Nethserver Controlador Primario de Dominio (PDC)

Última actualización:  6 de Febrero 2019

Regresar

Nos encontramos en el cuarto artículo de "Nethserver para Entornos Empresariales" y para este punto, el Servidor en proceso de configuración ya es capaz de controlar el acceso de las "Estaciones de Trabajo", y legislar el uso del "Servicio de Internet" a través de Reglas establecidas por nuestra Empresa.

​Entonces, nuestra siguiente meta es completar al Servidor Nethserver con el módulo "Samba Active Directory", para que tome el papel de PDC y provea a la "Red Privada (green)" un "Directorio Híbrido de Usuarios".

Antes de iniciar con la configuración es conveniente recordar los siguientes conceptos:
​

• PDC (Primary Domain Controller)  --  Controlador Primario de Dominio:
  • ​Es un servidor que responde a las solicitudes de "Autenticación de Seguridad" dentro de un Dominio.
    ​
• ​Domain  --  Dominio:
  • ​Es una red informática en la que todas las cuentas de usuario, estaciones de trabajo, impresoras y otras entidades de seguridad, están registrados en una base de datos central ubicada en uno o más grupos de servidores centrales conocidos como controladores de dominio. ​
    
    
• Samba Active Directory  --  Samba:
  • Samba es un solución Open Source que permite la interoperabilidad de Servidores y Estaciones de Trabajo Linux y Mac OsX con Redes Microsoft.  También permite la creación de sus propios Dominios y "Directorios Híbridos de Usuarios" compatibles con productos Microsoft.
    ​

​¿Porque configurar Nethserver como PDC?
​

• Cuando hablamos de "Redes y Entornos Empresariales" lo principal es brindar "Seguridad y Orden", y esto es posible Centralizando la Administración de nuestras "Redes Privadas".
• Si usted esta buscando este tipo de Administración Centralizada, es posible que haya visto o trabajado en una red basada en productos "Microsoft", y quizá la mayoría de sus "Estaciones de Trabajo" cuenten con sistemas operativos Microsoft Windows.  Si es así, "Samba Active Directory" es su solución Open Source.
• Ahora bien, si es primera vez que implementa un PDC, "Samba Active Directory" le mostrará nuevos conceptos en temas de Administración Centralizada, utilizando "Directorios Híbridos de Usuarios" para redes Mixtas, donde se cuente con "Estaciones de Trabajo" con sistemas operativos Linux, Mac OsX y Microsoft Windows.
  ​

​En estos artículo describimos “Redes y Entornos Empresariales” como el conjunto de estaciones y dispositivos integrados en una o varias redes privadas, provistos con servicios locales y seguridad

Descripción Gráfica 001:
​

• En lineas generales, Nethserver se puede definir como una solución "Open Source" de tipo "Software Appliance" para Pequeñas y Medianas Empresas.  Cuenta con un set de módulos orientados en temas de "Administración de Redes" y "Trabajo en Colaboración", y uno de ellos es el módulo "Samba Active Directory" el cual permite definir a un Servidor Nethserver como PDC (Primary Domain Controller), brindando un "Directorio de Usuarios Híbrido" similiar a "Microsoft Active Directory".

• ​El módulo "Samba Active Directory" permite:
  • Creación y activación de un Dominio Informático.
  • Directorio de Usuarios, Grupos de Usuarios, "Estaciones de Trabajo" entre otros.
  • Directivas para Usuarios, Grupos de Usuarios y "Estaciones de Trabajo".
  • Y por supuesto la autenticación de usuarios y la delegación de Directivas.

• Después de esta breve explicación, iniciamos con la configuración de nuestro Servidor Nethserver para convertirlo en un PDC en nuestra "Red Privada (green)".

1.-  Instalación Módulo "Samba Active Directory"

Gráfica 002  --  Instalación de "Active Directory".

Gráfica 003  --  Establecer un "Nuevo Dominio".

Gráfica 004  --  Datos del "Active Directory Domain".

• En resumen, Nethserver instala en un contenedor (Similar a "LXC Container" o "Jail/FreeBSD") el módulo "Samba Active Directory".
  
  Para su activación requiere de una IP estática válida de la "Red Privada (green)", así como algunos datos básicos para identificar el Dominio.
  
  
• DNS domain name:  Este campo es muy importante y representa el "Nombre" qué queremos dar al "Dominio".
  ​
  En configuraciones anteriores definimos en el módulo "DHCP", el nombre de "Dominio" como COSYSCO.NETWORK, entonces se sugiere tomar el mismo nombre todo en minúsculas.
  
  
• NetBIOS Domain Name:  Representa el nombre del Grupo "Workgroup" para redes Microsoft.
  
  Tomando de base COSYSCO.NETWORK, este utiliza el primer componente del nombre del "Dominio", y en este caso es COSYSCO.  Se sugiere dejarlo en Mayúsculas.
  
  
• Domain Controller IP address:  En este campo es necesario proporcionar una IP estática disponible de la "Red Privada (green)".

