Sistemas operativos en red.pdf

Sistemas Operativos e n R e d

Sistemas Operativos en Red

Rosa Romero Rafael Pérez Gema Escrivá

Sistemas Operativos en Red

Rosa Romero Rafael Pérez Gema Escrivá

ÍNDICE

Unidad 1 - Introducción a los sistemas operativos en red 1 >> Introducción a los sistemas operativos en red

8 9

2 >> Características de los sistemas operativos en red

12

2.1 > Funciones de un sistema operativo de servidor

12

2.2 > Características diferenciadoras de los sistemas operativos de servidor

12

3 >> Factores a tener en cuenta para elegir un sistema operativ ivo o en red

14

4 >> La figura figura del administrador

16

5 >> Sistemas operativos en red del mercado

17

5.1 > Familia Windows Server

17

5.2 > Distribuciones Linux para servidores

19

5.3 > Otros sistemas operativos de servidor

20

Unidad 2 - El proceso de instalación de Windows 1 >> Tareas de preinstalación

26 27

1.1 > Elección de la versión del sistema operativo que se va a instalar

27

1.2 > Estudio de compatibilidad entre el hardware y el software

28

1.3 > Requisitos de disco duro y particionado

29

1.4 > Elección del sistema de archivos

30

1.5 > Elección de los componentes y utilidades

30

2 >> Instalación del sistema operativo

31

2.1 > Tipos de instalaciones

31

2.2 > Configuración inicial

32

2.3 > Configuración de la información del equipo

33

3 >> Configuración de la conectividad

36

3.1 > Configuración del cortafuegos de Windows

36

3.2 > Configuración de los parámetros de red

37

4 >> Actualización del servidor

39

4.1 > Actualizaciones automáticas de Windows

39

4.2 > Informe de errores de Windows

40

4.3 > Programa para la mejora de la experiencia del usuario (CEIP)

40

5 >> Resolución de problemas durante la instalación

41

6 >> Documentación de la instalación e incidencias

42

ÍNDICE

Unidad 3 - Administración de servicios en Windows 1 >> Administrador del servidor

1.1 > Instalación de roles, servicios de rol y características 2 >> Gestión de servicios

48 49

49 52

2.1 > Propiedades de los servicios

52

2.2 > El servidor de actualizaciones de Windows (WSUS)

54

3 >> Gestión remota de servidores

57

3.1 > Administración en modo texto

57

3.2 > Administración en modo gráfico

57

3.3 > Administración orientada o no a la sesión

58

3.4 > El escritorio remoto

59

3.5 > Administración remota de servidores Windows

61

4 >> Procesos

62

5 >> Programación de tareas

64

Unidad 4 - Administración de usuarios y grupos locales en Windows 1 >> Configuración y gestión de cuentas de usuario y grupos locales

70 71

1.1 > Usuarios y grupos locales predeterminados

72

1.2 > Buenas costumbres en la gestión de usuarios y grupos locales

73

1.3 > Configuración del entorno personal de los usuarios

74

2 >> Gestión de permisos

77

2.1 > Listas de control de acceso

78

2.2 > Permisos sobre archivos

78

2.3 > Permisos sobre carpetas

78

2.4 > Permisos especiales

79

3 >> Gestión de directivas de grupo local

82

3.1 > Directivas de grupo local

82

3.2 > Modificación de las directivas de grupo local

84

Unidad 5 - Gestión de recursos compartidos en Windows 1 >> Recursos compartidos

92 93

1.1 > Creación de carpetas y unidades compartidas

94

1.2 > Conexión a un recurso compartido de red

95

1.3 > Recursos ocultos

95

ÍNDICE

2 >> Permisos de los recursos compartidos

96

3 >> Cuotas de disco

97

3.1 > Administración de cuotas de disco 4 >> Compartir impresoras en red

97 99

4.1 > Servidor central de impresión

100

4.2 > Instalación del Servicio de impresión

101

4.3 > Consola de administración de impresión

103

4.4 > Migración de impresoras

104

4.5 > Gestión de las notificaciones de impresión

106

4.6 > Gestión de la cola de impresión

106

Unidad 6 - Administración de dominios de Active Directory

112

1 >> Servicios de directorio

113

2 >> Funciones de Active Directory

114

2.1 > Sistema de nombres de Active Directory 3 >> Elementos de Active Directory

115 116

3.1 > Dominio

116

3.2 > Árbol

117

3.3 > Bosque

118

4 >> Componentes y funciones de los dominios

119

4.1 > Estructura de componentes de Active Directory

119

4.2 > Relaciones de confianza

120

4.3 > Niveles funcionales

122

5 >> >> Ins Insttal alac ació ión n de de Act Activ ivee Dir Direc ecttor ory y y co con nfi figu gurrac ació ión n bás básic ica a de de un un dom domin inio io

Unidad 7 - Administración de objetos de Active Directory 1 >> Unidades organizativas

1.1 > Creación de unidades organizativas

123 12 3

130 131

132

2 >> Administración de usuarios en Active Directory

133

3 >> Administración de grupos en Active Directory

135

3.1 > Grupos de dominio en Active Directory

135

3.2 > Estrategias para la creación de grupos

136

4 >> Administración de equipos e impresoras en Active Directory

138

4.1 > Agregar un nuevo equipo a Active Directory

138

4.2 > Agregar impresoras a Active Directory

139

ÍNDICE

5 >> Delegación de la administración

140

6 >> Tipos de perfiles de usuario

142

6.1 > Perfiles móviles

Unidad 8 - Monitorización de sistemas Windows

142

148

1 >> Arranque de un servidor Windows

149

1.1 > El proceso de arranque

149

1.2 > Fallos producidos en el arranque. Soluciones

150

2 >> El proceso de apagado

152

3 >> Monitorización del rendimiento

154

3.1 > Administrador de tareas

154

3.2 > Registro de eventos

155

3.3 > Monitor de rendimiento

156

3.4 > Monitor de recursos

157

3.5 > Monitor de confiabilidad

157

4 >> Gestión de logs, alertas y seguridad

158

4.1 > Gestión de logs

158

4.2 > Programación de alertas

158

4.3 > Monitorización de la seguridad

159

Unidad 9 - El proceso de instalación en Linux 1 >> Tareas de preinstalación

164 165

1.1 > Elección de la versión de sistema operativo a instalar

165

1.2 > Estudio de la compatibilidad del hardware y el software

166

1.3 > Requisitos del disco duro y particionado

167

1.4 > Elección del sistema de archivos

167

2 >> Tipos de instalaciones

168

2.1 > Instalación atendida

168

2.2 > Instalación desatendida. Automatización de instalaciones

172

3 >> Resolución de problemas durante la instalación

173

4 >> Documentación de la instalación y las incidencias

174

5 >> Proceso de arranque y servicios

175

5.1 > Niveles de ejecución

175

5.2 > Los servicios

177

5.3 > Gestión de los servicios en modo gráfico

179

ÍNDICE

Unidad 10 - Tareas de posinstalación en Linux

184

1 >> Configuración inicial del entorno del servidor

185

2 >> Configuración de la red

186

2.1 > Configuración de la red desde el entorno gráfico

186

2.2 > Configuración de la red desde la línea de comandos

187

3 >> Gestión de repositorios

190

3.1 > Gestión de repositorios desde el entorno gráfico

190

3.2 > Gestión de repositorios desde la línea de comandos

191

4 >> Instalación de paquetes. Actualizaciones

192

4.1 > Instalación de paquetes

192

4.2 > Instalación del paquete Webmin

192

4.3 > Actualizaciones

194

5 >> Comprobación de la conectividad entre clientes y servidores

Unidad 11 - Administración de usuarios y permisos en Linux 1 >> Gestión de usuarios

195

200 201

1.1 > Archivos de configuración de usuarios

201

1.2 > Gestión de usuarios con la suite Shadow

203

2 >> Gestión de grupos

204

2.1 > Archivo de configuración de grupos

204

2.2 > Gestión de grupos con la suite Shadow

204

3 >> Gestión de permisos de archivos y directorios

205

3.1 > Permisos sobre los archivos

205

3.2 > Permisos sobre los directorios

206

3.3 > Modificación de los permisos de los usuarios

206

3.4 > Cambio de propietario y de grupo de un archivo

207

3.5 > Máscara

208

3.6 > Listas de control de acceso

209

4 >> Creación de plantillas de usuarios

211

5 >> Concesión de privilegios administrativos

213

5.1 > Gestión de alias

Unidad 12 - Gestión de recursos. Seguridad básica del servidor 1 >> Conexión de equipos al servidor

213

220 221

1.1 > Instalación de VNC Server en el servidor

221

1.2 > Instalación de VNC Server en el cliente

222

ÍNDICE

2 >> Montaje de dispositivos

2.1 > El archivo /etc/fstab 3 >> Cuotas de disco

223

225 226

3.1 > Creación de un sistema de cuotas

227

3.2 > Otras acciones con cuotas

228

4 >> Gestión de impresoras compartidas (CUPS)

229

5 >> Gestión de archivos compartidos (NFS)

232

5.1 > El archivo /etc/exports

232

Unidad 13 - Administración de servicios y procesos. Monitorización 1 >> Administración de servicios y procesos

238 239

1.1 > Administración de procesos

239

1.2 > Administración de servicios

240

2 >> Programación de tareas

241

3 >> Monitorización del sistema

244

3.1 > Monitorización con la línea de comandos

244

3.2 > Herramientas gráficas de monitorización

247

4 >> Análisis de los archivos de log

4.1 > Detección de problemas de rendimiento

Unidad 14 - Redes mixtas. Integración de sistemas

250

253

258

1 >> Sistemas heterogéneos

259

2 >> La herramienta Samba

262

2.1 > Instalación de Samba

262

2.2 > Configuración de Samba en la línea de comandos

263

2.3 > Configuración de Samba en modo gráfico

265

3 >> Compartir recursos con Samba

268

3.1 > Creación de usuarios Samba

268

3.2 > Compartir archivos Windows desde Linux

268

3.3 > Compartir archivos Linux desde Windows

271

3.4 > Compartir impresoras con Windows desde Linux

272

4 >> Seguridad en los recursos compartidos en red

273

5 >> Administración remota en entornos mixtos

274

u

n

i

d

a

d

1

Introducción a los sistemas operativos en red SUMARIO 

Introducción a los sistemas operativos en red



Características generales de los sistemas operativos en red



Factores a tener en cuenta para la elección de un sistema operativo en red



La figura del administrador



Sistemas operativos en red del mercado

OBJETIVOS ·· Saber qué es un sistema operativo en red. ·· Aprender las características de los sistemas operativos en red.

·· Conocer los puntos esenciales que se deben considerar para elegir un sistema operativo en red.

·· Distinguir las principales tareas que realiza un administrador de sistemas.

·· Conocer las diferentes opciones de sistemas operativos en red que ofrece el mercado.

9

Unidad 1 - Introducción a los sistemas operativos en red

1 >> Introducción a los sistemas operativos en red Un sistema operativo es un conjunto de aplicaciones que permiten utilizar el ordenador. Este curso se centra en el estudio de los sistemas operativos en red. Dado que hoy en día todo sistema operativo permite trabajar en red, a lo largo del libro vamos a considerar los sistemas operativos en red como aquellos que ofrecen servicios en la red, es decir, los sistemas operativos de servidor. Las principales características de este tipo de sistemas operativos son las siguientes:

– Su objetivo es compartir recursos de la propia máquina, así como acceder a aquellos que comparten otras máquinas. – Soportan a varios usuarios a la vez, ya sea por medio de sesiones remotas en el servidor o por ofrecer el servidor servicios de red. – Permiten la gestión centralizada de los recursos existentes dentro de una red, como directorios, impresoras, conexiones a Internet, etc. – Permiten la gestión centralizada de los usuarios, haciendo posible que estos trabajen con su propio entorno de trabajo en cualquier equipo de la red sin necesidad de tener que darles de alta en cada uno de los ordenadores. – En la mayoría de los casos, permiten la gestión centralizada de los permisos de los usuarios y sus privilegios dentro de la red. – Disponen de herramientas para detectar posibles deficiencias en los ser vicios que ofrecen en la red. Los sistemas operativos que más importancia están adquiriendo son los de los dispositivos móviles y los Internet OS o sistemas operativos en la nube. Los sistemas operativos de dispositivos móviles son los que aparecen en los smartphones, tablets PC, los televisores o los lectores de e-books. Se distinguen por estos aspectos:

– La utilización del dispositivo se realiza a tra vés de una pantalla táctil. – La gran mayoría de las aplicaciones que lle van instaladas utilizan Internet de forma intensa. Estas aplicaciones suelen descargarse desde servicios de tiendas en línea como Android Market, Apple Store, Google Play, etc. – Su uso está orientado a dispositivos con hard ware poco potente, de dimensiones reducidas y donde el ahorro de energía es importante. – Permiten la conectividad por telefonía móvil, redes wifi y bluetooth. Los sistemas operativos de este tipo más importantes del mercado son Android (basado en Linux), iOS (de Apple) y Windows Phone.

1.1. Smartphones.

Recuerda En un sistema en red encontramos ordenadores que funcionan como servidores y otros que funcionan como clientes. Los servidores llevan instalado un sistema operativo en red, comparten recursos y ofrecen servicios al resto de los ordenadores de la red.

Observación Casi todos los dispositivos de comunicaciones, como teléfonos inteligentes (smartphones), tabletas (tablets), etc., tienen un pequeño sistema operativo que les permite realizar las conexiones en red. Este se encarga de que sea posible utilizar el ordenador.

10

Los sistemas operativos web (Internet OS) se ejecutan en un navegador de Internet. Proporcionan acceso a diferentes aplicaciones web y permiten ejecutar tareas con pocos recursos hard ware. Además, posibilitan la movilidad del escritorio virtual del usuario a cualquier lugar, ya que este perfil se almacena en Internet. Hoy en día el Internet OS más popular es Chrome OS. Los sistemas operativos en red engloban dos tipos de sistemas operativos:

1.2. Captura de Chrome OS.

– Sistemas operativos cliente: permiten el acceso a distintos servicios ofrecidos en la red e Internet. Son sistemas operativos cliente todos los que hemos nombrado anteriormente. – Sistemas operativos de servidor: son aquellos que llevan instalados los servidores de una red local o de Internet (web, correo, DNS, etc.). La tendencia actual en sistemas operativos de servidor es que lleven integrada toda la tecnología necesaria para poder ofrecer servicios en la nube. Por otro lado, los sistemas operativos cliente suelen incluir en un so lo sistema operativo las características de los sistemas operativos de dispositivos móviles, clientes de portátiles y Internet OS. Estos se denominan sistemas operativos anfibios y su objetivo es que sirvan tanto para sistemas monousuario como para dispositivos móviles. Tal es el caso de Microsoft Windows 8 e iOS. A lo largo de este curso vamos a estudiar las principales tareas de explotación y administración que lleva a cabo un sistema operativo que realiza tareas de servidor. Para ello, nos centraremos, principalmente, en el uso de los dos sistemas operativos de servidor más difundidos en el mercado: los sistemas Windows y los que están basados en Unix, como puede ser Linux. Los sistemas operativos de servidor se clasifican según su conectividad en tres tipos:

– Sistemas centralizados: están formados por un servidor central que sirve las peticiones que recibe a través de las estaciones conectadas a él. En algunos casos estos sistemas generan la imagen de la pantalla del terminal. – Sistemas operativos en red (NOS o Network Operating Systems): los usuarios perciben la multiplicidad de máquinas que se encuentran en la red y acceden a los recursos conectándose a la máquina remota apropiada. Esto significa que para pedir un servicio o un recurso, el administrador debe configurar las máquinas cliente o el servidor indicando dónde se proporciona este servicio. Su objetivo es compartir recursos e información y ofrecer servicios en la red. Dado que este tipo de sistemas operativos son los que estudiaremos a lo largo del curso, en el siguiente epígrafe se describen sus características con más detalle.

11


– Sistemas operativos distribuidos (DOS o Distributed Operating Systems): distribuyen las tareas entre los distintos recursos (equipos) de forma transparente al usuario. Su objetivo es que una red completa de máquinas parezca un único superordenador. El usuario accede a los recursos remotos tal como accede a los recursos locales, es decir, sin saber dónde están. El sistema pretende trabajar con una colección de sistemas autónomos capaces de comunicarse y cooperar mediante interconexiones hardware y software. Estos sistemas comparten de modo transparente almacenamiento de ficheros y procesamiento. Además siguen trabajando en caso de caída de alguno de sus componentes (son tolerantes a fallos). Sin embargo, el gran inconveniente que presentan es su gran complejidad. Estos sistemas operativos han evolucionado hasta convertirse en los sistemas operativos de la computación grid y de los clústeres de computadores.

Amoeba El primer proyecto de sistema operativo distribuido fue Amoeba. El popular lenguaje de programación Python fue desarrollado para esta plataforma.

La mayoría de los proyectos de sistemas operativos distribuidos están cerrados, por lo que no evolucionan. Sin embargo sus ideas permanecen y los sistemas operativos en red cada vez incorporan más conceptos de los sistemas operativos distribuidos. Dos ejemplos de esta integración son:

– Las herramientas para crear clústeres o grupos de servidores que trabajan repartiéndose la carga de trabajo. – El sistema de archivos distribuido de los servidores de Windows, que permite el almacenamiento en red sin que los usuarios conozcan en qué servidor se produce, y realiza una réplica de los archivos en varios servidores para proteger la información en caso de que se produzca un fallo.

Casos prácticos

1

Sistemas operativos �� Tu empresa dispone de 100 equipos, donde trabajan los usuarios, y de 20 tablets que utilizan los comerciales cuando viajan. Es necesario dar servicio de Internet a los usuarios e instalar en otro servidor el correo corporativo y los servicios de intranet que llevarán todas las aplicaciones empresariales. ¿Qué tipo de sistema operativo requiere cada uno de los equipos?

Solución �� Los sistemas operativos que requiere cada uno de los equipos de tu empresa son los siguientes:

– Los 100 equipos necesitan un sistema operativo monopuesto. – Las tablets necesitan un sistema operativo de smartphone. Además, en los dos servidores habrá de instalarse un sistema operativo de servidor.

Actividades propuestas 1�� Habla en clase las ventajas e inconvenientes de un Internet OS respecto a un sistema operativo monousuario. 2�� Consulta en Internet cuál es el porcentaje de smartphones respecto al total de los teléfonos móviles. 3�� Indica cuáles son los principales sistemas operativos de smartphones y cuál es su cuota de mercado.

12

2 >> Características de los sistemas operativos en red En una red de ordenadores ciertos ordenadores realizan funciones de ser vidor y otros funcionan como clientes que acceden a los recursos y servicios ofrecidos por los servidores. Si bien, todos ellos llevan instalado un sistema operativo en red, el cual les permite trabajar en red.

2.1 > Funciones de un sistema operativo de servidor Recuerda – Los directorios son un tipo especial de archivo que sirve para organizar el conjunto de archivos en forma de árbol invertido. En Windows se denominan carpetas. – El objetivo de la gestión de E/S es llegar a utilizar los dispositivos del sistema de una forma muy similar a pesar de sus grandes diferencias. – El protocolo de red más utilizado es TCP/IP.

Dentro de una red, el sistema operativo de un equipo servidor debe realizar las siguientes funciones:

– Gestión de procesos: en muchas ocasiones son cientos de usuarios los que están conectados a los servidores, lo que les obliga a gestionar simultáneamente muchos más procesos que un sistema operativo monousuario. Por eso, los servidores suelen disponer de varios procesadores o al menos de varios núcleos para usar multiprocesamiento. – Gestión de la memoria: esta función está asociada a la gestión de procesos, ya que para ejecutar un proceso es necesario asignarle memoria y cargarlo en ella. Los servidores disponen generalmente de mucha más memoria que los ordenadores corrientes, la cual debe ser correctamente direccionada y gestionada. – Gestión de archivos: consiste en la organización del sistema de archivos mediante directorios, la asignación de espacio en disco y la gestión del espacio libre y el ocupado del disco. Incluye además la creación, eliminación y manipulación de archivos y directorios. – Gestión de dispositivos de E/S: dado que cada dispositivo es diferente, es necesario utilizar controladores de dispositivos (drivers), que son componentes del sistema operativo que traducen las órdenes de este sistema para que los dispositivos hardware las entiendan y las realicen. – Gestión de la red: para llevar a cabo esta función se utilizan controladores de tarjeta de red, protocolos de comunicación, aplicaciones relacionadas, etc. – Protección y seguridad: mediante esta función se permite o deniega el acceso de un proceso de un usuario a un recurso (archivo, dispositivo de E/S, etc.), ya que muchos de los servidores disponen de información sensible a la que solo deben acceder algunos usuarios. Es necesario distinguir entre protección y seguridad: la protección hace posible que el sistema no se corrompa ante posibles fallos y que, a pesar de ellos, siga funcionando, mientras que la seguridad determina que solo accedan a la información y a la utilización de servicios aquellos usuarios a los que les esté permitido.

2.2 > Características diferenciadoras de los sistemas operativos de servidor El hardware evoluciona muy rápidamente y los sistemas operativos deben estar en consonancia con estos avances. Por ello muchas de las características de los servidores actuales y, por tanto, de los sistemas operativos en red estarán disponibles en pocos años en los sistemas operativos de los equipos clientes.

13


Las características más relevantes que poseen los sistemas operativos para servidores son las siguientes:

– Presentan multiprocesamiento simétrico: es el reparto de las tareas equitativamente entre todos los procesadores o todos los núcleos. – Siguen el modelo basado en cliente-servidor: en este modelo existen uno o más clientes que solicitan un servicio y un servidor que lo proporciona. Un servicio es un proceso o conjunto de procesos que el ordenador ejecuta para ofrecer una funcionalidad a todo aquel que se la pida y esté autorizado. Además, es habitual que un servidor actúe como tal para ciertos servicios y como cliente para otros. – Permiten utilizar el hardware de los servidores: los servidores disponen de un hardware avanzado, como HBA (Host Bus Adapters), para conectarse a una red de almacenamiento SAN o tener la posibilidad de utilizar más memoria RAM. – Poseen mecanismos para la tolerancia a fallos del hardware: estos permiten la utilización de elementos hardware redundantes, como fuentes de alimentación redundantes, memoria redundante, etc., o si stemas de protección de la memoria. – Poseen mecanismos de protección de la información almacenada: garantizan la estabilidad de los datos en caso de fallo en del sistema. – Poseen herramientas de gestión de usuarios y grupos: permiten crear usuarios y clasificarlos en grupos para utilizarlos con mayor facilidad. – Presentan sistemas avanzados de seguridad de archivos: al ser sistemas operativos multiusuario, es importante definir una política de acceso a la información. – Permiten la compartición de recursos: consiste en compartir recursos como impresoras y unidades de almacenamiento de archivos. – Poseen herramientas avanzadas de monitorización: debido a que el servidor gestiona muchos usuarios y a que una merma en el rendimiento de su servicio podría afectarlos, las herramientas de monitorización deben ser potentes y, a la vez, flexibles. El si stema operativo también debe disponer de herramientas capaces de determinar la causa de los fallos del sistema que se produzcan. – Presentan una administración centralizada de los recursos de red: la administración de todos los equipos que componen la red debe poderse realizar desde el servidor. – Permiten el bloqueo de archivos y registros: cuando varios usuarios necesitan acceder al mismo archivo, el mecanismo de bloqueo impide que se sobrescriba el trabajo de cada uno. – Poseen mecanismos de almacenamiento de la información distri buidos y redundantes: la redundancia en los sistemas de almacenamiento es fundamental para evitar pérdidas no deseadas de información. La distribución, por su parte, evita la sobrecarga en la lectura y la escritura de los discos. – Tienen capacidad para la instalación de muchos servicios: su principal función es la de atender a los clientes que solicitan servicios a través de la red. – Poseen alto rendimiento: se aprovechan en profundidad los recursos de la máquina para atender a los clientes.

Atención No se debe confundir multiprogramación con multiprocesamiento: – La multiprogramación permite la ejecución de varios procesos de forma aparentemente simultánea. La simultaneidad es aparente porque solo se dispone de un procesador, que debe repartirse entre todos los procesos. – El multiprocesamiento consiste en una concurrencia real, ya que se dispone de varios procesadores.

14

3 >> Factores a tener en cuenta para elegir un sistema operativo en red Son varios los criterios que debemos considerar a la hora de elegir el sistema operativo del servidor:

Vocabulario Clúster: conjunto de servidores que se comportan como si fueran un solo servidor.

Clúster de alta disponibilidad: permite que, en caso de caída de un nodo, el resto asuma la funcionalidad para que el sistema siga operativo.

Granja de servidores: grupo de servidores que trabajan de manera conjunta para repartirse el trabajo y seguir ofreciendo el servicio en caso de que uno de ellos falle.

Arquitecturas hardware Este término se refiere a los diferentes modelos de diseño de la estructura de los procesadores. Se dice que los procesadores de un determinado tipo siguen una misma arquitectura. Las más conocidas son las arquitecturas de Intel, como x86 (de 32 bits), x86-64 e IA-64, pero también existen las SPARC, UltraSparc de Sun y muchas otras.

Los niveles de seguridad Los niveles de seguridad de los sistemas operativos más utilizados están definidos en el Libro Naranja del Departamento de Defensa de los Estados Unidos. Estos niveles son, del más vulnerable al más seguro: D, C1, C2, B1, B2, B3 y A1. Los principales sistemas operativos comerciales poseen un nivel de seguridad C2.

– Si es un sistema libre o propietario: este es un aspecto muy importante a la hora de elegir un sistema operativo en red. Cada uno de ell os tiene ventajas e inconvenientes que merecen ser estudiadas. – Su licencia: en función de los clientes que vayan a estar conectados y del uso que se le vaya a dar en la red, se puede optar por una versión u otra de los distintos sistemas operativos. – Los servicios y funcionalidades que deba ofrecer el servidor: servidor web, DNS, servidor de correo, directorio activo, servidor de aplicaciones, servidor de impresión, etc. – Su escalabilidad: posibilidades de ampliación de los recursos y hardware del servidor. Dentro de estas posibilidades de escalabilidad se incluye que el sistema operativo disponga de herramientas que permitan la creación de un servicio en clúster o que se organice como una granja de servidores. – El tiempo de vida de las versiones: un sistema operativo que constantemente está introduciendo novedades suele ser poco deseable, ya que provoca que el administrador desconozca el entorno. Por este motivo, los administradores de sistemas son muy reacios a cambiar de versión del sistema operativo. – Su fiabilidad: los fallos en el sistema operativo provocan estrés y producen en las empresas pérdidas económicas y de imagen. El hecho de que el sistema sea estable y tolerante a fallos no depende únicamente de los elementos hardware, sino también del sistema operativo. – Su sistema de protección y tolerancia a fallos: es muy importante que el sistema operativo se proteja ante posibles fallos y pueda seguir funcionando aunque estos se produzcan. – El coste y grado de satisfacción del soporte técnico: esto debe tenerse en cuenta para minimizar las consecuencias de los fallos del sistema. – Su rendimiento: el sistema operativo debe gestionar los recursos de la máquina de forma eficaz para responder sin demora a todas las peticiones que realicen los clientes. – La arquitectura hardware de la máquina: no todos los sistemas operativos están desarrollados para las mismas arquitecturas hardware. – El grado de conocimiento de los técnicos: el hecho de que el personal técnico posea gran conocimiento de un sistema operativo y desconozca otro puede determinar la elección. Aprender el uso básico de un sistema operativo puede no ser muy costoso para un técnico de sistemas, pero resolver problemas es más complicado y puede suponer mucho más tiempo del deseado. – Su facilidad de uso: que sea un entorno amigable que facilite las tareas de administración es también una característica interesante en la elección de un sistema operativo. Los sistemas operativos propietarios suelen presentar mayor facilidad de uso. – Su seguridad: cada cual debe acceder únicamente a aquello para lo que está autorizado y de la manera en que se le ha autorizado.

15


– Sus herramientas para el cumplimiento de las directivas de seguridad y privacidad que marca la legislación: es muy importante disponer de herramientas que faciliten el cumplimiento de todos los requisitos de seguridad que marca la ley y las políticas de empresa. – La posibilidad de alojamiento en un servidor virtual: la mayoría de los servidores de las empresas están alojados en servidores virtuales, ya que ofrecen ventajas de optimización de recursos y tolerancia a fallos. – El soporte para el sistema de almacenamiento necesario: cada vez se utilizan más los sistemas de almacenamiento en red para grandes volúmenes de datos. – Las herramientas para la administración centralizada: disponer de una administración centralizada es fundamental para evitar tareas redundantes y disponer de toda la información integrada.

Casos prácticos

2

Sistemas operativos �� Realiza un estudio sobre la conveniencia de implantar el sistema operativo SO_A o el sistema operativo SO_B en un servidor con arquitectura x86-64 y 128 GB de RAM, el cual utiliza la antigua controladora SCSI vx10Pro y necesita ejecutar una aplicación de servidor de 32 bits. Las características de los sistemas operativos son las siguientes: – SO_A es un sistema operativo de servidor propietario de 64 bits: • Soporta las arquitecturas x86-64, IA-64 y UltraSparc. • Direcciona hasta 512 GB de RAM. • Dispone de un sistema de ventanas amigable que necesita 16 GB para su ejecución. • Posee un nivel de seguridad C2. • Soporta la tarjeta SCSI vx10Pro. – SO_B es un sistema operativo de servidor de código abierto de 64 bits que permite emulación de 32 bits: • Soporta las arquitecturas x86-64 e IA-64. • Direcciona hasta 128 GB de RAM. • No posee interfaz gráfico para disminuir la superficie de ataque (menos puntos débiles). • Posee un nivel de seguridad C2. • Permite la sustitución de procesadores y de memoria en caliente. • No soporta la controladora SCSI vx10Pro.

Solución �� Los principales puntos que se deben tener en cuenta en el análisis son los siguientes: – Dado que se debe ejecutar una aplicación de 32 bits en el servidor y los dos sistemas operativos son de 64 bits, hay que tener en cuenta si se dispone de emulación de 32 bits, ya que en caso contrario dicha aplicación no funcionará. – Ambos reconocen los 128 GB de RAM del servidor, pero el SO_A permitiría ampliaciones de la RAM. – Ambos sistemas operativos soportan la arquitectura de procesador x86-64. – Aunque no es decisivo, deberemos tener en cuenta los costes de licencias, ya que el primero requiere el pago de licencias, mientras que el segundo es de código libre. – SO_B no reconoce la tarjeta SCSI vx10Pro, lo que supone un inconveniente para su elección. – Ambos poseen un nivel de seguridad C2, el cual es suficiente para un sistema operativo de servidor.

16

4 >> La figura del administrador Para realizar su labor adecuadamente, un administrador de servidores debe contar con conocimientos sobre las siguientes materias:

– Sistemas operativos: tanto de cliente como de servidor. – Redes: al menos a nivel TCP/IP y de servicios de red. – Programación: centrada en la creación de scripts de automatización de tareas de administración, para evitar la realización de tareas complejas de manera rutinaria. – Seguridad informática: para saber cómo proteger el servidor. Las tareas habituales que realizan los administradores de sistemas son las siguientes:

– Asegurar el buen funcionamiento del parque informático de la empresa, tanto a nivel de aplicaciones o software como de hardware. – Procurar que el nivel de seguridad del sistema informático sea alto. – Tratar con los usuarios, solventar sus problemas, proporcionarles formación y asesoramiento y prevenir sus necesidades. – Administrar a los usuarios del sistema, controlando las cuentas de usuario y sus privilegios y auditando sus acciones. – Administrar o gestionar los distintos servicios que haya instalados en la empresa (correo electrónico, web, etc.). – Administrar la red, lo que supone la configuración de los equipos, el control de cuellos de botella y la organización del tráfico para una comunicación fluida entre equipos y aplicaciones. – Realizar las copias de seguridad del sistema. En muchas ocasiones los administradores de sistemas además deberán probar ciertas acciones sobre algunos equipos informáticos, como actualizaciones de versiones de programas, migraciones de aplicaciones, modificaciones en la configuración, etc. Estas tareas conllevan cierto riesgo, ya que la empresa puede dejar de ofrecer su servicio o perder datos. Por ello es recomendable que, en caso de tener que realizar algún cambio importante o crítico en el software del equipo, este se realice en un entorno de pruebas totalmente diferente, donde sea posible probar los cambios sin peligro de que se generen pérdidas de datos ni inestabilidades en el sistema. Es deseable que en una empresa se disponga de tres entornos: pruebas, integración y producción. De este modo las pruebas se realizan en el entorno de pruebas y posteriormente se implementa la configuración correcta en el entorno de integración, donde se observa su reacción en un entorno similar al de la empresa. Tras comprobar que no hay problemas, se lleva a cabo la solución.

17


5 >> Sistemas operativos en red del mercado Actualmente existen multitud de dispositivos que se comunican en red mediante una gran variedad de sistemas operativos y, dentro de estos, con diferentes versiones y distribuciones. El siguiente cuadro muestra un esquema de los distintos tipos de dispositivos clientes junto con los sistemas operativos que pueden presentar.

Dispositivo

Sistemas operativos

Ordenadores clientes

Familia de Windows XP, familia de Windows 7, Windows 8, todas las distribuciones Linux

Tablets

Windows 8, BlackBerry PlayBook OS, Windows Phone, Android, iOS

Smartphones

iOS, Android, Blackberry OS, Windows Mobile, Symbian

En este punto abordaremos los sistemas operativos más importantes que podemos encontrar en el mercado para los servidores.

5.1 > Familia Windows Server Existen dos versiones del producto Windows Server 2008: Windows Server 2008 y Windows Server 2008 R2. Windows Server 2008 se lanzó al mercado cuando Windows Vista se utilizaba como sistema operativo monousuario y, por lo tanto, guarda una coherencia de interfaz con este sistema operativo de escritorio.

1.3. Logotipo de Windows Server 2008 R2.

Windows Server 2008 R2 se lanzó para mantener la coherencia de interfaz gráfica con Windows 7. Además, Windows Server 2008 R2 no soporta procesadores de 32 bits, por lo que solo sirve para arquitecturas x86-64 e IA-64. La información más completa y actualizada sobre todos los productos de esta familia se encuentra en el sitio web de su fabricante, Microsoft: http://www.microsoft.com Dentro de la gama de servidores Windows Server 2008 R2, podemos elegir diversas opciones:

– Windows Server 2008 R2 Standard: es la versión más utilizada y permite hasta 64 GB de RAM y 4 procesadores. El número de conexiones si multáneas está limitado. – Windows Server 2008 R2 Enterprise: constituye la plataforma adecuada para aplicaciones empresariales críticas. Entre sus características destacan la mejora de la alta disponibilidad por su posibilidad de trabajar en clúster, la sustitución de procesadores en caliente, la sincronización de memoria tolerante a fallos y la posibilidad de añadir memoria en caliente, es decir, mientras el servidor está en funcionamiento. El número de conexiones de clientes es ilimitado y admite hasta 8 CPU y 2 TB de RAM. – Windows Server 2008 R2 Datacenter: orientado a sistemas críticos a gran escala con gran cantidad de usuarios simultáneos. Permite la virtualización a gran escala.

