FEDORA DIRECTORY SERVER

Instalación del sistema operativo

Lo primero que tenemos que hacer es conseguir el DVD de instalación de Fedora 9. Para eso vamos al sitio oficial de Fedora y descargamos la ISO del DVD.
Una vez quemada la ISO en un DVD lo ponemos en la lectora e iniciamos la PC desde el DVD de instalación.Veremos una pantalla como la siguiente:

Elegimos la primera opción y comenzará el proceso de instalación de Fedora 9.

Hacemos click en Next y seleccionamos el idioma.

Next y seleccionamos la distribución de nuestro teclado.

Click en Siguiente y pasamos a la configuración de la red. En nuestro caso la red utiliza DHCP para obtener una IP.

Siguiente y en la nueva pantalla seleccionamos la zona horaria.

En nuestro caso seleccionamos: América-Colombia-Bogota

La siguiente pantalla nos pide que definamos una contraseña para el usuario root. Es recomendable utilizar contraseñas que contengan números, letras en mayúsculas y en minúsculas y caracteres especiales, a esto se le denomina contraseña segura.

Ahora llegamos a la configuración del sistema de archivos. El asistente nos ayudará a configurar las particiones que utilizará Fedora. En nuestro caso seleccionamos: Crear un diseño personalizado para poder escoger la partición en la que se va a instalar el sistema operativo.


Cuando terminamos de configurar el sistema de archivos, el procedimiento, nos pide guardar los cambios en el disco. Si estamos seguros de lo que hacemos, damos click en Guardar cambios al disco.

El sistema empieza a formatear el disco y a crear la dispocisión de las particiones.


Se empieza a transferir la imágen de instalación al disco.

Ahora llegó el momento de seleccionar los paquetes que queremos instalar en nuestro sistema. En este post dejaremos la selección como está, o la persona escoge los paquetes, de acuerdo a sus necesidades.

Anaconda (plataforma de instalación de Fedora) comprueba las dependencias de los paquetes seleccionados.

Comienza la preparación de la instalación con los datos recolectados…















… y finalmente comienza la instalación de nuestro Fedora 9.

Una vez terminada la instalación reiniciamos para entrar en nuestro nuevo Fedora.


Luego de reiniciar aparece el grub…


… y comienza el inicio de Fedora 9.



Después de un rápido inicio nos recibe el asistente de configuración del sistema (Firstboot).


La siguiente pantalla nos proporciona información sobre la licencia de los paquetes de Fedora.


Es hora de configurar nuestra cuenta de usuario. Ponemos nuestro nombre de usuario, nombre completo y contraseña.


Configuramos la fecha y hora del sistema.


La pantalla final del asistente de configuración es muy importante, nos permite enviar un informe sobre el hardware que tenemos para que los desarrolladores de fedora puedan trabajar en hacer el sistema cada vez más compatible. Si queremos enviar el informe, seleccionamos Enviar Perfil.


Ahora nos recibe el nuevo GDM, (Administrador de Ventanas de GNOME), optimizado para un mejor rendimiento. Ponemos nuestra contraseña y accedemos a nuestro sistema.

En esta guía utilizamos GNOME como entorno de escritorio de la interfaz gráfica de usuario por ser el predeterminado en la instalación de Fedora 9. El nuevo GNOME 2.22 es más agradable visualmente que sus predecesores.

Finalmente empezamos a trabajar en nuestro fedora.

Ahora procedemos a instalar nuestro fedora directory Server (FDS).

FDS es un Servidor de Directorio que trabaja sobre la plataforma de Fedora.

Fedora Directory Server es un servidor de directorio centralizado que proporciona un servicio de directorio para su intranet(LAN), red, información y extranet (WAN). Directory Server se integra con los sistemas existentes y actúa como un repositorio centralizado para la consolidación de los empleados, clientes, proveedores, socios y la información. Se puede ampliar Directory Server para administrar perfiles de usuario y preferencias, asi como la autenticación de los usuarios extranet.

