot dir que és un servei establert en un o diversos servidors on es creen objectes tals com a usuaris, equips o grups, amb l'objectiu d'administrar els inicis de sessió en els equips connectats a la xarxa, així com l'administració de polítiques en tota la xarxa.

La seva estructura jeràrquica permet mantenir una sèrie d'objectes relacionats amb components d'una xarxa, com a usuaris, grups d'usuaris, permisos i assignació de recursos i polítiques d'accés.^[1]

Active Directory permet els administradors establir polítiques a nivell d'empresa, desplegar programes en molts ordinadors i aplicar actualitzacions crítiques a una organització sencera. Un Active Directory emmagatzema informació d'una organització en una base de dades central, organitzada i accessible. Poden trobar-se des de directoris amb centenars d'objectes per a una xarxa petita fins a directoris amb milions d'objectes.

Funcionament modifica

El seu funcionament és similar a altres estructures de LDAP (Lightweight Directory Access Protocol), ja que aquest protocol ve implementat de forma similar a una base de dades, la qual emmagatzema en forma centralitzada tota la informació relativa a un domini d'autenticació. Una dels seus avantatges és la sincronització present entre els diferents servidors d'autenticació de tot el domini.

Al seu torn, cadascun d'aquests objectes tindrà atributs que permeten identificar-los en manera unívoca (per exemple, els usuaris tindran camp «nom», camp «email», etcètera, les impressores de xarxa tindran camp «nom», camp «fabricant», camp «model», camp "usuaris que poden accedir", etc). Tota aquesta informació queda emmagatzemada en Active Directory replicant-se de forma automàtica entre tots els servidors que controlen l'accés al domini.

D'aquesta forma, és possible crear recursos (com a carpetes compartides, impressores de xarxa, etc) i concedir accés a aquests recursos a usuaris, amb l'avantatge que estant tots aquests objectes memoritzats en Active Directory, i sent aquesta llista d'objectes replicada a tot el domini d'administració, els eventuals canvis seran visibles a tot l'àmbit. Per dir-ho en altres paraules, Active Directory és una implementació de servei de directori centralitzat en una xarxa distribuïda que facilita el control, l'administració i la consulta de tots els elements lògics d'una xarxa (com poden ser usuaris, equips i recursos).

Intercanvi entre dominis^[2] modifica

Per permetre que els usuaris d'un domini accedeixin a recursos d'un altre domini, Active Directory usa una relació de confiança (en anglès, trust). La relació de confiança és creada automàticament quan es creen nous dominis. Els límits de la relació de confiança no són marcats per domini, sinó pel bosc al qual pertany. Existeixen relacions de confiança transitives, on les relacions de confiança d'Active Directory poden ser un accés directe (uneix dos dominis en arbres diferents, transitiu, una o dues vies), bosc (transitiu, una o dues vies), regne (transitiu o no transitiu, una o dues vies), o extern (no transitiu, una o dues vies), per connectar-se a altres boscos o dominis que no són d'Active Directory. Active Directory usa el protocol V5 de Kerberos, encara que també suporta NTLM i usuaris webs mitjançant autenticació SSL/TLS.

Confiances transitives modifica

Confiança d'Accés Directe modifica

La Confiança d'accés directe és, essencialment, una confiança explícita que crea accessos directes entre dos dominis en l'estructura de dominis. Aquest tipus de relacions permet incrementar la connectivitat entre dos dominis, reduint les consultes i els temps d'espera per a l'autenticació.

Confiança entre boscos modifica

La Confiança entre boscos permet la interconnexió entre boscos de dominis, creant relacions transitives de doble via. En Windows 2000, les confiances entre boscos són de tipus explícit, al contrari de Windows Server 2003.

Adreçaments a recursos modifica

Els adreçaments a recursos d'Active Directory són estàndards amb la Convenció Universal de Noms (UNC), Localitzador Uniforme de Recursos (URL) i Noms de LDAP.

Cada objecte de la xarxa posseeix un nom de distinció (en anglès, Distinguished name (DN)), així una impressora Imprimeix en una Unitat Organitzativa (en anglès, Organizational Units, OU) anomenada Vendes i un domini foo.org, pot escriure's de les següents formes per ser accedida:

en DN seria CN=Imprimeix,OU=Vendes,DC=foo,DC=org, on
- CN és el nom comú (en anglès, Common Name)
- DC és classe d'objecte de domini (en anglès, Domain object Class).
En forma canònica seria foo.org/vendes/imprimeix

Els altres mètodes d'adreçament constitueixen una forma local de localitzar un recurs

Distinció de Nom Relatiu (en anglès, Relative Distinguised Name (RDN)), que busca un recurs només amb el Nom Comú (CN).
Globally Unique Identifier (GUID), que genera una cadena de 128 bits que és usat per Active Directory per buscar i replicar informació.