El coste de las licencias El coste de las licencias de un sistema operativo propietario no solo es el correspondiente a la licencia del servidor según su procesador, sino también el derivado de las licencias de los usuarios que simultáneamente pueden estar conectados al servidor. Dado que en Internet hay millones de usuarios, saber cuántos están conectados a un servidor es difícil de predecir, lo que motivó que Microsoft decidiera que Web Server ofreciera licencias ilimitadas a usuarios conectados vía web.

18

Supercomputadores Los supercomputadores son ordenadores con gran capacidad de cálculo que se utilizan principalmente en entornos científicos, analíticos y de ingeniería.

Balanceo de carga Un clúster con balanceo de carga es un conjunto de servidores que se reparten el trabajo que suponen las peticiones que les van llegando.

– Windows Server 2008 R2 Foundation: proporciona a las pequeñas empresas una base para ejecutar la mayoría de sus aplicaciones corporativas, facilitando además su puesta en marcha. Posee un número muy limitado de conexiones de cliente, pero ofrece compartición de archivos e impresoras, acceso remoto y seguridad. Permite el intercambio de datos entre los trabajadores de forma segura sin necesidad de correo electrónico ni Internet. Está limitado a un procesador, admite 8 GB de RAM y no dispone de virtualización. – Windows Web Server 2008 R2: fue diseñado para ser utilizado específicamente como servidor web de un solo propósito. Incorpora IIS, ASP.NET y Microsoft .NET Framework. Permite que cualquier organización publique rápidamente páginas web, sitios web, aplicaciones web y servicios web. Posee las mismas características de la edición Standard, pero admite un número ilimitado de clientes conectados simultáneamente. – Windows HPC (High Performance Computing) Server 2008 R2: versión para supercomputadores y clústeres con balanceo de carga. Presenta las mismas prestaciones que la edición Standard, pero admite hasta 128 GB de RAM. – Windows Server 2008 R2 para sistemas basados en Itanium: edición optimizada para procesadores Itanium. Se utiliza en entornos corporativos de alto nivel con requerimientos de alta disponibilidad y capacidad de escalar hasta 64 procesadores. Respecto a las licencias, deberemos adquirir las de servidor y las de cliente (CAL). Las licencias de servidor permiten disponer de un sistema operativo con un número de licencias suficiente para los clientes que pueden conectarse simultáneamente. Las licencias de cliente (CAL) son las licencias del sistema operativo instalado en el ordenador cliente. Existe además Windows Server 2012, una versión que incluye:

Procesadores Itanium Los procesadores Itanium siguen la arquitectura llamada Itanium o IA-64, la cual, además de ser de 64 bits, intenta realizar muchas instrucciones en paralelo. Están dedicados al segmento de servidores.

– Nuevas características que facilitan: • La virtualización y el almacenamiento en red. • La creación de servidores en la nube. • La auditoría del sistema y la autorización del acceso a archivos.

– Mejoras en los servicios web BranchCache, DNS, DHCP y servidor web. – Nuevas utilidades para supervisar, auditar y administrar el espacio de direcciones IP. – Mejor soporte de escalabilidad hardware: hasta 640 procesadores en sus máquinas virtuales y hasta 4 TB de memoria. – Mejoras en la alta disponibilidad, el rendimiento y la seguridad de los servidores. Además, las licencias de productos se han simplificado:

– Windows Server 2012 Foundation: incluye hasta 15 usuarios. No tiene virtualización. Soporta un solo procesador. – Windows Server 2012 Essentials: incluye hasta 25 usuarios. No tiene virtualización. Soporta hasta dos procesadores. – Windows Server 2012 Standard: escenario de virtualización limitado – Windows Server 2012 Datacenter: escenario de virtualización completo.

19


5.2 > Distribuciones Linux para servidores Linux posee diversas características que lo convierten en una gran elección: multiusuario, multiprocesador, soporte para RAID, servidor de aplicaciones web, infraestructura para redes, alta seguridad, virtualización y multiplataforma. Además, Linux puede ser soportado por una gran variedad de arquitecturas de computador, como Intel, IBM, Alpha o SPARC, entre otras, y en las empresas supone un ahorro de costes en cuanto a licencias y soporte.

Distribución Linux Una distribución Linux es una recopilación de archivos y programas preparados para facilitar la instalación. Existen muchas y diferentes distribuciones Linux.

La mayoría de los servidores de Internet funcionan con Linux y cerca del 90% de los entornos de supercomputación también lo utilizan. Existen numerosas distribuciones Linux para instalar en servidores. Su elección depende, fundamentalmente, de las necesidades que se tengan. Prácticamente todas las distribuciones Linux para servidores son estables y fiables, ya que suelen tener detrás una amplia comunidad de desarrolladores que aportan gran ayuda y garantías a la hora de instalar y configurar el servidor. Además, existen empresas que desarrollan distribuciones de servidor cuyos servicios pueden contratarse. Prácticamente todas las distribuciones Linux de servidor tienen otra distribución similar para las estaciones clientes. Las distribuciones Linux para servidores de pago más importantes son:

– Red Hat Enterprise Server: requiere el pago de una licencia de soporte y está enfocada a las empresas. Funciona en una amplia gama de arquitecturas de hardware, servidores de virtualización y en la nube. Colabora con proveedores de software y hardware independientes para que el sistema operativo empresarial sea más abierto y pueda adaptarse a todos los usuarios. – Suse Linux Enterprise Server: distribuida por Novell, requiere el pago de una licencia de soporte que ofrece un mantenimiento garantizado y ciclos de desarrollo largos.

1.4. Logotipos de Red Hat, Suse, Debian y Ubuntu.

Otras distribuciones Linux para servidores son:

– Debian: es la más antigua de las distribuciones para servidores. Se diferencia del resto por no depender de ninguna empresa. La versión estable da soporte a varias arquitecturas, entre ellas x86, x86-64, Alpha, SPARC y M68k. – Ubuntu Server: esta distribución es mantenida por la empresa Canonical Ltd, que se dedica al desarrollo de proyectos relacionados con software libre, y por una gran comunidad de desarrolladores. Soporta las arquitecturas x86, x86-64 y SPARC. Utiliza un sistema de ventanas basado en los realizados por las comunidades de Debian y Gnome. – CentOS (Community Enterprise Operantig System): es una de las distribuciones más utilizadas para servidores. Se trata de una versión compilada a partir del código libre de Red Hat Enterprise Linux (RHEL), sin embargo tiene una amplia y activa comunidad de desarrolladores que hacen de este sistema operativo uno de los más fáciles de mantener. Entre otras, soporta las arquitecturas Intel x86, AMD64, Alpha y SPARC. Los paquetes incluyen las versiones para servidor y para cliente.

Curiosidades – Las versiones estables de Debian (Squeeze, Lenny...) poseen los nombres de la película Toy Story. – En 2008 Wikipedia migró sus servidores a Ubuntu Server. – Canonical Ltd es una empresa dedicada al desarrollo de software. Fue fundada por Mark Shuttleworth, quien, a los 23 años, creó la empresa Thawte. Cuatro años después de su fundación, la vendió por 575 millones de dólares.

20

5.3 > Otros sistemas operativos de servidor Novell Netware Netware es un sistema operativo en red desarrollado por Novell Inc. Se encuentra en el mercado desde 1983. La gran infraesctructura de Novell hace que pueda ofrecer una buena asistencia y soporte técnico. Destaca por ofrecer un buen nivel de seguridad y un excelente sistema de impresión y de archivos. Como inconveniente sobresale el alto grado de conocimiento que requiere su instalación y administración.

Mac OS X Server Mac OS X Server es un sistema operativo de servidor de Apple Inc. Es un sistema operativo de la familia Unix. Su arquitectura es similar a su versión de escritorio, a excepción de que incluye gestión de trabajo en grupo y herramientas de administración para los principales servicios de red. Soporta las arquitecturas x86 y x86-64 desde su versión 10.4 y PowerPC de 32 y 64 bits. En este sistema operativo se encuentra una gran variedad de software procedente de proyectos de software libre. Así mismo, dispone de multitud de software con licencias de distintos tipos, desde GNU hasta software propietario. La mayoría del software está licenciado bajo la Apple Public Source Licence.

Solaris Solaris es un sistema operativo de servidor que fue muy popular en la década de los 90. Lo creó Sun Microsystems, que decidió liberar el código creando OpenSolaris. Posteriormente fue adquirido por Oracle, que sustituyó el desarrollo de OpenSolaris por el del sistema propietario Solaris Express. Esto provocó que una comunidad de desarrolladores decidiera separarse para formar una nueva línea de desarrollo del sistema operativo de código abierto llamada OpenIndiana. Solaris está desarrollado a partir de Unix System V Release 4, que fue creado por Sun y AT&T. Actualmente soporta arquitecturas SPARC, x86 y x86-64.

AIX AIX es un sistema operativo de código propietario creado por IBM y basado en Unix System V. Estas son sus principales características:

1.5. Logotipos de Novel Netware, Solaris, OpenIndiana y AIX.

– Soporta las arquitecturas hardware IBM RS/6000 series, PowerPC, IBM System i, System/370 (mainframes) e IBM PS/2 series. – Sigue el estándar de compatibilidad Unix 03. – Fue el primer sistema de archivos que soportó el journaling, que permite dejar este sistema estable (sin que se corrompa) en caso de producirse un fallo en el sistema. – Admite servidores virtuales y particiones de carga de trabajo que soportan el aislamiento para las aplicaciones, lo que garantiza que, si falla un servidor virtual, el resto siga funcionando. – Ofrece soporte para clústeres.

21


HP-UX Es la implementación de Unix, a partir de System V, c reada por HP. Estas son sus principales características:

– Soporta las arquitecturas de procesadores PA-RISC e Intel Itanium. – Fue el primer sistema operativo de Unix que ofreció listas de control de acceso. – Posee el sistema de ficheros VxFS de Veritas Software. – Aísla los sistemas operativos virtualizados en distintas particiones independientes. – Es muy potente en protección, seguridad, gestión de la carga y particionado. – Dispone de un sistema que permite solicitar recursos a servidores externos de HP ante picos de trabajo (Instant Capacity on Demand). – Cuenta con un sistema de monitorización de errores y autocorrección. – La detección de intrusiones está implementada en el núcleo del sistema operativo. – Su gestión de accesos está basada en roles.

Actividades propuestas 4�� Completa el siguiente cuadro en tu cuaderno con las características de las distintas ediciones de Windows 2008 R2:

Standard

Enterprise

Datacenter

Foundation

Web

HPC

Itanium

Número máximo de procesadores Memoria máxima soportada Máximo número de nodos en clúster Sustitución de memoria en caliente Sustitución de procesador en caliente Memoria Sync tolerante a fallos

5�� Averigua cuáles son las páginas web oficiales de los sistemas operativos de servidor vistos en el tema. 6�� Investiga cuál es la última versión estable de los sistemas operativos en red Novell Netware, Mac OS X Server, Solaris, AIX y HP-UX, e indica en qué fecha fueron presentadas estas versiones.

22

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué diferentes sistemas operativos podemos encontrar en los dispositivos de telefonía móvil? 2�� ¿Cuáles son las características generales de los sistemas operativos en red? 3�� Identifica en el esquema de un sistema operativo de la figura 1.6 las partes de la arquitectura Windows NT de los Windows 200x que se corresponden con: a) Gestión de procesos. b) Gestión de memoria.

c) Gestión de E/S. d) Protección y seguridad.

4�� Ordena los siguientes aspectos según su importancia a la hora de elegir un sistema operativo: a) Coste de la licencia. b) Coste del servicio de atención al usuario. c) Conocimiento del sistema operativo por parte de los administradores. d) Que posea un interfaz gráfico de ventanas. e) Que disponga de una gran resolución gráfica (3D, texturas, etc.). f) Que el software que se instale en el servidor sea compatible con el sistema operativo. g) Que tenga un buen rendimiento. h) Que soporte una amplia memoria RAM. i) Que pueda ejecutarse con ocho procesadores en multiprocesamiento simétrico.

SERVICIOS EXECUTIVE Gestor E/S

Gestor de procesos

Monitor de seguridad

Gestor Plug & Play

Gestor de llamadas a procediminetos

Gestor de energía

Gestor de memoria virtual (VMM)

Gestor de Gestor de ventanas escritorio

GESTOR DE OBJETOS

Manejadores en modo núcleo

Microkernel

1.6. Esquema de la actividad 3.

5�� Indica qué tipo de licencias poseen los siguientes sistemas operativos en re d: Windows Server 2008, CentOS, Red Hat Enterprise, Suse Linux Enterprise Server, AIX, Solaris y HP-UX.

6�� Indica qué arquitecturas de procesadores soportan los siguientes sistemas operativos en red: Windows Server 2008, CentOS, Red Hat Enterprise, Suse Linux Enterprise Server, AIX, Solaris y HP-UX.

.: APLICACIÓN :. 1�� Indica qué sistema operativo en red sería el más conveniente en los siguientes supuestos: a) Una empresa que quiere instalar un servidor web para montar una pequeña intranet y como software ha pensado en Apache con PHP y MySQL. b) Una empresa que necesita montar un equipo que gestione todo su ámbito (o dominio) de forma centralizada.

2�� La empresa InforCheste dispone de un servidor con procesador de arquitectura Itanium. ¿Qué sistemas operativos podría instalar?

3�� En la empresa Ofermark los administradores de sistemas poseen amplios conocimientos sobre un determinado sistema operativo de tipo Unix e incluso realizan programas sobre él, sin embargo, debido a determinadas circunstancias, la empresa fabricante de este sistema operativo ha quebrado, por lo que ya no disponen de soporte ni de continuidad del producto. Dada esta situación, se plantean una migración, con la intención de que el cambio implique la instalación de un sistema operativo que los administradores puedan dominar en poco tiempo. Indica cinco sistemas operativos de servidor que constituirían una buena elección para este fin.

23


Caso final

3

Análisis de costes en la elección de un sistema operativo de servidor �� La empresa InforCheste necesita implantar un nuevo sistema operativo para su servidor en las siguientes circunstancias: – – – – – –

La implantación del sistema operativo debe suponer el menor coste posible. Los dos administradores están formados en la versión anterior del sistema operativo SOR_A. Se estima que la versión del sistema operativo estará en el servidor durante cinco años. Que el servidor deje de funcionar supone pérdidas de 150 €/h. El servidor solo trabajará durante la jornada laboral (de 9 a 17 horas). El coste de formación de los administradores en el nuevo sistema operativo es de 50 €/h.

Los dos sistemas operativos que se considera implantar son los siguientes: – SOR_A: • El sistema operativo es privativo y el coste de la licencia que se necesita es de 1200 €. • El servicio de atención al usuario cuesta 500 €/año, con un compromiso de resolución de incidencias de 1 día. • El coste de adaptación a la nueva versión de SOR_A se estima en 40 horas por trabajador. • Por otros administradores sabemos que el sistema operativo causa una media de 4 fallos anuales. – SOR_B: • El sistema operativo es libre. • El servicio de atención al usuario cuesta 300 €/año, con un compromiso de resolución de problemas del usuario de 4 horas. • El coste de aprendizaje se estima en 200 horas por trabajador. • Por otros administradores sabemos que el sistema operativo causa una media de 2 fallos anuales. Indica qué sistema operativo es el más conveniente en función de los costes que supone su implantación.

Solución �� En la siguiente tabla se analizan los costes que supondría la implantación de cada uno de los sistemas operativos:

SOR_A

SOR_B

Coste de la licencia

1 200 €

0€

Coste del soporte

500 €/año × 5 años = 2 500 €

300 €/año × 5 años = 1 500 €

Coste por fallos del sistema

4 fallos/año × 24 h × 150 €/h × 5 años = 72 000 €

2 fallos/año × 4 h × 150 €/h × 5 años = 6 000 €

Formación de los administradores

40 h × 50 €/h × 2 administradores 4 000 €

200 h × 50 €/h × 2 administradores = 20 000 €

Total

79 700 €

=

27 500 €

Por lo tanto el sistema operativo SOR_B tiene un menor coste de implantación. Este resultado demuestra además que el coste de las licencias no es excesivamente importante, ya que este es menor que la diferencia entre los costes totales. Por este motivo, se debe dar importancia también a otros aspectos del coste de un sistema operativo de servidor.

24

Ideas clave

Introducción a los sistemas operativos en red

Características de los sistemas operativos en red

LOS SISTEMAS OPERATIVOS EN RED

Funciones de un sistema operativo de servidor Características diferenciadoras de los sistemas operativos de servidor

Factores a tener en cuenta para elegir un sistema operativo en red

La figura del administrador

Familia Windows Server 2008

Sistemas operativos en red del mercado

Distribuciones Linux para servidores Otros sistemas operativos de servidor

REVISTA DE INFORMÁTICA


Rusia se muestra interesada en un sistema operativo creado por un joven sevillano

U

n es tudiante de ingeniería indus- rusos tras la entrevista mantenida trial de la Universidad de Sevilla, con el presidente de este país. VícVíctor Martínez, ha creado un tor Martínez presentó este proyecto a sistema operativo gratuito y capaz de un concurso de ideas tecnológicas, “Yuzz, ejecutar aplicaciones y drivers compatibles jóvenes emprendedores”, promovido con Windows que ha interesado al pre- por la Fundación Banesto, en febrero de sidente de R usia, Dimitri Medvédev, con este mismo año y esta semana se entrequien han mantenido una reunión para vistaba con Dimitri Medvedev para mospresentarle el proyecto. trarle el funcionamiento de su sistema Según la información a la que ha tenido operativo. acceso Europa Press, el sistema, llamado WôÔS, ha pasado de ser una idea plasmada en un cuaderno de anillas a copar los principales medios de comunicación

En estos seis meses el creador de WôÔS ha conseguido reunir en torno al proyecto a un equipo multidisciplinar y mul tinacional. Asesores financieros de Sillicon

Valley, especialistas en derecho legal, comerciales localizados en Rusia, Estados Unidos y España, así como ingenieros informáticos españoles, polacos y rusos, forman parte del WôÔS Team. Además, Sevilla, Madrid, Berlín, Chicago, San Francisco, Chemnitz (Alemania) y Selinger (Rusia) son algunos de los lugares donde ha demostrado las bondades de este sis tema operativo. El potencial de WôÔS se encuentra en su integración con el cloud computing y los servicios basados en Internet. La tecnología CloudIN que ha generado va a “cambiar la forma de ver la nube” y sus servicios asociados, lo que ha

provocado que varias empresas desarrolladoras de sistemas operativos en la nube hayan comenzado a contactar con este proyecto. Tras ser seleccionado como uno de los mejores 50 proyectos de “Innovate Russia”, entre los más de 21 000 presentados, consiguió hacerse eco en los medios de comunicación rusos. Sin embargo, el interés se ha disparado al conocerse la noticia de que el Gobierno ruso podría estar estudiando la posibilidad de apoyar el proyecto en aquel país tras la reunión mantenida esta semana.

Fuente: ABC, edición de Sevilla, 9 de septiembre de 2011

Actividades 1�� Indica qué aspectos novedosos del sistema operativo crees que han llamado la atención de los políticos. 2�� ¿Crees que los españoles podemos ayudar al mundo en la innovación tecnológica? ¿Cómo? ¿Qué necesita un proyecto en España para poder triunfar?

u

n

i

d

a

d

2

El proceso de instalación de Windows SUMARIO 

Tareas de preinstalación



Tipos de instalaciones



Configuración inicial del servidor



Actualización y personalización del servidor



Resolución de problemas durante la instalación



Documentación de la instalación e incidencias

OBJETIVOS ·· Conocer las tareas previas a la instalación en un entorno de trabajo profesional.

·· Distinguir los diferentes tipos de instalaciones.

·· Conocer los posibles problemas que pueden surgir durante la instalación y aprender a resolverlos.

·· Saber cómo documentar un proceso de instalación.

·· Conocer la configuración inicial del servidor. ·· Saber cómo actualizar el servidor para que esté al día.

·· Saber cómo personalizar el servidor.

27

Unidad 2 - El proceso de instalación de Windows

1 >> Tareas de preinstalación 1.1 > Elección de la versión del sistema operativo que se va a instalar Dado que ya hemos tomado la decisión inicial basada en qué servidor implementar en nuestra red y hemos escogido Windows, falta decidir qué versión utilizar. Dentro de la gama de servidores Windows Server 2008 R2 podemos escoger cualquiera de las siguientes opciones que se han descrito con detalle en la Unidad 1:

– Windows Server 2008 R2 Standard: es la versión base de la gama de estos servidores. Ofrece, entre muchas otras, l as siguientes funciones de servidor: • Servidores web (IIS) de aplicaciones, de impresión, de archivos, de dominio de Active Directory (ADDS), DHCP y DNS. • Servicios de escritorio remoto. • Terminal Services. • Windows Server Update Services (WSUS).

– Windows Server 2008 R2 Enterprise: apropiada para aplicaciones empresariales críticas. – Windows Server 2008 R2 Datacenter: pensada para aplicaciones críticas de negocio a gran escala. – Windows Server 2008 R2 Foundation: proporciona a las pequeñas empresas una base para ejecutar la mayoría de sus aplicaciones corporativas. – Windows Web Server 2008 R2: diseñado como un servidor web de un solo propósito. – Windows Server 2008 R2 para sistemas basados en Itanium: edición optimizada para procesadores Itanium. La elección de una edición u otra dependerá de las funcionalidades que vayamos a darle al servidor. Las que ofrece el sistema operativo se basan en los roles, los servicios de rol y las características que instalemos. De esta elección depende instalar y activar los servicios necesarios. La última versión de sistema operativo sacada al mercado, a fecha de edición de este libro, es Windows Ser ver 2012, que ofrece cuatro versiones que se diferencian principalmente en sus derechos de virtualización:

– Standard: que permite únicamente la utilización de dos máquinas virtuales. – Datacenter: que permite la utilización de un número ilimitado de máquinas virtuales. – Essentials: sin virtualización y limitado a 25 usuarios. Configurado para usar servicios en la nube. – Foundation: económico, de propósito general, sin virtualización y limitado a 15 usuarios.

2.1. Fotografía de Bill Gates y Paul Allen, cofundadores de Microsoft.

28

Instalación básica o Server Core Una opción de instalación que se ofrece con Windows Server 2008 es la instalación básica o Server Core, que proporciona un entorno mínimo para la ejecución de ciertos roles de servidor, reduciendo la necesidad de mantenimiento y minimizando la interfaz de administración y las vulnerabilidades. Los roles instalables bajo esta opción son:

– Servicios de dominio y de directorio limitados de Active Directory. – Servidor DHCP, DNS, de archivos, de impresión y web. – Servicios de streaming de audio y video.

2.2. Windows Server 2008 R2 Core.

Además podemos añadirle características, como balanceo de carga de red, SNMP, Microsoft Failover Cluster, Backup, gestión de almacenamiento extraíble, encriptación de unidades con BitLocker, WINS, cliente Telnet y QoS. Windows Server 2008 R2 Server Core proporciona una interfaz de administración reducida. Para trabajar con él se utiliza la línea de comandos. El servidor también se puede administrar de manera remota utilizando la consola de administración remota o el escritorio remoto. Estas son las principales ventajas de una instalación Server Core:

Superficie de ataque La superficie de ataque está compuesta por los elementos del sistema que son vulnerables a atacantes externos.

– – – –

Mantenimiento reducido. Menor necesidad de administración. Robustez frente a ataques, ya que se reduce la superficie de ataque. Menor espacio en disco requerido.

Habitualmente usaremos Server Core en aquellos casos en que queramos consumir pocos recursos hardware o reducir las vulnerabilidades del ser vidor.

1.2 > Estudio de compatibilidad entre el hardware y el software Lo primero que debemos hacer cuando vayamos a instalar un sistema operativo en un servidor es realizar un inventario del hardware del que dispone. Después comprobaremos si dicho hardware es compatible con el sistema operativo y con las aplicaciones que pretendemos utilizar en el servidor.

La HLC de Windows La HCL de Windows y el software compatible se encuentran en:

http://www.windowsservercatalog.com

Para cubrir el primer objetivo existen las Hardware Component List (HCL), que suelen hallarse en páginas de Internet del fabricante del sistema operativo. Estas listas permiten comprobar si el hardware que tenemos es compatible con el sistema operativo. Pero no todos los elementos hardware compatibles están en estas listas, por lo que, si no encontramos el hardware en la HCL, habremos de recurrir a la web del fabricante. Al igual que sucede con el resto de aplicaciones, también hay que analizar los requisitos en cuanto a hardware mínimo necesarios para poder realizar de manera eficiente y rápida todas las funciones que le pediremos al ser vidor. Por ello, es conveniente verificar aquello que recomienda como mínimo el sistema operativo.

29


Así mismo, deben estar disponibles los co ntroladores correspondientes. Es recomendable comprobar si estos están firmados digitalmente. En caso de no estar firmados, el proceso de instalación no los cargará a menos que deshabilitemos la opción de comprobación de este requisito durante el proceso.

Deshabilitar el uso de controladores firmados

También debemos verificar que las aplicaciones que queremos utilizar en el servidor funcionan para el sistema operativo que instalamos. Para ello confeccionaremos una lista del software y los servicios que se desea tener instalados.

Para deshabilitar el uso obligatorio de controladores firmados durante el proceso de instalación es necesario seguir estos pasos:

En cuanto a los servicios, debemos averiguar si cada uno de ellos existe para la versión del sistema operativo que queremos instalar. Puede ser que tengamos que recurrir a proveedores externos de ese servicio o cambiar la edición del sistema operativo por otra con más prestaciones. Además, consultaremos la web del fabricante para conocer si cada programa o servicio es soportado por la versión del sistema operativo que queremos instalar. En caso de no encontrarlo, podemos llamar al servicio técnico para comprobar si ese programa o servicio en particular está testeado o no para ese sistema operativo. En último caso, podemos testearlo en una instalación de prueba.

1. Pulsar durante el proceso de inicio. 2. Seleccionar Opciones de arranque avanzadas. 3. Seleccionar Deshabilitar el uso obli gatorio de controladores firmados. 4. Reiniciar Windows. Después, podremos seguir con el proceso de instalación.

1.3 > Requisitos de disco duro y particionado Microsoft recomienda un mínimo de 20 GB de espacio en disco para instalar Windows Server 2008 R2, aunque este requisito varía en función de la versión que utilicemos. Antes de proceder a la instalación debemos tener en cuenta cómo vamos a particionar nuestro disco o si queremos instalarlo todo en una única partición. Es recomendable realizar una partición para cada uso que pretendamos darle y, por tanto, conviene disponer al menos de una partición para los datos y otra para el sistema y las aplicaciones. Así, si quisiéramos reinstalar el sistema operativo y formateásemos la unidad de sistema, los datos no se verían afectados.

Observación Los DVD de instalación permiten realizar el particionado, aunque podemos utilizar otras herramientas externas.

También es interesante, si vamos a instalar algún servicio o aplicación, atender a las recomendaciones del fabricante de software, ya que, en muchas ocasiones, aconsejan por seguridad disponer de varias particiones para la aplicación. En instalaciones de estaciones clientes es igualmente recomendable utilizar particiones: una destinada a la instalación del sistema operativo, los programas y las utilidades y la otra al almacenamiento de documentos de usuario. A la hora de realizar copias de seguridad tendremos que tener en cuenta el número de particiones que hemos realizado. Por otro lado, habremos elegido una arquitectura de servidor que permita el escalado de componentes hardware (principalmente de discos duros adicionales), que se añadirán al servidor sin ningún problema gracias al a la utilización de volúmenes.

Recuerda Un volumen es un conjunto de una o más particiones pertenecientes a uno o más discos que el sistema operativo muestra como un único lugar de almacenamiento.

30

1.4 > Elección del sistema de archivos Para instalar Windows Server 2008 R2 es necesario formatear las particiones con un sistema de archivos NTFS. Este sistema dispone de características avanzadas de seguridad. Cuando se elige un sistema de archivos es necesario observar los siguientes aspectos:

– La granularidad que permite el sistema de permisos, es decir, si los permisos se pueden aplicar con un gran nivel de detalle o si son más bien genéricos. – Si admite la utilización de cuotas para limitar el espacio del que pueden disponer los usuarios. – Si permite el journaling del sistema de archivos, que posibilita su recuperación ante caídas del sistema.

1.5 > Elección de los componentes y utilidades En función de la edición de Windows Server 2008 R2 que hayamos elegido, instalaremos los componentes necesarios para ofrecer determinadas funciones o roles de servidor. En este punto es importante saber distinguir entre funciones de servidor, servicios de función y características:

– Una función de servidor o rol es un conjunto de programas que permiten a un servidor ofrecer una funcionalidad para los clientes que la soliciten. Entre las funciones de servidor más conocidas destacan DHCP, DNS y servidor web. – Los servicios de funciones o servicios de rol son programas que proporcionan la funcionalidad al rol o la función. Para que funcione un rol necesita uno o varios servicios ejecutándose. – Una característica es un programa que no forma parte de un rol o función, pero completa sus funcionalidades. Un ejemplo de característica es el cifrado de unidad Bitlocker.

Actividades propuestas 1�� Busca en Internet las ventajas y desventajas que puede suponer para una empresa utilizar sistemas operativos que dispongan de soporte por parte del fabricante. Debate este tema en clase y discútelo con tus compañeros.

2�� Consulta en la web de Microsoft los requisitos mínimos y máximos que exigen las distintas versiones del sistema operativo Windows 2008 R2.

3�� Confecciona la lista de componentes hardware de tu ordenador y comprueba si soporta la instalación de Windows Server 2008 R2.

4�� Consulta en la web de Microsoft los cuadros que comparan las distintas funciones que ofrecen las ediciones de Windows Server 2008 R2 y las de Windows Server 2012.

5�� Consulta en la web de Microsoft las características de Windows Server 2008 R2 y las de Windows Server 2012.

31


2 >> Instalación del sistema operativo 2.1 > Tipos de instalaciones Existen dos tipos básicos de instalaciones de sistemas operativos:

– Atendida: el usuario realiza todos los pasos de la instalación interactuando con la aplicación de instalación del sistema operativo. Podemos realizar esta instalación del servidor de varias formas: • En entornos reales: desde la unidad de DVD del servidor o desde un recurso compartido. • En entornos virtualizados: utilizando máquinas virtuales o equipos de pruebas para tal fin, con un DVD o un pendrive USB con el software del servidor.

Kit de instalación automatizada Podemos encontrar el kit de instalación automatizada para Windows 7 y la familia de sistemas operativos de Windows Server 2008 R2 en el centro de descargas de Microsoft.

– Desatendida: se realiza una configuración previa y, a partir de ella, el sistema operativo se instala automáticamente sin necesidad de interacción por parte del usuario. Además puede utilizarse para muchos servidores. Microsoft proporciona el kit de instalación automatizada (AIK) de Windows para automatizar su proceso de instalación, el cual permite, entre otras cosas, crear imágenes del entorno de preinstalación de Windows (Windows PE).

Casos prácticos Instalación atendida de Windows Server 2008 R2 en una máquina virtual VMWare �� Instala el sistema operativo Windows Server 2008 R2 en una máquina virtual VMWare. Solución �� Para llevar a cabo el proceso de instalación, sigue estos pasos: 1. Crea la máquina virtual en VMWare con el asistente pinchando en Create a New Virtual Machine. 2. Elige la instalación de una máquina virtual personalizada para seleccionar exactamente con qué recursos la crearás. Luego elige la compatibilidad de la máquina virtual que vas a crear. 3. En la siguiente pantalla, elige si vas a realizar la instalación a partir de un archivo de imagen ISO o de un DVD. 4. VMWare permite, para varios sistemas operativos, utilizar la opción de instalación Easy Install, que solicita los parámetros durante la creación de la máquina virtual que luego nos pedirá la instalación de Windows, es decir, los parámetros que solicitaría la instalación en una máquina real. Estos parámetros, solicitados en sucesivas pantallas, son, entre otros, la licencia de uso, la versión del sistema operativo y el nombre y la contraseña del administrador (figura 2.3). 5. En las siguientes pantallas se deben indicar parámetros de la máquina virtual como su nombre, su ubicación, la RAM de que dispondrá (mínimo de 1 GB), el modo en el que nuestra máquina virtual se conecta a la red (en tu caso Bridged ), controladores de E/S, o tipo, tamaño y el nombre del disco. 6. Comienza la instalación con la copia de archivos temporales, etc. 7. A continuación se instalarán las VMWare Tools. 2.3. Parámetros de instalación 8. Por último, reiniciaremos el servidor.

1

32

2.2 > Configuración inicial Al finalizar la instalación de Windows Server 2008 R2 aparece la ventana Tareas de configuración inicial, con la que se puede configurar y personalizar el servidor según las necesidades de cada caso en particular:

2.4. Ventana Tareas de configuración inicial.

2.5. Acceso rápido a las tareas de configuración inicial.

Esta ventana aparecerá automáticamente siempre que se inicie el sistema a menos que se marque la casilla No mostrar esta ventana al iniciar sesión situada en la parte inferior de la ventana. Si necesitamos acceder a esta ventana, escribiremos oobe en la casilla Iniciar búsqueda del menú Inicio de Windows (figura 2.5). Las tareas que se pueden configurar en esta ventana están divididas en tres bloques:

Recuerda Es interesante utilizar como administrador una cuenta con un nombre diferente de administrador y deshabilitar aquella cuenta, ya que de este modo los posibles atacantes desconocen el nombre del usuario administrador.

– Proporcionar información del equipo: permite, entre otras tareas, configurar la cuenta del administrador, cambiar el nombre de usuario del administrador y su contraseña para mejorar la seguridad, unir el servidor a un grupo o dominio en la red, establecer la configuración horaria y configurar la red. – Actualizar este servidor: propone descargar e instalar las actualizaciones más recientes para mantener el servidor actualizado y seguro. – Personalizar este servidor: permite, entre otras muchas tareas, agregar o quitar funciones y características del servidor. Este bloque es el más importante a la hora de establecer la configuración de nuestro servidor, ya que con esto se indica el rol que va a desempeñar dentro de nuestra organización (servidor de archivos, controlador de dominio, etc.).

Actividades propuestas 6�� Arranca tu sistema operativo Windows Server 2008 R2 y comprueba que aparece la ventana Tareas de con figuración inicial. Asegúrate de que todos los dispositivos hardware y unidades de disco están correctamente instalados. Después explica cómo lo has hecho.

33


2.3 > Configuración de la información del equipo La primera opción de configuración que nos presenta el asistente de Tareas de configuración inicial es la de determinar la información básica del equipo, como el establecimiento de la zona horaria y la configuración de las funciones de red y el nombre y dominio del equipo.

Establecer la zona horaria Para proceder a la configuración la fecha y la hora, pinchamos Establecer zona horaria en el asistente de Tareas de configuración inicial:

– Permite mostrar hasta tres relojes, uno para la hora local y otros dos para otras franjas horarias. Para mostrarlos hay que ir a la pestaña Relojes adicionales (figura 2.6). – Otra opción posible es sincronizar el reloj con un servidor horario de Internet (figura 2.7). Esto se hace en la pestaña Hora de Internet, seleccionando Cambiar la configuración.