NOTA: Debemos tener instalado en nuestro equipo Java JRE para Fedora Directory Server y también instalado e iniciado un servidor HTTP (Apaché).
Lo primero que tenemos que hacer descargar el paquete a continuación les mostraremos el link: http://directory.fedoraproject.org/wiki/douwnload/fedora-ds-1.0.4-1.FC6.i386.opt.rpm. le damos la ruta donde queremos que descargue el paquete, en nuestro caso el paquete queda en Descargas.

Luego abrimos la consola y nos logueamos como súper usuario (root), iniciamos la instalacion del paquete fedora-ds, asi:
* Rpm –Uvh /Descargas/fedora-ds-1.0.4-1.FC6.i386.opt.rpm

* Nos presenta una linea que nos indica que corramos el script ./opt/fedora-ds/setup/setup

*Dice que al instalar FDS, estamos sujetos acumplir con los acuerdos detallados de la licencia expresada en el archivo LICENSE.txt. También nos dice que si queremos más información consultemos en la página: http://directory.fedora.redhat.org .

* Después nos advierte sobre los peligros de la instalación del Directory Server.

* Posteriormente nos pide que seleccionemos un modo de instalación; por defecto escogemos la opción número 2.

* En seguida nos solicita un nombre de equipo para usar; por defecto dejamos localhost.localdomain.

* A continuación nos pide un ID de usuario y de grupo servidores para usar (nobody). Si vamos a poner el nombre de un usuario y de un grupo, estos deben registrarse primero en el equipo.

* Al presionar Enter, carga un momento, pero al final aparece un error, ya que falta descargar e instalar unas librerias que se necesitan para continuar con la instalación de nuestro FDS, éstas las podemos descargar desde este link: http://rpmfind.net/linux/RPM/ y, luego instalarlas utilizando rpm -Uvh o Yum.

* Después de hacer esto, se debe ejecutar de nuevo el script ./opt/fedora-ds/setup/setup, y hará una serie de preguntas tales como:

- Desea instalar este software con otro Directory Server ya existente, a lo que respondemos: NO.

- Desea guardar los datos en otro Directorio. Respondemos: NO.

- En qué puerto desea que corra el Directory Server, lo dejamos por defecto (389).

- Identificador de servidor de directorio? (el nombre de nuestro Pc).

- ID del usuario administrador de la configuración del Directory Server (consola)?, (admin) por defecto. Y su contraseña.

- Administrador del Directorio (DN) (cn= Directory Manager), lo dejamos por defecto; o entramos otro DN.

- Administrador de Dominio (domain name).

- Puerto de Administración. ( Es recomendable cambiar el # de puerto manualmente).

- Ejecutar el Servidor de Administración como [root]?, a lo que respondemos: SI.

* Para terminar, nos pide que iniciemos la consola, asi:

./startconsole -u admin -a http://localhost.localdomain:25045/. Y nos aparece un cuadro de diálogo, en el que editamos la contraseña y presionamos Enter. Finalmente aparece la Consola de nuestro FDS.

CONCLUSIONES SOBRE FDS

* Atodos se nos presento muchos, demasiados problemas durante la instalación de Fedora Directory Server (FDS).

* Aprendí a investigar mucho mejor, porque en la Web no había suficiente información sobre Directory Server; Aunque si se encuentra los pasos para la instalación de éste.

* Busque, junto a mis compañeros, soluciones para los problemas que se presentaban en cuanto al FDS.

* Este Servidor de Directorio Trabaja con los protocolos LDAP, DNS, Kerberos.

* Al utilizar LDAP y Kerberos como protocolos de autenticación, Directory Server se vuelve más seguro, accesible sólo por las cuentas registradas en el dominio.

* He aprendido a instalar Fedora, y además a utilizarlo, manejarlo como una herramienta de búsqueda e investigación, ya que nunca había trabajado con esta distribución de Linux.

*Trabajar con FDS fue díficil , pero al fin se instaló, aunque aparecían errores, que no dejaban iniciar la consola.