Gráfica 005  --  Información relevante del Dominio COSYSCO.NETWORK

• Después de crear el Dominio, este presenta un breve resumen del nuevo "Directorio Híbrido de Usuarios (Active Directory)".
  
  
• (1) Datos del Dominio:  Esta información nos será de utilidad cuando se requiera integrar "Estaciones de Trabajo" con sistemas operativos Windows al nuevo Dominio:
  ​
  • DNS domain name:
    • cosysco.network
  • NetBIOS domain Name:
    • COSYSCO
  • Domain Controller IP Address:
    • 10.10.10.2
      ​

• (2) Authentication credentials for LDAP aplications:
  Estas credenciales se utilizan para aquellas aplicaciones que requieren tomar información del "Directorio Híbrido de Usuarios", para gestionar Autenticación de usuarios.

1.1.-  Revisar cambios después de activar módulo "Samba Active Directory".
​

​Gráfica 006  --  Puente que integra "Red Privada (green)" y "Samba Active Directory".

• En este ejemplo podemos observar que existe un nuevo interfaz y corresponde al Puente que integra:
  • "Red Privada (green)" IP 10.10.10.1
  • "Samba Active Directory" IP 10.10.10.2 ​

Gráfica 007  --  Revisar configuración Modulo DHCP.

• Se recomienda revisar el módulo DHCP, comprobando:
  • El servicio este ahora delegado a través del nuevo Puente br0.
  • El rango de IP's dinámicas este correcto.
  • Validar el nombre de dominio.

Gráfica 008  --  Resumen configuración del Dominio.

Descripción Gráfica 008.

• Realm:
  COSYSCO.NETWORK, es el nombre del Dominio que se utilizará para integrar "Estaciones de Trabajo" Linux, Mac OsX y Windows al Dominio.
  
  
• LDAP server:
  10.10.10.2, IP del servidor "Samba Active Directory".
  
  
• LDAP server name:  nsdc-pdc.cosysco.net
  Nethserver nombra al contenedor "Samba Active Directory" y le antepone el prefijo "nsdc-" junto con el nombre de nuestro servidor Nethserver que en este ejemplo es "pdc.cosysco.network".
  ​
  Regularmente esta información lo piden las aplicaciones para obtener el listado de Usuarios y Grupos del "Directorio Híbrido de Usuarios".

• Bind Path: dc=COSYSCO,dc=NETWORK:
  ​Ruta de enlace, representados en "Objetos / Parámetro" describe al "Domain Control".
  
  Regularmente esta información lo piden las aplicaciones para obtener el listado de Usuarios y Grupos del "Directorio Híbrido de Usuarios".
  ​
• Información adicional:
  ​
  • LDAP (por sus siglas en inglés Lightweight Directory Access Protocol) es un protocolo que se utiliza para el acceso a objetos de "Samba Active Directory", para la autenticación de usuarios y la delegación de Directivas.
  • Active Directory es el Directorio de Usuarios, Grupos, Ordenadores y Directivas.

1.2.-  Aplicar cambio de Password a Usuarios Administradores.
​

Gráfica 009  --  Cambio de Password.

Descripción Gráfica 009.

• En el proceso de instalación del módulo "Samba Active Directory", se generan dos usuarios Administradores los cuales es necesario cambiar el password.
• NOTA:  Al cambiar el Password las cuentas cambian de color y desaparece el icono de una "Llave".
  
  
• Opcional:
  • Siguiendo las recomendaciones de Nethserver en "Temas de Buenas Prácticas en Seguridad", es conveniente crear un "Usuario Administrador".  Para esta cuenta Administrativa se recomienda utilizar un nombre "No intuitivo".  Después debe bloquear los usuarios "admin" y "administrator".

2.-  Administración de Usuarios y Grupos de Usuarios.

Después de instalar y configurar el módulo "Samba Active Directory", el siguiente paso es poblar el "Directorio Híbrido" con "Grupos de Usuarios" y "Usuarios".   Es conveniente crear primero los "Grupos de Usuarios" de forma estructurada y sencilla, lo cual permita una Administración fácil de Usuarios.

2.1.-  Creación de Grupos.

Gráfica 011  --  Creación de Grupos.

Descripción Gráfica 011.
​

• En  "Users and groups" se crean los Objetos "Group".  Para su fácil identificación en el ejemplo de la empresa COSYSCO.NETWORK los objetos son nombrados por su procedencia y naturaleza, ejemplo:
  
  
  • ug = Users and groups
  • group = Objeto de tipo Grupo en "Samba Active Directory".
    