2.6. Pestaña Relojes adicionales.

Configurar las funciones de red Si pinchamos la opción Configuraciones de red del asistente de Tareas de con figuración inicial, accedemos a la ventana Conexiones de red, desde donde podemos configurar las conexiones de red entre el equipo y la red o bien entre el equipo y otro equipo. En esta ventana aparece una conexión de área local por cada adaptador de red:

2.7. Ventana Configuración de hora de Internet.

2.8. Ventana Conexiones de red.

Si hacemos clic con el botón secundario del ratón sobre una de las conexiones de red, aparece un menú contextual que permite acceder a:

– La información de Estado (duración de la conexión y velocidad y cantidad de datos que se han transmitido y recibido). – La opción Propiedades, que permite configurar la conexión de área local (dirección IP, máscara de red y servidores DNS). – Las herramientas de diagnóstico disponibles.

Acceso rápido a las conexiones de red Un modo de acceso rápido a Conexiones de red de Windows es abrir el cuadro Ejecutar y escribir el comando ncpa.cpl.

34

Proporcionar nombre y dominio al equipo La primera vez que se instala Windows Server 2008 R2 en un equipo, a este se le asigna un nombre de forma aleatoria. Sin embargo, es conveniente cambiarlo para que el nombre del equipo sea único en la red y pueda identificarse fácilmente. A la hora de asignar un nombre, hemos de tener en cuenta lo siguiente:

Atención Para realizar estos cambios debemos haber accedido al sistema con una cuenta de usuario con permisos de administrador.

– La longitud recomendada es de 15 caracteres como máximo. – Se recomienda usar números del 0 al 9, letras mayúsculas y minúsculas de la A a la Z y el guion (-). Un nombre de equipo no puede estar formado solo por números. – Si se usa DNS en la red, pueden introducirse mayor variedad de caracteres, como por ejemplo los caracteres Unicode y otros no estándar como «&». – El nombre que se le asigne debe ser único en el dominio o en el grupo de trabajo.

Equipo en un dominio

Para cambiar el nombre del equipo y el dominio, pinchamos la opción Proporcionar nombre y dominio al equipo de la ventana Tareas de configuración inicial, desde donde accedemos a Propiedades del sistema. En la pestaña Nombre de equipo (figura 2.9) pinchamos el botón Cambiar:

Agregar un equipo a un dominio permite utilizar los servicios del dominio y administrar el equipo de forma centralizada desde el servidor de dominio.

– Para cambiar el nombre del equipo, basta con escribirlo en el campo Nombre de equipo (figura 2.10) y pinchar Aceptar. – Para cambiar el dominio seleccionamos Dominio e introducimos su nombre en el campo correspondiente.

2.9. Pestaña Nombre de equipo de la ventana Propiedades del sistema.

2.10. Ventana en la que se cambia el nombre y el dominio del equipo.

35


Podemos configurar el comportamiento del sistema cuando se conecte un nuevo dispositivo accediendo a la pestaña Hardware de Propiedades del sistema y, pinchando Configuración de controladores de Windows Update (figura 2.12), y nos aparece una ventana que sirve para indicar lo que tiene que hacer el servidor cuando se le conecta un nuevo hardware que no dispone de los controladores instalados (figura 2.11). Si el dominio no existe, podremos crearlo co nvirtiendo a un equipo en controlador de dominio, algo que estudiaremos más adelante. Otros aspectos que se pueden configurar desde la ventana Propiedades del sistema son el rendimiento, los perfiles de usuario y el inicio y recuperación del sistema, así como las variables de entorno, que se encuentran en la pestaña Opciones avanzadas (figura 2.13).

2.12. Pestaña Hardware de la ventana Propiedades del sistema.

2.11. Ventana Configuración de Windows Update para controladores.

2.13. Pestaña Opciones avanzadas de la ventana Propiedades del sistema.

Actividades propuestas 7�� Antes de cambiar el nombre de tu equipo, averigua qué nombre se le ha asignado de manera automática. ¿Por qué crees que es conveniente cambiarlo? Cámbiale el nombre al servidor. Para ello, consulta a tu profesor la nomenclatura que se debe utilizar en el aula.

8�� ¿Por qué crees que el nombre de un equipo en la red debe ser único?

36

3 >> Configuración de la conectividad 3.1 > Configuración del cortafuegos de Windows Recuerda Un cortafuegos o firewall es un elemento informático (software o hardware) que ayuda a impedir accesos no deseados a un equipo a través de una red.

En la ventana Tareas de configuración inicial podemos comprobar que el cortafuegos o firewall está activo, ya que Windows 2008 R2 Server lo activa de forma predeterminada. El acceso al cortafuegos se combina en una misma interfaz con el servicio de IPsec y solo los miembros del grupo de administradores del equipo local pueden realizar modificaciones. La opción Configurar Firewall de Windows de la ventana Tareas de configuración inicial lleva a la ventana de configuración del cortafuegos de Windows:

IPSec IPSec es un conjunto de protocolos para la seguridad en las comunicaciones basado en IP. Se utiliza principalmente: – En el transporte, cifrando el mensaje del paquete IP – En la creación de túneles para configurar redes privadas virtuales, cifrando los datos que circulan entre dos dispositivos conectados a una red pública, como por ejemplo Internet.

2.14. Ventana del cortafuegos de Windows.

Seleccionando la opción Cambiar la configuración se accede a la configuración del cortafuegos:

– La pestaña General muestra las opciones que el cortafuegos puede activar y desactivar, y permite bloquear conexiones entrantes (figura 2.15). – La pestaña Excepciones permite configurar la posibilidad de que determinados programas o puertos se comuniquen aunque el cortafuegos esté activado. Para configurar con más detalle el cortafuegos de Windows, se puede acceder a él siguiendo la ruta Inicio / Herramientas administrativas / Firewall de Windows con seguridad avanzada. Para comprobar la conectividad en el aula, se recomienda deshabilitar el cortafuegos tanto en el cliente como en el servidor, ya que podría darse el caso de que tuvieran conectividad y el cortafuegos la estuviese cortando. 2.15. Ventana de configuración del cortafuegos de Windows.

En Windows 2008 R2 la configuración del Firewall y del IPSec viene integrada. Además, IPSec permite la encriptación de tráfico entre miembros de un dominio.

Actividades propuestas 9�� Nombra las funciones que tiene instalado tu servidor. 10�� Nombra alguna característica que consideres que sería interesante que tuviera un servidor.

37


3.2 > Configuración de los parámetros de red Para asignar el grupo de trabajo accedemos a Panel de control / Sistema y pinchamos Cambiar configuración. En la ventana que aparece podemos indicar el nombre de grupo, por ejemplo SMR2 (figura 2.16). De una forma similar, podemos hacer que un equipo forme parte de un dominio. Cada vez que asignemos un nuevo grupo de trabajo o dominio, el sistema nos pedirá que reiniciemos el equipo. En cuanto a los clientes, suponiendo que tienen instalada y configurada una tarjeta de red, realizamos las siguientes tareas:

– Les asignamos un nombre que los identifique en la red. – Les asignamos una dirección IP de entre estas dos posibilidades: • De manera estática dentro del mismo rango que el servidor. • De manera dinámica, para lo cual será necesario disponer de un ser vidor DHCP.

2.16. Asignación del nombre, grupo de trabajo y dominio a un usuario.

– Configuramos la máscara de red. – Les añadimos al mismo grupo de trabajo o dominio que el servidor. Para comprobar la conectividad entre el servidor y los clientes usamos el comando ping . Lo que haremos será un ping desde el cliente al servidor y otro desde el servidor al cliente. En la siguiente figura se muestra el resultado de hacer un ping desde el servidor al cliente para comprobar su respuesta. Como se puede observar, esta indica que hay comunicación entre el servidor y el cliente.

2.17. Resultado de hacer ping desde el servidor al cliente.

Ejemplos Configuraciones de red El siguiente es un ejemplo de configuración del servidor en IPv4: – Dirección IP: 192.168.1.1. – Máscara de red: 255.255.255.0. El siguiente es un ejemplo de configuración de un cliente: – Dirección IP: 192.168.1.107. – Máscara de red: 255.255.255.0. – Puerta de enlace: 192.168.1.1 (IP del enrutador que permite conectarse a Internet). – Servidor DNS primario: 192.168.1.2 (o algún servidor DNS externo conocido).

38

Casos prácticos

2

Asignación de una Unique Local Address Asigna una dirección IPv6 a la conexión de área local en el servidor y en un equipo cliente.

Solución �� Para asignar una dirección IPv6 a la conexión de área local sigue estos pasos: 1. Con un usuario administrador, accede a Centro de redes y recursos compartidos / Administrar conexiones de red. 2. Selecciona la conexión apropiada haciendo clic con el botón secundario sobre ella y pincha Propiedades. 3. En la ventana que aparece, selecciona Protocolo de Internet versión 6 (TCP/IP) y haz clic en Propiedades. 4. En el cuadro de diálogo Propiedades de Protocolo de Internet versión 6 (TCP/IPv6), selecciona la opción Usar la siguiente dirección IPv6 para asignarle manualmente los datos de configuración. 5. Añade los datos siguientes (figura 2.18): – Dirección IPv6: fd00::1. – Longitud de prefijo de subred: 64. – Puerta de enlace predeterminada: déjala en blanco. – Servidor DNS preferido: déjalo en blanco. – Servidor DNS alternativo: déjalo en blanco. 6. Pincha el botón Aceptar. 7. Cierra Propiedades de Conexión de área local. 8. Accede a las propiedades de red del equipo cliente. 2.18. Configuración de IPv6. 9. Repite en el equipo cliente los pasos del 1 al 5. Todos los datos son similares a los del servidor, excepto la dirección IPv6, que aquí será fd00::2. 10. Comprueba la conexión entre ambos equipos. Para ello, abre una ventana con el símbolo del sistema en el segundo equipo, escribe el comando ping fd00::1 y comprueba si hay o no conectividad:

2.19. Comprobación de la conexión entre equipos.

Actividades propuestas 11�� Muestra mediante una captura de pantalla la conexión entre el servidor y el cliente (comando 12�� Nombra ventajas de utilizar IPv6 frente a IPv4.

ping).

39


4 >> Actualización del servidor Antes de ponerse a trabajar con el servidor es importante ponerlo al día con las últimas actualizaciones publicadas. Esto puede realizarse desde el segundo apartado de la ventana Tareas de configuración inicial. Para habilitar las actualizaciones automáticas, en la ventana que aparece (figura 2.20) hay que hacer clic sobre Habilitar comentarios y actualizaciones automáticas de Windows . Esta opción no solo permite obtener las últimas actualizaciones de Windows, sino que además permite enviar informes de errores a Microsoft de manera anónima, con el objetivo de ayudar a corregir problemas y mejorar los productos.

2.20. Ventana de comentarios y actualizaciones automáticas.

Si pinchamos Configurar las opciones manualmente podremos configurar las actualizaciones automáticas de Windows, los informes de errores y el programa para mejorar la experiencia del usuario.

4.1 > Actualizaciones automáticas de Windows En el apartado Actualizaciones automáticas de Windows de la ventana Configurar las opciones manualmente (figura 2.21), podemos configurar las actualizaciones haciendo clic en Cambiar confi guración. En la ventana que aparece (figura 2.22) podemos realizar lo siguiente:

– Programar en un día y una hora concretos la descarga e instalación de actualizaciones automáticas. – Determinar que la descarga e instalación de actualizaciones se realice cuando el administrador lo crea conveniente. De esta manera se revisan las actualizaciones descargadas para instalar solo las que interesan. – Determinar la búsqueda de las actualizaciones pero que, antes de descargarlas e instalarlas, se solicite permiso. De este modo se nos informa de que existen actualizaciones pendientes mediante un icono o alerta que aparece en la barra de tareas del escritorio. – Determinar que no se busquen actualizaciones, opción que no se recomienda.

2.21. Ventana Configurar las opciones manualmente.

La opción Incluir las actualizaciones recomendadas cada vez que se descarguen o instalen actualizaciones, o cada vez que reciba una notificación sobre ellas, de la sección Actualizaciones recomendadas, sirve para que Windows busque las actualizaciones más críticas para su instalación. Para obtener las actualizaciones consideradas como no críticas, recomendables o con prioridad es necesario visitar el sitio web Microsoft Update de forma regular. Solo conviene instalar las actualizaciones de seguridad que afecten a las funciones y características del servidor.

2.22. Ventana Cambiar configuración.

40

4.2 > Informe de errores de Windows El objetivo del informe de errores de Windows es que Microsoft reci ba información sobre los problemas que se producen en el servidor para tratar de solucionarlos. Esta opción se encuentra habilitada de manera predeterminada tras la instalación del sistema operativo Windows 2008 Server. En el apartado Informe de errores de Windows de la ventana Configurar las opciones manualmente (figura 2.21), podemos configurar el envío de dicho informe haciendo clic en Cambiar configuración. Se nos mostrarán las siguientes opciones (figura 2.23):

2.23. Configuración de los informes de errores.

– No deseo participar; no volver a preguntar: deshabilita el envío de errores e impide que se consulte. – Preguntarme si deseo enviar informes cada vez que se produzca un error: deshabilita el envío automático, pero permite enviar información de aquellos errores que se quiera preguntándonos cada vez que se producen. – Sí, enviar automáticamente informes detallados. Notificarme si hay posibles soluciones al problema: si se produce un error se enviará automáticamente un informe detallado a Microsoft que puede incluir partes de los documentos con los que se estaba trabajando. – Sí, enviar automáticamente informes de resumen. Notificarme si hay posibles soluciones al problema: en caso de fallo, se enviarán a Microsoft informes que solo c ontengan datos de carácter no personal.

4.3 > Programa para la mejora de la experiencia del usuario (CEIP) El objetivo de este programa es recopilar información estadística acerca de la configuración del sistema, el rendimiento de los componentes, etc. La información que se envía no incluye datos personales que identifican al usuario o a la organización.

2.24. Configuración del programa de mejora de la experiencia.

En el apartado Programa para la mejora de la experiencia del usuario de la ventana Configurar las opciones manualmente (figura 2.21) podemos configurar el envío de este informe haciendo clic en Cambiar configuración. A continuación se nos ofrecerá la posibilidad de activar o desactivar nuestra participación en este programa (figura 2.24).

Actividades propuestas 13�� ¿Por qué crees que es importante que el sistema operativo esté actualizado? 14�� ¿Qué ventajas aporta activar el envío de informes de errores de Windows y el programa para la mejora de la experiencia del usuario?

41


5 >> Resolución de problemas durante la instalación Estos son algunos de los problemas habituales que podemos encontrar durante el proceso de instalación y sus posibles soluciones:

– No tener licencia de instalación o que la que se tiene no funcione: en este caso, en función del tipo de servidor y la edición elegidos, podremos instalar el servidor en modo de prueba durante 60 días ampliables a 180. – El servidor en máquina virtual va muy lento: repasaremos la asignación de recursos a la máquina virtual, ya que quizá hayamos asignado poca memoria. – No tener conexión de red: puede estar motivado por distintas causas. Comprobaremos si la tarjeta de red de la máquina virtual está bien configurada (trabajando en modo Bridged o NAT). Después comprobaremos la configuración de la red en el servidor. – Necesidad de instalar un driver adicional para que funcione el DVD u otro dispositivo: se podría dar el caso, muy poco habitual, de que Windows no reconociese un dispositivo, como la unidad de DVD. En dicho caso descargaríamos el driver solicitado y lo instalaríamos. Buscaremos la versión más actualizada de dicho driver que sea compatible con nuestro sistema operativo, ya que será la que tenga una mayor fiabilidad y un mejor nivel de seguridad. Además es importante comprobar que está certificado para garantizar que está libre de virus. – El dispositivo se ha dañado recientemente: en estos casos Windows podría no reconocer el dispositivo, así que tendríamos que repararlo. – Existencia de dispositivos incompatibles con la versión del sistema operativo: por no haber realizado correctamente las tareas de preinstalación, podría ocurrir que alguno de los dispositivos hardware de los que disponemos no sea compatible con el sistema operativo. La solución en este caso es sustituir el componente hardware o desistir en la instalación del sistema operativo.

Driver o controlador de

dispositivo Es el software que utiliza el sistema operativo para entenderse con los periféricos. Dado que existe una gran variedad de periféricos, el driver opera como traductor entre la gestión genérica de los periféricos por parte del sistema operativo y la peculiaridad hardware de cada dispositivo.

42

6 >> Documentación de la instalación e incidencias Es recomendable documentar todo el proceso de instalación para que quede constancia de las condiciones de partida de nuestra instalación (hardware inicial, controladores instalados, particionado de disco, opciones de instalación elegidas, usuarios, etc.) y de todos los cambios que realizamos durante el ciclo de vida del servidor (nuevas funcionalidades, servicios y programas, creación o eliminación de cuentas de usuario, ampliación y/o sustitución de partes del hardware instalado inicialmente, etc.).

Soporte técnico Centro de soporte técnico de Microsoft España:

La documentación de la instalación, así como de las posteriores modificaciones de sus parámetros, nos ayudará a detectar posibles problemas relacionados con instalaciones posteriores y actualizaciones. Además, otros posibles administradores podrán conocer el estado del servidor solo leyendo la documentación. La documentación le aporta mucha calidad a nuestros proyectos. Además, aunque sea siempre la misma persona la que administra los ser vidores de una empresa, tener documentado todo el proceso de instalación, actualización y actuaciones sobre el servidor ayuda a tomar el control del servidor y solucionar cualquier problema si por cualquier motivo dicha persona no está en un momento crítico.

http://support.microsoft.com Soporte técnico de TechNet:

http://technet.microsoft.com/es-es

Los problemas que pueden surgir se denominan incidencias. Cuando estas aparecen en los servidores se pone en marcha, en función de su gravedad, cierto protocolo de actuación con el fin de solucionarlas lo antes posible. Las incidencias tecnológicas que surgen en cualquier empresa son recogidas normalmente mediante alguna aplicación o base de datos destinada a tal fin y un equipo de técnicos preparado para ello se encarga de solucionarlas, documentando posteriormente dicha solución. En el caso de los servidores, las incidencias son más críticas y se requiere un mayor grado de especialización para solucionarlas. Muchas de las incidencias de los servidores se resuelven in situ, es decir, se actúa directa y físicamente sobre el servidor ubicado en una sala de servidores. Sin embargo, existe también la alternativa de actuar a distancia mediante distintas utilidades de gestión remota. Las páginas web de soporte de Microsoft ofrecen gran cantidad de información para poder resolver nuestras preguntas y problemas:

Vocabulario

– Centro de soporte técnico de Microsoft España. – Soporte técnico de TechNet de Microsoft.

Partner: empresas colaboradoras que

Además, existen foros de expertos que contienen multitud de preguntas y respuestas de gran interés.

ofrecen soporte técnico de un producto concreto (en nuestro caso Windows) y que mantienen un acuerdo de colaboración con el fabricante para que este les proporcione la documentación necesaria para resolver las incidencias como si fueran el propio fabricante.

Es importante insistir en la ventaja que supone que una empresa tenga contratado el soporte técnico del fabricante o de un partner del producto para resolver todas las incidencias que surjan. De no ser así, el administrador de sistemas tendrá que dedicarles tiempo adicional, lo que demorará la puesta en marcha del servidor y provocará pérdida de productividad en la empresa.

43


Ejemplos Documentación de una instalación de Windows Server 2008 SERVIDOR Fecha de revisión: 9/8/2013 NOMBRE DEL SERVIDOR

www

DOMINIO

fpcheste.com

CONF. DE RED

184.115.112.43

MARCA/MODELO

HP ProLiant BL490c G7 637392-B21

N.º DE SERIE

418315CZC7270XYZ

UBICACIÓN

CPD de Cheste

ID INTERNO

CPD-15

DETALLE DEL HARDWARE Fecha de revisión: 9/8/2013 PROCESADOR/ES

1 procesador Intel® Xeon® X5675 (6 core, 3,06 GHz, 12 MB L3, 95 W)

DISCO/S DURO/S

SAN EMC. Controladora SATA integrada

RAM

12 GB. PC3-10600 DDR3 RDIMMs and UDIMMs

TARJETA GRÁFICA

—

TECLADO

—

MONITOR

—

TARJETA/S DE RED

Controladora 10GbE NC553i FlexFabric 2 Ports

—

RATÓN

DETALLE DEL SOFTWARE Fecha de revisión: 31/8/2013 SISTEMA OPERATIVO LICENCIAS INSTALADAS

Windows Server 2008 R2

VERSIÓN

Standard

FECHA DE INSTALACIÓN

15/8/2013


16/8/2013

100 SP2

FECHA DE INSTALACIÓN ACTUALIZACIONES

FECHA DE INSTALACIÓN FECHA DE INSTALACIÓN FECHA DE INSTALACIÓN

APLICACIONES

IIS 7.5


Sharepoint Server 2010 SP1


17/8/2013

FECHA DE INSTALACIÓN FECHA DE INSTALACIÓN FECHA DE INSTALACIÓN

OTROS

31/8/2013: Warning 1582 en el arranque tras la instalación de Sharepoint

44

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué ventajas e inconvenientes ofrece la instalación de la opción Server Core de Windows Server 2008 R2? 2�� ¿Qué versión de Windows Server 2008 R2 es de 32 bits? 3�� ¿Qué es la Hardware Component List y para qué se usa? 4�� ¿Solo funciona para un sistema operativo aquel hardware que aparece en la Hardware Component List? ¿Por qué? 5�� Una aplicación que funciona para nuestra antigua versión del sistema operativo, ¿podría no funcionar para la nueva versión que instalemos? ¿Por qué? Indica las causas.

6�� ¿Qué criterios se siguen a la hora de crear particiones en el disco duro? 7�� ¿Qué sistema de archivos se recomienda utilizar en las instalaciones de servidores Windows Server 2008 R2? 8�� ¿Por qué motivo se realizan instalaciones de servidores desatendidas? 9�� ¿Qué nombre recibe la herramienta de Microsoft que automatiza el proceso de instalación de Windows? 10�� ¿Qué deberías hacer si a lo largo de una instalación son solicitados los drivers de un componente hardware que el sistema no reconoce?

11�� ¿Dónde puedes consultar en Internet las posibles soluciones a incidencias que ocurren en un sistema operativo de Windows?

12�� ¿Por qué es interesante contratar el soporte del servicio técnico de un producto? 13�� Haz una lista de todas las tareas que debes realizar una vez instalado el servidor. Justifica tu respuesta. 14�� ¿En qué consiste la descarga e instalación de las actualizaciones software en el servidor? 15�� ¿Cuándo recomendarías que se programaran las descargas de las actualizaciones en el servidor? Justifica tu respuesta.

16�� ¿Por qué es interesante documentar la instalación de un servidor y las incidencias que se producen? .: APLICACIÓN :. 1�� Prepara una máquina virtual para instalar Windows Server 2008 R2 Standard. Crea dos discos virtuales, uno de 30 GB y otro de 20 GB. El primero se usará para el sistema y el segundo para los datos.

2�� Documenta la instalación que has llevado a cabo en la actividad anterior. Puedes ayudarte del documento que se encuentra en el kit de recursos.

3�� Entra en la web de Microsoft del centro de descargas y ave rigua cuáles son las últimas actualizaciones recomendadas.

45


Caso final

3

Análisis de la instalación de un servidor Windows 2008 R2 �� La empresa Inforclever tiene que comprar un servidor que funcione con Windows 2008 R2 y que cumpla los siguientes requisitos: – Debe funcionar únicamente como servidor web y proporcionará acceso a una parte de manera anónima y a otra parte registrándose como usuario. – Debe dimensionarse para poder gestionar a entre 100 y 200 usuarios simultáneamente sin mermar su rendimiento. – El sistema de licencias debe ser el más económico posible que necesite el servidor para cumplir sus funciones. – Deberá permitir almacenar 200 GB de información de páginas web al año. a) ¿Qué versión del sistema operativo se debería instalar? b) ¿Qué características debería tener el procesador de nuestro servidor? c) ¿Qué requisitos mínimos debería tener la RAM del servidor? d) ¿Cómo deberíamos dimensionar el disco y planificar las particiones (incluido el tipo de sistema de archivos) si se quiere prever espacio suficiente para almacenar la información de los próximos cinco años? e) ¿Qué función o funciones del servidor deberíamos instalar?

Solución �� La respuesta a las preguntas sería la siguiente: a) La versión ideal para estas necesidades es Windows Web Server 2008 R2, ya que con ella no tenemos que limitar el número de licencias para acceder desde la web. Con un coste reducido podríamos disponer de las licencias de este servidor para todos los usuarios que queramos accediendo vía web. b) El procesador deberá ser de 64 bits para que pueda ejecutar Windows Web Server 2008 R2 y tendrá una velocidad mínima de 1,4 GHz y recomendada de a partir de 2 GHz. c) El servidor necesitará un mínimo de 2 GB de memoria RAM, recomendados para Windows Web Server 2008 R2. Dado que habrá muchos usuarios conectados simultáneamente, sería conveniente disponer de, al menos, 4 GB, para que pueda responder sin ralentizaciones. d) El disco duro se dividirá en dos partes: una partición para el sistema y otra para los datos. El sistema de archivos será en ambos casos NTFS, ya que ofrece mayor nivel de protección y seguridad. La partición para el sistema necesitará un mínimo de 32 GB, pero dado que haremos logs, instalaremos aplicaciones, etc., sería interesante disponer de un mínimo de 80 GB de espacio en disco para esta partición. Además, si en la partición de datos vamos a necesitar espacio para 200 GB/año para un total de cinco años, en ella necesitamos un mínimo de 1 TB. Siempre es recomendable prever algo más por si la estimación se queda corta. e) Instalaremos IIS (servidor web), que viene integrado en Windows.

46

Ideas clave

Preinstalación

– – – – – –

Elegir la versión del sistema operativo Estudiar la compatibilidad del hardware Estudiar la compatibilidad del software Estudiar el particionado Elegir el sistema de archivos Elegir los componentes y utilidades

Tipos

– Atendida – – Desatendida

Configuración inicial

Instalación

EL PROCESO DE INSTALACIÓN EN WINDOWS

Posinstalación

–Resolución de problemas

Documentación

Configuración de la información del equipo

– Establecer la zona horaria – Configurar las funciones de red – Proporcionar nombre y dominio al equipo

Configuración de la conectividad con los clientes

– Configuración del cortafuegos – IPv4 – IPv6

Actualización del servidor

– Actualizaciones automáticas – Informe de errores de Windows – Programa para la mejora de la experiencia del usuario (CEIP)



marca el inicio de la era del sistema operativo Cloud con Windows Server 2012 El nuevo software servidor se basa en la tecnología cloud computing para proporcionar un centro de datos moderno, sin límites y una avanzada plataforma de aplicaciones. Microsoft ha anunciado que ya está disponible la versión definitiva de Windows Server 2012, que marca el inicio de la era del sistema operativo Cloud. Microsoft ha utilizado su experiencia en el funcionamiento de centros de datos globales para construir Windows Server 2012 desde la nube, lo que permite a los clientes conseguir un centro de datos sin límites. De este modo Microsoft redefine el concepto de sistema operativo de servidor, incorporando tecnologías tradicionalmente separadas, como el almacenamiento, networking y funcionalidades avanzadas de virtualización y automatización. En combinación con Windows Azure y System Center, Windows Server 2012 va más allá de la virtualización y facilita a los clientes la gestión y el suministro de aplicaciones y servicios a través de entornos de nube privada, pública u hosteada. […] Andrew Buss, director de servicio de Freeform Dynamics Ltd., señala que la virtualización simplificada aporta ventajas de negocio muy significativas. «El mundo de los negocios cada vez es más rápido y competitivo. Por eso, las empresas de TI están ahora más presionadas que nunca y buscan mejorar la eficiencia ofreciendo mayor calidad en la prestación de servicios y respondiendo rápidamente a las nuevas oportunidades de negocio», explica Buss. «Para ello es clave invertir infraestructuras de servicios compartidos sobre una in-

fraestructura de virtualización que permita la gestión y monitorización integrada del servicio, sin tener que seguir empleando mucho tiempo, energía e inversión.»

El éxito de los clientes europeos con Windows Server 2012 Son muchos los clientes empresariales en Europa que ya están apostando por el gran potencial de Windows Server 2012 y comprobando los beneficios que aporta, como una mayor satisfacción de sus clientes, mejora en las medidas de seguridad y una mayor flexibilidad para los empleados que trabajan de forma remota. […] Studio Moderna, una plataforma de e-commerce multicanal líder en Europa Central y Oriental, ha elegido Windows Server 2012 para ahorrar costes. «Decidimos no pagar los 1,40 millones de euros en licencias a VMWare y adoptar Windows Server 2012 e Hyper-V para construir un modelo de nube privada para nuestros centros de datos regionales. Además, Windows Server 2012 ofrece soluciones de almacenamiento de archivos rentables para Hyper-V y SQL Server, gracias a las cuales contamos con una nueva plataforma para construir nuestro negocio», apunta Domen Ferbar, responsable de Administración de Sistemas Studio Moderna. […] Fuente: http://www.microsoft.com

Actividades 1�� ¿Qué ventajas ofrece aparentemente Windows Server 2012 frente a la virtualización con VMWare? 2�� ¿En qué productos basa sus servicios de virtualización Windows Server 2012?

u

n

i

d

a

d

3

Administración de servicios en Windows SUMARIO 

Administrador del servidor



Gestión de servicios



Gestión remota de servidores



Procesos



Programación de tareas

OBJETIVOS ·· Conocer la herramienta Administrador del servidor.

·· Aprender a instalar roles y características. ·· Aprender en qué consiste la gestión de servicios.

·· Conocer en qué consiste la gestión remota de servidores.

·· Saber cómo administrar los procesos. ·· Saber cómo programar tareas.

49

Unidad 3 - Administración de servicios en Windows

1 >> Administrador del servidor El Administrador del servidor (Server Manager) es la herramienta que nos proporciona Windows para agregar roles al servidor. Accedemos a ella siguiendo la ruta Inicio / Herramientas administrativas / Administrador del servidor o bien en la barra de tareas junto al icono de inicio.

Roles y funciones Lo que en la versión Windows 2008 Server se llamaba función, en la versión Windows 2008 Server R2 se denomina rol. Por tanto, lo que en la versión Windows 2008 Server se conocía como servicios de función, en la versión R2 se denomina servicios de rol.

3.1. Ventana principal del Administrador del servidor.

Con ella disponemos de un único punto desde el cual administrar el servidor e identificar posibles problemas. En función de la opción que elijamos en la columna de la izquierda, obtendremos información sobre el equipo, los roles o las características instaladas, sobre las incidencias que ha habido con ellas o sobre otras opciones de administración que estudiaremos en otras unidades.

1.1 > Instalación de roles, servicios de rol y características Antes de añadir un nuevo rol, servicio de rol o característica, podemos obtener un resumen de cuántos hay instalados en el servidor observando la ventana del Administrador del servidor. Añadiremos los roles, servicios de rol y características a nuestro servidor con el Administrador del servidor haciendo clic sobre la opción Agregar roles o Agregar características (figura 3.2).

3.2. Opciones Agregar roles y Agregar características.

50

Tras elegir una de esas opciones, aparece un asistente que nos señala los pasos a seguir para lograr una instalación c orrecta. Es posible que nos encontremos con roles, servicios de rol o características que requieran la instalación previa de otros; en este caso se nos indicará esta dependencia. En función del rol o de la característica instalada, podremos configurarla desde esta misma herramienta. Seleccionando en la columna de la izquierda la rama Roles, realizaremos todas las tareas relacionadas con ellos, como añadir nuevos roles o quitar los ya instalados. De forma análoga podemos hacer lo mismo con las características.

Consolas A las diferentes herramientas administrativas que podemos encontrar a través del menú Inicio / Herramientas administrativas, también se les denomina consolas.

Para cada rol instalado en el servidor podemos obtener la siguiente información:

– Un resumen del estado de los servicios del sistema: cuántos hay en ejecución, detenidos, etc. – Un resumen de los eventos generados por los servicios y componentes relacionados, incluyendo los detalles sobre cualquier tipo de error que pudiese haber ocurrido. – Un resumen de los servicios de rol instalados. Por defecto, el Administrador del servidor actualiza la información cada hora, pero también puede hacerse de forma manual seleccionando la opción de menú Acción / Actualizar. Asimismo es posible modificar el intervalo de tiempo entre actualizaciones automáticas. Para ello hay que acceder a la opción Configurar actualización que se encuentra en el panel inferior de la ventana principal. Un aspecto importante que debemos tener en cuenta como administradores es valorar la carga que va a suponer la instalación de roles en nuestro ser vidor, es decir, la cantidad de recursos que va a consumir. Esto vendrá dado por la naturaleza del rol, el número de usuarios que van a hacer uso del mismo, etc. Adicionalmente, tendremos que pensar en la seguridad: un rol mal configurado puede crear agujeros de seguridad importantes, por lo que, antes de decidirnos a instalarlo, debemos considerar las consecuencias colaterales que puede traer. Antes de instalar los roles deseados es recomendable haber realizado una serie de tareas previas, como asignar al usuario administrador una contraseña segura, asignar una dirección IP estática al servidor o tenerlo actualizado. De todo ello se nos advierte desde la herramienta Administrador del servidor.

3.3. Advertencia previa a la instalación de los roles.

Veamos a continuación, con un caso práctico, cómo agregar una característica al servidor.


Casos prácticos

51

1

Instalación de la característica de cifrado de unidad Bitlocker �� Instala en el servidor la característica Bitlocker, que permite cifrar los datos almacenados en un volumen NTFS en función del hardware del servidor. (Vamos a instalarla, pero no a configurarla, ya que no es objetivo de esta unidad y se necesitan unos requerimientos de hardware concretos.)

Solución �� Para instalar la característica Bitlocker en el servidor sigue estos pasos: 1. Ejecuta el Administrador del servidor y, en el panel izquierdo, selecciona Características. 2. En el panel derecho haz clic en la opción Agregar característica. 3. Selecciona Cifrado de unidad Bitlocker en el listado que aparece. A la derecha se puede observar la descripción de dicha característica. Continúa haciendo clic en Siguiente.

3.4. Selección de características de cifrado.

4. Aparece un mensaje de confirmación. Continúa pinchando Instalar. 5. Cuando termina la instalación aparece una ventana con el resultado de la misma. Esta también advierte que se debe reiniciar el sistema.

3.5. Ventana Resultados de la instalación.

6. Reinicia el sistema y, después, ejecuta el Administrador del servidor y accede a las características para comprobar que, efectivamente, se ha instalado la característica de cifrado de unidad Bitlocker.

Actividades propuestas 1�� Averigua qué tareas es posible administrar desde el Administrador del servidor. 2�� Modifica el intervalo de tiempo para la actualización automática e indica que se realice cada 30 minutos. 3�� Busca más información sobre la característica de cifrado de unidad Bitlocker.