ADMINISTRACIÓN

QUE ES DIRECTORIO ACTIVO

Directorio Activo o Active Directory (AD) Es el término utilizado por Microsoft para referirse a su implementación de Servicio de Directorio (SD) en una red distribuida de computadores. Es una base de datos que presta información sobre recursos, usuarios, equipos en una empresa.

* Sirve para almacenar en forma centralizada la información relativa a un dominio de autenticación.

*Facilita el control, la Administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos.
* Se centraliza la Administración de Seguridad.

* Provee una mejor delegación de la Autoridad Administrativa.

* Ofrece escalabilidad muy superior a los límites de Windows NT.

* Maneja usuarios, grupos, o computadores como una objetos definidos en él, beneficiando sustancialmente la empresa.

* Genera relaciones de confianza entre bosques de Directorios Activos permitiendo relaciones de confianza entre organizaciones que tengan vínculos comerciales y que no sean del mismo grupo matriz.

INFRAESTRUCTURA DE ACTIVE DIRECTORY

BOSQUE: Infraestructura completa de AD.Consiste en uno o más Trees.
ARBOL (Tree): Conjunto de dominios, consiste en 2 0 más dominios agrupados juntos en estructuras de jerarquía llamadas Domain Trees.
DOMINIOS: Unidades Organizacionales core (básica) de la estructura lógica de Active Directory.
UNIDADES ORGANIZATIVAS: Contenedor de objetos para organizar otros objetos con própositos Administrativos. Permiten organizar objetos en un dominio, nos permiten delegar control administrativo, simplifican la administración de los recursos comúnmente agrupados.
OBJETOS: Componentes básicos de la estructura Lógica, entre estos están las impresoras y los equipos.

El Directorio Activo también está compuesto por 5 Maestros de Operaciones que ofrecen información puntual sobre los objetos y recursos que se encuentran en la red. Estos son: Los Maestros de Esquema, que muestran los perfiles y características de los objetos del Bosque; el Maestro de Infraestructura, que localiza los objetos dentro de un dominio; Maestro de Nombres de Dominio, controla la adición y el retiro de Dominios en el Bosque; Maestro de Identificación Relativa, que asigna un número único de identificación para cada objeto y/o recurso en el Dominio; y, el PDC, Controlador de Dominio Primario, es el primer Controlador que se crea en el Dominio y del cual se administran todos los objetos del dominio.

Active Directory contiene 3 Herramientas Administrativas, denominadas Consolas, desde las cuales se puede administrar los Dominios y Bosques, estos son: Usuarios y Equipos, Sitios y Servicios, Dominios y Confianzas.

Usted también puede administrar su Directorio Activo remotamente, siguiendo los siguientes pasos:

- Debemos estar logueados en el dominio en el cual está el equipo servidor; como cliente en Windows XP.
- Tener los permisos suficientes para instalar las herramientas administrativas, o simplemente como administrador de la máquina.
- Insertamos el cd de Windows Server 2003 ó 2000
- Abrimos la carpeta i386
- Luego abrimos la carpeta de instalación Admin.Pack
- Instalamos
- Abrimos la ventana ejecutar
- Copiamos mmc
- Archivo
- Agregar o quitar complementos
- Agregar
- Escogemos el Servidor que deseamos Administrar
- Aceptar
- Agregar
- Cerrar.
* Ya, en la consola debe aparecer el Servidor que vamos a Administrar.
* En Inicio, debe aparecer Herramientas Administrativas.

Las Herramientas Administrativas permiten a los administradores de red: agregar, buscar, cambiar la configuración de equipos y objetos del Directorio Activo.
Las más usadas son:
- Usuarios y equipos de Active Directory.
- Sitios y servicios de Active Directory.
- Dominios y confianzas de Active Directory.
- Administración de Equipos.
- DNS.
- Escritorio Remoto.

MMC (Microsoft Management Console): Se usa para crear, guardar y abrir Herramientas Administrativas, llamadas Consolas, que administran el hardware, software y componentes de red de su S.O Windows. MMC se ejecuta en todos los S.O clientes que se admiten actualmente.
Los Derechos específican las acciones que pueden realizar los miembros de un grupo de seguridad en un dominio o bosque.

