Diseño de directorio activo y sistema LDAP

Debido a la interconexión que proporciona el internet, las empresas dedicadas al trabajo mediante terminales informáticos se han visto en la necesidad de implementar redes LAN que interconecten los equipos informáticos y faciliten el acceso, con ésta red pueden compartir archivos, impresoras e incluso usar el directorio activo, para ayudar a configurar los sistemas operativos en cuanto a creación de usuarios, permisos de acceso y bandejas de correo.

Infraestructuras IT
Directorio LDAP | Directorio Activo
Diseño AD o LDAP

Pero, ¿qué es el directorio activo o AD?, pues el termino hace referencia a una herramienta que pertenece a Microsoft y proporciona servicios de directorio para su uso en entornos de Windows Server, generalmente dentro de una red LAN como la que se mencionó. Básicamente, el directorio consiste en una base de datos LDAP (Lightweight Directory Access Protocol), que contiene objetos en red distribuidos y organizados de forma jerárquica.

Este directorio activo presta servicio ubicado en uno o varios servidores, y es capaz de crear objetos como usuarios, equipos o grupos que administren las credenciales durante el inicio de sesión de cada equipo que se conecta a una red.

Además, la herramienta permite administrar las políticas de toda la red en la que se encuentre el servidor, tal como la gestión de permisos de acceso de usuarios, bandejas de correo personalizadas, o cualquier otro. Su uso va orientado a entornos de trabajo que cuentan con importantes recursos informáticos, que requieran administrar gran cantidad de equipos en cuanto a actualizaciones, instalación de programas y creación de archivos centralizados que permitan acceder a los recursos de manera remota desde las distintas estaciones de trabajo.

Por ende, el directorio activo es ideal si quieres centralizar los componentes típicos de una red LAN sin que tengas que ir de equipo en equipo, y evita que los usuarios puedan hacer lo que deseen, sin autorización, en una red.

Funcionamiento del directorio activo

Para que el directorio activo funcione utiliza principalmente cuatro protocolos de red: LDAP, DHCP, KERBEROS y DNS. Lo que tendrás con esta herramienta es una base de datos que en tiempo real almacena información de las credenciales de autenticación de los usuarios de una red, permitiendo que todos los equipos estén sincronizados bajo un elemento central.

Por ende, cuando un usuario en dicha base de datos se registra en un equipo, el servidor del directorio activo lo identifica como un objeto compuesto por atributos típicos que indican su presencia, como el <<Nombre>>, <<Apellido>>, <<Email>>, entre otros. También, este usuario pertenecerá a un determinado grupo que tiene privilegios como acceso a impresoras de la red, que se encuentran almacenadas con <<Nombre>>, <<Fabricante>> y otros atributos.

Así pues, cuando el usuario inicia un equipo se encontrará con una pantalla de bloqueo similar a las de cualquier otro sistema, donde deberá colocar su usuario y contraseña y, una vez dentro, no estará físicamente en el equipo sino en el servidor.

Entonces cuando el usuario ingresa, el cliente le solicita al servidor de directorio activo las credenciales, para verificarlas y asegurarse de que existan. Una vez lo hace, procede a enviar la información relativa al usuario del equipo cliente.

Después, el usuario logrará iniciar sesión de manera “normal” en el equipo, tendrá todos sus archivos personales almacenados en el disco duro, pero a su vez tendrá acceso a recursos de la red de acuerdo al grupo al que pertenezca.

Funciones especiales

La base de datos del directorio activo de Windows está contenida en controladores de dominio. Estos, además, ejecutan diversas funciones asociadas con el AD, como la autenticación y autorización de un usuario, y estos pueden ser cualquier servidor de Windows que cuenten con la función de controlador de dominio instalada. Estos almacenan una copia de la base de datos de AD, con toda su información acerca de los objetos dentro de un mismo dominio, almacena el esquema de todo el bosque y la información del mismo.