52

2 >> Gestión de servicios Una de las filosofías más extendidas en la informática a nivel de servidores es el trabajo cliente-servidor, que consiste en la existencia de uno o más clientes que solicitan un servicio y un servidor que lo proporciona. Un servicio es un proceso o conjunto de procesos que el ordenador ejecuta para ofrecer una funcionalidad a todo aquel que se lo pida y esté autorizado. Los servicios de Windows son aplicaciones que se ejecutan en segundo plano, independientemente del usuario. Muchos de ellos se inician al arrancar el sistema. Además, podría darse la circunstancia de que un servidor actuase como tal para ciertos servicios y para otros como cliente. Algunos ejemplos de servicios ofrecidos por el servidor son:

Observación Para mejorar el rendimiento del sistema y evitar posibles vías de ataque se recomienda tener en ejecución solo aquellos servicios necesarios para el correcto funcionamiento del servidor.

– Terminal remoto, con el cual los clientes pueden conectarse al servidor mediante una conexión remota que les permite trabajar y utilizar los recursos de almacenamiento, procesamiento y memoria RAM del servidor. La comunicación entre cliente y servidor se limita al envío del interfaz de usuario de entrada (como el teclado y el ratón) y salida (principalmente el interfaz de usuario). – Servidor web IIS (Internet Information Server), que ofrece páginas web a los equipos clientes, que acceden a ellas a través de un navegador. – FTP (File Transfer Protocol), que transfiere archivos desde o hacia el servidor.

2.1 > Propiedades de los servicios Para poder ver los servicios disponibles, iremos al menú Inicio / Herramientas administrativas / Servicios.

3.6. Ventana Servicios.


Si seleccionamos uno de los servicios con el botón secundario del ratón y hacemos clic en Propiedades, veremos todos los detalles del mismo. La pestaña General muestra el nombre del servicio, su descripción, la ruta del archivo ejecutable, el tipo de inicio del servicio (automático, al iniciar el sistema, manual o deshabilitado) y su estado (iniciado, detenido, etc.).

3.7. Tipo de inicio del servicio Horario de Windows (W32Time).

Podremos cambiar el estado de un servicio utilizando los botones de la pestaña General o bien haciendo doble clic sobre el servicio. Puede darse la circunstancia de que al querer modificar el estado de un servicio, este solicite la modificación de otro. En la pestaña Dependencias se muestra un listado con todos aquellos servicios de los que depende el ser vicio en cuestión. Los servicios también se pueden controlar desde la línea de comandos mediante el comando sc, que permite comunicarse con el controlador de los servicios. Este comando se utiliza con los parámetros query o queryex. Por ejemplo:

– Para mostrar las características principales de todos los servicios del sistema y en qué estado se encuentran, escribiríamos:

C:\>sc query | more – Para mostrar solo los servicios inactivos, habría que añadir el parámetro state=inactive:

C:\>sc query state=inactive | more

53

54

2.2 > El servidor de actualizaciones de Windows (WSUS) No solo es importante tener actualizado el servidor, sino también el resto de los equipos de la red, más aún teniendo en cuenta, como administradores que somos, que muchas actualizaciones son parches de seguridad que solventan agujeros detectados o modificaciones de programas y utilidades que mejoran el funcionamiento. Si disponemos de pocos equipos, esta tarea puede hacerse de manera manual e individual. Sin embargo, si se tiene un número considerable, realizar la actualización de este modo podría llevar más tiempo del necesario y sobrecargar el tráfico de la red. Como solución a esta situación, Windows proporciona Windows Server Update Services (WSUS), o servidor de actualizaciones de Windows, un servicio que consiste, básicamente, en descargar en el servidor las actualizaciones que el administrador considere interesantes y configurar los clientes de manera que accedan al servidor para descargar estas actualizaciones e instalarlas (figura 3.8).

3.8. Windows Server Update Services.

Veamos con un caso práctico cómo agregar y configurar en el servidor el rol WSUS.

Casos prácticos

2

Agregar el rol WSUS �� Agrega el rol o función Windows Server Update Services (WSUS) al servidor. Solución �� Este proceso consta de dos partes: la instalación y la configuración. Instalación 1. Agrega el rol Windows Server Update Services. 2. Aparece un mensaje que indica la necesidad de tener instalados ciertos servicios de rol y roles previos, ya que el rol WSUS tiene dependencias. Instálalos pinchando Agregar servicios de rol requeridos (figura 3.9). 3. Una vez instalados todos los servicios necesarios, vuelve a agregar el rol WSUS.

3.9. Aviso sobre los roles de los que depende el rol WSUS.

55


2 4. En este momento arranca el asistente para la instalación del servicio WSUS. Tendrás que aceptar el acuerdo de licencia. 5. Es posible que aparezca una advertencia que indique que falta instalar algún componente. Si es así, pincha Aceptar y el asistente continuará. 6. Introduce la ruta E:\WSUS donde se almacenarán en el servidor las actualizaciones descargadas, de forma que los equipos clientes puedan acceder a ella para descargar las mismas de manera mucho más rápida y eficiente (figura 3.10). Pincha Siguiente. 7. Introduce la ruta E:\WSUS donde se almacenarán los datos de Windows Server Update. Para este caso práctico, acepta la opción Instalar Windows Internal Database en este equipo (figura 3.11). Pincha Siguiente. 8. En la ventana donde se especifica el sitio web que se debe usar, escoge la opción recomendada Usar el sitio Web predeterminado existente (figura 3.12). Haz clic en Siguiente.

3.10. Ruta donde se almacenarán las actualizaciones descargadas.

3.11. Ruta donde se instalará Windows Internal Database.

3.12. Selección del sitio web.

9. Aparece la ventana que indica que Windows Server Update está listo para instalarse y que muestra un resumen de la configuración especificada. Pinchando Siguiente se procederá a la instalación. Si todo ha ido bien, el asistente finalizará la instalación de WSUS. Configuración Una vez instalado el rol WSUS, aparece un nuevo asistente para su configuración: 1. Para poder configurar WSUS se necesita tener acceso a ciertos sitios de Internet que deberán estar habilitados en el firewall o en el servidor proxy, si es que hay alguno instalado. Estos son algunos de los sitios: – http://windowsupdate.microsoft.com – http://*.windowsupdate.microsoft.com 2. El primer paso del asistente advierte de una serie de cuestiones que hay que tener en cuenta para poder continuar. El siguiente pregunta si se quiere colaborar con el programa de mejora; en este caso práctico, responde que no. 3. Indica si el servidor va a descargar las actualizaciones desde Microsoft Update o si, por el contrario, las va a sincronizar de otro servidor WSUS. Elige la primera opción (figura 3.13) y pincha Siguiente. 4. No marques la casilla Usar un servidor proxy al sincronizarse y pincha Siguiente. Al indicar que no tienes servidor proxy, el servidor intentará conectarse a Internet para descargarse la lista de productos actuali- 3.13. Servidor de descargas de las actualizaciones. zada, los lenguajes disponibles y otro tipo de actualizaciones.

56

2 5. Si todo ha ido bien, ya se podrá configurar la lengua que se desea que contenga la plataforma (figura 3.14) y los productos para los cuales se quieren obtener las actualizaciones (figura 3.15), así como elegir los tipos o las clasificaciones de éstas, ya sean Updates, Security Updates, Critical Updates, Service Packs, etc. (figura 3.16).

3.14. Elección del idioma.

3.15. Selección de los productos de los que se quieren actualizaciones.

3.16. Elección actualizaciones.

de

los

tipos

de

6. Lo siguiente que deberás hacer es configurar el calendario de sincronización, es decir, indicar cuándo se va a querer que el servicio se conecte a Internet para realizar la descarga de las distintas actualizaciones (figura 3.17). 7. Por último, te preguntará si quieres abrir la consola administrativa al finalizar la configuración o iniciar la sincronización inicial. Selecciona la segunda opción (figura 3.18) porque estos pasos son opcionales y pueden hacerse más tarde. 8. De este modo el servidor ya está listo para descargar y almacenar las actualizaciones para que los equipos clientes puedan acceder a ellas (figura 3.19). 9. Haz clic en Finalizar.

3.17. Configuración del calendario de actualización.

3.18. Instalación finalizada.

3.19. Fin de la instalación.

10. Ahora, accediendo a Inicio / Herramientas administrativas, aparece la herramienta Windows Server Update Services. Una vez que está preparado el servidor, solamente faltaría realizar la configuración de los equipos clientes con los parámetros WSUS.


3 >> Gestión remota de servidores Es muy frecuente encontrar los servidores ubicados en salas aisladas por motivos de mantenimiento y de seguridad, por tanto es habitual que su administración se realice de forma remota. Para ello, el administrador del sistema establece conexión remota mediante una serie de utilidades nativas del propio sistema operativo o de terceros. Esta conexión debe establecerse de la forma más segura posible, ya que un acceso remoto no autorizado es un punto de entrada para acciones no deseables. Las dos formas más habituales de clasificar la administración remota son:

– En función del modo del servicio (modo texto o modo gráfico). – En función de si el servicio es orientado a sesión o no.

3.1 > Administración en modo texto Se denomina Telnet (Telelecommunication Network) el programa y el protocolo de red que sirven para acceder y utilizar remotamente un equipo a través de una red. Utiliza el puerto 23 y el protocolo de transporte TCP; además, está orientado a la sesión. Para utilizarlo, es necesario que el equipo al que se va a acceder tenga un programa que le permita recibir y gestionar las conexiones. Telnet utiliza el modo terminal (sin gráficos) y la comunicación viaja en texto plano (sin cifrar) a través de la red, lo que le hace ser muy poco seguro, ya que la conversación entre las máquinas podría ser fácilmente interceptada mediante un programa analizador de paquetes (packet sniffer). Para evitar problemas de seguridad se utiliza SSH (Secure Shell), que añade una capa de seguridad extra para cifrar la comunicación entre los dos equipos. Telnet también permite otros usos no relacionados con la administración remota, como realizar peticiones HTTP, consultar o enviar correos, etc. Algunos programas cliente Telnet son Putty, Zoc o NetRunner.

3.2 > Administración en modo gráfico En este modo de administración remota se utiliza la interfaz gráfica del sistema. Para la comunicación entre las máquinas emplea distintos protocolos. Los dos más comunes son el protocolo RDP (Remote Desktop Protocol) y el servicio VNC (Virtual Network Computing).

Protocolo RDP Remote Desktop Protocol es un protocolo desarrollado por Microsoft, que utiliza el puerto TCP 3389 y permite que la comunicación entre los dos equipos viaje en modo de texto cifrado. Se trata de un servicio orientado a sesión y es utilizado por programas de administración remota como Terminal Server y el escritorio remoto en Windows, y por rdesktop en sistemas GNU/Linux.

57

58

Servicio VNC

VNC El software VNC fue desarrollado originalmente por Olivetti & Oracle Research Labs en Cambridge (Inglaterra) y adquirido por AT&T, que finalmente cerró.

Virtual Network Computing es un software libre de escritorio remoto basado en la estructura cliente-servidor. Permite controlar el equipo servidor remotamente a través del equipo cliente, es decir, requiere la instalación de software en el equipo servidor y en el cliente. Actualmente, no es necesario instalar la versión cliente, ya que los navegadores llevan incorporada una herramienta para su control. Como característica principal de este servicio hay que destacar que puede ser utilizado para cualquier tipo de sistema operativo (es multiplataforma). Incluso el sistema operativo del servidor no tiene por qué ser el mismo que el del cliente. VNC utiliza mayor ancho de banda que Terminal Server debido a que envía capturas de pantalla a través de la red para ser mostradas por el programa cliente. Este software, al ser de código abierto, ha dado lugar a la aparición de varios programas con el mismo objetivo. La mayoría de estos son de soft ware libre bajo licencia GNU. Entre ellos destacan RealVNC, UltraVNC, TightVNC, TeamViewer, etc. Incluso hay disponibles versiones para los dispositivos móviles.

3.3 > Administración orientada o no a la sesión Se denomina sesión el tiempo que transcurre desde que un usuario se valida en un sistema operativo (inicio de sesión) hasta que sale de él (cierre de sesión). La administración remota no está orientada a la sesión cuando se puede ver remotamente lo que está haciendo un usuario en la pantalla del equipo que hace de servidor. Por tanto, cuando no se permite esta visualización remota se dice que está orientada a la sesi ón.

Telnet Texto SSH

Modo Terminal Server Gráfico VNC

SERVICIOS DE ADMINISTRACIÓN REMOTA

Telnet Orientados a sesión SSH

Sesión Terminal Server No orientados a sesión VNC 3.20. Tipos de administración remota.

59


3.4 > El escritorio remoto Un escritorio remoto permite que los usuarios de la red puedan conectarse al equipo que lo tenga habilitado proporcionando el nombre o la dirección IP del equipo y, normalmente, los datos de inicio de sesión, como usuario y contraseña. Cuando un usuario se conecta, utiliza una ventana que le permite interactuar con el equipo remoto como si fuera su equipo. Esto solo lo podrá realizar un usuario cada vez aunque haya varias sesiones activas, es decir, cuando un cliente remoto inicia sesión en el equipo, este pasará a estar bloqueado para que otros usuarios no puedan acceder a él.

Observación Los servicios de escritorio remoto están deshabilitados por defecto por motivos de seguridad. Se suelen utilizar otras herramientas de terceros para acceder remotamente al servidor.

La opción Habilitar el escritorio remoto aparece en la ventana Tareas de confi guración inicial. Si se selecciona, se abre la ventana Propiedades del sistema, donde se encuentra la pestaña Acceso remoto, que ofrece las siguientes opciones (figura 3.21):

– No permitir las conexiones a este equipo: no se habilita la asistencia remota. – Permitir las conexiones desde equipos que ejecuten cualquier versión de Escritorio remoto: se habilita la excepción en el cortafuegos que permitirá, en un principio, la asistencia remota para todos los adaptadores de red del equipo. Posteriormente se podrá configurar solo para aquel adaptador de red que se quiera. – Permitir sólo las conexiones desde equipos que ejecuten Escritorio remoto con Autenticación a nivel de red: se habilita la excepción en el cortafuegos que permitirá la asistencia remota. Cuando está activa una de las dos últimas opciones, es posible seleccionar los usuarios que podrán tener acceso remoto al equipo. Estos usuarios deben de pertenecer o bien al grupo administradores o al grupo Usuarios de Escritorio Remoto.

3.21. Pestaña Acceso remoto de la ventana Propiedades del sistema.

Casos prácticos

3

Acceso remoto a un servidor con Windows 2008 R2 Server �� Se quiere acceder de manera remota a un servidor con Windows 2008 R2 Server desde otro equipo de la red. Realiza este proceso.

Solución �� Para acceder de forma remota a un servidor con Windows 2008 R2 Server, sigue estos pasos: 1. Configura el servidor con Windows 2008 R2 Server para permitir conexiones que ejecuten cualquier versión del escritorio remoto: – Desde la ventana Tareas de configuración inicial, selecciona Habilitar Escritorio remoto. – En la pestaña Acceso remoto selecciona la opción Permitir conexiones que ejecuten cualquier versión de Escritorio remoto y agrega al administrador como usuario. Haz clic en Aceptar.

60

3 2. Accede a otro equipo de la red. Entra en Inicio / Todos los programas / Accesorios / Conexión a Escritorio remoto: – En la pestaña General, introduce el nombre del ordenador al que te quieres conectar, así como el nombre del usuario con el que se va a realizar la conexión (figura 3.22). En este caso será: • Nombre del equipo: SERVIDOR8. • Usuario: Administrador. – En la pestaña Recursos locales (figura 3.23): • En el apartado Audio remoto, pincha Configuración y selecciona Reproducir en este equipo. • En el apartado Teclado, selecciona en el menú desplegable Solo cuando se use la pantalla completa. • En el último apartado, se nos ofrece la posibilidad de utilizar los dispositivos conectados al equipo remoto.

3.22. Pestaña General de Conexión a Escritorio remoto.

3.23. Pestaña Recursos locales de Conexión a Escritorio remoto.

– La pestaña Programas permite que se inicie un programa determinado cuando se abra el escritorio remoto seleccionando la opción Iniciar el siguiente programa al conectarse. En este caso, déjalo con la opción sin marcar. – En la pestaña Rendimiento se puede configurar la velocidad de la conexión que se esté utilizando. Dependiendo de cuál sea, se determinarán los elementos de la lista más adecuados. En este caso, deja los propuestos. – En la pestaña Opciones Avanzadas se indica lo que se debe hacer cuando ocurra un error en la conexión. En el menú desplegable selecciona la opción Avisarme. 3. Una vez realizada la configuración, pincha Conectar. El programa te pedirá las credenciales para poder conectarte. Si la validación es correcta, se conectará al servidor desde nuestro equipo. Una vez configurada la forma de conexión, las siguientes conexiones se pueden realizar buscando los equipos de la red y haciendo clic con el botón segundario del ratón sobre el servidor, seleccionando Conectarse con Conexión a Escritorio remoto (figura 3.24). Aparecerá una ventana para introducir las credenciales. Tras introducirlas y aceptar, conectará con el equipo remoto.

3.24. Menú contextual para conectarse al escritorio remoto.

61


3.5 > Administración remota de servidores Windows Se puede acceder a los servidores Windows de un dominio de manera remota utilizando las herramientas de Administrador del servidor y las consolas de administración (MMC). También es posible administrarlo a través de equipos pertenecientes a un grupo de trabajo externo al dominio, siempre y cuando hayan sido dados de alta como equipos de confianza en el dominio. Para poder administrar equipos con el sistema operativo Windows 2008 R2 de manera remota, se deben utilizar equipos con el sistema operativo Windows 7 instalado, en cualquiera de sus versiones, siempre y cuando tengan el Service Pack 1 instalado, o mediante equipos que posean el sistema operativo Windows Server 2008 R2, si se instalan las herramientas de administración remota del servidor RSAT (Remote Server Administration Tools). Las posibilidades que se pueden encontrar para realizar el acceso remoto al servidor son:

– De servidor a servidor: a través de la herramienta Administrador del servidor de un equipo con Windows Server 2008 R2 se pueden administrar los roles y las características de otro servidor que tenga instalado el mismo sistema operativo. – De cliente a servidor: siempre y cuando se instale la herramienta Administrador del servidor en un equipo con Windows 7, que permite administrar los roles y las características de un equipo con Windows Server 2008 R2. En la siguiente tabla se pueden ver las diferentes posibilidades de administración remota:

Equipo remoto Dominio A Dominio A Equipo de origen

Dominio B Grupo de trabajo

Dominio B

Grupo de trabajo

Dominio C (agregado como host de confianza)

Sí

Sí

Sí Sí

Se debe tener en cuenta que, para poder realizar la administración remota, en los equipos hay que modificar servicios, habilitar puertos, activar directivas de seguridad, etc.

Actividades propuestas 4�� Visualiza los servicios de tu servidor Windows utilizando el comando sc. 5�� Muestra qué servicios tienes inactivos en estos momentos en tu servidor utilizando el comando sc. 6�� Busca en la ayuda del comando sc que más acciones permite realizar. Cita algunas de ellas.

62

4 >> Procesos Procesos no deseados Muchos virus y troyanos se esconden bajo la apariencia de procesos. Hoy en día existen páginas web con librerías de procesos que permiten la consulta de aquellos que resultan sospechosos.

Los procesos son programas que están en ejecución. Aquellos que han sido lanzados por el sistema son conocidos como servicios. Para poder gestionar los procesos, Windows proporciona la herramienta Administrador de tareas, que puede invocarse pulsando las teclas + + o bien haciendo clic con el botón secundario del ratón sobre la barra de tareas y eligiendo la opción Iniciar Administrador de tareas.

3.25. Ventana Administrador de tareas de Windows.

Esta herramienta ofrece información diversa dividida en las siguientes pestañas:

– Aplicaciones: muestra las aplicaciones que están en ejecución, permitiendo poder terminar una de ellas o crear una nueva desde el menú Archivo. Se muestran los programas que el usuario tiene abiertos en el momento de invocar esta herramienta. – Procesos: muestra los procesos que en ese momento se están ejecutando en el sistema. En este listado aparecen tanto los procesos lanzados por las aplicaciones que se están ejecutando en ese momento como los lanzados por el propio sistema operativo. Para cada proceso se puede visualizar una gran cantidad de información (nombre, descripción, porcentaje de uso de CPU, etc.). Desde el menú Ver, podemos seleccionar qué columnas visualizar (figura 3.26). Al seleccionar un proceso de la lista con el botón secundario del ratón (figura 3.27) se puede:

3.26. Selección de las columnas que aparecen en la pestaña Procesos.

• Abrir la ubicación del archivo: localizar físicamente dónde se encuentra el ejecutable. • Terminarlo: detener su ejecución. • Finalizar el árbol de procesos: detener toda la rama de procesos asociados. • Crear un archivo de volcado, si lo creemos necesario. • Modificar su prioridad con respecto al resto de procesos. • Ver las propiedades: obtener información acerca del proceso, como permisos, ubicación, etc.

63


3.27. Menú contextual de los procesos.

– Servicios: muestra un listado con los servicios disponibles. – Rendimiento: muestra el uso de la CPU y la memoria RAM por parte de las tareas en ejecución.

Para el administrador La pestaña Rendimiento del Administrador de tareas es una herramienta muy útil para un administrador de sistemas, dado que permite ver, gráficamente y mediante la lectura de los parámetros, el grado de utilización de la CPU, la memoria, etc.

3.28. Pestaña Rendimiento del Administrador de tareas de Windows.

– Funciones de red: muestra cómo se está utilizando la conexión de red. En el caso de que hubiese más de una interfaz de red, se mostrarían en la parte inferior, pudiéndose elegir aquella cuyo funcionamiento se quiera ver. – Usuarios: muestra los usuarios que actualmente han iniciado sesión en el servidor, bien local o remotamente. Se podrán desconectar o también enviar un mensaje al usuario seleccionado.

Actividades propuestas 7�� Averigua cuántos procesos se están ejecutando actualmente en el servidor. 8�� ¿Para qué le puede ser útil a un administrador la pestaña Rendimiento del Administrador de tareas?

64

5 >> Programación de tareas La Programación de tareas es una herramienta verdaderamente útil para el administrador del sistema, ya que permite automatizar la realización de ciertas tareas, como copias de seguridad, actualizaciones de antivirus o del sistema, etc. Estas operaciones implican condiciones especiales que se cumplen muchas veces en horario nocturno o festivo, lo que dificulta su realización si ésta se lleva a cabo de forma manual. Dado que la realización de copias de seguridad requiere en ocasiones que los sistemas o determinadas aplicaciones estén detenidos y sin usuarios trabajando, estas suelen realizarse durante la noche. Las actualizaciones del sistema, por ejemplo, ocupan mucho ancho de banda y ralentizarían el acceso de los usuarios a l os servidores o a Internet si se realizaran en horario de trabajo normal. 3.29. Menú Herramientas administrativas.

Para ejecutar esta herramienta tenemos que acceder a Inicio / Herramientas administrativas / Programación de tareas (figura 3.29), o también podemos hacerlo desde el Administrador del servidor, desplegar la rama Configuración / Programador de tareas.

Observación El Programador de tareas también puede iniciarse desde la línea de comandos mediante el siguiente comando: Taskschd.msc 3.30. Ventana Programador de tareas.

Todas las tareas que hayamos creado, con el fin de que se ejecuten en algún momento según la planificación deseada, se almacenan en la Biblioteca del Programador de tareas. Podemos ver los detalles de cada una de ellas seleccionándola. En el panel de la derecha, o bien mediante el menú Acción, se puede crear una tarea, mostrar las tareas que se están ejecutando en ese momento o importar una ya creada con anterioridad.

Segundo plano

Disponemos de dos opciones:

Las tareas pueden ejecutarse en segundo plano, de manera que el usuario no sea consciente de ellas y pueda seguir con sus labores.

– Crear una tarea básica con un asistente para la planificación de tareas sencillas. – Crear una tarea haciendo uso de las opciones avanzadas de configuración.

65


Casos prácticos

4

Creación de una tarea programada Crea una tarea programada que realice un escaneo del disco duro.

Solución �� Para crear esta tarea programada debes seguir estos pasos: 1. Inicia el Programador de tareas. 2. Selecciona la opción Crear tarea básica del panel de la derecha o bien del menú Acción. 3. Rellena la información que solicita el asistente:

3.31. Nombre y descripción de la tarea.

4. Selecciona cuándo quieres que se realice la tarea.

3.32. Selección del periodo de ejecución de la tarea.

3.33. Descripción del momento de ejecución de la tarea.

5. Indica el tipo de acción que se debe realizar.

3.34. Selección de la acción que realizará la tarea.

3.35. Programa que ejecutará la tarea.

6. Haciendo clic en el botón Siguiente se mostrará un resumen de la tarea programada. Si todo es correcto, pincha Finalizar y la tarea se habrá creado.

Actividades propuestas 9�� ¿En qué tipo de equipos crearías tareas programadas y con qué fin?

66

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿En qué consiste un servicio? 2�� ¿Cuáles son los estados en los que puede encontrarse un servicio? 3�� Indica los pasos que se deben seguir para cambiar de estado un servicio. 4�� ¿De qué distintas maneras podemos ver los servicios que se están ejecutando en el servidor? 5�� Explica en qué consiste el servicio Windows Server Update Service. 6�� ¿Quién crees que debería utilizar el escritorio remoto en una organización? 7�� Haz una lista de las ventajas que ofrece el escritorio remoto y otra de sus desventajas. 8�� ¿En qué consiste un proceso? ¿Se pueden detener los procesos? 9�� ¿Cómo podemos ver los procesos que se están ejecutando en el servidor? 10�� ¿Qué proceso es el que más CPU está consumiendo en tu ordenador? 11�� ¿Cuál es el objetivo de la programación de tareas en un servidor? 12�� Indica qué ventajas proporciona el servicio Windows Server Update Services. 13�� ¿En qué situaciones recomendarías la instalación de este servicio? 14�� ¿Qué tipo de tareas son las que dan pie a que sean programadas por el administrador? Nombra algunas de ellas. .: APLICACIÓN :. 1�� Agrega el rol de servidor web. Explica paso a paso cómo lo has hecho y muestra una captura de pantalla con la función instalada.

2�� Indica dónde se muestra la información sobre los roles o funciones que están instalados en el servidor. 3�� Busca el servicio del cortafuegos de Windows y realiza lo siguiente: a) Observa en qué estado está y qué tipo de inicio tiene. b) Detenlo y cambia el tipo de inicio a manual. c) Haz una captura de pantalla. d) Vuelve a ponerle el tipo de inicio que tenía en principio e inícialo.

4�� Busca en diferentes páginas web la descripción de los principales procesos del sistema Windows.

5�� Añade a la pestaña Procesos del Administrador de tareas la columna Tiempo de CPU.

6�� Realiza una tarea programada que apague el equipo a las 22:00 horas todos los días.

67


Caso final

5

Administración de servicios �� La empresa Electric S.L. te pide consejo para poder administrar su servidor. a) Quieren que el servidor asigne automáticamente las direcciones IP al resto de equipos de la red sin necesidad de instalar ninguna aplicación externa. ¿Qué función sugerirías que tuvieran instalada para realizar dicha tarea? Explícales cómo deben instalarla. b) Están teniendo problemas con el tráfico de red y les gustaría poder observar la carga de red. Explícales qué característica deberían tener instalada para tal finalidad e indícales los pasos a seguir para instalarla. c) Están notando que el servidor va lento y no saben el motivo. Un consultor externo les ha sugerido que averigüen qué procesos tienen ejecutándose. Explícales cómo averiguar qué procesos se están ejecutando y cuál de ellos es el que más memoria RAM y CPU está ocupando. Indícales también cuáles son los pasos para añadir la columna Tiempo de CPU en caso de que no la tuvieran. Muestra capturas de pantalla con los resultados. d) Ayúdalos a crear una tarea programada que ejecute la herramienta del sistema Desfragmentador cada viernes a las 20:00 horas.

Solución �� Las tareas solicitadas se realizan de la siguiente forma: a) Deben comenzar iniciando el Administrador del servidor. A continuación, seleccionar la opción Roles del panel izquierdo y en el panel derecho elegir Agregar roles. Del listado de roles o funciones que se muestra, han de seleccionar Servidor DHCP y seguir los pasos que se les indiquen. b) Tienen que iniciar el Administrador del servidor, seleccionar Características del panel izquierdo y, a continuación, del panel derecho, Agregar características. Del listado que aparece deben señalar Equilibro de carga de red y seguir los pasos. c) Primero deberán ejecutar el Administrador de tareas de Windows. Luego irán a la pestaña Procesos y harán clic sobre la columna Memoria (espacio de trabajo privativo) para que se ordenen de mayor a menor y así puedan saber cuál es el proceso que requiere más memoria. Para agregar una nueva columna, deben ir al menú Ver / Seleccionar columnas y, del listado que aparece, elegir Tiempo de CPU. Una vez está la columna en el Administrador de tareas, tendrán que ordenar los procesos haciendo clic sobre ella. d) Para crear la tarea programada debes seguir los siguientes pasos: 1. Elige Tareas Programadas. 2. Haz clic en Crear una tarea básica y añade un nombre para ella y una breve descripción. 3. Selecciona Desencadenador, es decir, cuándo deseas que se inicie la tarea. En este caso, indica que se rea lice semanalmente y haz clic en Siguiente. 4. Introduce la fecha de inicio y la hora a la que quieres que se ejecute la tarea, así como la cantidad de semanas que se ha de realizar y el día concreto de la semana en el que tendrá lugar. En tu caso, indica la fecha de hoy o la del próximo viernes, a las 20:00, y que se repita los viernes de cada semana (figura 3.36). Pincha Siguiente. 5. Selecciona qué acción se quiere realizar, en este caso es Iniciar un programa. Haz clic en Siguiente. 6. Elige el programa mediante el botón Examinar, en este caso el desfragmentador es el programa 3.36. Descripción del periodo de realización de la tarea. dfrgui.exe. Haz clic en Finalizar.

68

Ideas clave

ADMINISTRACIÓN DE SERVICIOS EN WINDOWS

Administrador del servidor

Instalación de roles, servicios de rol y características

Gestión de servicios

Windows Server Update Services

Gestión remota de servidores

Procesos


– Administración en modo texto – Administración en modo gráfico – Administración orientada o no a la sesión – El escritorio remoto – Administración remota de servidores Windows



Microsoft Intune,

qué es y para qué sirve Windows Intune es una plataforma

que reúne en una sola consola los servicios en la nube con los que cuenta Microsoft. Está pensado para aquellas empresas (sobre todo empresas que cuentan con diez o más equipos informáticos) que quieran contar con una plataforma de gestión centralizada para actualizar Windows en todos los equipos, proteger el sistema de amenazas o implantar diversas soluciones de software en la red empresarial (uno de los ejemplos más claros de esta posibilidad es Microsoft Office). Microsoft incorporará novedades a esta plataforma para mejorar el uso y el rendimiento que ofrece. A continuación te contamos en profundidad en qué consiste Windows Intune y las últimas características de esta plataforma. Desde hace unos años, Microsoft está realizando una inversión muy fuerte en todos sus servicios en la red, obteniendo unos resultados que todavía no han respondido a la inversión realizada. No obstante, la idea que está tras Windows Intune es bastante interesante, ya que en muchas ocasiones las empresas mantienen estructuras anticuadas, tanto en sistemas operativos como en software, por el tiempo y la inversión que requiere realizar la migración hacia plataformas más modernas. Una de las principales características de Windows Intune es que permite realizar los procesos de actualización del sistema Windows (y pronto de programas

de software) de manera centralizada, evitando así los problemas que se derivan de estar trabajando con varias versiones al mismo tiempo y ahorrando tiempo a los equipos de IT. Otra de las ventajas que tiene Windows Intune es que incluye las actualizaciones del sistema de Windows sin ningún cargo extra, de modo que se facilita la migración a las nuevas versiones de Windows (dentro de unos meses saldrá al mercado Windows 8 Empresarial) mientras dure el contrato. Uno de los puntos que también ha querido destacar Microsoft sobre esta plataforma es la protección que incluye a través de las herramientas de seguridad de Microsoft que se utilizan en las soluciones Microsoft Forefront Endpoint Protection y Microsoft Security Essentials (el antivirus integrado en Windows 7). Además de esta protección, Windows Intune permite, como cabría esperar, desplegar las actualizaciones de seguridad de Windows y los Service Packs. La plataforma se puede configurar para recibir notificaciones cuando no se instalen actualizaciones de seguridad importantes o cuando se detecte alguna posible amenaza. Además, cuenta con herramientas para realizar informes pormenorizados de todos los aspectos de la plataforma. Entre las novedades que se han incorporado a esta solución podemos en-

contrar la posibilidad de distribuir software o una necesaria incorporación para completar las funcionalidades de la plataforma, como también la posibilidad de controlar hasta cuatro dispositivos móviles por cada puesto. Este control incluye la mejora de las contraseñas o el borrado remoto del terminal en caso de extravío o robo. Funciona con los sistemas operativos móviles Windows Phone, iOS y Android. Por último, también hay que destacar que se podrá crear un portal de empresa donde la organización coloque aquellas aplicaciones que crea más interesantes para el empleado y desde donde este pueda descargárselas accediendo desde un por tátil, un móvil o una tablet. El precio de Windows Intune es de 11 euros por equipo y mes. Fuente: http://www.tuexpertoit.com

Actividades 1�� ¿Qué ofrece Intune? 2�� ¿Qué ventajas proporciona?

u

n

i

d

a

d

4

Administración de usuarios y grupos locales en Windows SUMARIO 

Configuración y gestión de cuentas de usuario y grupos locales



Listas de control de acceso



Configuración y gestión de políticas de usuario y privilegios. Directivas de grupo local

OBJETIVOS ·· Conocer el concepto de usuarios locales y su gestión.

·· Agrupar los usuarios en grupos locales para una gestión más flexible de sus permisos.

·· Conocer los permisos que se asignan a usuarios y grupos.

·· Conocer qué es y cómo configurar una directiva de grupo local.

71

Unidad 4 - Administración de usuarios y grupos locales en Windows

1 >> Configuración y gestión de cuentas de usuario y grupos locales La gestión de usuarios y grupos es una de las tareas más importantes de un administrador de sistemas. La forma que tiene un administrador de dar acceso a los usuarios y controlar sus operaciones dentro de un sistema informático es a través de las cuentas de usuario. Una cuenta de usuario concede a una persona privilegios y permisos para trabajar con el sistema informático. La persona se autenticará en el sistema mediante un usuario y una contraseña, que constituyen sus credenciales. Una cuenta de usuario permite:

– – – –

Autenticar la identidad de la persona que inicia la sesión. Asignar permisos y privilegios dentro del sistema. Controlar el acceso a los recursos. Auditar las acciones del usuario.

Configurar la cuenta de un usuario no es una labor difícil, pero si el número de usuarios que se debe gestionar crece, la labor de asignar permisos y privilegios puede resultar larga y tediosa.

Autenticación de usuario Al mecanismo que se encarga de comprobar la identidad del individuo se le llama autenticación de usuario. Lo más habitual es autenticarse mediante un nombre de usuario y una contraseña, pero existen otros mecanismos de autenticación como reconocimiento de voz, reconocimiento del iris del ojo, tarjeta electrónica de identificación, etc.