Los Permisos específican los recursos a los que puede obtener acceso un miembro de grupo en la red.

Los GRUPOS son un conjunto de cuentas de Usuario y de Equipo (objetos) que se pueden administrar como una sola unidad. Se utilizan para simplificar la Administración.

En Active Directory existen dos tipos de Grupo:
* SEGURIDAD: Se utiliza para asignar derechos y permisos de usuario.
* DISTRIBUCIÓN: Solo se puede usar con aplicaciones de correo electrónico. No se pueden utilizar para cambiar permisos, debido a que no tienen habilitada la seguridad. Es utilizado para cambiar objetos relacionados.

Existen los siguientes ámbitos de grupo:
- Global
- Local de Dominio
- Universal
- Local

Los Grupos Globales, son grupos de distribución o de seguridad que pueden contener usuarios, grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos de seguridad globales para asignar derechos y permisos de usuario a los recursos de cualquier dominio. En modo mixto, los Grupos Globales, pueden contener cuentas de usuario del mismo dominio y pueden ser miembros de Grupos locales de dominio. En modo nativo, contienen Cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio, y puede ser miembro de Grupos Universales y grupos locales de dominio en todos los grupos de dominio y globales del mismo dominio.Puede ser visto en todos los dominios del bosque y dominios de confianza. Tiene Permisos en todos los dominios del bosque y dominios de confianza.

Los Grupos Universales, son grupos de distribución o de seguridad que, en modo nativo contiene Cuentas de usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque; puede ser miembro de Grupos locales de dominio y universales de cualquier dominio.Es visible en todos los dominios de un bosque. Concede permisos a grupos universales para todos los dominios de un bosque. Este grupo no se puede aplicar en modo mixto.

Los Grupos de Dominio Local, son grupos de seguridad o de distribución que, en modo mixto contiene cuentas de usuario, cuentas de equipo y grupos globales de cualquier dominio; no puede ser miembro de ningún otro grupo. En modo nativo puede contener cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque, y grupos locales de dominio del mismo dominio; y puede ser miembro de Grupos locales de dominio del mismo dominio. Es visible solo en su propio dominio. Tiene permisos sobre el Dominio al que pertenece.

El Grupo Local es un conjunto de cuentas de usuario y grupos de dominio creados en un servidor miembro o en un servidor independiente. Se utiliza para anidar grupos globales y poder asignar permisos a recursos relacionados de varios dominios. En ocasiones se le llama Grupo Locales de Equipo.

Ahora pasó a hablar sobre los permisos que se le asignan a las cuentas de usuario o cuentas de equipo sobre las carpetas, archivos y/o recursos. Existen dos clases de permisos: NTFS y los de carpetas compartidas.

Los permisos NTFS son usados para el control de acceso. Definen la manera en la que los grupos, usuarios y aplicaciones pueden acceder al sistema de archivos. Existen cinco tipos de permisos NTFS: lectura, escritura, lectura y ejecución, modificación y control total.

Los permisos de carpetas compartidas sólo se aplican a los usuarios que acceden a las mismas desde la red y no afectan a los usuarios que accedan desde el equipo donde se encuentra la carpeta compartida. Los permisos pueden asignarse a cuentas de usuarios, grupos y cuentas de equipo. Estos permisos son: Lectura, cambio (modificar), control total.

ESTRATEGIAS DE GRUPOS

AGP: En AGP, se colocan cuentas de usuario (A) en grupos globales (G) y se conceden permisos (P) a los grupos globales. Esta estrategia presenta la limitación de complicar la administración cuando se utilizan varios dominios. Si los grupos globales de varios dominios necesitan los mismos permisos, debe conceder permisos a cada uno de los grupos globales de forma individual.

Utilice AGP para bosques con un dominio, a los que no agregará nunca otros dominios, y con muy pocos usuarios.

AGP tiene las siguientes ventajas:
*No se anidan los grupos y, por lo tanto, la solución de problemas puede simplificarse.
* Las cuentas pertenecen a un único ámbito de grupo.

