Diseño de directorio activo y sistema LDAP

Debido a la interconexión que proporciona el internet, las empresas dedicadas al trabajo mediante terminales informáticos se han visto en la necesidad de implementar redes LAN que interconecten los equipos informáticos y faciliten el acceso, con ésta red pueden compartir archivos, impresoras e incluso usar el directorio activo, para ayudar a configurar los sistemas operativos en cuanto a creación de usuarios, permisos de acceso y bandejas de correo.

Infraestructuras IT
Directorio LDAP | Directorio Activo
Diseño AD o LDAP

Pero, ¿qué es el directorio activo o AD?, pues el termino hace referencia a una herramienta que pertenece a Microsoft y proporciona servicios de directorio para su uso en entornos de Windows Server, generalmente dentro de una red LAN como la que se mencionó. Básicamente, el directorio consiste en una base de datos LDAP (Lightweight Directory Access Protocol), que contiene objetos en red distribuidos y organizados de forma jerárquica.

Este directorio activo presta servicio ubicado en uno o varios servidores, y es capaz de crear objetos como usuarios, equipos o grupos que administren las credenciales durante el inicio de sesión de cada equipo que se conecta a una red.

Además, la herramienta permite administrar las políticas de toda la red en la que se encuentre el servidor, tal como la gestión de permisos de acceso de usuarios, bandejas de correo personalizadas, o cualquier otro. Su uso va orientado a entornos de trabajo que cuentan con importantes recursos informáticos, que requieran administrar gran cantidad de equipos en cuanto a actualizaciones, instalación de programas y creación de archivos centralizados que permitan acceder a los recursos de manera remota desde las distintas estaciones de trabajo.

Por ende, el directorio activo es ideal si quieres centralizar los componentes típicos de una red LAN sin que tengas que ir de equipo en equipo, y evita que los usuarios puedan hacer lo que deseen, sin autorización, en una red.

Funcionamiento del directorio activo

Para que el directorio activo funcione utiliza principalmente cuatro protocolos de red: LDAP, DHCP, KERBEROS y DNS. Lo que tendrás con esta herramienta es una base de datos que en tiempo real almacena información de las credenciales de autenticación de los usuarios de una red, permitiendo que todos los equipos estén sincronizados bajo un elemento central.

Por ende, cuando un usuario en dicha base de datos se registra en un equipo, el servidor del directorio activo lo identifica como un objeto compuesto por atributos típicos que indican su presencia, como el <<Nombre>>, <<Apellido>>, <<Email>>, entre otros. También, este usuario pertenecerá a un determinado grupo que tiene privilegios como acceso a impresoras de la red, que se encuentran almacenadas con <<Nombre>>, <<Fabricante>> y otros atributos.

Así pues, cuando el usuario inicia un equipo se encontrará con una pantalla de bloqueo similar a las de cualquier otro sistema, donde deberá colocar su usuario y contraseña y, una vez dentro, no estará físicamente en el equipo sino en el servidor.

Entonces cuando el usuario ingresa, el cliente le solicita al servidor de directorio activo las credenciales, para verificarlas y asegurarse de que existan. Una vez lo hace, procede a enviar la información relativa al usuario del equipo cliente.

Después, el usuario logrará iniciar sesión de manera “normal” en el equipo, tendrá todos sus archivos personales almacenados en el disco duro, pero a su vez tendrá acceso a recursos de la red de acuerdo al grupo al que pertenezca.

Funciones especiales

La base de datos del directorio activo de Windows está contenida en controladores de dominio. Estos, además, ejecutan diversas funciones asociadas con el AD, como la autenticación y autorización de un usuario, y estos pueden ser cualquier servidor de Windows que cuenten con la función de controlador de dominio instalada. Estos almacenan una copia de la base de datos de AD, con toda su información acerca de los objetos dentro de un mismo dominio, almacena el esquema de todo el bosque y la información del mismo.

No obstante, dichos controladores de dominio pueden usar funciones especializadas para realizar operaciones específicas no disponibles en los controladores de dominio estándar. A pesar de que estos roles maestros sean asignados al primer controlador creado en cada bosque o dominio, el administrador puede reasignarlos manualmente. Entre los roles maestros encontramos cuatro:

  1. Maestro de esquema: solo existe uno por bosque, contiene la copia maestra del esquema usado por los demás controladores de dominio. Tener esta copia maestra asegura que todos los objetos se definan de la misma forma.
  2. Maestro de nombres de dominio: al igual que el anterior, solo existe uno en cada bosque, cumple la función de garantizar que todos los nombres de objetos sean únicos y si es necesario realizar referencias cruzadas de objetos almacenados en otros directorios.
  3. Maestro de infraestructura: hay uno solo por dominio, mantiene la lista de objetos eliminados y rastrea referencias de objetos de otros dominios.
  4. Maestro identificador relativo: igual que el de infraestructura, solo hay uno por dominio y se encarga de rastrear la asignación y creación de identificadores de seguridad únicos (SID) en todo el dominio.