Certs tipus d'objectes posseeixen un Nom d'Usuari Principal (en anglès, User Principal Name (UPN)) que permet l'ingrés abreujat a un recurs o un directori de la xarxa. La seva forma és objectedexarxa@domini

Diferències entre Windows NT i Active Directory modifica

A diferència de l'anterior sistema d'administració de dominis de Windows NT Server, que proveïa únicament el domini d'administració, Active Directory permet també crear estructures jeràrquiques de dominis i subdominis, facilitant l'estructuració dels recursos segons la seva localització o funció dins de l'organització a la qual serveixen. Una altra diferència important és l'ús d'estàndards com a X.500 i LDAP per a l'accés a la informació.

Interfícies de programació^[3] modifica

Les interfícies de servei d'Active Directory (ADSI) lliuren al programador una interfície orientada a objectes, facilitant la creació de programes de directoris mitjançant algunes eines compatibles amb llenguatges d'alt nivell, com a Visual Basic, sense haver de bregar amb els diferents espais de noms.

Mitjançant les ADSI es permet crear programes que realitzen un únic accés a diversos recursos de l'entorn de xarxa, sense importar si estan basats en LDAP o un altre protocol. A més, permet generar seqüències de comandos per als administradors.

També es pot desenvolupar la Interfície de missatgeria (MAPI), que permet generar programes MAPI.

Requisits d'instal·lació^[4] modifica

Per crear un domini cal complir, almenys, amb els següents requisits recomanats:

Tenir qualsevol versió Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008. En el cas de 2003 server, tenir instal·lat el SP1 en la màquina amb una RAM de 256 MB .
Protocol TCP/IP instal·lat i configurat manualment, és a dir, sense comptar amb una adreça assignada per DHCP,
Tenir un servidor de nom de DNS, per resoldre l'adreça dels diferents recursos físics presents a la xarxa
Posseir més de 250 MB en una unitat de disc formatada en NTFS.

Alternatives^[5] modifica

Samba és un programa de codi lliure, que té disponible un controlador de dominis compatible amb Windows NT 4, Windows 2003 i Windows 2008.

El programa de codi lliure Mandriva Directory Server ofereix una interfície web per manejar el controlador de dominis de Samba i el servei de directoris de LDAP.

Una altra alternativa és Novell eDirectory, que és Multiplataforma: pot córrer sobre qualsevol sistema operatiu: Linux, AIX, Solaris, Novell Netware, UNIX i integra LDAP v.3 Nadiu. És el precursor en matèria d'estructures de Directori, ja que va ser introduït el 1990 amb la versió de Novell Netware 4.0. Encara que AD de Microsoft va aconseguir major popularitat, encara no pot igualar la fiabilitat i qualitat d'eDirectory i la seva capacitat Multiplataforma.

Sun Java ÉS Directory Server i OpenDS són altres alternatives, el primer basat en java i el segon basat i desenvolupat en C. El primer és un producte de Sun Microsystems i el segon una alternativa de codi obert.[1] Arxivat 2006-12-14 a Wayback Machine.[2]

Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba i a més certificació digital i Bind9 (modificat per usar LDAP com backend) és WBSAgnitio ().[3]

Referències modifica

↑ Introducció a Active Directory, Microsoft (castellà)
↑ Designing a Windows Server 2003 Active Directory, Sams Arxivat 2007-05-20 a Wayback Machine. (anglès)
↑ Interfícies de programació, Microsoft (castellà)
↑ Conceptos Fundamentales de Active Directory, Grupos de usuario de Microsoft Arxivat 2013-05-04 a Wayback Machine. (castellà)
↑ Active Directory, Wikipedia (anglès)

[1] Introducció a Active Directory, Microsoft (castellà)

[2] Designing a Windows Server 2003 Active Directory, Sams Arxivat 2007-05-20 a Wayback Machine. (anglès)

[3] Interfícies de programació, Microsoft (castellà)

[4] Conceptos Fundamentales de Active Directory, Grupos de usuario de Microsoft Arxivat 2013-05-04 a Wayback Machine. (castellà)

[5] Active Directory, Wikipedia (anglès)

[1]

[2]

[3]

[4]

[5]