    
  • Entonces nuestros objetos serán descritos de la siguiente forma:
    ​
    • Domain Admins = Objeto Grupo Usuarios Administradores del Dominio.
    • ug-group-managers = Objeto Grupo para Usuarios Staff-managers.
    • ug-group-users= Objeto Grupo para Usuarios Staff-Users.
    • ug-group-servers = Objeto Grupo para Usuarios de Servidores en la "Red privada (green)".​


• Es importante comentar que toda vez se crea la estructura rara vez se modifica, entonces es conveniente que los objetos sean fácil de identificar por su procedencia y naturaleza para así deducir su función.  Esto hará mucho más fácil la administración de los permisos en Nethserver.
  ​
  ​
  

Tomando en cuenta los conceptos sugeridos, procedemos a configurar..

Gráfica 012  --  Creación de "Groups".

Siguiendo el esquema de la empresa COSYSCO.NETWORK vamos a crear los siguientes Grupos de Usuarios:

• gu-group-staff-users:   Grupo de usuarios del staff  programadores, diseñadores y recepción.
• gu-group-managers:   Grupo de usuarios de Gerencia.
• gu-group-servers:  Grupo de usuarios para administración de servidores.

Gráfica 013  --  Finalizado Creación de "Groups".

• En la Gráfica se logra apreciar como debe de quedar el listado "Groups" siguiendo el esquema de la empresa COSYSCO.NETWORK.

2.2.-  Creación de Usuarios.
​

Gráfica 014  --  Creación de Usuarios.

Descripción Gráfica 014.

• La creación de usuarios es muy sencilla, sin embargo se hace las siguientes recomendaciones:
  ​
  • Al seleccionar un "Group" del listado "Groups", no olvide presionar el botón "Add", para asegurar que se relacione el "Group" al nuevo Usuario.
  • Advance options / Remote shell (SSH):   En el caso del usuarios que van a utilizar diferentes tipo de Sistemas Operativos (Linux, Mac osX y Windows) se recomienda activar "Remote Shell".
    

3.-  Integrar "Estaciones de Trabajo" al Dominio.

• Hemos llegado a la fase final de esta configuración y a partir de este punto todo será mucho más fácil.
• A continuación vamos a Integrar una "Estación de Trabajo" Windows Professional a la "Red Privada (green)", con este paso vamos a validar el correcto funcionamiento del Dominio.
  
  
  • NOTA:
    • Utilizamos Microsoft Windows 7 o 10 Professional, por la sencilla razón que este tipo de productos ya vienen preparados para integrarse a un Dominio Microsoft.
    • En el caso de las estaciones Linux el proceso lleva unos cuantos pasos adicional, por lo cual vamos a dedicar un artículo especial para explicar cómo integrar LInux en un Dominio.
      ​
• Conectamos la "Estación de Trabajo" Microsoft Windows en la "Red Privada (green)".
• Comprobamos que la "Estación de Trabajo" cuenta con una IP reservada en el módulo DHCP.
• Agregamos la "Estación de Trabajo", a uno de los Grupos "Host Groups" del "Firewall Object".  Con esto nos aseguramos que la estación tenga acceso al "Servicio de Internet".

3.1.-  Configurar Windows en Dominio COSYSCO.NETWORK

Gráfica 015  --  Integrar Estación Windows al Dominio, parte 1.

• Presione el botón "Start", a continuación escriba "View advanced system settings".

Gráfica 016  --  Integrar Estación Windows al Dominio, parte 2.

• En el orden que vayan apareciendo las ventajas de configuración, siga las flechas...
  
  
• Computer Name:  Es recomendable utilizar un nombre no mayor a 15 dígitos.
  
  
• Member of:  En este caso es cosysco.network
  ​
  • Credenciales:  A continuación Windows solicita las credenciales de un "Usuario Administrador Válido y Activo" del Dominio COSYSCO.NETWORK.
    
    ​En este ejemplo, utilizamos el usuario "cosyscoadmin", el cual creamos con anterioridad y qué pertenece al grupo "Domain Admins".

Gráfica 017  --  Integrar Estación Windows al Dominio, parte 3.

• Después que Windows "Valida" las credenciales en el Dominio, nos presenta un mensaje de "Bienvenida".

Gráfica 018  --  Integrar Estación Windows al Dominio, parte 4.

Gráfica 019  --  Integrar Estación Windows al Dominio, parte 5.

• Al reinicia la "Estación de Trabajo" Windows, ingresamos con un usuario válido tomando en cuenta:
  
  
  • Seleccione en la parte inferior izquierda de la pantalla "Other user".
    ​
  • Cuando se ingresa por primera vez debe colocar el usuario de la siguiente forma:
    ​
    • cosysco.network\username
    • username@cosysco.network

Gráfica 019  --  Integrar Estación Windows al Dominio, parte 6.

• En resumen, los pasos para unir una estación Windows Professional al "Dominio Híbrido, Nethserver Samba Active Directory", son exactamente igual a los pasos para un "Dominio Microsoft", y los Sistemas Operativos no reconocen la diferencia.
  

Hemos finalizado la activación de un Controlador de Dominio.

• Ubuntu Desktop  -  Como unir una estación Linux Desktop Ubuntu a un Dominio Híbrido Nethserver

​

---

Regresar

---