Por ejemplo, pensemos en una empresa con distintos departamentos, dentro de los cuales hay usuarios que tienen asignados distintos permisos y privilegios para la utilización de los recursos (acceso a directorios, algunos con permiso para leer y escribir y otros solo para leer, utilización de ciertas impresoras, etc.). En esta situación, la creación y configuración de cada una de las cuentas de usuario para cada persona de la empresa puede complicarse. Para mejorar la gestión de usuarios se utilizan los grupos, los cuales hacen posible que los permisos asignados al grupo sean heredados por todos los usuarios que pertenecen a él, lo que genera una gestión más cómoda. Es muy importante seguir estrategias de división de usuarios en grupos, ya que si creamos los grupos con criterio facilitaremos mucho la tarea de asignación de permisos y privilegios. En Windows, un usuario puede pertenecer a varios grupos y tener los permisos de todos ellos simultáneamente, es decir, disponer de la suma de todos los permisos que tienen sus grupos, así como de los propios de su cuenta de usuario. Los usuarios y los grupos pueden ser de dos tipos:

– Usuarios y grupos locales: son los creados en un equipo y su límite es la propia máquina. Permiten iniciar la sesión y acceder a los recursos del equipo o servidor donde se creó la cuenta. Los grupos locales pueden contener cualquier usuario o grupo local y solo son visibles desde el equipo donde se han creado. – Usuarios y grupos de dominio: permiten al usuario iniciar la sesión en el dominio y obtener acceso a los recursos de la red. Se almacenan en el Active Directory. Estos permisos son más convenientes en redes de tamaño medio y grande, ya que permiten que los usuarios se validen una sola vez y accedan a todos los recursos de la red sobre los que dispongan permisos.

4.1. Iconos de usuario y grupo.

72

1.1 > Usuarios y grupos locales predeterminados Windows 2008 tiene usuarios y grupos creados por defecto y cada uno de ellos tiene una función. Los usuarios locales predeterminados son (figura 4.2):

4.2. Usuarios locales predeterminados. La flecha hacia abajo en la cuenta de Invitado indica que está deshabilitado.

– Administrador: esta cuenta dispone de control total sobre el servidor. Puede crear y gestionar tanto usuarios como grupos. Pertenece al grupo predefinido Administradores. Para el trabajo cotidiano del administrador, este debe utilizar otra cuenta con permisos más limitados. Además, debemos cambiarle el nombre al administrador para no dar pistas a los posibles intrusos. Para ello, deshabilitaremos esta cuenta y crearemos otro usuario con otro nombre dentro del grupo de administradores. – Invitado: se usa para los usuarios que no disponen de cuenta en el equipo, ya que no se necesita contraseña lo que supone un riesgo ya que cualquier usuario puede acceder a ella. Esta cuenta está deshabilitada por defecto por motivos de seguridad y se recomienda mantenerla así. Los grupos locales predeterminados más importantes son (figura 4.3):

4.3. Grupos locales predeterminados.

Criptografía La criptografía es la ciencia que estudia las técnicas que transforman un conjunto de datos en un conjunto de datos cifrados. Se utiliza para transmitir datos de forma segura, de modo que solo el destinatario pueda leer los datos originales.

Escritorio remoto Un escritorio remoto es una tecnología que permite abrir una ventana donde visualizamos el escritorio del servidor al que nos conectamos, tal como si estuviéramos trabajando directamente en el propio servidor.

– Administradores: sus miembros tienen control total sobre el servidor, por lo que pueden asignar permisos y derechos. Se recomienda reducir al mínimo imprescindible los miembros del grupo Administradores, ya que estos pueden realizar cualquier operación. – Operadores de copia de seguridad: permite a sus miembros realizar copias de seguridad y restaurarlas, independientemente de si poseen permisos de lectura o escritura sobre los archivos que realizan o restauran la copia. Es decir, un operador de copia deberá poder sustituir un archivo por el de una copia anterior, aunque no tenga permiso de escritura sobre él. – Operadores criptográficos: permite a sus miembros realizar operaciones criptográficas sobre el sistema. – Invitados: sus miembros disponen de un perfil temporal cuando crean la sesión y este se elimina cuando la sesión termina. – Operadores de configuración de red: sus miembros pueden modificar la configuración de red del servidor. – Usuarios del monitor del sistema: permite a sus miembros monitorizar el sistema para ver el rendimiento del servidor. – Usuarios del registro de rendimiento: permite a sus miembros administrar los contadores de rendimiento, los registros y las alertas del servidor. – Usuarios avanzados: existe por compatibilidad con versiones anteriores. Antes permitía a sus miembros hacer operaciones especiales como cambiar la hora del sistema. Actualmente tiene los mismos privilegios que el grupo Usuarios. – Usuarios: sus miembros tienen permiso para realizar las tareas más habituales. – Usuarios de escritorio remoto: sus miembros pueden acceder al servidor mediante un terminal remoto. Existen otros usuarios y grupos locales predeterminados que se añaden al instalar determinadas funcionalidades. Tal es el caso del grupo IIS_IUSRS que viene con la funcionalidad Internet Information Services.

73


1.2 > Buenas costumbres en la gestión de usuarios y grupos locales Varias son las recomendaciones para mejorar la seguridad de nuestro sistema en cuanto a la administración de usuarios y grupos se refiere. Entre ellas destacan las siguientes:

– No trabajar habitualmente con cuentas administrativas, ya que podemos realizar operaciones no deseadas. En caso de tener que ejecutar alguna aplicación con perfil de administrador podemos utilizar la opción Ejecutar como Administrador que aparece en el menú contextual de las aplicaciones. – Que el número de usuarios con privilegios de administrador sea el menor posible. – Mantener deshabilitada la cuenta Invitado para evitar que cualquier usuario acceda al sistema. – Deshabilitar la cuenta Administrador. Si la tenemos habilitada, los hackers conocerán de antemano el nombre de la c uenta y solo necesitarán averiguar la contraseña. – Como regla general, asignar los permisos siempre a grupos y no a cuentas de usuario. – Educar a los usuarios en no difundir su contraseña.

Observación Aunque deshabilitemos la cuenta Administrador, siempre podemos acceder a ella en el modo Prueba de fallos.

Protección de la contraseña Concienciar al usuario del hecho de que publicar la propia contraseña es como prestar las llaves de casa para que nos roben es una tarea de los administradores del sistema. Lamentablemente es bastante habitual ver que el usuario utiliza una contraseña complicada y la deja escrita en un postit pegado a la pantalla del ordenador. En ese caso, de poco sirve que la contraseña sea compleja.

Ejemplos Creación de usuarios y grupos locales Crea cuatro usuarios llamados Usuario1, Usuario2, Usuario3 y Usuario4, y un grupo llamado Grupo1 donde estén incluidos Usuario2 y Usuario3: 1. Abrimos Administración del equipo local y nos dirigimos a Herramientas del sistema / Usuarios y grupos locales / Usuarios. 2. En el menú Acción, seleccionamos Usuario nuevo y configuramos los datos del nuevo usuario y su contraseña (figura 4.4). 3. Después de crear los cuatro usuarios, nos dirigimos a Herramientas del sistema / Usuarios y grupos locales / Grupos. 4. En el menú Acción, seleccionamos Grupo nuevo, donde podemos configurar los datos del grupo. 5. Pinchamos Agregar para añadir usuarios al grupo. Una vez añadidos todos los datos hacemos clic en Crear (figura 4.5).

4.4. Creación de un usuario nuevo.

4.5. Creación de un grupo nuevo.

74

1.3 > Configuración del entorno personal de los usuarios Además de las propiedades de la contraseña y de su pertenencia a grupos, podemos configurar el entorno de un usuario. Para ello, seleccionaremos Propiedades en el menú contextual del usuario y se abrirá así una ventana con las siguientes pestañas (figura 4.6):

– General: contiene la información básica del usuario junto a l as propiedades de su contraseña. Además, permite deshabilitar la cuenta. – Miembro de: lista de grupos a los que pertenece el usuario. – Perfil: configuración de las siguientes opciones del perfil del usuario:

4.6. Ventana de propiedades del usuario.

Vocabulario Mapear: asignar una ruta de una carpeta compartida en red a una unidad de un servidor.

Virtual Private Network (VPN)

Una VPN es un sistema de conexión entre dos redes o de un equipo a una red a través de una red pública como si estuvieran en la misma red local. Este sistema ofrece un túnel en las comunicaciones, por lo que la comunicación viaja cifrada a través de la red pública. Con VPN, trabajadores que están en cualquier ubicación con una conexión a Internet pueden trabajar como si estuvieran dentro de su empresa.

• Ruta de acceso al perfil: carpeta donde se almacena el perfil del usuario. • Script de inicio de sesión: conjunto de instrucciones programadas que se ejecuta al inicio de la sesión del usuario. Suele ser muy habitual crear un guión donde se configuren las unidades de red que se mapean en los usuarios y configurar ahí que ejecuten estos comandos. • Carpeta particular: es la carpeta personal del usuario. Puede estar localizada en el mismo servidor o en un servidor remoto, en cuyo caso se mapeará una unidad al usuario con la carpeta personal. Es muy interesante, trabajando en dominios, poder almacenar los datos de los usuarios en un servidor remoto, para que estos estén disponibles para el usuario, independientemente del equipo desde el que se conecte. Estos datos son accesibles para el usuario a través de la red, pero no se sincronizan al equipo local cada vez que el usuario se conecta.

– Entorno: contiene la configuración del entorno del usuario. Permite que el usuario mantenga en el siguiente inicio las unidades que el propio usuario se había mapeado, las impresoras configuradas y la impresora por defecto. Además, permite que se arranque una aplicación cuando el usuario inicia la sesión e, incluso, definir la carpeta de trabajo de esa aplicación. Esto suele ser útil si el usuario debe trabajar habitualmente con una aplicación. – Sesiones: en ella se definen el tiempo máximo que se mantiene activa una sesión desconectada del escritorio remoto, el tiempo máximo de una sesión activa y de una sesión inactiva y otros parámetros referentes a las sesiones de escritorio remoto. – Control remoto: permite habilitar la configuración del control remoto de servicios de Terminal Server, indicar si el usuario debe conceder el permiso para que se conecten por control remoto a su máquina, y si el control remoto será simplemente de visualización del terminal o se podrá interactuar con el terminal de manera remota. El control remoto está fundamentalmente concebido para ofrecer asistencia técnica remota. Por ejemplo, un administrador de Vigo puede resolver las incidencias que le surjan a un usuario que se encuentre en Cádiz. – Perfil de Servicios de Escritorio remoto: contiene la configuración referente al perfil que usará el usuario al acceder al servidor mediante el servicio de terminales remotos (Terminal Server). – Marcado: son los parámetros de conexión del usuario cuando realiza una conexión por módem o por VPN. – Escritorio virtual personal: contiene la configuración del escritorio virtual del usuario.

75


Escritorio virtual personal La virtualización del escritorio es la separación del escritorio de la máquina física, almacenándose en un servidor. Esto significa que todo el escritorio y sus aplicaciones se ejecutan en un servidor, al que los usuarios acceden en remoto desde cualquier dispositivo que tenga acceso al servidor. La arquitectura del dispositivo que se conecta puede ser totalmente diferente a la del servidor de virtualización de escritorio. La idea consiste en utilizar máquinas virtuales almacenadas en el servidor para ejecutar el escritorio de los usuarios. Este sistema permite a los administradores gestionar los escritorios de manera centralizada, pero los usuarios tienen más flexibilidad que con servidores de terminales remotos, ya que pueden personalizar sus escritorios.

Terminal Server Terminal Server son los servicios de terminal remoto de los servidores Windows. Un terminal remoto permite a los usuarios disponer de un terminal del servidor en su cliente, de modo que el usuario interactúa con el sistema tal como lo haría trabajando directamente en el servidor.

Las principales ventajas de un escritorio virtual personal so n:

– Alta disponibilidad, ya que si falla el hardware del equipo desde donde se conecta el usuario, está disponible el escritorio desde otro equipo. – Coste de implementación de nuevos escritorios y aplicaciones más reducido. – Implementación instantánea de nuevos escritorios y uso de aplicaciones. – Menores requisitos de hardware. – Consumo de recursos según las necesidades del escritorio. – Se pueden ejecutar varios escritorios simultáneamente en una máquina. Un usuario de Windows Server 2008 R2 puede ejecutar un único servidor virtual personal. Para hacer uso del escritorio virtual se debe usar la herramienta Administrador de conexiones de RemoteApp y Escritorio. A los programas de RemopteApp se accede de forma remota a través de Terminal Services, y se muestran como si se estuvieran ejecutando en el equipo local del usuario. Estos programas pueden ser útiles en sucursales sin técnicos de soporte, si los usuarios necesitan acceso a aplicaciones de forma remota o en oficinas donde los trabajadores comparten mesas.

Casos prácticos

1

Configuración del entorno de usuario �� En nuestra empresa queremos que los usuarios que se conecten al servidor a través del servicio de terminales Terminal Server tengan las siguientes características: 1. El perfil de usuario ha de guardarse en la carpeta del servidor perfiles/nombre de usuario. 2. Los usuarios deben disponer de una carpeta personal donde almacenen sus datos en un servidor de almacenamiento. Este servidor se llama srvdatos y dispone de una carpeta por cada uno de los usuarios que tenemos en el sistema. 3. Cuando se conecte cada usuario, se debe ejecutar la aplicación winword.exe y que esta tenga como carpeta local de la aplicación la carpeta personal del usuario. 4. El usuario debe poder configurar sus propias impresoras y su impresora predeterminada. 5. Las sesiones desconectadas hace más de 10 minutos deben terminarse. Además las sesiones no pueden permanecer activas durante más de 10 horas y sin actividad más de 1 hora.

76

1 Solución �� Vamos a tomar como ejemplo un usuario llamado usuarioSMR que configurarás para cumplir todo lo solicitado en el enunciado. Estas operaciones deberían realizarse con cada uno de los usuarios que q uisiéramos configurar: 1. En la pestaña Perfil de Servicios de Escritorio remoto, establece C:\perfiles\usuarioSMR como Ruta de acceso al perfil y en la sección Carpeta principal de Servicios de Escritorio remoto, conecta la unidad Z: (por ejemplo) a la ruta \\srvdatos\usuarioSMR\ (figura 4.7). 2. En la pestaña Entorno (figura 4.8): – Marca la casilla Iniciar el programa siguiente al iniciar la sesión. – En Nombre del archivo de programas escribe winword.exe. – En Iniciar indica la ruta \\srvdatos\usuarioSMR\. – Marca las opciones: • Conectar las unidades del cliente al iniciar la sesión. • Conectar las impresoras del cliente al iniciar la sesión. • Establecer impresora principal de cliente como impresora predeterminada. 3. En la pestaña Sesiones (figura 4.9): – En Finalizar una sesión desconectada indica 10 minutos. – En Límite de sesión activa indica 10 horas. – En Límite de sesión inactiva indica 1 hora.

4.7. Configuración del perfil del escritorio remoto.

4.8. Configuración del entorno del usuario.

4.9. Configuración de la duración de las sesiones de usuario.

Actividades propuestas 1�� Realiza las siguientes tareas: a) Crea una cuenta de usuario local llamada UsuarioSOR. b) Crea una carpeta llamada UsuarioSOR y asígnala como carpeta principal de la cuenta UsuarioSOR. c) Crea tres cuentas de usuario llamadas usuarioSOR1, usuarioSOR2 y usuarioSOR3. d) Crea un grupo llamado grupoSOR e incluye en él a los tres usuarios creados en el punto anterior.

77


2 >> Gestión de permisos Los permisos son los encargados de delimitar el acceso que los usuarios tienen a los archivos y carpetas del sistema. Para acceder a la configuración de permisos de Windows debemos hacer clic con el botón secundario del ratón sobre el archivo o carpeta que queremos modificar, seleccionar Propiedades y, en la ventana que aparece, dirigirnos a la pestaña Seguridad (figura 4.10). Existen dos tipos fundamentales de permisos:

– Permisos explícitos: se establecen de forma intencionada por parte de algún usuario con derecho a administrar los permisos del objeto. – Permisos heredados: son tomados del objeto padre, es decir, de la carpeta que los contiene, y esta a su vez puede haberlos tomado de su padre y así sucesivamente. Por defecto, lo s archivos y carpetas heredan los permisos de su carpeta contenedora, algo que se puede modificar. También existe lo que llamamos permisos efectivos, que son los permisos resultantes para un usuario. Normalmente, un usuario pertenece a varios grupos y se le aplica la suma de todos los permisos Permitir de estos grupos. Pero si en algún caso tiene un permiso Denegar sobre un objeto, este pre valece sobre todos los demás y el usuario no dispondrá de ese permiso, incluso aunque lo tenga concedido repetidas veces.

4.11. Pestaña de visualización de los permisos efectivos de los usuarios.

Por ejemplo, si un usuario, para el archivo ejemplo.txt, tiene, por su pertenencia al grupo1, permiso permitir lectura y, por su pertenencia al grupo2, permiso permitir escritura, tendrá permiso de lectura y escritura sobre este archivo. Pero si perteneciera al grupo3, que tiene el permiso denegar escritura, entonces no tendría permiso de escritura, Además, aunque el usuario perteneciera a varios grupos que le concedieran el permiso de escritura para ese archivo, no dispondría de él por el hecho de pertenecer a un grupo con permiso denegar escritura.

4.10. Configuración de los permisos.

78

2.1 > Listas de control de acceso Las ACL (Access Control List) permiten definir los permisos de los archivos y directorios. Están compuestas de una lista de permisos del archivo llamada ACE (entradas de control de acceso). Cada una de las ACE contiene un par (usuario/grupo, permiso) que indica un tipo de acceso determinado para un usuario o grupo. Por ejemplo, supongamos que las ACE del archivo ejemplo.txt son: Grupo1/escritura, Grupo1/lectura, Usuario2/lectura, Grupo2/Control total El conjunto de todas estas ACE formaría la ACL del archivo ejemplo.txt . Para saber si el Usuario3, que pertenece a Grupo2, posee permiso de escritura sobre este archivo, se comprueba si existe alguna ACE dentro de la ACL del objeto que contenga el identificador de usuario o de algún grupo al que pertenece y que conceda el permiso necesario para la operación que se pretende realizar. En este caso, Usuario3 pertenece a Grupo2, que tiene control total sobre ejemplo.txt, por lo que tendrá permiso de escritura.

2.2 > Permisos sobre archivos En los sistemas Windows los permisos básicos sobre los archivos son:

– Lectura: permite visualizar el contenido del archivo y ver sus atributos. – Escritura: permite sobreescribir el archivo y cambiar sus atributos. – Lectura y ejecución: permite leer los archivos y ejecutarlos (sirve para los archivos ejecutables). – Modificar: permite modificar y borrar un archivo. – Control total: permite hacer cualquier operación sobre el archivo, incluso cambiar su propietario y los permisos sobre este. La casilla Permisos especiales indica si el usuario posee permisos más al detalle, especificados en la pantalla de permisos especiales. Como podemos ver en la figura 4.12, cuando asignamos permisos podemos marcar las opciones Permitir o Denegar el permiso del archivo o carpeta al usuario/grupo. Por defecto, si el sistema no encuentra ninguna ACE relacionada con el usuario o grupo dentro de la ACL del objeto que haga referencia al permiso que se está comprobando, el sistema deniega el permiso.

2.3 > Permisos sobre carpetas Los permisos para archivos aplicados sobre las carpetas tienen un significado diferente (figura 4.12):

4.12. Ventana de permisos sobre carpetas.

– Mostrar el contenido de la carpeta: permite mostrar los archivos y subdirectorios que componen una carpeta. – Lectura: permite mostrar los archivos y subdirectorios que componen una carpeta con sus atributos, propietario y permisos. – Escritura: permite crear nuevos archivos y subcarpetas. – Lectura y ejecución: permite entrar dentro de la carpeta y de sus subdirectorios. Además, permite lo mismo que el permiso Lectura.


– Modificar: permite borrar la carpeta además de lo que conceden los permisos Escribir, Leer y Mostrar el contenido de la carpeta. – Control total: permite realizar cualquier operación sobre el directorio, incluso cambiar su propietario y los permisos sobre este. Control total sobre una carpeta permite además eliminar sus archivos independientemente de los permisos establecidos en estos.

2.4 > Permisos especiales Además de los permisos vistos hasta ahora, existen permisos especiales que sirven para refinar los permisos anteriores. Como podemos observar en la figura 4.13, muchos permisos especiales están expresados como una pareja de elementos: el primero es el permiso en caso de que el objeto sea una carpeta y el segundo, el permiso en c aso de que sea un archivo. Los permisos especiales son (figura 4.13):

– Atravesar carpeta/ejecutar archivo: atravesar una carpeta es poder entrar en ella para acceder a sus subdirectorios. En muchas ocasiones los usuarios no pueden leer o ejecutar un archivo a pesar de tener permisos para ello. Esto puede deberse a que no tengan permiso para atravesar alguna de las carpetas que se encuentran en la ruta del archivo. – Mostrar carpeta/leer datos: mostrar una carpeta es mostrar sus archivos. – Leer atributos: permite leer los atributos de las carpetas y los archivos. – Leer atributos extendidos: permite ver los atributos extendidos de las carpetas y los archivos. Estos atributos están definidos para el tipo de archivo (definido por su extensión) y varían de uno a otro. – Escribir atributos: permite modificar los atributos del objeto. – Escribir atributos extendidos: permite modificar los atributos especiales del objeto. – Crear archivos/escribir datos: en el caso de las carpetas, permite crear archivos dentro de la carpeta. En el caso de los archivos, permite modificar su contenido. Se podría tener permiso para crear archivos pero no carpetas y viceversa. – Crear carpetas/anexar datos: en el caso de las carpetas, 4.13. Permisos especiales de una carpeta. permite crear subcarpetas dentro de la carpeta. En el caso de los archivos, permite añadir datos al final del archivo en cuestión. – Eliminar subcarpetas y archivos: solo se aplica a carpetas y permite eliminar sus archivos y subcarpetas. – Eliminar: permite borrar el archivo o la carpeta que tiene este permiso. – Permisos de lectura: permite conocer quién tiene permisos sobre el objeto. – Cambiar permisos: permite modificar los permisos del objeto. – Tomar posesión: permite cambiar el propietario del objeto. El propietario por defecto cuando se crea es el propio creador.

79

80

Ejemplos Asignación de permisos a grupos y usuarios Asignación de permisos 1. Creamos una carpeta llamada Carpeta1. 2. Hacemos clic con el botón secundario del ratón en Carpeta1, seleccionamos Propiedades y nos dirigimos a la pestaña Seguridad (figura 4.14). 3. Hacemos clic en Opciones avanzadas, luego en Cambiar permisos y después en Agregar (figura 4.15).

4.14. Pestaña Seguridad.

4.15. Ventana de modificación de permisos.

4. En el apartado Escriba el nombre de objeto para seleccionar, escribimos el nombre del usuario o grupo, en nuestro ejemplo Grupo1 (figura 4.16). Hacemos clic en Aceptar .

4.16. Selección de usuario o grupo.

5. Marcamos las siguientes casillas de permisos: Lectura, Atravesar carpeta/ejecutar archivo y Mostrar carpeta/leer datos. Así asignamos al grupo Grupo1 estos permisos sobre la carpeta Carpeta1. 6. Asignamos permisos para que Usuario3 pueda crear y eliminar archivos y carpetas, acceder a la carpeta y listar su contenido (figura 4.17). 7. Damos control total a Usuario4 (figura 4.18).

81


4.17. Asignación de permisos para Usuario3.

4.18. Asignación de control total a Usuario4.

8. Por último, quitamos al grupo Usuarios de entre los que tienen permisos en la carpeta, ya que los ha heredado. Para ello, en la ventana Configuración de seguridad avanzada para Carpeta1 desmarcamos la opción Incluir todos los permisos heredables del objeto primario de este objeto (figura 4.19). Una ventana nos preguntará si queremos agregar los permisos que vienen de la carpeta contenedora como permisos de esta carpeta o queremos quitarlos. En nuestro caso los quitaremos pinchando Quitar. Verificación de los permisos asignados 1. Nos conectamos como Usuario1 y comprobamos que 4.19. Supresión de la herencia de permisos. se puede acceder al contenido de Carpeta1. 2. Comprobamos que Usuario2 puede acceder a Carpeta1, pero no crear archivos en ella. Además comprobamos que Usuario3 puede crear archivos dentro de Carpeta1 y observamos los permisos con los que se crea el archivo. También vemos que ahora Usuario3 puede crear una carpeta llamada Carpeta2 dentro de Carpeta1.

Actividades propuestas 2�� Modifica los permisos de Usuario3 sobre la carpeta Carpeta1 del ejemplo quitándole el permiso Eliminar.

82

3 >> Gestión de directivas de grupo local Los usuarios disponen de dos tipos de elementos de seguridad: los permisos y las capacidades. Las capacidades son derechos de usuario para realizar ciertas operaciones privilegiadas en el sistema. En Windows se gestionan a través de las directivas o políticas de grupo, que permiten establecer las restricciones, la configuración y las limitaciones que una empresa aplicará a sus equipos. Existen dos grandes tipos de directivas:

– Directivas de grupo local: no son gestionadas a través del dominio sino en el mismo servidor, y son aplicadas únicamente en dicho servidor. – Directivas de grupo de dominio: son gestionadas de manera centralizada. Se estudiarán más adelante. Gracias a las directivas, podemos establecer lo que les permitimos hacer a los usuarios cuando entran en el equipo: controlar el acceso a archivos, carpetas y aplicaciones; cambiar las opciones del sistema y de las aplicaciones; y automatizar las tareas en el arranque y parada de los equipos, o en la conexión y desconexión de usuarios.

4.20. Directivas locales.

La verdadera potencia de las políticas de grupo viene cuando se aplican a nivel de dominio, para así tener esta gestión de la seguridad centralizada. Las políticas de grupo de dominio son prioritarias respecto a las locales.

3.1 > Directivas de grupo local Directivas de cuenta Permiten configurar todos los aspectos referentes a la política de co ntraseñas específicas para los usuarios:

– Directivas de contraseña: establecen los siguientes requisitos:

Tipos de cifrado Hay dos tipos de cifrado: el simétrico y el asimétrico. El cifrado simétrico es reversible. Ello quiere decir que, mediante el inverso del algoritmo utilizado y la misma clave, podemos descifrar el mensaje. En el cifrado asimétrico solo se puede descifrar el mensaje con la pareja de la clave.

4.21. Directivas de contraseñas.

• Almacenar contraseñas con cifrado reversible: indica si el cifrado utilizado es simétrico o asimétrico. • Exigir historial de contraseñas: las contraseñas anteriormente utilizadas por el usuario se almacenan y no se permite la repetición de las últimas n contraseñas, siendo n el número que especificamos en este campo.

83


• Complejidad: la contraseña debe cumplir los requisitos de complejidad (mayúsculas, minúsculas, números y caracteres especiales). Un ejemplo de contraseña que cumple la complejidad sería P@ssw0rd. • Longitud mínima de la contraseña: número mínimo de caracteres de la contraseña. • Vigencia máxima de la contraseña: número máximo de días que se le permite al usuario mantener su contraseña sin obligarle a cambiarla. • Vigencia mínima de la contraseña: número mínimo de días que deben pasar para poder cambiar la contraseña desde la última vez que se cambió.

– Directivas de bloqueo de cuenta: marca las condiciones por las que se deshabilita una cuenta cuando se produce un cierto número de intentos fallidos de conectarse. Hay que considerar que, si se pone muy restrictiva, puede afectar a los usuarios del sistema que no recuerden o duden de su contraseña e incluso impedirles trabajar durante un tiempo.

Directivas locales Estas son las directivas locales:

– Directivas de auditoría: permiten auditar una gran variedad de sucesos, para así controlar las acciones de los usuarios y cumplir con los requisitos legales en materia de auditoría. Un ejemplo de auditoría puede ser la utilización de permisos de acceso sobre objetos, como la escritura en determinados archivos. – Asignación de derechos de usuario: son las tareas que un usuario puede realizar en un equipo. Un ejemplo podría ser apagar el sistema, ya que no se debe permitir a cualquier usuario apagar el servidor. – Opciones de seguridad: habilitan o deshabilitan capacidades y características como, por ejemplo, tener acceso a una unidad de disco.

Recuerda Windows dispone de dos sistemas de cifrado: – Bitlocker: es el cifrado de unidades a bajo nivel. Permite que, en caso de robo o pérdida de la unidad de almacenamiento, nadie pueda acceder a la información del sistema. – EFS: es un cifrado de archivos a nivel de sistema operativo.

Otras directivas Estas son otras directivas de grupo local que se pueden configurar:

– Firewall de Windows con seguridad: permite configurar el cortafuegos del equipo. – Directivas de clave pública: directivas aplicadas al cifrado, tanto de EFS como de Bitlocker. – Directivas de restricción de software: han perdido importancia debido a que en Windows 2008 R2 se utilizan más las directivas de AppLocker. – Directivas de control de aplicaciones: son las directivas de AppLocker para el control de la seguridad en el acceso a aplicaciones. – Directivas de seguridad IP de equipo local: para configurar IPSec. – Configuración de directivas de auditoría avanzada: el objetivo de la auditoría es dejar reflejados los cambios que se realizan sobre ciertos elementos del sistema, para llevar un seguimiento de quién realiza operaciones sensibles y cuándo. Son muy útiles para encontrar al responsable de determinada operación en el sistema en caso de contradecir la política de seguridad de la empresa y protegen contra los abusos que puedan realizar determinados usuarios con suficientes privilegios. Las directivas de auditoría son cada vez más demandadas por las empresas y la legislación.

AppLocker AppLocker es una utilidad de Windows para definir reglas basadas en atributos de ejecutables y decidir así qué aplicaciones se pueden ejecutar y por qué grupos de usuarios, además de crear restricciones en la ejecución de aplicaciones y auditar dichas ejecuciones. Es una potente herramienta para evitar ejecutar software malicioso.

84

3.2 > Modificación de las directivas de grupo local Para modificar una directiva de grupo local tenemos que realizar lo siguiente: 1. Acceder a Inicio / Herramientas administrativas / Directiva de seguridad local. También podemos llamar desde inicio al complemento gpedit.msc. 2. Desplegar el árbol hasta ver la política que nos interesa. 3. Hacer doble clic en la política que queremos modificar. 4. Se abrirá una ventana desde donde se puede configurar la directiva: habilitarla, deshabilitarla, añadir o quitar grupos o usuarios, etc. 5. Para añadir usuarios o grupos, hacer clic en Agregar usuario o grupo y seleccionarlo. Modificar las directivas de grupo local refuerza la política de contraseñas del equipo aplicando reglas adicionales a las contraseñas de los usuarios. También se bloquearán accesos indebidos cuando un usuario intente acceder sin éxito varias veces consecutivas. Además permite determinar los privilegios especiales de que dispone el usuario para hacer operaciones en el sistema.

Ejemplos Modificación de las directivas de usuario local Accederemos a Inicio / Herramientas administrativas / Directiva de seguridad local para realizar los tres ejemplos que se describen a continuación. Dar permiso a Usuario3 para cambiar la fecha y hora del sistema 1. Vamos a Directivas locales / Asignación de derechos de usuario y hacemos doble clic en Cambiar la hora del sistema (figura 4.22). 2. Pinchamos Agregar Usuario o grupo y escribimos Usuario3 en el cuadro Escriba los nombres de objeto que desea seleccionar. 3. Haciendo clic en Aceptar se habrá añadido el usuario a la directiva (figura 4.23). 4. Por último, para comprobar la directiva, accedemos con Usuario3 y comprobamos que se puede cambiar la fecha del sistema.

4.22. Directiva para cambiar la hora del sistema.

4.23. Aplicación de la directiva a Usuario3.

85


Denegar el inicio de sesión local a Usuario2 1. En Directivas locales / Asignación de derechos de usuario, hacemos doble clic en Denegar el inicio de sesión local (figura 4.24). 2. Seleccionamos Usuario2 y pinchamos Quitar. 3. Para comprobar la modificación de la directiva, cerramos la sesión y comprobaremos que no aparece el icono del Usuario2 que le permitiría iniciar sesión local.

4.24. Directiva Denegar el inicio de sesión local.

4.25. Configuración de la directiva.

Establecer para las contraseñas una vigencia mínima de 3 días y una vigencia máxima de 45 días 1. Vamos a Directivas de cuenta / Directiva de contraseñas. 2. Hacemos doble clic en Vigencia mínima de la contraseña. En La contraseña se puede cambiar después de indicamos 3 días. 3. Pinchamos Vigencia máxima de la contraseña y en La contraseña expirará en indicamos 45 días.

4.26. Directiva Vigencia máxima de la contraseña.

86

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué diferencia hay entre los usuarios y grupos locales y los del dominio? 2�� ¿Qué son los usuarios y los grupos predeterminados? 3�� ¿Qué aspectos deberíamos considerar en la asignación de usuarios a grupos? 4�� ¿Qué diferencia hay entre los permisos y los permisos especiales? ¿Qué sentido tiene la asignación de permisos especiales?

5�� Busca en Internet información para confeccionar una tabla que relacione los permisos con los permisos especiales de los archivos y carpetas.

6�� ¿Qué significa «cruzar una carpeta» y qué permiso habilita para realizar esta acción? 7�� ¿En qué se diferencian el permiso Escribir del permiso Modificar , tanto en archivos como en carpetas? 8�� El usuario Usu1 tiene control total sobre la carpeta Curso. Dentro de esta carpeta hay otra llamada SOR, y dentro de esta otra llamada examenes. El usuario Usu1 no tiene ningún tipo de permisos ni sobre SOR ni sobre examenes. ¿Puede Usu1 borrar un archivo de la carpeta examenes?

9�� ¿Para qué sirven las directivas? ¿En qué se diferencian de los permisos? 10�� ¿Cómo podría auditarse quién ha cambiado los permisos de determinados archivos en el sistema? 11�� ¿Para qué sirve establecer la directiva del historial de contraseñas? .: APLICACIÓN :. 1�� Crea dos usuarios llamados usuarioSMR1 y usuarioSMR2 y un grupo llamado grupoSMR, e incluye en él a usuarioSMR1 y usuarioSMR2. Realiza las siguientes tareas: a) ¿Puedes añadir dentro al grupo grupoSOR? ¿Por qué? b) Crea una carpeta llamada CarpetaSMR y dentro de ella otra llamada CarpetaSOR. Asigna al grupo grupoSMR permiso para poder crear y eliminar archivos y carpetas en CarpetaSMR. c) Asigna al grupo grupoSOR permiso para crear archivos dentro de la carpeta carpetaSOR. d) Asigna a grupoSMR control total sobre carpetaSOR. e) Cambia el propietario de carpetaSMR y de todo su contenido a grupoSMR. f) Cambia la vigencia máxima de la contraseña de grupoSMR a 60 días y la mínima a 1 día. Establece que no se puedan repetir las últimas tres contraseñas.

2�� Si un usuario tiene, sobre la carpeta carpeta1, permiso Permitir sobre Lectura por pertenecer al grupo grupo1, permiso Permitir sobre Control Total por pertenecer a grupo2 y permiso Denegar sobre Control Total por pertenecer a grupo3, ¿qué operaciones puede realizar este usuario sobre la carpeta?