No obstante, dichos controladores de dominio pueden usar funciones especializadas para realizar operaciones específicas no disponibles en los controladores de dominio estándar. A pesar de que estos roles maestros sean asignados al primer controlador creado en cada bosque o dominio, el administrador puede reasignarlos manualmente. Entre los roles maestros encontramos cuatro:

  1. Maestro de esquema: solo existe uno por bosque, contiene la copia maestra del esquema usado por los demás controladores de dominio. Tener esta copia maestra asegura que todos los objetos se definan de la misma forma.
  2. Maestro de nombres de dominio: al igual que el anterior, solo existe uno en cada bosque, cumple la función de garantizar que todos los nombres de objetos sean únicos y si es necesario realizar referencias cruzadas de objetos almacenados en otros directorios.
  3. Maestro de infraestructura: hay uno solo por dominio, mantiene la lista de objetos eliminados y rastrea referencias de objetos de otros dominios.
  4. Maestro identificador relativo: igual que el de infraestructura, solo hay uno por dominio y se encarga de rastrear la asignación y creación de identificadores de seguridad únicos (SID) en todo el dominio.

 

Servicios de directorio activo

Adicional al directorio activo inicial que Microsoft presentó en Windows 2000, han añadido otros servicios asociados a Active Directory, te mencionamos tres de ellos:

  1. Active Directory Certificate Services: ofrecen formas de certificación digital y aceptan infraestructura de clave pública (PKI, por sus siglas en ingles). Este servicio almacena, valida, crea y revoca credenciales de clave pública utilizadas para el cifrado, en vez de generar claves de forma externa o local.
  2. Active Directory Federation Services: brinda servicio de autenticación y autorización de inicio de sesión único, para uso principalmente entre organizaciones, y está basado en la web. Así, el usuario puede iniciar sesión en su propia red y automáticamente tener autorización para acceder a la red del cliente.
  3. Active Directory Rights Managemeny Services: este servicio rompe con el concepto de autorización como simple modelo de permitir o denegar acceso, ya que administra los derechos comúnmente usados para evitar la impresión, copia o capturas de pantalla de un documento, limitando lo que puede hacer o no un usuario con los archivos o documentos concretos. Dichos derechos y restricciones los adjunta al documento y no al usuario.

 

Dominios de active directory

Hablar de directorio activo es hacerlo también de un dominio, pues están ligados entre ellos, ya que un dominio dentro de AD es el conjunto de ordenadores conectados a una red, que cuentan con un servidor que administra las cuentas de usuario y credenciales. No obstante, en una sola red no se tiene un solo dominio, si no varios, y no necesariamente están en contacto uno con otro.

Por tanto, AD es a su vez, un controlador de dominio, ya que tendrá varios de estos, a los que tendrá que gestionarles permisos e interacciones, pero esta estructura trabaja de forma delegada y replicada, muy eficientemente, haciendo que cada parte de la estructura organizativa de AD limite la autorización o replicación dentro de esa subparte. En base a esto te explicamos cada elemento asociado con la estructura y los dominios de los directorios activos:

  1. Objeto: este es el nombre genérico usado para hacer referencia a cualquier componente dentro del AD, y pueden dividirse en tres tipos:
    1. Usuarios: corresponde a las credenciales de acceso a una estación de trabajo determinada.
    2. Recursos: se refiere a los elementos a los que cada usuario tendrá acceso según los permisos que se le otorguen, pueden ser carpetas compartidas, impresoras o cualquier otro.
    3. Servicios: es el término para referirse a todas las funciones a las que cada usuario puede acceder dentro de su estación de trabajo, como el correo electrónico.
  2. Confianza: se refiere a la relación entre dos dominios, árboles o bosques, y se divide en dos tipos:
    1. Confianza transitiva: es la automática entre los dominios de AD, existe tanto hacia un lado como hacia el otro: es bidireccional.
    2. Confianza de acceso directo: explícita y definida entre dos dominios, lo que permite el acceso directo de uno a otro.

 

  1. Unidad de la organización: corresponde a un contenedor de objetos (impresoras, usuarios, grupos), organizados en subconjuntos y estableciendo jerarquías. Permiten dar un vistazo de la jerarquía del dominio y así, asignar con mayor facilidad los permisos según los objetos contenidos.
  2. Bosque: cuenta con todos los dominios existentes en una red. Cada uno cuenta con determinadas relaciones de confianza transitiva o intransitiva, construidas automáticamente, pero que pueden ser manejadas por el cliente a su gusto. Dentro de un bosque pueden existir distintos arboles de dominio, con diferentes nombres.

Siempre tendrá al menos un dominio raíz dentro, así que, al instalar el primer dominio, también se crea la raíz de un árbol y encima la raíz de un bosque.