 

Servicios de directorio activo

Adicional al directorio activo inicial que Microsoft presentó en Windows 2000, han añadido otros servicios asociados a Active Directory, te mencionamos tres de ellos:

  1. Active Directory Certificate Services: ofrecen formas de certificación digital y aceptan infraestructura de clave pública (PKI, por sus siglas en ingles). Este servicio almacena, valida, crea y revoca credenciales de clave pública utilizadas para el cifrado, en vez de generar claves de forma externa o local.
  2. Active Directory Federation Services: brinda servicio de autenticación y autorización de inicio de sesión único, para uso principalmente entre organizaciones, y está basado en la web. Así, el usuario puede iniciar sesión en su propia red y automáticamente tener autorización para acceder a la red del cliente.
  3. Active Directory Rights Managemeny Services: este servicio rompe con el concepto de autorización como simple modelo de permitir o denegar acceso, ya que administra los derechos comúnmente usados para evitar la impresión, copia o capturas de pantalla de un documento, limitando lo que puede hacer o no un usuario con los archivos o documentos concretos. Dichos derechos y restricciones los adjunta al documento y no al usuario.

 

Dominios de active directory

Hablar de directorio activo es hacerlo también de un dominio, pues están ligados entre ellos, ya que un dominio dentro de AD es el conjunto de ordenadores conectados a una red, que cuentan con un servidor que administra las cuentas de usuario y credenciales. No obstante, en una sola red no se tiene un solo dominio, si no varios, y no necesariamente están en contacto uno con otro.

Por tanto, AD es a su vez, un controlador de dominio, ya que tendrá varios de estos, a los que tendrá que gestionarles permisos e interacciones, pero esta estructura trabaja de forma delegada y replicada, muy eficientemente, haciendo que cada parte de la estructura organizativa de AD limite la autorización o replicación dentro de esa subparte. En base a esto te explicamos cada elemento asociado con la estructura y los dominios de los directorios activos:

  1. Objeto: este es el nombre genérico usado para hacer referencia a cualquier componente dentro del AD, y pueden dividirse en tres tipos:
    1. Usuarios: corresponde a las credenciales de acceso a una estación de trabajo determinada.
    2. Recursos: se refiere a los elementos a los que cada usuario tendrá acceso según los permisos que se le otorguen, pueden ser carpetas compartidas, impresoras o cualquier otro.
    3. Servicios: es el término para referirse a todas las funciones a las que cada usuario puede acceder dentro de su estación de trabajo, como el correo electrónico.
  2. Confianza: se refiere a la relación entre dos dominios, árboles o bosques, y se divide en dos tipos:
    1. Confianza transitiva: es la automática entre los dominios de AD, existe tanto hacia un lado como hacia el otro: es bidireccional.
    2. Confianza de acceso directo: explícita y definida entre dos dominios, lo que permite el acceso directo de uno a otro.

 

  1. Unidad de la organización: corresponde a un contenedor de objetos (impresoras, usuarios, grupos), organizados en subconjuntos y estableciendo jerarquías. Permiten dar un vistazo de la jerarquía del dominio y así, asignar con mayor facilidad los permisos según los objetos contenidos.
  2. Bosque: cuenta con todos los dominios existentes en una red. Cada uno cuenta con determinadas relaciones de confianza transitiva o intransitiva, construidas automáticamente, pero que pueden ser manejadas por el cliente a su gusto. Dentro de un bosque pueden existir distintos arboles de dominio, con diferentes nombres.

Siempre tendrá al menos un dominio raíz dentro, así que, al instalar el primer dominio, también se crea la raíz de un árbol y encima la raíz de un bosque.

  1. Árbol: también es llamada DNS común, se refiere a un conjunto de dominios, dependientes de una raíz común, organizados por jerarquía. Esta estructura permite identificar mejor los dominios uno de otro, observando fácilmente cuándo pertenecen o no a un mismo árbol. Además, gracias a un árbol, se puede dividir en partes un directorio para lograr una mejor gestión de los recursos. Asimismo, si un usuario pertenece a un dominio, éste será reconocido por todos los demás dominios que pertenezcan al dominio principal.