87


Caso final

2

Análisis de la configuración de seguridad local de un servidor �� La empresa Chesteworld, dedicada a la mensajería urgente, quiere establecer la directiva de seguridad de un servidor con Windows Server 2008 R2 que tiene en un grupo de trabajo. Este servidor es el que proporciona todo el servicio a los 15 empleados de la empresa. Las especificaciones son las siguientes: – Los usuarios se conectan al servidor con Terminal Server, por lo que es como si trabajaran en el servidor. – Existe un adminisitrador que tiene su propia cuenta llamada rperez y quiere otra cuenta para realizar la administración que se llame adminmh. – Por motivos de seguridad prefieren que no se pueda utilizar la cuenta Administrador . – Se desea tener la posibilidad de crear algún otro administrador, ya que algunos meses vienen alumnos del ciclo formativo de Sistemas Microinformáticos y Redes a realizar las prácticas y es conveniente, en ese momento, poder crearles un usuario y concederles de una manera ágil todos los permisos del administrador. – Los usuarios están divididos en dos grupos: • El primero debe tener acceso a la información de administración y gestión de la empresa. Esta informacion está contenida en las carpetas gestion y contabilidad . Estos usuarios deben poder leer y modificar sus archivos. • El segundo debe tener acceso a la información de control de los pedidos. Estos usuarios deben poder leer y modificar sus archivos. – El gerente debe poder tener acceso a todo, con permisos tanto de lectura como de modificación. – Los usuarios tendrán una contraseña compleja (con mayúsculas, minúsculas, caracteres especiales y números) de un mínimo de 10 caracteres. Además, deben cambiar su contraseña cada 6 meses.

Solución �� Para cumplir las necesidades de la empresa debes hacer lo siguiente: 1. Crea dos usuarios, uno llamado adminchesteworld y el otro rperez.

4.27. Creación del usuario adminchesteworld.

4.28. Creación del usuario rperez.

88

2 2. Agrega el usuario adminchesteworld al grupo predefinido Administradores. Así este usuario adquiere todos los privilegios administrativos. Cuando venga el nuevo administrador se creará su usuario y se le agregará a este grupo.

4.29. Añadir adminchesteworld al grupo Administradores.

3. Deshabilita la cuenta Administrador (figura 4.30). De este modo ya no se puede acceder a través de ella. 4. Crea una cuenta para cada usuario de la empresa. 5. Crea los grupos Administracion y Compras (figura 4.31), distribuyendo a los usuarios en el área que les corresponda.

4.30. Cuenta Administrador deshabilitada.

4.31. Creación del grupo Administracion.

89


2 6. Asigna al grupo Administracion el permiso Modificar sobre las carpetas gestion y contabilidad; automáticamente se asignarán los permisos de Lectura y Ejecución, Mostrar el Contenido de la carpeta, Lectura y Escritura. Lo mismo se hará para el grupo Compras y la carpeta pedidos.

4.32. Asignación de permisos al grupo Administracion.

4.33. Asignación de permisos al grupo Administracion.

7. Crea para el gerente un grupo llamado gerente, donde esté incluida la cuenta de dicho usuario. Esto es conveniente para que, si cambia el gerente, solo haya que quitar su cuenta de este grupo y agregar la del nuevo gerente. Incluye al grupo gerente dentro de los grupos locales Administración y Compras. 8. Accede a la directiva de grupo local y en Directivas de contraseña establece la Vigencia máxima de la contraseña en 180 días. En Directivas de contraseña, en La contraseña debe cumplir los requisitos de complejidad indica el valor Sí. En Directivas de contraseña, en Longitud mínima de la contraseña indica 10 caracteres.

4.34. Asignación de las directivas de contraseña.

90

Ideas clave

Usuarios y grupos locales predeterminados

Gestión de cuentas locales Configuración del entorno personal

–Escritorio virtual

Listas de control de acceso (ACL)

ADMINISTRACIÓN DE USUARIOS Y GRUPOS LOCALES EN WINDOWS

Gestión de permisos

Permisos sobre – archivos Permisos especiales Permisos sobre carpetas

Directivas de grupo local

Gestión de directivas de grupo local Modificación de las directivas de grupo local



Estandarización del escritorio: estrategias para el éxito

L

as TIC suelen ser el paradigma de la vanguardia en cuanto a innovación se refiere, pero es una idea que no siempre se cumple. Una de estas excepciones es la estandarización de los escritorios (incorporar a los distintos equipos de la empresa el mismo sistema operativo, aplicaciones, controladores de hardware y suite de seguridad), un paso necesario en la evolución tecnológica que sin embargo n o ha terminado de despegar entre la industria. Asimismo, la estandarización de los escritorios se enfrenta también a obstáculos y barreras de carácter político, que exigen que cada usuario final haga lo que desee dentro de su equipo, lo que también está apoyado por quienes defienden la contención presupuestaria. Sin obviar a aquellos empleados que simplemente desean continuar trabajando con software obsoleto por no aprender a utilizar uno nuevo. Sin embargo, ahora parece que sí está comenzando el verdadero despegue de la estandarización de los escritorios. Según un informe presentado en febrero de 2010 por Gartner, el 50% de las empresas de más de 300 empleados afirmó que están tratando de bloquear los equipos corporativos con el objetivo de evitar que los usuarios finales instalen sus propias aplicaciones. La virtualización está generando un entorno favorable para la estandarización, ya que no cuenta con los usuarios finales a la hora de elaborar la versión del equipo virtual con el que trabajarán posteriormente. Los principales factores detrás del proceso de estandarización son siempre los ingentes problemas de seguridad que se pueden producir, bien por la descarga de datos desde Internet (aplicaciones Rogue Untested), así como por las vulnerabilidades inherentes en el software antiguo y que un hacker podría explotar a su antojo en cualquier momento. Los administradores de TIC que están implementando un escritorio más bloqueado afirman que esta estrategia puede conducir a disminuir los costes y mejorar la eficiencia operativa de la empresa. Un escritorio estándar obliga a l os departamentos TIC a pensar en estrategias concretas de implementación y, si se gestiona correctamente, en última instancia se reduciría el número de escritorios aprobados a solo uno o dos a lo sumo. Algunas compañías luchan con la noción de normalización porque quieren permitir cierta flexibilidad en la forma en que sus empleados llevan a cabo su trabajo. Existen métodos que pueden utilizarse para solventar este problema, incluso permitiendo a los empleados instalar nuevas herramientas de una biblioteca de aplicaciones previamente aprobadas, o bien permitiendo a los empleados solicitar nuevas herramientas al departamento TIC de la corporación. De este modo se evitará que la mayoría de los empleados vulnere las normas corporativas de seguridad, creando un entorno seguro y eficiente para el trabajo diario de la compañía. Fuente: extracto de un artículo de ComputerWorld, 3 de noviembre de 2011

Actividades 1�� Enumera las ventajas que aporta a una empresa el que todos los usuarios tengan idéntico escritorio y que este no pueda modificarse.

2�� ¿Qué problemas de seguridad se evitarían si los usuarios no pudieran modificar su escritorio de trabajo?

u

n

i

d

a

d

5

Gestión de recursos compartidos en Windows SUMARIO 

Recursos compartidos: compartir carpetas y unidades



Permisos y derechos



Permisos de los recursos compartidos



Cuotas de disco



Compartir impresoras en red

OBJETIVOS ·· Conocer el concepto de recursos compartidos.

·· Aprender a compartir carpetas y unidades y a monitorizar esta compartición.

·· Aprender la gestión de permisos de los recursos de red.

·· Aprender cómo se combinan los permisos de los recursos con los de los archivos y carpetas.

·· Aprender el concepto de cuotas y su gestión.

·· Aprender cómo se comparten impresoras.

93

Unidad 5 - Gestión de recursos compartidos en Windows

1 >> Recursos compartidos Cuando hablamos de recursos compartidos nos referimos a elementos que es posible utilizar desde otra máquina. En un equipo se pueden compartir los siguientes recursos:

– Capacidad de procesamiento: se pueden tener equipos que ofrezcan su capacidad de computación, es decir, que permitan a otros equipos solicitarles operaciones que consuman CPU y memoria principal. – Archivos y directorios: para almacenar información y ofrecer su i nformación a otros usuarios. – Ciertos periféricos de entrada/salida: como las impresoras, escáneres, plóteres, etc. Los recursos que más se suelen utilizar en Windows son las carpetas, las unidades y las impresoras. En una red, para que las unidades y carpetas que se desee sean visibles desde otras máquinas, deben compartirse.

Carpeta pública Todo archivo ubicado en una carpeta pública será compartido con los usuarios que tengan acceso a dicha carpeta desde cualquier equipo ubicado en la misma red. Todo el mundo podrá verlos, pero quizá se solicite contraseña para utilizarlos o incluso solo se pueda disponer de permisos de lectura y ejecución sobre sus archivos.

En Windows Server 2008 R2 existen dos tipos de compartición de archivos:

– Pública: por defecto son compartidos todos aquellos archivos que se encuentran en una carpeta pública. – Tradicional: permite compartir carpetas y volúmenes definiendo los permisos de acceso en modo compartido y los usuarios que pueden acceder a ellos.

Ejemplos Habilitar la compartición de recursos 1. Lo primero que debemos realizar para compartir recursos es habilitar la compartición de archivos. Para ello accedemos a Inicio / Red y pinchamos la opción Centro de Redes y Recursos Compartidos de la barra de herramientas. Se mostrará el estado de la configuración de los recursos compartidos (figura 5.1). 2. Accedemos a Cambiar configuración de uso compartido avanzado, situado a la izquierda de la ventana. En la sección Uso compartido de la carpeta pública pinchamos Activar el uso compartido, para que todos los usuarios con acceso a la red puedan leer y escribir archivos de las carpetas públicas. Asimismo, podemos habilitar la compartición tradicional de archivos con la opción Activar el uso compartido de Archivos e Im presoras (figura 5.2).

5.1. Centro de redes y recursos compartidos.

5.2. Cambiar configuración de uso compartido avanzado.

94

1.1 > Creación de carpetas y unidades compartidas Podemos compartir las carpetas y unidades desde el Explorador de Windows: 1. Pinchamos con el botón secundario del ratón sobre la carpeta o archivo y seleccionamos Propiedades 2. Nos dirigimos a la pestaña Compartir . Aparecerá una ventana (figura 5.3) donde se establecerá el nombre que se visualizará desde la red para este recurso compartido. 3. Hacemos clic en Compartir para iniciar el proceso de compartición. Se nos mostrará una pantalla que permite indicar los usuarios o grupos que pueden acceder y definir los permisos que estos tienen sobre el recurso compartido (figura 5.4).

5.3. Pestaña Compartir de las propiedades del archivo.

5.4. Configuración de usuarios y grupos que pueden acceder al recurso compartido.

Accediendo a Administración de equipos / Herramientas del sistema / Carpetas compartidas podemos:

– Visualizar los recursos compartidos de un equipo (el nuestro u otro sobre el que tengamos permisos) en el apartado Recursos compartidos. – Crear nuevos recursos compartidos haciendo clic con el botón secundario en el apartado Recursos compartidos y seleccionando Recurso compartido nuevo (figura 5.5). – Controlar quién está conectado a la carpeta compartida en el apartado Sesiones. – Conocer los archivos de la carpeta compartida que se están utilizando accediendo al apartado Archivos abiertos. 5.5. Añadir un recurso compartido nuevo.

También podemos compartir recursos a través de la línea de comandos utilizando el comando net share:

Acción

Comando

Crear un recurso compartido

net share NombreRecursoCompartido=c:\CarpetaCompartida

Mostrar los recursos compartidos

net share

Eliminar un recurso compartido

net share NombreRecursoCompartido /delete

95


1.2 > Conexión a un recurso compartido de red Para localizar un recurso en la red debemos acceder desde el Explorador de Windows a Equipos y buscar el recurso en el equipo donde esté ubicado. Esto obliga en todo momento a conocer en qué equipo se encuentra el recurso. También se puede realizar la conexión y la desconexión a un recurso compartido mediante la línea de comandos usando el comando net use. Este comando muestra información de las conexiones del equipo. Por ejemplo, para mapear el recurso compartido del equipo remoto a la unidad local Z: la línea de comandos sería la siguiente:

net use

Este comando permite conectar o desconectar un equipo a un recurso compartido.

net use Z: \\EquipoRemoto\NombreRecursoCompartido

1.3 > Recursos ocultos Existen recursos compartidos que su servidor no publica para que el resto de usuarios no los pueda ver; son los llamados recursos ocultos. Para crear un recurso oculto basta con llamarlo con un nombre acabado en el símbolo $. Para que un usuario se conecte a este recurso debe conocer los nombres del equipo y del recurso, además de disponer de los permisos adecuados. De este modo podríamos acceder a este recurso mediante \\equiporemoto\nombre_recurso$. Cuando un equipo Windows 2008 R2 forma parte de una red, los recursos que comparte por defecto en modo oculto son:

– letra_de_unidad$: por cada unidad se crea un recurso compartido. Así para la unidad C: se crea C$, para la D: se crea D$ y así sucesivamente. Los administradores y los operadores de copia del dominio pueden conectarse a estas unidades para tareas de administración y copia de seguridad. – ADMIN$: recurso utilizado para conectarse remotamente con fines administrativos. – IPC$: recurso que agrupa las colas de mensajes de comunicación entre los diferentes procesos para comunicarse entre ellos. Se usa internamente durante la administración remota de un ordenador y cuando se observan los recursos que comparte. – PRINT$: contiene los drivers de las impresoras instaladas y compartidas.

Actividades propuestas 1�� Realiza las siguientes tareas: a) Comparte una unidad desde el Explorador de Windows. b) Mapea desde el Explorador de otro equipo este recurso en la unidad H:. Abre un archivo de este recurso. c) Desde la consola de administración del equipo que comparte el recurso, cierra el archivo abierto. d) Configura la disponibilidad de la unidad compartida sin conexión para las apl icaciones. e) Desconecta al usuario que está conectado desde el otro equipo. f) Deja de compartir la unidad.

96

2 >> Permisos de los recursos compartidos Los permisos sobre recursos compartidos, llamados también permisos SMB, se aplican a los usuarios que se conectan desde la red, no a los usuarios que inician sesión en el mismo equipo. Los permisos de los recursos compartidos son:

– Leer: permite la lectura de archivos y su ejecución, así como acceder a las diferentes carpetas y ver los atributos de los archivos. – Cambiar: además del permiso Leer, este permiso incluye la posibilidad de escribir sobre los archivos, cambiar sus atributos y crear y eliminar archivos y carpetas. – Control total: además del permiso Cambiar , este permiso incluye la posibilidad de modificar los permisos de l os archivos. Los permisos sobre recursos se combinan con los establecidos ya para los usuarios en cada carpeta o archivo, aplicándose el más r estrictivo. Solo los usuarios que posean el permiso sobre el recurso compartido y sobre el ob jeto podrán hacer esa operación sobre él. De todas formas, hay que remarcar que solo se superponen estos permisos en caso de que el recurso sea accedido desde la red. En el caso de acceder localmente, los únicos permisos que se consideran son los propios del objeto. En Windows 2008 R2 se ha simplificado la gestión de permisos de los recursos compartidos para evitar incoherencias entre los permisos de la carpeta y el del recurso, y al mismo tiempo que se comparten los recursos, aparece una ventana que posibilita conceder cuatro niveles de permisos a los usuarios y grupos que se desee. Estos niveles de permisos son Lectura, Lectura y Escritura, Personalizado y Propietario. En caso de compartir un archivo con unos permisos, Windows 2008 R2 le asigna esos permisos también a la carpeta para evitar que los permisos efectivos sean diferentes.

5.6. Gestión de los permisos de los recursos compartidos.

Los permisos reales del recurso compartido (figura 5.6) aparecen pinchando la opción Uso Compartido Avanzado de la pestaña Compartir de la ventana Propiedades del recurso en cuestión.

Actividades propuestas 2�� Convierte la carpeta Carpeta1 en un recurso compartido, dándole permiso de lectura y escritura a Usuario1 y Grupo1.

3�� Desde el servidor, accede al Administrador de Almacenamiento y Recursos Compartidos y visualiza los recursos compartidos de la máquina.

97


3 >> Cuotas de disco Las cuotas de disco permiten establecer tamaños máximos de utilización de los discos para los usuarios. Esto es útil cuando usamos el disco de algún servidor como zona de almacenamiento en red de datos de los usuarios. Las cuotas de disco se definen sobre los volúmenes. En Windows existen dos tipos de cuotas de disco:

– Cuota predeterminada: se aplica a todos los usuarios que no tienen ninguna definida. – Cuota personalizada: se configura para adaptarla a las necesidades. Una manera habitual de trabajar es definir una cuota de disco por defecto para cada volumen y luego ir ajustando las cuotas en función de las necesidades de almacenamiento de los distintos usuarios. Las cuotas pueden verse como un mecanismo para pre venir el uso abusivo del espacio en disco por parte de usuarios o de software malicioso. Cuando se quieren definir cuotas en un volumen existen dos valores que deben ser tomados en cuenta:

– Límite de cuota: define la cantidad máxima que un usuario puede utilizar. Es propiamente la cuota de disco asignada. – Nivel de advertencia: cuando este se supera, el sistema advierte que el usuario está cerca de alcanzar su cuota, aunque aún dispone de un poco de espacio de almacenamiento.

3.1 > Administración de cuotas de disco Para acceder a la administración de cuotas basta con pinchar con el botón secundario encima de la unidad de disco en la que queremos configurar cuotas, seleccionar Propiedades y acceder a la pestaña Cuotas (figura 5.7). Por defecto, las cuotas están deshabilitadas, por lo que lo primero que debemos hacer para utilizarlas es habilitarlas haciendo clic en Habilitar la administración de cuota.

5.7. Pestaña de administración de cuotas de disco.

La opción Denegar espacio en disco a usuarios que superen el límite de cuota impide añadir más archivos o aumentar el tamaño de los archivos al usuario si este alcanza su límite de cuota. En caso contrario, los usuarios son únicamente advertidos de que llegan al límite de la cuota. Además se pueden definir límites de cuota personalizados para diferentes usuarios o incluso establecer que no tengan límite. Esto se realiza a través de la opción Limitar espacio de cuota (figura 5.8).

5.8. Pantalla de administración personalizada de cuotas.

98

Casos prácticos

1

Cuotas de disco �� Queremos proteger nuestro servidor de almacenamiento del uso excesivo del espacio en el disco de almacenamiento por parte de los usuarios de nuestra empresa, así como de posibles virus que llenen el disco por completo. Se realizan ciertos cálculos que informan de que los usuarios usan de media 3 GB al año, considerando habitualmente los archivos almacenados de los dos últimos años, ya que tras estos años los archivos que no se han usado o bien son almacenados en otro disco que hace de repositorio de documentos, si son legalmente válidos, o bien son eliminados. Por otro lado se pretende que tanto los administradores de sistemas como el gerente no tengan limitado el espacio en disco. Los directores de departamento, por su parte, generan una gran cantidad de documentos y necesitan una media de 8 GB de espacio en disco por año y además de disponer en línea de los archivos de los últimos 4 años. Establece la solución a este problema.

Solución �� La solución pasa por habilitar las cuotas de disco, para así impedir por un lado el uso abusivo de espacio de almacenamiento y, por otro, la denegación de servicio por encontrarse el disco lleno por la acción de software malicioso. Es interesante no calcular el espacio de almacenamiento de forma muy ajustada, ya que hay usuarios que podrían gastar ligeramente más. – Si cada usuario gasta de media 3 GB al año y necesita 2 años en línea, ocupará 6 GB de media. Pero como esta es la media, establece un límite que les impida almacenar más de 10 GB y un nivel de advertencia a los 8 GB. – Crea cuotas personalizadas para los administradores de sistemas y para el gerente, estableciendo que no se limite su uso del disco. – Por último, los directores de departamento necesitan: 8 GB/año � 4 años = 32 GB de almacenamiento Por ello tendrás que darles un límite de cuota de 50 GB con el nivel de advertencia de 45 GB.

Actividades propuestas 4�� Como administradores de nuestra empresa nos hemos percatado de que nuestras unidades de disco se llenan. Se sospecha que los usuarios están almacenando muchos archivos ajenos al trabajo. Se decide implementar cuotas de disco para regular la capacidad de almacenamiento de cada usuario y tener la posibilidad de hacerles un seguimiento: a) Configura las cuotas sobre el disco duro del servidor, dando a cada usuario un límite de espacio de 10 MB y una advertencia de espacio en disco a los 6 MB. No debe permitirse añadir nuevos archivos cuando se supere el límite de cuota. b) Asigna a usuario1 unos valores de administración de cuotas de 20 MB de advertencia y 30 MB de límite de espacio. Prueba los límites con la cuenta usuario1 copiando archivos mientras se está conectado al sistema y pruébalo también para otro usuario.

99


4 >> Compartir impresoras en red Los dispositivos de impresión pueden encontrarse conectados a la red de diferentes maneras:

– Localmente a una de las estaciones clientes y posteriormente compartidas. – A través de un servidor central de impresión. – Directamente a la red.

Impresora compartida La siguiente imagen muestra que la impresora está compartida:

Aunque las opciones parezcan similares, en realidad no lo son:

– La ventaja principal de compartir una impresora conectada localmente a una estación cliente es su fácil instalación y configuración. Sin embargo, un inconveniente es que no se podrá tener un control centralizado sobre los trabajos enviados, ya que cada estación que mande a imprimir tendrá su propia cola de impresión local, y si surge algún error no se notificará a todas las estaciones, con lo que pueden interpretar que sus trabajos están terminados cuando en realidad no es así. Además, si la estación con la impresora compartida está apagada o suspendida, dicha impresora no estará disponible para el resto de estaciones. – Utilizar un servidor central de impresión tiene bastantes ventajas con respecto a la anterior opción, pues permite, gracias al Servicio de impresión, poder gestionar los trabajos enviados, así como las colas de impresión, recibir notificaciones sobre el estado de los trabajos y tener varios dispositivos de impresión, entre otras ventajas. – Es posible conectar una impresora directamente a la red, sin necesidad de utilizar un servidor de impresión. En este caso, la impresora de red se administra de forma parecida a una impresora local. La principal diferencia es que cada usuario conectado a la i mpresora tendrá su propia cola de impresión, característica que, por otro lado, puede llegar a complicar la administración y resolución de problemas. Las impresoras se pueden añadir a los sistemas:

– De forma manual: el sistema realiza una detección automática explorando la red en busca de impresoras. Las detectadas se muestran en una lista donde podrán ser seleccionadas para su instalación y configuración. – De forma automática: habrá que asignar una dirección IP a la impresora de manera manual. Muchas impresoras ofrecen esta posibilidad y, para llevarla a cabo, habrá que consultar su manual de instrucciones.

Primera impresora En 1953 la empresa Remington-Rand creó la primera impresora de alta velocidad para ser utilizada en ordenadores UNIVAC.

100

Casos prácticos

2

Agregar una impresora compartida y conectada localmente a una estación cliente �� Una de las estaciones clientes tiene instalada una impresora a nivel local compartida a la que se quiere acceder desde otras estaciones de la red. ¿Cuáles son los pasos que se deben seguir para acceder a la impresora compartida?

Solución �� Se ha de agregar a la impresora cada estación de la red. Para ello habrá que seguir los siguientes pasos: 1. Accede a Inicio / Panel de control / Hardware y sonido / Dispositivos e Impresoras. 2. Selecciona la opción Agregar impresora. 3. Selecciona la opción Agregar una impresora de red, inalámbrica o Bluetooth. 4. En el asistente que aparece se buscarán las impresoras que se encuentren disponibles en la red (figura 5.9). En caso de que aparezca la impresora deseada, selecciónala en la lista. 5. En el caso de que el asistente no la encuentre, puedes buscarla de manera manual. Para ello se selecciona la opción La impresora deseada no está en la lista (figura 5.9) y el asistente que aparece (figura 5.10) permite realizar la búsqueda de la impresora por el nombre, por la dirección TCP/IP o incluso por el nombre del equipo que la tenga instalada.

5.9. Asistente de búsqueda de impresoras.

5.10. Selección de la impresora por nombre.

6. Selecciona la impresora y haz clic en Finalizar.

4.1 > Servidor central de impresión En caso de tener muchos usuarios accediendo a diversas impresoras, lo recomendable, desde un punto de vista funcional, es configurar servidores de impresión dentro de la red. Un servidor de impresión permite compartir impresoras a través de una red desde un punto centralizado. Con este tipo de servidores también se pueden gestionar múltiples servidores de impresión e impresoras en red, supervisar las colas de impresión y enviar notificaciones cuando estas sean necesarias.

101


4.2 > Instalación del Servicio de impresión Para configurar un Windows 2008 Server R2 como servidor de impresión lo primero que hay que hacer es instalar el rol Servicio de i mpresión, que incluye los siguientes servicios:

– Servicio de impresión: contiene el servicio para imprimir y la herramienta Administración de impresión, que permite gestionar varias impresoras o servidores de impresión e incluso migrar impresoras. – Servicio de impresión en Internet (Internet printing): este servicio crea un sitio web administrado por IIS (Internet Information Server) para administrar trabajos de impresión desde un navegador que acceda al servidor. – Servicio LPD (Line Printer Daemon): permite que equipos basados en otros sistemas operativos, como Unix, Linux o Mac, puedan acceder al servicio para imprimir en impresoras compartidas. Un servidor de impresión sin impresoras no tiene mucha utilidad, por lo que, una vez dado de alta, el siguiente paso consiste en añadir las impresoras que se van a gestionar, que podrán estar conectadas localmente al servidor de impresión o bien directamente a la red.

IIS IIS (Internet Information Server) es un servidor web que posee un conjunto de servicios para ser utilizados en servidores Microsoft.

Recuerda Un rol de servidor es un conjunto de programas que permiten a un equipo realizar una función específica para varios usuarios u otros equipos de una red. En la versión en español de Windows 2008 Server, al rol se le llama función.

Casos prácticos Agregar una impresora de red al servidor de impresión �� Configura y agrega una impresora de red a un servidor de impresión previamente instalado para que sea utilizada por las estaciones clientes de la red.

Solución �� Los pasos que debes seguir para agregar la impresora son los siguientes: 1. Ejecuta la herramienta Administración de impresión. 2. En el panel de la izquierda selecciona el servidor local o remoto en el que se va a agregar la impresora y, haciendo clic con el botón secundario sobre Impresoras, selecciona Agregar impresora.

5.11. Agregar una nueva impresora.

3

102

3 3. Aparecerá el asistente de instalación de la impresora. En él se podrá elegir entre cuatro opciones (figura 5.12), de las que nos interesan las dos siguientes: – Buscar impresoras en la red: en este caso se comenzará el proceso de búsqueda de las impresoras en red. Cada impresora que se detecte se mostrará en la lista. Si no se detectasen impresoras, habrá que asegurarse de que estas estén conectadas, encendidas y de que se encuentran en la misma subred que el servidor de impresión. Una vez finalizada con éxito la búsqueda, se selecciona la impresora de la lista y se continúa con el asistente. – Agregar una impresora TCP/IP o de servicios web en base a la dirección IP o nombre de host: esta opción se elige cuando se conoce el nombre o dirección de red de la impresora. Por tanto, en la siguiente pantalla del asistente habrá que especificar el Tipo de dispositivo en la lista desplegable Dispositivo TCP/IP y el Nombre o dirección IP de la impresora (figura 5.13).

5.12. Selección del método de instalación de la impresora.

5.13. Agregar una impresora de red.

4. En el siguiente paso se instala el controlador de la impresora. Si el controlador ya estuviese instalado en el servidor de impresión, se seleccionaría de la lista desplegable. También existe la posibilidad de instalar un nuevo controlador. En este caso, se muestra un listado con diferentes fabricantes y modelos de impresora. Se seleccionará el correspondiente a la impresora que se va a agregar o también se puede utilizar el disco proporcionado con la impresora. 5. Si la impresora va a ser compartida en la red, habrá que seleccionar la casilla Compartir esta impresora. Se introduce el nombre con el que la nueva impresora será presentada a los clientes en la red y, opcionalmente, se puede añadir una descripción de la ubicación (por ejemplo, «Impresora del departamento de finanzas») y un comentario si se cree conveniente (figura 5.14). 6. A continuación se muestran las características de la impresora que va a ser instalada. Por último, una vez instalada con éxito, se utiliza la opción de imprimir una página de prueba, si se desea, finali5.14. Configuración del nombre de la impresora. zando así la instalación.

103


4.3 > Consola de administración de impresión Una vez el servidor de impresión esté instalado y las impresoras agregadas, ya podemos gestionarlas mediante el Administrador de impresión. Se podrá compartir las impresoras, pausar los trabajos de impresión, reanudarlos, cancelar trabajos o incluso renombrar y eliminar impresoras. Accedemos a esta herramienta a través del menú Herramienta administrativas / Administrador de impresión (figura 5.15). Esta herramienta permite instalar, supervisar y administrar todas las impresoras y servidores de impresión Windows de la organización.

5.15. Acceso impresión.

al Administrador de

5.16. Ventana Administración de impresión.

Tareas del Administrador de impresión La administración de impresión permite realizar las siguientes tareas:

– Supervisar las impresoras y colas de impresión. – Configurar las propiedades de las impresoras, como controladores de impresión, configurar páginas separadoras, cambiar los puertos, establecer la prioridad y programar trabajos de impresión, cambiar el modo del dispositivo de impresión, auditar los trabajos de impresión, configurar permisos de acceso, etc. – Configurar las propiedades de los servidores de impresión, como monitorizar los trabajos de impresión, situar la carpeta de cola de impresión, etc.

5.17. Opción Mostrar vista extendida.

Se puede realizar el seguimiento de las impresoras, así como conocer su estado, etc., haciendo clic con el botón secundario del ratón sobre el icono Im presoras y seleccionando la opción Mostrar vista extendida (figura 5.17). Esta vista permite administrar impresoras locales y otros servidores de impresión y otras impresoras que se hayan añadido a la consola. Para poder administrar un servidor de impresión remoto es necesario ser miembro del grupo local de administradores del Servicio de impresión o bien del grupo de administradores del dominio del servidor de impresión remoto. Para agregar o eliminar un servidor de impresión, habrá que seleccionar el nodo Servidores de impresión haciendo clic con el botón secundario y seleccionar Agregar o quitar servidores (figura 5.18).

5.18. Opción Agregar o quitar servidores.

104

4.4 > Migración de impresoras Otra de las tareas que se pueden hacer es migrar las impresoras, es decir, trasladar colas, controladores, procesadores y puertos de impresión de un servidor de impresión a otro. Para hacer la migración de impresoras debemos seguir los siguientes pasos:

5.19. Opción Exportar impresoras a un archivo.

1. Sobre el servidor de origen, dentro de la consola Administración de impresión, hacemos clic con el botón secundario del ratón y seleccionamos Exportar impresoras a un archivo (figura 5.19). 2. Se muestra la información de aquellos objetos que serán exportados. Hacemos clic en Siguiente. 3. Seleccionamos la ubicación donde guardar el archivo de exportación (figura 5.20). Este archivo tendrá la extensión .printerExport. Hacemos clic en Siguiente. 4. Al finalizar la exportación, pinchamos Abrir visor de eventos (figura 5.21) para comprobar que todo haya ido según lo esperado. Si es así (figura 5.22), finalizamos el asistente.

5.20. Selección de la ubicación del archivo de exportación.

5.21. Exportación finalizada.

5.22. Visor de eventos de la exportación.

5. Hacemos clic con el botón secundario del ratón sobre el servidor de impresión destino y seleccionamos Importar impresoras de un archivo. Esto abre un nuevo asistente.


6. Seleccionamos el archivo de exportación creado anteriormente.

5.23. Selección del archivo de importación.

7. Se mostrará la información de todos los objetos que se van a importar. Pinchando el botón Siguiente, aparece una ventana con estas opciones (figura 5.24):

– El Modo de importación: • Mantener impresoras existentes, importar copias: seleccionando esta opción, si existen colas de impresión con el mismo nombre que las que se están importando, el asistente creará copias para asegurarse de que tanto las colas originales como las importadas estarán disponibles. • Sobreescribir impresoras existentes: seleccionando esta opción, si existen colas de impresión con el mismo nombre que las que se están impor5.24. Ventana Migración de impresoras. tando, el asistente sobreescribirá las existentes con la información de las colas de impresión que van a importar.

– En Mostrar lista en el directorio se podrá elegir: • Mostrar impresoras enumeradas anteriormente: esta opción asegura que solo las impresoras indicadas anteriormente se muestren en Active Directory. • Mostrar todas las impresoras: esta opción asegura que todas las impresoras se muestren en Active Directory. • No mostrar ninguna impresora: esta opción asegura que ninguna impresora se muestre en Active Directory. 8. Una vez realizada la selección, pinchamos Siguiente para que comience el proceso de importación. Al igual que en el caso de la exportación, se da la opción de ver el Visor de eventos y comprobar que no se ha producido ningún error. 9. Una vez comprobado que todo ha ido bien, se finalizará el proceso para salir del asistente.

Actividades propuestas 5�� ¿Cuáles crees que podrían ser las causas por las que se decida realizar una migración de impresoras? 6�� Realiza la migración de una impresora instalada en un servidor a otro servidor.

105

106

4.5 > Gestión de las notificaciones de impresión Las notificaciones permiten controlar, por ejemplo, las prioridades y los horarios de los documentos enviados a imprimir. El requisito necesario para poder hacerlo es tener asignado el permiso de Administración de Documentos o Administración de Impresoras sobre la impresora en cuestión o bien el permiso de control total. Los pasos para gestionar las notificaciones son los siguientes: 5.25. Selección de la opción Establecer notificaciones.

1. Hacemos clic con el botón secundario del ratón sobre el servido de impresión y seleccionamos Establecer notificaciones (figura 5.25). 2. En la ventana que aparece, se nos da la opción de enviar las notificaciones por correo electrónico y de poder ejecutar un script de configuración.

5.26. Ventana Establecer notificaciones.

4.6 > Gestión de la cola de impresión Nomenclatura UNC La nomenclatura UNC (Universal o Uni form Naming Convention) es un formato de dirección para especificar la ubicación de recursos en una red de área local o para identificar dispositivos periféricos compartidos, como por ejemplo impresoras. Su formato es: \\nombreServidor\rutaRecursoCompartido

La gestión de la cola de impresión se puede necesitar, por ejemplo, cuando una impresora de la red falla. En este caso, se podrían redirigir los documentos de la cola a otra impresora de la red. El requisito necesario es que las impresoras utilicen el mismo controlador de impresión. Cuando los trabajos se envían a la impresora, Windows determina cuál de los dispositivos físicos está disponible, evitando que el usuario tenga que preocuparse de averiguarlo por sí mismo. Permite, por tanto, compartir mejor la carga entre los dispositivos de impresión. Se recomienda crear varias impresoras por dispositivo de impresión y asignar prioridades a las impresoras. Así se garantiza que la que tiene la mayor prioridad imprime antes que la de baja prioridad. Para gestionar la cola de impresión se si guen estos pasos: 1. Pinchamos con el botón secundario sobre la impresora de la que se quiere redirigir los documentos y seleccionamos Propiedades.