  1. Árbol: también es llamada DNS común, se refiere a un conjunto de dominios, dependientes de una raíz común, organizados por jerarquía. Esta estructura permite identificar mejor los dominios uno de otro, observando fácilmente cuándo pertenecen o no a un mismo árbol. Además, gracias a un árbol, se puede dividir en partes un directorio para lograr una mejor gestión de los recursos. Asimismo, si un usuario pertenece a un dominio, éste será reconocido por todos los demás dominios que pertenezcan al dominio principal.

Como se ha mostrado, el diseño de directorio activo es una herramienta muy útil e importante en cuanto a la centralización de recursos en un entorno de trabajo basado en equipos informáticos. Por consecuente, va orientado principalmente a servidores y empresas, facilitándoles la gestión de sus equipos desde un servidor central, y con una estructura intuitiva que facilita el trabajo.

Si te interesa implementarlo en tu empresa, debes tener en cuenta que este es un sistema de dominio con licencia de pago perteneciente a Microsoft. No obstante, existen también aplicaciones gratuitas que ofrecen esta funcionalidad, tal como Open LDAP, Mandriva Directory Server o Samba, siendo éstas las opciones a las que recurren cada vez más las empresas porque así pueden optar por aplicar esta solución de AD sin necesidad de pagar las licencias de software que impone Microsoft.

Nuestro blog

Artículos de interés sobre la actualidad de la transformación digital.

¿Qué son los estudios de Matemática Aplicada?
Estudio de las matemáticas aplicadas
Hacer referencia a las matemáticas es sin lugar a dudas, provoca diferentes reacciones en las personas, ya que unos la ven como un método de solución a problemas y otros sencillamente la ven como un estilo de vida, donde las acciones a las diferentes problemáticas que se presentan son puntuales, concretas y que sig...
Tendencias de desarrollo de aplicaciones
tendencias
En los últimos años hemos visto el desarrollo de diferentes aplicaciones y su grado de éxito elevado después de haber lanzado una nueva app. Las tendencias de desarrollo de aplicaciones parecen seguir creciendo debido a las necesidades del mundo actual, que están cambiando cada día. Incorporar la tecnología 5G ...
¿Qué es la ciberseguridad gestionada?
| Ginzo Technologies |
Ciberseguridad
Cuando se trata de la ciberseguridad, la mayoría de las empresas o instituciones simplemente hacen análisis de sus redes y sitios web para comenzar a protegerlas. Pero hay otras partes más vulnerables de las redes que no son tan fáciles de controlar. Para implementar una estrategia eficaz e integrada, se necesita e...
¿Qué es el desarrollo de aplicaciones móviles hibridas?
| Ginzo Technologies |
Desarrollo app mobile
El desarrollo de aplicaciones móviles consiste en crear una combinación entre el desarrollo de las típicas aplicaciones móviles con las principales características de la programación nativa. Para entenderlo mejor, el desarrollo de aplicaciones móviles hibridas muy importante y está tomando mucha popularidad en la a...
Tendencias de desarrollo web
tendencias
Las tendencias de desarrollo web para 2022 se han vuelto más prevalentes en el mundo de la tecnología. La web es un elemento clave dentro de la actualidad y va a seguir ofreciendo una solución ágil y estable, además de una solución creativa para las necesidades puntuales durante el desarrollo. Esto se debe a las co...
¿Qué es la arquitectura de aplicaciones web?
| Ginzo Technologies |
arquitectura de una web
¿Qué es la arquitectura de aplicaciones web? una arquitectura de aplicaciones web es un marco desde el que puede diseñar, construir y mantener aplicaciones en la forma más eficaz posible. La arquitectura de aplicaciones web le permite al personal técnico planificar el desarrollo de software orientado a objetos (SOO...
¿Qué es una Startup?
| Ginzo Technologies |
Las mejores ideas
Una startup es una pequeña compañía que intenta desarrollar productos y/o servicios a través de la innovación, con el fin de crear valor económico. El modelo de negocio de una startup suele ser escalable y sostenido en el tiempo, por lo cual le permite desarrollar rápida y sostenidamente sus ventas y/o ganancias. T...
Herramientas de desarrollo de software 2022
| Ginzo Technologies |
Los mejores softwares
Las herramientas perspicaces para la construcción, diseño y funcionalidad de las páginas web se benefician tanto para los desarrolladores de sitios web como para los usuarios que visitan dichos sitios. Las herramientas son necesarias, ya que ayudan a incrementar el número de visitantes, así como a promoverse en los...
¿Qué es Python?
Diferencias java y Python
Python vs Java - ¿Cuáles son sus diferencias?: Python es un lenguaje de programación que se centra en la legibilidad del código y que se orienta en objetivos específicos. El propósito de este lenguaje es el de mantener una distribución limpia y modular, para así facilitar la adición/eliminación de funcionalidades o...
¿Qué es el Blockchain?
Blockchain
La Blockchain es un libro de contabilidad digital entre varias partes sobre una red distribuida cuyas transacciones son audibles para todas las partes involucradas. Es una tecnología con muchos beneficios, te explicamos particularmente cómo va a beneficiar la tecnología Blockchain en la sanidad. ¿Cómo la tecnolo...
¿Qué es el desarrollo de aplicaciones móviles hibridas?
El desarrollo de aplicaciones móviles consiste en crear una combinación entre el desarrollo de las típicas aplicaciones móvile...
Tendencias de desarrollo web
Las tendencias de desarrollo web para 2022 se han vuelto más prevalentes en el mundo de la tecnología. La web es un elemento c...
¿Qué es la arquitectura de aplicaciones web?
¿Qué es la arquitectura de aplicaciones web? una arquitectura de aplicaciones web es un marco desde el que puede diseñar, cons...
¿Qué es una Startup?
Una startup es una pequeña compañía que intenta desarrollar productos y/o servicios a través de la innovación, con el fin de c...
Herramientas de desarrollo de software 2022
Las herramientas perspicaces para la construcción, diseño y funcionalidad de las páginas web se benefician tanto para los desa...
¿Qué es Python?
Python vs Java - ¿Cuáles son sus diferencias?: Python es un lenguaje de programación que se centra en la legibilidad del códig...