Como se ha mostrado, el diseño de directorio activo es una herramienta muy útil e importante en cuanto a la centralización de recursos en un entorno de trabajo basado en equipos informáticos. Por consecuente, va orientado principalmente a servidores y empresas, facilitándoles la gestión de sus equipos desde un servidor central, y con una estructura intuitiva que facilita el trabajo.

Si te interesa implementarlo en tu empresa, debes tener en cuenta que este es un sistema de dominio con licencia de pago perteneciente a Microsoft. No obstante, existen también aplicaciones gratuitas que ofrecen esta funcionalidad, tal como Open LDAP, Mandriva Directory Server o Samba, siendo éstas las opciones a las que recurren cada vez más las empresas porque así pueden optar por aplicar esta solución de AD sin necesidad de pagar las licencias de software que impone Microsoft.

Nuestro blog

Artículos de interés sobre la actualidad de la transformación digital.

¿Cómo crear una Antena de Wifi Casera?
| Ginzo Technologies |
En la actualidad, el mundo necesita tener más comunicación, y esto es posible mediante la señal de internet. Cada día se hace más necesario contar con dicha conexión para poder realizar cientos de gestiones, trabajo, comunicarnos con familiares y amigos, o sencillamente entretenernos con la película que está de mod...
¿Por qué tu Tienda Minorista necesita una Aplicación Móvil?
| Ginzo Technologies |
aplicaciones para el comercio minorista
En la actualidad muchos factores han influido para que los negocios crezcan no sólo con tiendas físicas o mediante páginas web, sino utilizando las aplicaciones móviles. Estas han causado un gran impacto debido a la facilidad de poder mirar en tu teléfono en el momento que quieras el contenido que deseas, y lo mejo...
¿Cómo desarrollar un Producto Mínimo Viable basado en el IoT?
| Ginzo Technologies |
tecnología
Lanzar un producto al mercado implica una ardua tarea, en la que pueda definirse si es exitoso o por el contrario será un fracaso su permanencia en ese mundo. Por este motivo, se hace necesario aplicar la metodología fundamentada en el producto mínimo viable, el cual permitirá probar la funcionalidad y recepción...
LABORAL KUTXA BENEFICIO 65 MILLONES
| Ginzo Technologies |
¡Felicitamos a Laboral Kutxa por sus 65 millones de beneficios! En GINZO TECH tenemos muchas ganas de hablarte sobre este tema. Esta vez le haremos frente a la información relacionada con los beneficios que ha recibido esta entidad financiera y también le dará otra información sobre el asunto. Laboral Kutxa es...
Cambios en el desarrollo de aplicaciones móviles
| Ginzo Technologies |
Desarrollo aplicaciones móviles
El desarrollo de aplicaciones móviles se ha convertido en una industria próspera en la última década. Con el auge de los smartphones y tablets, cada vez más personas usan aplicaciones móviles para realizar sus actividades diarias. Desde compras en línea hasta comunicarse con amigos y familiares, las aplicaciones mó...
Aproveche la IA para Aumentar la Eficiencia de su Negocio
| Ginzo Technologies |
Inteligencia Artificial
En estos tiempos actuales en que todo tipo de actividad que se realice está íntimamente ligado con la tecnología, la inteligencia artificial (IA) cada día va cobrando más fuerza, y es que esta ha llegado para hacer más fácil del trabajo de cualquier persona que lo amerite. En este sentido, la inteligencia artifi...
¿Qué es un NFT?
| Ginzo Technologies |
NFT
En la era digital, la tecnología blockchain ha revolucionado la forma en que se maneja la información y se realizan transacciones en línea. Una de las innovaciones más recientes que ha surgido gracias a la blockchain son los NFTs o Tokens No Fungibles. Un NFT es un token digital que utiliza la tecnología blockch...
Beneficios de las Aplicaciones Móviles en Pequeñas Empresas
| Ginzo Technologies |
empresas pequeñas con apps móviles
Ciertamente el uso de las aplicaciones móviles permite obtener un grado de interacción importante con los usuarios de la red. Sin embargo, se ha visto como éstas han permitido el crecimiento vertiginoso de las empresas que optan por manejar las apps. Ahora bien, en torno a esto se genera la interrogante ¿Cuál es...
¿Cuáles son los mejores Marcos de desarrollo de Android para crear Apps móviles?
| Ginzo Technologies |
marco de desarrollo de apps
Es cierto que la industria web ha ido en aumento, y más aún en esta era de la industria de aplicaciones móviles que crece cada día. Este incremento tan vertiginoso se debe a la capacidad que tienen estos sitios de atraer clientes y mantenerlos satisfechos. En este sentido, el éxito del sitio web dependerá de la est...
Inteligencia Artificial y Machine Learning en el sector Bancario y Financiero
| Ginzo Technologies |
Inteligencia artificial
El internet cada día se ha vuelto una herramienta muy importante en todas las gestiones que se precisan desarrollar, y actualmente la inteligencia artificial va cobrando más espacios, ya que muchas tecnologías la aplican para la ejecución de acciones y resolución de problemas. El sector bancario y financiero, se...
LABORAL KUTXA BENEFICIO 65 MILLONES
¡Felicitamos a Laboral Kutxa por sus 65 millones de beneficios! En GINZO TECH tenemos muchas ganas de hablarte sobre este ...
Cambios en el desarrollo de aplicaciones móviles
El desarrollo de aplicaciones móviles se ha convertido en una industria próspera en la última década. Con el auge de los smart...
Aproveche la IA para Aumentar la Eficiencia de su Negocio
En estos tiempos actuales en que todo tipo de actividad que se realice está íntimamente ligado con la tecnología, la inteligen...
¿Qué es un NFT?
En la era digital, la tecnología blockchain ha revolucionado la forma en que se maneja la información y se realizan transaccio...
Beneficios de las Aplicaciones Móviles en Pequeñas Empresas
Ciertamente el uso de las aplicaciones móviles permite obtener un grado de interacción importante con los usuarios de la red. ...
¿Cuáles son los mejores Marcos de desarrollo de Android para crear Apps móviles?
Es cierto que la industria web ha ido en aumento, y más aún en esta era de la industria de aplicaciones móviles que crece cada...