107


2. En la ventana de las propiedades de la impresora seleccionamos la pestaña Puertos y marcamos la casilla Habilitar la cola de la impresora.

5.27. Pestaña Puertos de las propiedades de la impresora.

3. Hacemos clic sobre el botón Agregar puerto. 4. Se mostrará una ventana con los tipos de puerto disponibles. Seleccionamos Local Port y seguidamente pinchamos Puerto nuevo (figura 5.28). 5. Escribimos el nombre de la impresora a la que se le reenviarán los trabajos. Este nombre debe seguir la nomenclatura UNC (Universal Naming Convention), por ejemplo \\servidor\nombreimpresora.

5.28. Ventana Puertos de impresora.

Actividades propuestas 7�� ¿Indica qué ventajas ofrece tener un Administrador de impresión? 8�� ¿Qué funciones o tareas se pueden realizar desde la consola del Administrador de impresión? 9�� Describe los diferentes apartados de las propiedades de la impresora. 10�� Realiza un cuadro comparativo con las ventajas y desventajas de tener una impresora compartida conectada a una de las estaciones de trabajo y tener un servidor central de impresión.

11�� Partiendo de que ya tenemos instalada la impresora en una estación cliente de la red en modo local: a) Comparte la impresora conectada localmente a una estación cliente. b) Agrega una impresora compartida a una estación que tenga Windows 7.

12�� Tenemos una impresora conectada directamente a la red y con la dirección IP configurada. Configura y comparte esta impresora en un cliente Windows 7. Es recomendable conocer la dirección IP asignada para facilitarnos la tarea.

13�� Visualiza las propiedades de la impresora instalada para obtener información.

108

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué sentido puede tener asignarle un nombre a un recurso diferente del nombre que le asigna Windows Server 2008 R2 por defecto?

2�� ¿Qué son los recursos de red ocultos? ¿Cómo se crea un recurso oculto? 3�� ¿Qué recursos crea Windows Server 2008 R2 ocultos por defecto cuando se habilita la compartición de recursos? 4�� Explica el significado de los siguientes conceptos: a) Impresora b) Controlador de impresora c) Servidor de impresión

5�� Indica cómo se puede comprobar, desde sus propiedades, si una impresora está conectada localmente o si lo está en red.

6�� Explica de manera resumida los pasos que se deben seguir para compartir una impresora conectada de manera local a una estación cliente de una red.

.: APLICACIÓN :. 1�� Configura una carpeta compartida en //servidor8/carpetacomp y concédele permiso de lectura al usuario local UsuarioSOR1 y permiso de lectura y escritura al grupo local grupoSMR.

2�� Utilizando la línea de comando, realiza lo siguiente: a) Crea un recurso compartido. Establece al mismo tiempo permisos de lectura sobre este recurso para el usuario usuarioSOR1. b) Desde otro equipo, mapea (es decir, conecta) la unidad de red creada en la actividad. Comprueba luego que se ha mapeado correctamente la unidad de red. c) Muestra mediante un comando los recursos compartidos. d) Desconecta la unidad de red mediante un comando. e) Elimina mediante un comando el recurso compartido.

3�� Crea un recurso compartido en otro equipo desde tu máquina mediante la consola Administración de equipos. Concede a UsuarioSOR permisos de lectura y modificación sobre el recurso.

4�� Instala y configura una impresora en red para que pueda ser compartida por el resto de los usuarios.

5�� Instala y configura una impresora mediante un servidor de impresión para que pueda ser utilizada por los usuarios de la red.

6�� Una empresa con un servidor con 15 estaciones clientes, que también hace la función de servidor de impresión, quiere instalar y configurar una impresora en red. ¿Qué impresora del mercado le recomendarías? ¿Con qué configuración se la instalarías? Propón un presupuesto de compra.


109

Caso final

4

Análisis de la compartición de recursos en un servidor Windows Server 2008 R2 �� En tu clase de 2º de Sistemas Microinformáticos y Redes del instituto se dispone de un servidor con Windows Server 2008 R2 y se pretende compartir con todos los alumnos del aula el material, los programas necesarios y las máquinas virtuales con la configuración base de cada asignatura. También se quiere que cada asignatura tenga su propia carpeta y que los alumnos accedan a estas carpetas como un recurso independiente con el usuario formado por la incial del nombre del alumno junto con su primer apellido (por ejemplo, Alvaro Martín será Amartin). Pero los alumnos solo podrán leer los archivos de la asignatura y subir sus trabajos a una carpeta llamada practicas ubicada dentro de la carpeta de la asignatura correspondiente. El usuario profesor debe poder realizar cualquier operación en el recurso. Por otro lado, otra de las cosas que se quiere limitar es la cantidad de espacio del disco que puedan usar los usuarios, estableciendo el máximo en 100 MB por alumno con una advertencia a los 75 MB. El usuario profesor debe poder añadir al disco hasta un máximo de 100 GB de información, recibiendo un aviso de la falta de espacio cuando llegue a los 85 GB. Se pretende además que en clase los alumnos puedan imprimir en una impresora compartida entre toda la clase y conectada a la red. Además deben poderse gestionar los trabajos de impresión desde el servidor del aula y el usuario profesor debe poder controlar las prioridades y los horarios de impresión de documentos desde el servidor.

Solución �� Para realizar lo que requiere la práctica deberás llevar a cabo las tareas que se describen a continuación: – Crea en el servidor del aula una carpeta llamada asignaturas y, dentro de ella, otra para cada una de las asignaturas del curso. Dentro de la carpeta de cada asignatura añade la subcarpeta practicas donde crearás una carpeta por cada uno de los alumnos. – Crea el grupo local alumnos y añade en él a todos los usuarios. Concédele a este grupo el permiso de lectura sobre la carpeta asignaturas. También debes dar a cada alumno el permiso de modificar en su carpeta correspondiente, situada dentro de practicas, y quitar al grupo alumnos. Así se evita que los alumnos puedan mirar en la carpeta de prácticas de otro compañero. A continuación da al profesor de la asignatura correspondiente el permiso de control total sobre la carpeta asignaturas. – Habilita la compartición de archivos y la compartición de impresoras. Debes compartir la carpeta asignaturas dándole permiso de control total al profesor y de lectura y escritura al grupo alumnos. Como el permiso es más restrictivo en esta carpeta, se le aplicarán los permisos más restrictivos. – Mapea en cada equipo el recurso de red de asignaturas en una unidad, a través de //equipos/recurso. Así podrás acceder fácilmente a esta información. – En cuanto a las cuotas, configura que todos los usuarios tengan 100 MB de espacio en disco, estableciendo el nivel de advertencia en 75 MB. Modifica las cuotas del usuario profesor para que sean de 100 GB de límite de espacio en disco y de 85 GB de nivel de advertencia. – Instala en el servidor el Servicio de impresión para convertirlo en un servidor central de impresión. Luego agrega la impresora de red al servidor de impresión del aula. En los equipos de los alumnos agrega la impresora en red utilizando o bien la opción de buscar impresora o bien la dirección de red, que previamente deberemos conocer.

110

Ideas clave

Recursos compartidos

– Habilitar la compartición de recursos – Creación de carpetas y unidades compartidas – Conexión a un recurso compartido de red – Recursos ocultos

Permisos de – los recursos compartidos

GESTIÓN DE RECURSOS COMPARTIDOS EN WINDOWS Cuotas – de disco

Servidor central

Compartir impresoras en red

Instalación del Servicio de impresión Consola de administración

– Migración de impresoras – Gestión de las notificaciones de impresión – Gestión de la cola de impresión



El auge de la consumerización aumenta el riesgo de ataques a la seguridad

¿

Comodidad y funcionalidad o seguridad? Ese es el dilema al también el puerto 443 o, sencillamente, emplean varios puerque parece que están sometidos los departamentos TIC en la tos de forma habitual. «Está claro que los empleados quieren actualidad, y es que fenómenos como la consumerización utilizar las herramientas y aplicaciones que desean usar y esto de las TIC y el cloud computing están creando nuevas amena- está haciendo que la seguridad de los datos corporativos se zas y lagunas de seguridad a las que los CIO no están habitua- vuelva más complicada de lo que ya es», afirma Mike Rothman, analista y presidente de la firma especializada dos a enfrentarse. Securosis. Hoy en día, los trabajadores suelen emplear sus propios dispositivos para acceder a aplicaciones corporativas, usualmente en la nube, así como a emplear otras herramientas que no Los peligros cumplen con los requisitos de seguridad y privacidad de la compañía. Este es un panorama ya habitual en las oficinas de del acceso remoto todo el mundo y ha sido constatado por un reciente estudio Otro de los peligros más acuciantes para los departamentos realizado por el vendedor de seguridad Palo Alto Networks TIC causados por la consumerización lo representan las en base a los datos registrados de la actividad de 1600 com- aplicaciones de acceso remoto a las aplicaciones de las empañías. presas. Este tipo de software facilita a los expertos tecnológiCuriosamente, el estudio señala que muchos expertos en se- cos el soporte de los sistemas, pero también «se ha converguridad están infravalorando los peligros que supone la con- tido en un lugar fácil en donde saltarse los controles de seguridad y los criminales están tomando ventaja de esta cirsumerización de las TIC, ya que creen que controlando el tráfico que pasa por el puerto 80 (el principal punto de acce- cunstancia», afirma el estudio. so) se pueden evitar situaciones de riesgo para el entorno Sin ir más lejos, cuatro personas fueron acusadas el pasado dicorporativo. ciembre de haber robado cerca de tres millones de dólares Si bien la mayor parte de los servicios gestionan su tráfico a en varios restaurantes Subway, una popular cadena de comi través del puerto 80, esta visión es excesivamente reduccio- da rápida. De acuerdo a la información suministrada por el nista y puede plantear serios problemas a medio plazo para Departamento de Justicia, estas personas escaneaban los las compañías. En ese sentido, el análisis de Palo Alto puertos de los sistemas de las tiendas en busca de un puerto Networks señala que 413 de las 1195 aplicaciones analizadas, abierto que permitiera la ejecución de herramientas de acceel 35% de las mismas, no utilizaban en ningún momento el so remoto para posteriormente acceder a las herramientas de puerto 80. «Esto significa que si una organización opta simple- los puntos de venta. mente por proteger y fortificar el puerto 80 está olvidando gran parte del tráfico y los incidentes de seguridad asociados», concluye el informe.

De hecho, el análisis de Palo Alto Networks concluyó que en el 96% de los casos se encontraron en torno a ocho aplicaciones de acceso remoto susceptibles de ser utilizadas en un Por ejemplo, la mayor parte de las aplicaciones de streaming ataque delictivo. de audio, juegos, mensajería instantánea o webmail utilizan Fuente: ComputerWorld, 19 de enero de 2012

Actividades 1�� ¿Qué entiendes por consumerización? 2�� ¿Qué peligros de la consumerización se están infravalorando? 3�� ¿Qué método utilizaron quienes fueron acusados de robar cerca de tres millones de dólares en varios restaurantes Subway?

u

n

i

d

a

d

6

Administración de dominios de Active Directory SUMARIO 

Servicio de directorio



Funciones de Active Directory



Elementos de Active Directory



Dominios, componentes y funciones



Instalación de Active Directory y configuración básica de un dominio

OBJETIVOS ·· Conocer las ventajas que nos ofrece la utilización de un servicio de directorio y cuál es su implementación en Windows.

·· Conocer las funciones que realiza el servicio de directorio de Windows y los servicios de los que hace uso.

·· Conocer la estructura lógica de un servicio de directorio.

·· Instalar un servicio de directorio con un dominio.

·· Crear un árbol dentro del servicio de directorio.

113


1 >> Servicios de directorio Si queremos añadir un usuario y que este tenga acceso a recursos de varios servidores, deberemos darle de alta en cada uno de ellos e incluirle en el grupo oportuno dentro de cada servidor. En redes pequeñas (menos de 20 equipos y menos de 2 servidores, aproximadamente) podemos permitirnos emplear tiempo en crear los usuarios en cada equipo. Pero si se trata de una red de mediano o gran tamaño con dos o más servidores, la tarea de dar de alta usuarios puede resultar tediosa y no exenta de posibles errores al replicar los usuarios. Este es el punto en el que se hace deseable tener una administración centralizada de todos los recursos de nuestra red. Esto nos permitiría crear un usuario una única vez para poder acceder desde cualquier equipo con los mismos permisos sobre los recursos de la red. Además, si un usuario cambia de contraseña, este cambio se realizaría en toda la red. Para esta administración centralizada tan deseable utilizamos el servicio de directorio.

Servicio de directorio Un servicio de directorio es una base de datos con una estructura jerárquica y distribuida. Esta base de datos está optimizada para operaciones de lectura y soporta búsquedas ágiles en grandes volúmenes de datos distribuidos. Se utiliza para definir todos los aspectos de administración relacionados con nuestra red.

Un servicio de directorio tiene las siguientes características:

– Es un almacén de datos: almacena la información de todos los objetos que intervienen en la red tales como usuarios, grupos, equipos, recursos compartidos, etc. – Está distribuido de manera jerárquica: la información de la red se estructura mediante unidades organizativas con una estructura similar al árbol de directorios de Windows: • Cada dominio dentro de la jerarquía es responsable de gestionar sus objetos, por lo que la administración está distribuida. • Cada dominio tiene una estructura diferente, aunque se comparten los recursos entre los diferentes dominios.

– Permite la administración centralizada de los recursos de la red: es un punto central de administración. Los usuarios inician sesión desde los equipos de red del directorio para obtener acceso a los recursos de este. – Permite el acceso a los usuarios y las aplicaciones a los recursos de la red. Las ventajas que aporta un servicio de directorio son las siguientes:

– Seguridad de la información: implementa la seguridad desde el punto de vista de la protección ante accesos indebidos, y la protección de los datos mediante replicaciones de la información en otros equipos (controladores de dominio). – Replicación de la información: dispone de un sistema de replicación de la información para agilizar las búsquedas y protegerse ante caídas de servidores. Las sincronizaciones se producen cuando hay cambios de la información y a intervalos regulares de tiempo. – Administración basada en directivas: las directivas de grupo forman la base para administrar la política de seguridad de una empresa. – Capacidad de ampliación: el sistema es flexible ante las futuras ampliaciones de la red. – Escalabilidad: nos permite, tanto el aumento del servicio a miles de usuarios, como la integración entre dos estructuras que ya disponen de servicios de directorio sin que esto suponga un problema.

Algunos servicios de directorio Los servicios de directorio más comunes son Active Directory (Microsoft), OpenLDAP (Linux), Novell eDirectory (Novell) y Oracle Internet Directory (Oracle). Puedes investigar en Internet cuáles son las ventajas e inconvenientes de cada uno de ellos.

114

2 >> Funciones de Active Directory Compatible con X.500 Active Directory es compatible con otros servicios de directorio, ya que se basa en el estándar X.500, un conjunto de estándares sobre servicios de directorio que garantizan la comunicación entre todos aquellos que sigan este estándar.

Observación En Windows Server 2008 R2 este conjunto de funcionalidades recibe el nombre de Active Directory Domain Services (servicios de dominio del directorio activo), pero para simplificar le seguiremos llamando Active Directory.

Active Directory es el servicio de directorio de los servidores Windows desde Windows 2000. Almacena la información de los recursos de la red y permite el acceso a los usuarios y las aplicaciones a dichos recursos. Active Directory tiene las siguientes funcionalidades:

– Almacén jerárquico de los objetos. – Esquema: conjunto de reglas que definen la estructura de los objetos que se pueden crear en el directorio. – Catálogo global: contiene el conjunto de todos los objetos definidos en el directorio. – Sistema de índices y consultas: las consultas son la manera de solicitar información y se realizan mediante el lenguaje LDAP, mientras que los índices son el mecanismo que permite el acceso rápido a los datos. – Servicio de replicación: permite la sincronización de los datos correspondientes al servicio de directorio entre diferentes servidores del directorio. – Integración con el subsistema de seguridad: los usuarios y grupos, las credenciales y los permisos de acceso a los recursos están almacenados en el mismo directorio activo. – Nombres integrados con DNS: el esquema de nombres de los diferentes objetos sigue el estándar DNS. Los estándares y protocolos más importantes que soporta Active Directory son los siguientes:

– DNS (Domain Name Service) o servicio de nombres de dominio: este servicio realiza la traducción entre nombres de dominio y direcciones IP. – SNTP (Simple Network Time Protocol) o protocolo simple de tiempo de red: ser vicio que permite sincronizar el tiempo entre dos o más equipos en la red. – Kerberos v5: protocolo utilizado para la autenticación de usuarios y máquinas. – Certificados X.509: estándar de infraestructura de clave pública, usado por los certificados digitales, entre otros.

6.1. Estándares y protocolos que utiliza Active Directory.

115


2.1 > Sistema de nombres de Active Directory El sistema de nombres de Active Directory se estructura del siguiente modo:

– Nombre completo: cada objeto necesita un nombre distinto para que todo elemento de Active Directory pueda identificarse de manera única. Aunque puede haber dos usuarios con el mismo nombre, deben existir en distintos lugares. Para satisfacer la necesidad de que cada objeto tenga un solo identificador, Active Directory utiliza el nombre completo. Por ejemplo, un usuario con un nombre común (CN), por ejemplo Rafael Pérez, se ubica en una unidad organizativa (OU) que se llama Users que existe en un dominio (DC) llamado ejemploSOR.com. Así, el nombre completo de un usuario podría ser este: CN = Rafael Pérez

OU = Users

DC = ejemploSOR

DC = com

Esto indicaría que en el dominio ejemploSOR.com existe un objeto llamado Rafael Pérez que se encuentra dentro de la unidad organizativa Users. – Nombre completo relativo: define la ruta del objeto sin mencionar su dominio ni la unidad organizativa contenedora. Pueden existir varios ob jetos dentro del mismo bosque con el mismo nombre completo relativo. El nombre completo relativo del anterior ejemplo es Rafael Pérez. Por ello, si nos encontramos ya en la unidad organizativa Users dentro del dominio ejemploSOR.com, solo deberemos especificar para encontrar al usuario el nombre completo relativo (Rafael Pérez). – Nombre principal del usuario: es, generalmente, el nombre con el cual se registra el usuario. Sin embargo, el usuario aún necesita saber en qué dominio existe su cuenta, ya que, cuando nos validamos debemos especificar ambas cosas. Por ejemplo, el nombre principal del usuario podría ser [email protected] . – Identificador único global (GUID) e identificador de seguridad (SID): cada objeto necesita ser identificado de manera única en todo el bosque (en toda la estructura del directorio). Para ello se utilizan dos identificadores, el GUID y el SID. El SID es un número que depende del dominio donde nos encontramos y, por tanto, puede cambiar si, por ejemplo, se mueve el objeto a otro dominio. Sin embargo, el GUID para ese objeto nunca debe cambiar. Active Directory utiliza el sistema de nombres DNS para tres funciones principales:

– Resolver los nombres de los dominios y objetos. Por ejemplo, para localizar con un nombre simple a un equipo llamado pc1.ejemploSOR.com. – Asignar nombres a los dominios y a los objetos. – Localizar los controladores de dominio y sus respectivos componentes.

Active Directory y DNS Es habitual confundir Active Directory y DNS, ya que tienen algunas similitudes: – Cada dominio de Active Directory se identifica con su nombre DNS. – Cada equipo tiene un FQDN (Full Qualified Domain Name) que se compone de la combinación de su nombre de host y su dominio con la estructura nombredeHost.dominio. Sin embargo existen diferencias importantes entre estos servicios: – En Active Directory los equipos y dominios se representan como objetos, mientras que en DNS se representan como nodos. – Almacenan la información de forma diferente.

Actividades propuestas 1�� Indica los nombres completo, completo relativo y el nombre principal del usuario llamado Gema Escrivá situado en la unidad organizativa Usuarios del dominio actividad.ejemploSOR.com que se valida con el nombre gescriva.

116

3 >> Elementos de Active Directory Una de las mayores ventajas de Active Directory en la administración de dominios es la separación que hace entre la estructura lógica de la organización (dominios, árboles y bosque) y la estructura física (topología de red). Ello permite diseñar cada parte de forma independiente al resto. La estructura lógica de la organización se basa en los dominios, que son la unidad básica de gestión del servicio de directorio. La estructura de administración de estos dominios está basada en unidades organizativas, que organizan los diferentes objetos de una forma lógica.

6.2. Ejemplo de estructura de Active Directory.

3.1 > Dominio Un dominio es un conjunto de ordenadores que comparten un nombre, un conjunto de directivas y unas bases de datos. Los dominios son las estructuras principales de Active Directory. Todos los objetos forman parte de un dominio y la política de seguridad es uniforme en él. Cada dominio se identifica unívocamente con un nombre de dominio DNS, que debe ser el sufijo DNS principal de todos sus equipos miembros. Es decir, si el equipo equipo1 pertenece al dominio smrdominio.com, el nombre completo del equipo será equipo1.smrdominio.com y si en el mismo dominio existe una impresora llamada imp1 esta tendrá como nombre completo imp1.smrdominio.com . Utilizar los dominios nos permite la posibilidad de conseguir los siguientes objetivos:

– Límite de seguridad: las directivas de seguridad, los derechos administrativos y las ACL no se comparten entre dominios; es decir, la configuración de seguridad de cada dominio es independiente. – Límite de replicación de información: cualquier controlador de dominio admite cambios en la información y es capaz de replicarlos al resto de controladores de su mismo dominio. – Límite de delegación de permisos administrativos: se pueden delegar los derechos administrativos del dominio o de algunas de sus unidades organizativas a otros usuarios, pero no de otros dominios. En organizaciones de gran tamaño, suele ocurrir que es necesario distribuir la administración de cada una de sus partes. Para realizar esto, se pueden crear diferentes dominios que se integren en un árbol con un espacio de nombres común.


117

3.2 > Árbol Una empresa multinacional podría tener delegaciones en diversas partes del mundo y, aunque compartieran el mismo nombre de dominio raíz, podría ser que cada una necesitara gestionarse internamente de manera independiente. El motivo es que la administración de cada delegación debería ser realizada por un conjunto de administradores diferentes con un límite de administración ceñido a la propia delegación. Por ejemplo, una empresa informática llamada inforxte.com puede trabajar en Francia, España, Suiza, Alemania e Italia. Además, España podría estar subdividida en zonas que recibieran el nombre de la delegación, tales como Madrid, Barcelona, Valencia, Sevilla y Bilbao. A su vez, una sede como Valencia podría tener 200 trabajadores, lo que justificaría disponer de su propio administrador. De esta forma, el dominio de la sede central a nivel mundial sería inforxte.com, el de la sede central en España sería spain.inforxte.com y el de la delegación de Valencia sería valencia.spain.inforxte.com (figura 6.3). Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo, es decir, que derivan del mismo nombre de dominio raíz y por tanto tienen un sufijo DNS común. Así, los dominios valencia.spain.inforxte.com, france.inforxte.com e inforxte.com comparten el mismo espacio de nombres, que es inforxte.com, por lo que pertenecen al mismo árbol. El primer dominio creado se denomina raíz y los que se agregan a un dominio ya existente se denominan secundarios. Los dominios que forman el árbol se enlazan con relaciones de confianza bidireccionales y transitivas entre padres e hijos. La principal razón de crear diferentes dominios parte de la necesidad de dividir la información de la red. Las redes pequeñas no necesitan partir su administración, pero cuando una empresa se hace grande, especialmente si se divide en múltiples localizaciones geográficas, la creación de subdominios se hace inevitable. Otras razones interesantes para realizar la división en subdominios de un árbol son:

– Replicación: todos los objetos de un dominio son replicados entre los controladores de dominio, pero los recursos externos (para permitir el acceso de usuarios de un dominio a los recursos de otros) solo son replicados entre servidores de catálogo global, por lo que se reduce mucho el tráfico de red entre dominios. Esto es especialmente interesante en empresas con delegaciones a nivel mundial. Si estas delegaciones están unidas entre sí y a la central a través de un enlace de baja velocidad, puede ser interesante crear subdominios en cada una de ellas. – Seguridad y administración: el límite administrativo y de seguridad es el dominio, por lo que, en principio, diferentes dominios tendrían diferentes administradores e incluso diferentes políticas. Esto afecta también en la delegación de la administración de una parte del dominio.

6.3. Ejemplo de estructura de árbol.

118

3.3 > Bosque La empresa inforxte.com compra la empresa Computerlab, cuyo dominio es computerlab.com, pero quiere seguir manteniendo la misma estructura de nombres independientes. Lo que procede, en este caso, es que ambos árboles se integren en el mismo bosque (figura 6.4). Un bosque es un conjunto de uno o más árboles, conectados entre los dominios raíz de dichos árboles a través de relaciones de confianza bidireccionales y transitivas. Si hay más de un árbol en el bosque, estos no forman un espacio de nombres común, es decir, tienen nombres de dominio diferentes e independientes. Las principales razones para crear diferentes árboles en un bosque son: 6.4. Ejemplo de bosque.

– Mantener los nombres de dominios de sus árboles. – Proporcionar una estructura de red. Por ejemplo, si mi empresa puede tener varias empresas subsidiarias que son totalmente independientes de la empresa matriz, se crearía un árbol por cada empresa. – Fusiones de empresas que quieren mantener su entidad independiente. Cuando administramos bosques debemos tener en cuenta que no se pueden mover dominios entre unos bosques y otros. Cuando se instala el primer controlador de dominio en la organización se crea el dominio raíz del bosque, que contiene la configuración y el esquema del bosque (compartidos por todos los dominios).

Casos prácticos

1

Diseño de la estructura de dominios e integración de dos árboles en un mismo bosque �� a) La empresa de fabricación de telas Amparo Fabra tiene fábricas en Madrid, Barcelona, Sevilla y Bilbao. La red es independiente para cada una de las fábricas, que así disponen de una red de trabajo en grupo independiente. Deciden interconectarse creando una estructura única a partir del dominio afabra.es. Quieren que haya una estructura centralizada en la fábrica de Bilbao, pero que la administración de cada fábrica se mantenga independiente. Además, si los trabajadores de una fábrica se desplazan a otra deben poder conectarse a la red y acceder a los recursos como si estuvieran en la suya. b) Un año más tarde, Amparo Fabra compra la firma de moda Comomola, cuyo dominio es comomola.es. Esta firma es muy conocida y se quiere seguir manteniendo la identidad de la marca y su dominio, pero se necesita integrar ambos sistemas bajo la misma estructura informática. ¿Qué solución se podría adoptar para cada uno de los casos?

Solución �� Las soluciones que se podrían aportar en cada caso son: a) Se podría crear una estructura con un dominio raíz llamado afabra.es y subdominios para cada una de las fábricas (madrid.afabra.es, barcelona.afabra.es y sevilla.afabra.es), y la fábrica de Bilbao estará en el dominio afabra.es. b) Se debería integrar el árbol comomola.es en el mismo bosque de afabra.es y así existiría una relación de confianza entre sus dominios raíz.

119


4 >> Componentes y funciones de los dominios 4.1 > Estructura de componentes de Active Directory En Active Directory la estructura física o de componentes sirve para gestionar el tráfico de replicación y para apoyar la infraestructura del servicio de directorio. Controla dónde y cuándo se producen tanto el tráfico de replicación como el de inicio de sesión.

Controlador de dominio Un controlador de dominio es un servidor donde se almacena una réplica del directorio. Los controladores de dominio ejecutan el servicio responsable de autenticar inicios de sesión de usuario.

Observación Una buena configuración permite optimizar el tráfico de red y el proceso de inicio de sesión, y solventar problemas de replicación.

Active Directory está basado en un esquema de varios controladores de dominio donde cada uno tiene autoridad sobre el dominio y no hay ninguno más importante que otro (modelo multimaestro). Todo dominio debe contar con uno o más controladores. Un controlador de dominio almacena la siguiente información:

– Partición de directorio de domino: contiene los objetos del dominio que se replicarán a cada controlador de dominio del mismo dominio, pero no de otros dominios. – Partición del directorio de esquema: contiene la definición de todos los tipos de objetos y atributos que se pueden crear en todo el bosque. Estos datos son comunes a todos los dominios del bosque y, por ello, se replican a todos los controladores de dominio de dicho bosque. Solo hay un controlador de dominio del bosque donde se puede modificar el esquema, el resto de las réplicas son solo de lectura. – Partición del directorio de configuración: contiene la topología de replicación y la estructura de dominios, y se replica a todos los controladores de dominio del bosque. – Particiones de directorio de aplicaciones: contienen datos específicos de aplicación. Estos datos pueden ser de cualquier tipo excepto datos de cuentas de usuarios, grupos y equipos. Los controladores de dominio de solo lectura o RODC (Read Only Domain Controller) son un tipo de controladores de dominio que contienen una copia de solo lectura del directorio activo. Por tanto, desde ellos no se puede administrar el dominio. Se recomienda su utilización en sucursales de empresas que no dispongan de suficiente seguridad. Su objetivo es que los equipos de la sucursal dispongan de un acceso rápido al controlador de dominio, pero que este no ofrezca un punto de ataque a la red interna por falta de seguridad (figura 6.5). Un RODC tiene el inconveniente de que no se puede utilizar para tolerancia a fallos, como ocurre con los DC de un dominio. Algunos de los controladores de dominio de la organización realizan funciones de servidor de catálogo global. Estos servidores almacenan una copia de los objetos del directorio activo de un bosque, una copia completa de los objetos de su dominio y una copia parcial de los objetos de otros dominios.

6.5. Controladores de dominio RODC.

120

Sitio Un sitio es una combinación de una o más subredes conectadas por un enlace de alta velocidad. Definir sitios implica configurar la topología de replicación y acceso a Active Directory, de forma que se utilicen los enlaces de comunicación más rápidos para el tráfico de inicio de sesión y l a replicación. Los sitios se utilizan para reducir mucho el tráfico de replicación entre zonas conectadas por un enlace WAN de baja velocidad. Los sitios no forman parte de los espacios de nombres. Contienen solo los equipos y conexiones utilizados. Un dominio simple se puede expandir por muchos sitios y un único sitio puede contener equipos pertenecientes a muchos dominios. Lo habitual es diseñar los sitios en función de oficinas, plantas y edificios. Como regla deberíamos definir un sitio para cada área que tenga una conexión con el resto de la organización con un ancho de banda menor que el de una LAN. Las razones fundamentales para la creación de sitios son:

– Minimizar el tráfico de replicación entre sitios. – Permitir programar las replicaciones entre sitios. – Permitir que los usuarios se conecten a un controlador de dominio mediante una conexión de alta velocidad, ya que los clientes de un sitio buscan controladores de dominio que se encuentran en el mismo sitio.

4.2 > Relaciones de confianza Las relaciones de confianza son relaciones establecidas entre dos dominios que permiten a los usuarios de un dominio ser reconocidos por los controladores de dominio de otro dominio. Además, permite a los dominios compartir usuarios y grupos y, por tanto, asignar permisos a usuarios o grupos de otro dominio. El dominio que confía es el encargado de autenticar el inicio de sesión del dominio en el que confía. Esto permite que los usuarios de este último puedan acceder a los recursos del dominio que confía. Es decir, si el dominio A confía en el dominio B, el dominio A autenticará a los usuarios del dominio B y los usuarios del dominio B podrán acceder a los recursos del dominio A. Los tipos de relaciones de confianza en función de su operatividad son:

– Bidireccionales y transitivas: son las relaciones de dominios por pertenecer al mismo árbol o bosque. Cuando se crea un dominio hijo, este confía en el padre y viceversa. La transitividad consiste en que si C confía en B y B en A, esto implica que C confía en A. Por ejemplo, en la figura 6.6 se puede observar que el usuario del dominio A puede acceder a los recursos del dominio C por transitividad. Estas relaciones de confianza incluyen: • Las confianzas establecidas de forma automática entre los dominios raíz de árbol del mismo bosque. • La confianza principal-secundario, que es la que se establece entre un dominio y sus subdominios de forma automática.


– De acceso directo o atajo: son relaciones de confianza creadas manualmente que mejoran la eficacia de los inicios de sesión remotos acortando la ruta de confianza. Es posible entre dos dominios del mismo bosque. Deben establecerse manualmente en cada dirección y son transitivas. Se utilizan cuando los usuarios de un dominio deben acceder frecuentemente a los recursos de otro dominio y estos tienen muchos dominios intermedios. De esta forma se accede de forma más rápida generando menos tráfico en la red. – Externas o unidireccionales no transitivas: se crean entre dos dominios de diferentes bosques. Al ser unidireccionales, los usuarios del dominio A (de confianza) pueden utilizar los recursos del dominio B 6.6. Relaciones de confianza bidireccionales y transitivas. (que confía), pero no al revés. – Confianza de bosque: este tipo de relaciones se crean de forma manual entre los dominios raíz de dos bosques distintos. Permite a los usuarios de cualquier dominio de uno de los bosques acceder a los recursos de cualquier dominio del otro bosque. Es unidireccional y solo es transitiva entre dos bosques. Solo está disponible en dominios desde la versión Windows 2003. – Confianza de territorio: las relaciones se crean de forma manual entre un dominio Windows Server 2008 y un territorio (realm) Kerberos (versión 5) que no sea Windows. Permite la interoperabilidad entre ambos. Es unidireccional y puede ser transitiva o no.

6.7. Relaciones de confianza entre dominios.

121

122

4.3 > Niveles funcionales El nivel funcional de un dominio o de un bosque establece las características y funcionalidades que este puede. Sería como la versión de Active Directory que utiliza el dominio o el bosque.

6.8. Logotipo de Active Directory.

Elevar el nivel funcional de un dominio o bosque tiene como ventaja que ampliamos su funcionalidad, pero esto impide tener controladores de dominio de versiones previas de Windows que no sean compatibles con dicho nivel funcional. Además hay que tener en cuenta que una vez elevado el nivel funcional de un dominio o bosque, no podremos volver a establecer el nivel previo. Windows Server 2008 R2 soporta los siguientes niveles funcionales de dominio y de bosque:

– Windows 2000 nativo. – Windows Server 2003: añade, respecto al anterior, funcionalidades como el cambio de nombre de un controlador de dominio y de un dominio, la inclusión de un atributo de usuario que almacena la hora del último inicio de sesión en el dominio, la posibilidad de redirigir los contenedores por defecto para nuevos usuarios y equipos, y los controladores de dominio de solo lectura. – Windows Server 2008: añade funcionalidades como las políticas de contraseñas específicas para usuarios y grupos dentro del dominio o mayor seguridad de cifrado en el protocolo Kerberos. – Windows Server 2008 R2: añade funcionalidades como la gestión de identidades federadas y restaurar objetos del directorio eliminados. La elección del nivel funcional del bosque o dominio condiciona la versión de los sistemas operativos que podrán utilizarse en el futuro en los DC del dominio.

Casos prácticos Diseño de la estructura de sitios e integración de dos árboles en un mismo bosque �� La empresa Amparo Fabra decide trasladar las oficinas centrales a un ed ificio de la ciudad de Bilbao, pero quiere que los administradores de la central sigan encargándose de sus tareas del mismo modo que lo hacían anteriormente con los recursos informáticos de la fábrica. El enlace entre la fábrica y la central va a ser de baja velocidad. ¿Qué solución se podría aportar?