Descubre nuestras áreas de desempeño

Durante estos últimos ocho años, hemos conseguido consolidar un equipo de profesionales multidisciplinar que avala con su formación, experiencia y dedicación cada una de las áreas de negocio.

DATA SCIENCE
Estudios avanzados sobre tu operatica y dato.

  • Análisis de datos.
  • Modelado de datos.
  • Correlación estadística.
  • Business Intelligence.
  • Perfilado de cliente.
  • Machine Learning.
ÁREA DE MATEMÁTICA APLICADA
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Investigación y Desarrollo.
  • Problemas complejos.
  • Optimización de procesos.
DESARROLLO DE SOFTWARE
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Desarrollo Backend.
  • Desarrollo Frontend.
  • Desarrollo Apps Mobile.
  • Agile.
  • Scrum.
BLOCKCHAIN
Especializados en Tokenización y Certificación de procesos

  • Proyectos en Blockchain de trazabilidad.
  • Proyectos en Blockchain de seguridad y tokenizacion.
  • Proyectos de diseño de ICO para empresas.
SISTEMAS E INFRAESTRUCTURAS IT
Auditoría, estudio y mejora, de sistemas e infraestructuras de la información.

  • Proyectos DevOps.
  • Kubernetes as a service - KaaS.
  • Gemelos digitales.
  • Diseño Cloud.
  • Diseño de directorio activo y sistema LDAP.
  • Soluciones de correo electrónico avanzadas.
CIBERSEGURIDAD
Equipo especializado en monitorización, análisis y actuación ante ataques de serguridad.

  • Pentesting.
  • Seguridad de redes IT.
  • Seguridad de redes OT.
  • Honeypots en IoT.
  • Seguridad gestionada.

Oficinas Centrales
Francisco de Quevedo Nº18, 1B y 1C
Logroño · La Rioja

Sede Bilbao
Done Bikendi 7, 1A
Bilbo · Bizkaia

Sede Colombia
Calle 145#17 54 ap 301
Bogotá · Colombia

@.info[@]ginzo.tech
Tf.+34 941 57 57 57 (Teléfono España)
Tf.+57 601 580 0291 (Teléfono Colombia)

Contacta con nosotros a través de nuestro formulario de contacto. Te rogamos revises nuestra politica de privacidad. No enviamos spam,  simplemente responderemos a tu solicitud de la manera más ágil posible.

¿Preparado para empezar?