Descubre nuestras áreas de desempeño

Durante estos últimos ocho años, hemos conseguido consolidar un equipo de profesionales multidisciplinar que avala con su formación, experiencia y dedicación cada una de las áreas de negocio.

DATA SCIENCE
Estudios avanzados sobre tu operatica y dato.

  • Análisis de datos.
  • Modelado de datos.
  • Correlación estadística.
  • Business Intelligence.
  • Perfilado de cliente.
  • Machine Learning.
ÁREA DE MATEMÁTICA APLICADA
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Investigación y Desarrollo.
  • Problemas complejos.
  • Optimización de procesos.
DESARROLLO DE SOFTWARE
Ciencia en tu empresa, servitización de tu ciclo empresarial.

  • Desarrollo Backend.
  • Desarrollo Frontend.
  • Desarrollo Apps Mobile.
  • Agile.
  • Scrum.
BLOCKCHAIN
Especializados en Tokenización y Certificación de procesos

  • Proyectos en Blockchain de trazabilidad.
  • Proyectos en Blockchain de seguridad y tokenizacion.
  • Proyectos de diseño de ICO para empresas.
SISTEMAS E INFRAESTRUCTURAS IT
Auditoría, estudio y mejora, de sistemas e infraestructuras de la información.

  • Proyectos DevOps.
  • Kubernetes as a service - KaaS.
  • Gemelos digitales.
  • Diseño Cloud.
  • Diseño de directorio activo y sistema LDAP.
  • Soluciones de correo electrónico avanzadas.
CIBERSEGURIDAD
Equipo especializado en monitorización, análisis y actuación ante ataques de serguridad.

  • Pentesting.
  • Seguridad de redes IT.
  • Seguridad de redes OT.
  • Honeypots en IoT.
  • Seguridad gestionada.

Oficinas Centrales
Francisco de Quevedo Nº18, 1B y 1C
Logroño · La Rioja

Sede Bilbao
Done Bikendi 7, 1A
Bilbo · Bizkaia

Sede Colombia
Calle 145#17 54 ap 301
Bogotá · Colombia

@.info[@]ginzo.tech
Tf.+34 941 57 57 57 (Teléfono España)
Tf.+57 601 580 0291 (Teléfono Colombia)

Contacta con nosotros a través de nuestro formulario de contacto. Te rogamos revises nuestra politica de privacidad. No enviamos spam,  simplemente responderemos a tu solicitud de la manera más ágil posible.

¿Preparado para empezar?