AGP tiene las siguientes desventajas:
*Cada vez que un usuario se autentica con un recurso, el servidor debe comprobar la pertenencia al grupo global para determinar si el usuario es aún miembro del grupo.
* Se degrada el rendimiento debido a que el grupo global no se almacena en caché.

ADLP: En ADLP, se colocan cuentas de usuario (A) en grupos globales (DL) y se conceden permisos (P) a los grupos locales de dominio. Esta estrategia presenta una limitación: no permite conceder permisos para recursos que se encuentran fuera del dominio. Por lo tanto se reduce la flexibilidad a medida que crece la red.

Utilice ADLP para un bosque que reúna los siguientes requisitos:
* El bosque solo tiene un dominio y muy pocos usuarios.
* No se agregarán nunca otros dominios al bosque.
* No hay servidores miembro de Microsoft Windows NT 4.0 en el dominio.

ADLP tiene las siguientes ventajas:
*Las cuentas pertenecen sólo a un único ámbito de grupo.
*No se anidan los grupos y, por lo tanto, la solución de problemas puede
simplificarse.

ADLP tiene las siguientes desventajas:
*Se degrada el rendimiento debido a que cada grupo local de dominio tiene varios miembros que deben autenticarse.

AGDLP: En AGDLP, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos locales de dominio (DL) y, a coninuación, se conceden permisos (P) a los grupos locales de dominio. Esta estrategia ofrece flexibilidad para el crecimiento de la red y reduce el número de veces que se deben definir los permisos.

Utilice AGDLP para un bosque formado por uno o varios dominios, y en el que puede que deba agregar futuros dominos.

AGDLP tiene las siguientes ventajas:
*Los dominios son flexibles.
*Los propietarios de los recursos necesitan menos acceso a Active Directory
para proteger de forma flexible sus recursos.

AGDLP tiene la siguiente desventaja:
* Una estructura de administración por niveles es más compleja de configurar al principio, pero, con el tiempo, es más fácil de administrar.

AGUDLP: En AGUDLP, se colocan cuentas de usuario (A) en grupos globales (G), se colocan estos grupos globales en grupos universales (U), luego estos se ubican en grupos locales de dominio (DL) y, a continuación, se conceden permisos (P) a los grupos de dominio local.

Utilice AGUDLP para un bosque con más de un dominio, en el que los administradores necesiten una administración centralizada para varios grupos globales.

AGUDLP tiene las siguientes ventajas:
* Existe flexibilidad en todo el bosque.
* Permite una administración centralizada.

AGUDLP tiene la siguiente desventaja:
*La pertenencia a grupos universales se almacena en el catálogo global.

AGLP: Utilice AGLP para colocar cuentas de usuario en un grupo global y conceder permiso al grupo local. Esta estrategia presenta una limitación: no se pueden conceder permisos para recursos que se encuentran fuera del equipo local.

Por lo tanto, coloque las cuentas de usuarios en un grupo global, agregue el grupo global al grupo local y, a continuación, conceda permisos al grupo local. Puede utilizar, con esta estrategia, el mismo grupo global en varios equipos locales.

Utilice grupos locales de dominio siempre que sea posible. Utilice grupos
locales sólo cuando no se haya creado un grupo local de dominio para este fin.

Utilice la estrategia AGLP cuando el dominio tenga las siguientes
características:
* Se ha actualizado de Windows NT 4.0 a Windows Server 2003.
* Contiene un dominio.
* Tiene pocos usuarios.
* No se agregarán más dominios.
* Para mantener una estrategia de grupo de Windows NT 4.0.
* Para mantener una administración de usuarios centralizada y una administración de recursos descentralizada.

Es recomendable que utilice AGLP con Windows Server 2003, Active Directory y servidores miembros de Windows NT 4.0.

AGLP tiene las siguientes ventajas:
* Mantiene la estrategia de grupo de Windows NT 4.0. * Los propietarios de recursos poseen pertenencia a cada grupo que necesita accceso.

AGLP tiene las siguientes desventajas:
*Active Directory no controla el acceso.
* Debe crear grupos redundantes en todos los servidores miembros. * No permite la administración centralizada.