Solución �� Deberían trasladarse algunos de los controladores de dominio a la nueva ubicación de las oficinas centrales, pero al menos un controlador de dominio o, a ser posible , dos o más deberían quedarse en la fábrica. También deberían definirse dos sitios en ese dominio: uno para las oficinas centrales y otro para la fábrica. De esa manera, los equipos de la fábrica accederían a los controladores de dominio ubicados en su red local y el tráfico entre la fábrica y las oficinas centrales se limitaría a la replicación entre sus controladores de dominio.

2


123

5 >> Instalación de Active Directory y configuración básica de un dominio Hay que tener en cuenta que, una vez creado un dominio e insertado dentro de un árbol del bosque, este ya no se puede mover a otro lugar dentro de la jerarquía ni eliminarse si co ntiene subdominios. Por este motivo, es de gran importancia dedicar el tiempo necesario al diseño de la estructura de Active Directory. Las decisiones que tomemos a nivel de diseño de la estructura del servicio de directorio son fundamentales para ahorrar costes en el desarrollo futuro. Las operaciones que podemos realizar en Active Directory respecto a los dominios son las siguientes:

– Crear un controlador de dominio para el nuevo dominio raíz: la primera vez que instalamos Active Directory creamos un nuevo dominio raíz como, por ejemplo, ejemplosor.com. Con la creación de este dominio raíz creamos un árbol y un bosque. – Crear dominios dependientes del dominio raíz: podemos crear nuevos dominios que sean subdominios de uno raíz ya creado, como por ejemplo inf.ejemplosor.com, y así los integramos dentro del mismo árbol (comparten el mismo nombre de dominio raíz). – Crear un nuevo dominio en el bosque: podemos crear un nuevo dominio que sea independiente de los árboles que tenemos creados, es decir, que tenga otro nombre de dominio raíz diferente al de los árboles ya creados, creando así otro árbol dentro del bosque. Los diferentes árboles del bosque están unidos por relaciones de confianza. Podríamos crear, por ejemplo, el dominio ejsor.es. – Añadir controladores de dominio adicionales a los dominios existentes: para conseguir la redundancia que nos permite tener alta disponibilidad. Esta opción permite definir un controlador de dominio a partir de una copia de seguridad del controlador. También permite definir un RODC. – Eliminar un controlador de dominio de un dominio: podemos hacer que un servidor deje de actuar como controlador de dominio. En caso de que sea el último controlador del dominio, se eliminará dicho dominio, siempre que no tenga ningún subdominio que dependa de él. En caso de que tenga algún subdominio, no será posible realizarlo hasta que estos no se hayan eliminado. La administración de relaciones de confianza, niveles funcionales y funciones del maestro de operaciones se realiza con la herramienta Dominios y confianzas de Active Directory, y la de los sitios de Active Directory se realiza con Sitios y Servicios de Active Directory.

Casos prácticos Instalación de Active Directory creando un nuevo dominio raíz �� Crea el dominio raíz SMRDOMINIO.COM en Active Directory. Para ello deberás instalarlo.

3

124

3 Solución �� Antes de iniciar la práctica, debes configurar la IP del servidor como estática. Para ello debes hacer clic con el botón secundario sobre la conexión de área local, seleccionar Propiedades, marcar Protocolo de Internet versión 4 (TCP/IPv4), pinchar Propiedades e introducir la IP fija:

6.9. Selección de Propiedades de Conexión de área local.

6.10. Selección de propiedades del protocolo TCP/IP.

6.11. Introducción de los valores de configuración de la IP fija.

Para crear el dominio SMRDOMINIO.COM realiza los siguientes pasos: 1. Dirígete a Inicio / Ejecutar y escribe dcpromo. 2. Pincha Siguiente en la pantalla de bienvenida y en la página que explica la compatibilidad de dominios Windows Server 2008 con sistemas operativos anteriores. 3. Pincha Crear un dominio nuevo en un bosque nuevo (figura 6.12), ya que este es el primer dominio que creas. Después haz clic en Siguiente. 4. En el nombre del dominio raíz del bosque, escribe el nombre de dominio, en nuestro caso SMRDOMINIO.COM (figura 6.13) y a continuación pincha Siguiente.

6.12. Opción Crear un dominio nuevo en un bosque nuevo.

6.13. Introducción del nombre del dominio raíz.

125


3 5. En la ventana Establecer el nivel funcional del bosque deja la opción Windows Server 2003 (figura 6.14) y pincha Siguiente. 6. En la página Establecer el nivel funcional del dominio, deja la opción Windows Server 2008 R2 (figura 6.15) y pincha Siguiente.

6.14. Nivel funcional del bosque.

6.15. Nivel funcional del dominio.

7. En la ventana Opciones adicionales del controlador de dominio marca Servidor DNS (figura 6.16) y haz clic en Siguiente. Pincha Sí en la advertencia de delegación. 8. En la ventana Ubicación de la base de datos, los archivos de registro y SYSVOL pincha Siguiente (figura 6.17).

6.16. Opciones adicionales del controlador de dominio.

6.17. Ubicación de la base de datos, los archivos de registro y SYSVOL.

9. Introduce la contraseña de la cuenta de administrador en modo de restauración de servicios. 10. En la página de resumen pincha Siguiente. 11. Una vez configurado Active Directory, haz clic en Finalizar y, a continuación, en Reiniciar Ahora.

126

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué ventajas ofrece un servicio de directorio respecto a un grupo de trabajo? 2�� Indica los servicios en los que se apoya Active Directory. 3�� Explica cuál es la relación entre Active Directory y DNS. Similitudes y diferencias. 4�� Indica el nombre de usuario principal de inicio de sesión en el dominio dominiosor.com del usuario juan. 5�� Indica cuál es el nombre de usuario principal de inicio de sesión cuyo nombre completo es: CN = jose

OU = users

DC = inforxte

DC = com

6�� ¿Cuáles son los componentes lógicos del servicio de directorio de Windows Server 2008 R2? 7�� ¿Qué es un dominio? 8�� ¿Qué es un árbol? ¿En qué situaciones empresariales se utiliza? 9�� ¿Qué es un bosque? ¿En qué situaciones empresariales se utiliza? 10�� ¿Qué es un sitio? ¿Cuándo nos podemos ver en la necesidad de crear un sitio? 11�� ¿Para qué se utilizan las relaciones de confianza? 12�� ¿Para qué sirve un atajo? 13�� ¿Cuáles son las principales funciones de un controlador de dominio? 14�� Busca en Internet qué es un controlador de dominio de solo lectura (RODC). 15�� Busca en Internet qué es un servidor de catálogo global. .: APLICACIÓN :. 1�� Agrega otro servidor Windows 2008 R2 al dominio smrdominio.com. Comprueba cómo aparece en la unidad organizativa Computers de Usuarios y equipos de Active Directory del controlador de dominio.

2�� Crea un equipo controlador de dominio adicional del dominio smrdominio.com. El servidor adicional debe ser también servidor DNS y servidor de catálogo global y no debe ser un RODC (controlador de dominio de solo lectura). Para comprobar su funcionalidad verifica que, en caso de apagar el controlador de dominio que se instaló primero, este segundo asume el control de validación y se puede seguir conectando al dominio el equipo con Windows 7. Nota: antes de la prueba de la funcionalidad, añádele al equipo de Windows 7 la IP del segundo controlador de dominio como DNS secundario.

3�� Elimina el controlador de dominio creado en la actividad anterior. Si ejecutamos dcpromo, da la opción de eliminarlo.

4�� Con otra máquina virtual con un servidor Windows 2008, crea un dominio secundario en un árbol de dominios existente, siendo el árbol smrdominio.com, y llama al nuevo dominio valencia.smrdominio.com. Al final, fuerza el registro de los nuevos registros DNS deteniendo el servicio de red del controlador de dominio secundario y luego arrancándolo.


Caso final

127

4

Creación de un bosque �� a) Te encargan el diseño de la estructura de dominios de un grupo de fabricación textil. La empresa tiene sede en Lugo y delegaciones en París y Milán. La marca tiene en Internet los dominios aftextil.es, aftextil.fr y aftextil.it. Debes diseñar una estructura interna de dominios donde el dominio principal sea aftextil.local, y las delegaciones deben tener una gestión independiente pero que permita compartir los recursos. Además se quiere que en cualquier delegación un usuario pueda conectarse a la red y acceder a los recursos sobre los que tiene permiso. b) Meses más tarde, el grupo textil compra la cadena de tiendas de ropa XXL, que dispone de un dominio interno llamado xxl.internal. Esta empresa tiene sede en Roma y delegaciones en París y Madrid que se gestionan con los subdominios fr.xxl.internal y es.xxl.internal. Se quiere que cualquier usuario del grupo empresarial pueda conectarse desde cualquier dominio del grupo. c) Te das cuenta de que el número de accesos desde el dominio fr.xxl.internal al dominio de la delegación de París son muy frecuentes y que el sistema tarda mucho en mostrar la información de un dominio en otro. ¿Qué solución podrías adoptar para hacer más rápidos los accesos?

Solución �� Las tareas planteadas se resolverían de la siguiente forma: a) Crea una estructura donde haya tres dominios en un árbol: el dominio raíz aftextil.local y dos subdominios: paris.aftextil.local y milan.aftextil.local. Así, los recursos de la red están accesibles, mientras que la delegación es distribuida por dominios. b) Para que haya relaciones de confianza entre los dos árboles, estos tienen que estar integrados en un mismo bosque. De esta manera, seguirán manteniendo su identidad, pero podrán compartir recursos con el otro árbol del bosque. c) Podrías crear un atajo desde fr.xxl.internal hacia paris.aftextil.local. Así no tendría que acceder a través de los dos dominios raíz, y los accesos de las relaciones de confianza irían mucho más rápidos.

128

Ideas clave Servicios de directorio

–Sistema de nombres

Dominio

Estructura lógica –

Árbol– Bosque

ADMINISTRACIÓN DE DOMINIOS DE ACTIVE DIRECTORY

Sitio

Estructura física

RODC Controlador de dominio

Servidor de catálogo global

Bidireccionales y transitivas Accesos directos o atajos

Relaciones de confianza

Externas o unidireccionales no transitivas Confianza de bosque Confianza de territorio

Configuración de un dominio



Caso de éxito: Banco Popular Desde que Grupo Banco Popular implantó el directorio activo de Microsoft Windows Server 2000 en el año 2001, esta aplicación se ha convertido en la piedra angular de buena parte de la plataforma tecnológica de la entidad. Para mejorar su funcionalidad y poder llevar a cabo un rediseño del mismo, se decidió participar en 2007 en el programa de adopción de Microsoft Windows Ser ver 2008. Tras meses de trabajo en conjunto con los profesionales de Microsoft, ya se ha iniciado la migración de varios servidores a la nueva versión. El próximo paso será la migración del rediseñado Active Directory y de otras soluciones como Microsoft Exchange o Terminal Services. Más seguridad, mejor gestión y control de las políticas de acceso y una mayor funcionalidad y productividad son los beneficios más importantes que la compañía espera obtener con la nueva versión. El nuevo directorio activo Microsoft Windows Server 2008 se desplegará sobre una plataforma de servidores con tecnología Intel® Xeon®, orientada a asegurar un entorno escalable y con prestaciones de bajo consumo y alto rendimiento en consonancia con las necesidades de evolución del centro de datos de Banco Popular. El objetivo del Grupo Banco Popular es integrar progresivamente Microsoft Windows Server 2008 en la

mayoría de sus servidores. El primer paso se dio en enero de 2008, momento en el que se empezó a trabajar en el rediseño de Active Directory, una labor que la entidad ha previsto que se desarrolle hasta principios del último trimestre del año. «En ese momento esperamos estar en condiciones de comenzar a migrar los controladores de dominio a Microsoft Windows Ser ver 2008 y disponer ya del directorio activo de forma estable», señala el responsable de la compañía. Durante este tiempo, todo lo que se implante en los servicios centrales a nivel del directorio activo se testeará en el cliente final para conocer en todo momento los resultados obtenidos. Por todo ello, después de Active Directory, Grupo Banco Popular iniciará la migración progresiva a Microsoft Windows Server 2008 en otros entornos de gran impor tancia para la entidad, como es el caso de Microsoft Exchange o Terminal Services. «Desde el momento en el que apareció en el mercado, con templamos Microsoft Windows Ser ver 2008 como una versión nueva y, con todas las precauciones lógicas de los entornos de producción, empezaremos a migrar en la medida en que nosotros nos sintamos confortables y Microsoft nos vaya asesorando. Desde febrero, ya tenemos cuatro servidores que funcionan con la nueva plataforma de Microsoft», subraya el responsable del Departamento de Arquitectura de Sistemas Windows de Banco Popular.

Fuente: Casos de éxito de Windows Server 2008, en www.microsoft.com/spain

Actividades 1�� ¿Qué beneficios crees que aporta Active Directory al Banco Popular? 2�� ¿Por qué crees que realizan la migración a Windows 2008 progresivamente y no de una sola vez?

u

n

i

d

a

d

7

Administración de objetos de Active Directory SUMARIO 

Unidades organizativas



Administración de usuarios y grupos de Active Directory



Delegación de la administración



Administración de equipos de Active Directory



Tipos de perfiles de usuario. Perfiles móviles

OBJETIVOS ·· Conocer la utilidad de las unidades organizativas.

·· Conocer los tipos de usuarios y grupos de Active Directory y saber administrarlos.

·· Saber gestionar y administrar equipos en Active Directory.

·· Conocer las ventajas de usar perfiles de usuario y saber cómo gestionarlos.

131

Unidad 7 - Administración de objetos de Active Directory

1 >> Unidades organizativas Active Directory es una base de datos jerárquica y distribuida orientada a objetos. Almacena los objetos que la red necesita para la gestión de sus recursos. Estos objetos son principalmente usuarios, grupos y equipos, aunque existen muchos otros. Para organizar los objetos del dominio existen unos contenedores llamados unidades organizativas que facilitan su administración. En su interior puede haber objetos como usuarios, grupos, equipos e impresoras, así como otras unidades organizativas. De la misma manera que las carpetas sirven para organizar los archivos, las unidades organizativas sirven para organizar los objetos de cada dominio. Una de las diferencias respecto a las carpetas es que los objetos que están dentro de las unidades organizativas pueden ser movidos a otras unidades organizativas, pero nunca pueden copiarse, ya que son únicos.

Administración de Active Directory Para administrar Active Directory utilizamos la herramienta Usuarios y equipos de Active Directory que se encuentra en: Inicio / Herramientas Administrativas / Usuarios y Equipos de Active Directory

La estructura de las unidades organizativas dependerá de cómo queremos organizar los diferentes objetos, y debe facilitar posteriores operaciones tales como la delegación de derechos administrativos. El objetivo de crear unidades organizativas es ordenar el conjunto de objetos de Active Directory. Las unidades organizativas permiten organizar los objetos según la organización de la empresa sin necesidad de crear subdominios para cada departamento o sección, los cuales dificultarían mucho la administración. El objetivo de crear subdominios debe ser tener áreas de administración independientes dentro de la estructura organizativa. La utilización de unidades organizativas hace independiente la estructura de dominios de los cambios que se produzcan dentro de la empresa. Por ello, podemos elegir una estructura organizativa, por ejemplo que nos agrupe los elementos según su tipo de objetos (figura 7.1) u otra por departamentos (figura 7.2). Además, cuando interese se pueden crear secciones dentro de los departamentos para hacer una división más al detalle por personas dedicadas a la misma sección, creando otras unidades organizativas dentro de la unidad organizativa del departamento. Las unidades organizativas, también sirven para aplicar ciertas operaciones y que estas se apliquen a todos sus objetos. Debemos considerar los siguientes aspectos de las unidades organizativas cuando diseñemos su estructura:

– La delegación de la administración se hace a nivel de unidades organizativas. Se puede conceder la administración total o parcial de los objetos contenidos en una unidad organizativa a un usuario o grupo. Esto nos permite tener administradores solo para una parte de nuestra organización. – Las políticas o directivas de grupo se establecen al nivel de la unidad organizativa. Por ejemplo, podemos establecer que las aplicaciones que se instalen en el departamento de recursos humanos, dependiente de la unidad organizativa RRHH, sean unas en concreto.

7.1. Organización del directorio activo según tipos de objetos.

7.2. Organización del directorio activo según la estructura orgánica.

132

1.1 > Creación de unidades organizativas Las unidades organizativas se gestionan desde la herramienta Inicio / Herramientas Administrativas / Usuarios y Equipos de Active Directory. Para crear una unidad organizativa pinchamos con el botón derecho del ratón sobre el elemento donde queremos crearla, seleccionamos Nuevo / Usuario y le asignamos un nombre.

Casos prácticos

1

Diseño de la estructura organizativa de una empresa. Planificación de la creación de unidades organizativas en el dominio �� La oficina central de ssii.int tiene en estos momentos 1000 usuarios que trabajan en los departamentos de Ventas, Administración y Producción. La directiva espera que en los próximos 5 años tenga lugar un crecimiento de hasta el 100% de la plantilla. La mayor parte de la administración de ssii.int está centralizada. No obstante, debe haber un administrador para cada uno de los tres departamentos para controlar únicamente la administración de usuarios y grupos (agregar y quitar usuarios y grupos y cambiar las contraseñas de forma esporádica). La mayoría de los equipos, salvo los servidores de bases de datos, de cada departamento están configurados de forma similar y tienen instaladas las mismas aplicaciones comerciales. ¿Qué estructura de unidades organizativas se debería tener? ¿Qué objetos situarías en estas unidades organizativas? La clave está en tener una estructura sencilla que cubra los requisitos administrativos.

Solución �� Tendrías que crear una estructura con tres unidades organizativas llamadas Ventas, Administracion y Produccion. A continuación distribuirías los objetos de cada departamento dentro de estas unidades organizativas. Esta estructura permitirá poder delegar la administración de usuarios y grupos en tres administradores diferentes, uno por cada unidad organizativa. Estas estarán divididas en las unidades organizativas de Usuarios, Grupos, Equipos y Servidores, donde irán los correspondientes objetos. Además, esto permitirá aplicar directivas de grupo sobre los equipos para cada departamento, aplicando directivas de grupo sobre las unidades organizativas de equipos de cada departamento y, de este modo, se podrá uniformar el escritorio y las aplicaciones de estos.

Actividades propuestas 1�� Crea un dominio llamado SMRDOMINIO.com con una estructura de unidades organizativas donde estén representadas las familias profesionales de tu instituto y, dentro de la familia de informática, los ciclos que hay en tu instituto. En nuestro caso las familias son Informatica, Edificacion y Administracion y los ciclos de Informática son SMR, DAM y ASIR.

2�� Crea en el subdominio valencia.SMRDOMINIO.com las unidades organizativas Profesores y Administracion.

133


2 >> Administración de usuarios en Active Directory En la Unidad 4, estudiamos la gestión de usuarios y grupos locales en un equipo, además de las listas de control de acceso aplicadas sobre los archivos y carpetas de un equipo. En un dominio, los permisos sobre los recursos son idénticos a los vistos en la Unidad 5, pero los usuarios y grupos se gestionan de manera centralizada para todo el bosque. Recordemos que una cuenta de usuario permite lo siguiente:

– Autenticar la identidad de la persona que inicia la sesión: verificar que el usuario es quien dice ser, gracias al uso de las credenciales de acceso. – Controlar el acceso a los recursos: que solo puedan acceder a los recursos los usuarios que tienen permiso y con los permisos que se les han concedido. – Auditar las acciones del usuario: saber en todo momento las acciones que han realizado los usuarios. De este modo, si alguien, por ejemplo, sustrajera información confidencial de la empresa, se podría saber quién ha accedido a dicha información y cuándo lo han hecho, y así descubrir al responsable.

Recuerda Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Un bosque es un conjunto de uno o más árboles conectados entre los dominios raíz de los árboles a través de relaciones de confianza.

Existen dos tipos de cuentas de usuario:

– Local: permite iniciar la sesión y acceder a los recursos del equipo o ser vidor donde se creó la cuenta. Estas cuentas se vieron en la Unidad 4. – De dominio o global: permite al usuario iniciar la sesión en el dominio y acceder a los recursos de su dominio o de otro del mismo bosque. Estas cuentas se almacenan en Active Directory y guardan información adicional de los usuarios, pudiendo ser ampliadas con nuevos atributos modificando el esquema. La utilización de usuarios de Active Directory tiene varias ventajas:

– Permite la autenticación desde cualquier equipo que esté conectado a un dominio del bosque. – Puede utilizar técnicas de autenticación avanzada. Las técnicas de autenticación disponibles son:

TLS y SSL

– Por certificados digitales: si un usuario viene de Internet, puede usarlos junto a los protocolos SSL y TLS. – Por contraseñas: es el sistema más débil, ya que los usuarios la olvidan, se la dicen a otros compañeros o son robadas. – Por smartcard: se utiliza una tarjeta física para autenticarse. – Dispositivos biométricos: se leen huellas dactilares, iris del ojo, etc. para realizar la autenticación.

TLS y SSL son protocolos que proporcionan cifrado a las comunicaciones. TLS se aplica en la capa de transporte, mientras que SSL se aplica a nivel de sockets (intermedia entre transporte y aplicación).

Active Directory utiliza como proceso de autenticación Kerberos, en el que el cliente envía una solicitud con los valores del usuario o del equipo al servicio de autenticación del servidor que, si aprueba la solicitud, construye un ticket de concesión y crea las claves de sesión, enviando esto al cliente en la respuesta. Para acceder posteriormente a los recursos se utilizará el ticket de concesión.

134

Casos prácticos

2

Creación de usuarios del dominio �� Sobre la estructura organizativa creada en la actividad propuesta 1, se quieren crear dos usuarios en cada unidad organizativa: ProfeSOR1, que representará al profesor del módulo, y UsuarioSOR1, que será un usuario normal. Crea usuarios adicionales.

Solución �� Para crear los usuarios que se solicitan realiza lo siguiente: 1. Accede a Inicio / Herramientas Administrativas / Usuarios y Equipos de Active Directory. 2. En el panel de la izquierda, despliega el dominio SMRDOMINIO.COM. 3. Haz clic con el botón secundario sobre la unidad organizativa SMR y selecciona Nuevo / Usuario. 4. En la ventana que aparece introduce el nombre del usuario y el Nombre de inicio de sesión de usuario (figura 7.3). Este último atributo está formado por dos partes: un identificador de usuario y un nombre de dominio precedido por el símbolo «@» ([email protected]). Este nombre de inicio de sesión debe ser único para cada usuario en el bosque. Pincha Siguiente. 5. Inserta y confirma la contraseña del usuario y cuándo quieres que el usuario cambie la contraseña (figura 7.4).

7.3. Descripción del nuevo usuario.

7.4. Configuración de la contraseña del nuevo usuario.

6. Revisa las opciones y pincha el botón Finalizar.

Actividades propuestas 3�� Sobre el dominio SMRDOMINIO.com realiza las siguientes tareas: a) Crea los usuarios UsuarioA1, UsuarioA2 y UsuarioA3 en la unidad organizativa Administracion. b) Crea el usuario UsuarioV4 en la unidad organizativa Profesorado del subdominio valencia.SMRDOMINIO.com. c) Crea el usuario UsuarioC5 en la unidad organizativa Edificacion. d) Crea el UsuarioC6 en la unidad organizativa Administracion del subdominio valencia.SMRDOMINIO.com. e) Mueve UsuarioA1 desde la unidad organizativa Administracion a la unidad organizativa Edificacion.

135


3 >> Administración de grupos en Active Directory La verdadera potencia y complejidad de los grupos se encuentra en los que se crean en Active Directory. Se denominan grupos del dominio y son visibles desde todos los equipos conectados al dominio y, dependiendo del tipo de grupo, desde otros dominios. Por el contrario, los grupos locales solo pueden ser utilizados desde el equipo donde se han creado. Los grupos del dominio se diferencian por:

– Los tipos de grupos y usuarios que pueden contener. – Desde dónde son visibles, ya que algunos tipos serán visibles desde otros dominios y otros no.

3.1 > Grupos de dominio en Active Directory Podemos encontrar los siguientes tipos de grupos de dominio:

Grupos de dominio en Active Directory Tipo de grupo de dominio

Grupos y usuarios que puede contener

Visibilidad

Utilidad

Grupos de dominio local

– Cuentas de usuario de cualquier dominio del bosque. – Grupos globales de cualquier dominio del bosque. – Grupos universales de cualquier dominio del bosque. – Grupos de dominio local del mismo dominio al que pertenece.

Desde el dominio donde se creó.

Asignar los permisos a recursos de un dominio a los grupos de dominio local.

Grupos globales

– Cuentas de usuarios del mismo dominio donde se creó. – Grupos globales del mismo dominio en el que se creó.

Desde cualquier dominio del bosque.

Agrupar los usuarios del dominio por trabajos o funciones que desempeñan.

Grupos universales

– Cuentas de usuario de cualquier dominio del bosque. – Grupos globales de cualquier dominio del bosque. – Grupos universales de cualquier dominio del bosque.

Desde cualquier dominio del bosque.

– Administrar recursos situados en varios dominios del bosque. – Agrupar usuarios de varios dominios del bosque.

Los grupos de dominio local se utilizan para asignar permisos a los recursos de un dominio. Esto quiere decir que siempre que queramos asignar permisos a un recurso, deberíamos asignárselo a un grupo de dominio local. Pero nos interesa podérselo asignar a usuarios de nuestro dominio y también de otros dominios. En caso de que sean de mi dominio, basta con incluir, dentro del grupo local de dominio, cuentas de usuario del dominio y otros grupos locales de nuestro dominio. Sin embargo, en ocasiones se quiere dar permisos al recurso a usuarios de otros dominios. Por ello, se debe poder incluir en el grupo local de dominio grupos globales y universales. Los grupos globales sirven para englobar a usuarios del mismo dominio y para asignarles a esos usuarios permisos a recursos de otros dominios.

136

Ejemplo de grupo universal Imaginemos que en una organización cada delegación tiene un dominio y que queremos crear un grupo que englobe a los gerentes de cada delegación para darles permisos sobre cierta información de la empresa distribuida en varios dominios. En este caso sería interesante tener un grupo universal que incluyera a cada gerente de delegación.

Tipos de grupos Al crear un grupo se pedirá que se escoja el tipo de grupo, que podrá ser: – De seguridad: se utilizan para controlar el acceso a los recursos. Serán los que normalmente utilicemos a lo largo de la unidad. – De distribución: se utilizan para las listas de distribución de correo electrónico.

Observación Los grupos, al igual que los usuarios, tienen un identificador, por lo que no pueden repetirse los nombres de los grupos para un mismo dominio.

Los grupos universales sirven para agrupar elementos de diferentes dominios en un mismo grupo. Además, si este grupo necesita permisos en diferentes dominios, pueden usarse los grupos universales para asignar permisos a los recursos. Estas necesidades se pueden solventar a partir de grupos globales, pero los universales permiten una gestión de grupos más flexible, pese a que tienen mayor coste de gestión por Active Directory. La utilización de grupos universales se rec omienda en casos en los que un mismo conjunto de usuarios pertenecientes a varios dominios deben recibir acceso a recursos situados en dominios distintos.

Grupos por defecto en Active Directory En Active Directory también se crean grupos por defecto que tienen alcance para todo el dominio o bosque. Los grupos más importantes son:

– Administradores del dominio: sus miembros tienen derechos administrativos sobre todo el dominio, y localmente en cada controlador de dominio y en cada miembro del dominio. Cuando un equipo pasa a ser miembro de un dominio, se incluye este grupo dentro del grupo Administradores de dicho equipo; por este motivo sus miembros pueden administrar las máquinas del dominio. – Usuarios del dominio: sus miembros tienen derecho a validarse en el dominio. Cada vez que se crea un usuario de dominio, este pasa a ser miembro de este grupo. Cuando un equipo pasa a ser miembro de un dominio, se incluye este grupo dentro del grupo Usuarios del equipo. – Administradores de empresas: sus miembros tienen derechos administrativos sobre el Active Directory del bosque. – Propietarios del creador de directivas de grupo: sus miembros pueden crear nuevas directivas de grupo en el dominio.

3.2 > Estrategias para la creación de grupos Tras observar el sentido que tiene cada uno de los grupos, podemos decir que la estrategia más conveniente que debemos seguir al crearlos es esta:

– Asignar usuarios de un dominio con responsabilidades comunes a grupos globales. Utilizar grupos globales para permitir a los usuarios acceder a recursos de otros dominios – Asignar usuarios y grupos globales con responsabilidades similares pero de diferentes dominios a grupos universales. – Crear grupos de dominio local para dar permisos a los recursos que se van a compartir. – Incluir los grupos globales y los universales en grupos de dominio local. – Asignar permisos a grupos de dominio local donde se encuentra el recurso. Cabe recordar que si se asignan los usuarios a grupos de dominio local, estos grupos no se podrán administrar desde otro dominio. – Utilizar grupos universales para superar la barrera del dominio, es decir, asignar permisos de varios dominios a usuarios de varios dominios. – En un servidor miembro de un dominio se desaconseja usar grupos locales para así tener una gestión centralizada, almacenar la información del grupo en servidores del dominio y tener su correspondiente réplica para ser tolerante a fallos.

137


Casos prácticos

3

Creación de grupos del dominio �� Sobre la estructura organizativa creada en la actividad propuesta 1, crea un grupo llamado UsuariosSMR que englobe a todos los usuarios del ciclo formativo Sistemas Microinformáticos y Redes (SMR), ya sean profesores o alumnos.

Solución �� Para crear el grupo y añadirle usuarios debes seguir estos pasos: 1. Accede a Inicio / Herramientas Administrativas / Usuarios y Equipos de Active Directory. 2. En el panel de la izquierda, despliega el dominio SMRDOMINIO.COM y la unidad organizativa Usuarios. 3. En el menú Acción selecciona Nuevo / Grupo. 4. En la ventana que aparece introduce UsuariosSMR en Nombre del grupo. Selecciona Global en Ámbito del grupo y Seguridad en Tipo de grupo (figura 7.5). Haz clic en Aceptar . 5. Pincha el nuevo grupo con el botón secundario del ratón y selecciona Propiedades. Introduce una descripción y la dirección de e-mail del grupo. 6. Dirígete a la pestaña Miembros y pincha Agregar . Escribe los usuarios creados en el caso práctico anterior (ProfeSOR1 y ProfeSOR2) (figura 7.6). Con el botón Tipos de objeto se puede elegir dónde queremos buscar a los usuarios y con Ubicaciones podemos indicar la ubicación desde la que buscar. Si se desconoce el nombre de los usuarios, se pueden buscar pinchando Opciones avanzadas / Buscar ahora y seleccionando los usuarios.

7.5. Descripción del nuevo grupo.

7.6. Añadir usuarios al nuevo grupo.

7. Haz clic en Aceptar. Así ya estarían añadidos los usuarios al grupo.

Actividades propuestas 4�� Los usuarios de las unidades organizativas de Administracion de ambos dominios necesitan acceso de lectura a una base de datos Access de material administrativo ubicada en la carpeta compartida Materialadm del dominio SMRDOMINIO.com. ¿Qué grupos son necesarios y cuál es su tipo y ámbito? Piensa en la estrategia y luego impleméntala.

138

4 >> Administración de equipos e impresoras en Active Directory Active Directory también mantiene un listado con todos los equipos del dominio en el que almacena características tales como el nombre del equipo, su dirección y su identificador único, c onocido como ID. Al igual que ocurre con los usuarios, los equipos también poseen un número identificador que les permitirá autenticarse y ser auditados en el acceso a la red. Los objetos equipos en Active Directory sirven para controlar las máquinas que se pueden conectar a nuestro dominio, así como para aplicar aplic ar directivas sobre estos equipos.

4.1 > Agregar un nuevo equipo a Active Directory Un equipo podrá ser agregado al dominio desde el mismo cliente o desde el servidor.

Agregar un equipo desde el mismo equipo cliente Para agregar un equipo desde el mismo equipo cliente debemos seguir estos pasos:

7.7. Introducción del nuevo dominio del equipo.

1. Desde el equipo cliente y accediendo mediante un usuario con privilegios suficientes, accedemos a las propiedades del sistema, elegimos la pestaña Nombre de equipo equipo y y pinchamos el botón Cambiar. 2. En la sección Miembro sección Miembro del de la ventana que aparece ponemos la opción Dominio e introducimos el dominio al que se va a agregar el equipo. En nuestro caso, SMRDOMINIO (figura 7.7). 3. Hacemos clic en Aceptar en Aceptar y y se solicitará la autenticación con un usuario con permisos en el dominio. Una vez introducido dicho usuario habrá que reiniciar el equipo para adoptar la nueva configuración. 4. Una vez reiniciado el equipo observamos que en el apartado Conectarse a se podrá elegir entre la máquina local o el dominio que hemos introducido (figura 7.8). 5. Si entramos en el servidor podremos ver, mediante la herramienta Usuarios y equipos de Active Directory, que efectivamente el equipo se ha agregado. Lo encontraremos en la unidad organizativa Computers del dominio al que se ha conectado (figura 7.9).

7.8. Opciones de conexión del equipo al nuevo dominio.

7.9. Nuevo equipo en Active Directory.

139

Unidad Uni dad 7 - Administración de objetos de Active Directory

Agregar un equipo desde el propio servidor La segunda forma de agregar un equipo al dominio puede llevarse a cabo desde el propio servidor utilizando la herramienta Usuarios y equipos de Active Directory: Directory: 1. Nos situamos en el panel izquierdo, hacemos clic con el botón secundario del ratón sobre Computers (o equipos) y seleccionamos Nuevo / Equipo (figura 7.10). 2. En la ventana que aparece introducimos el nombre del equipo que queremos añadir y hacemos clic en Aceptar en Aceptar (figura 7.11). 3. Podemos comprobar en la ventana de la herramienta Usuarios y equipos de Active Directory que efectivamente el equipo se ha agregado. 7.10. Menú contextual para añadir un nuevo equipo a Active Directory.

7.11. Introducción del nombre del nuevo equipo.

4.2 >Agregar >Agregar impresoras a Active Directory Los usuarios pueden acceder a las impresoras agregadas a Active Directory de la misma forma que a las carpetas compartidas. Para agregar una nueva impresora a Active Directory hay que realizar lo siguiente: 1. En la herramienta Usuarios y equipos de Active Directory, hacemos clic con el botón secundario del ratón sobre el dominio o unidad contenedora y seleccionamos Nuevo seleccionamos Nuevo / Impresora Impresora (figura 7.12). 2. Indicamos la ruta de acceso UNC a la impresora compartida y hacemos clic en Aceptar. en Aceptar. 3. El nuevo objeto aparecerá en la ventana Usuarios y equipos de Active Directory con una combinación del nombre del sistema que lo posee y el del recurso compartido.

7.12. Menú contextual para añadir una nueva impresora a Active Directory.

Actividades propuestas 5�� Agrega a Windows Server una estación cliente. Realiza un documento en el que expliques paso a paso cómo lo has hecho y donde muestres las capturas de pantalla de todas las acciones realizadas.

6�� ¿Puede un equipo pertenecer a un grupo de trabajo y a un dominio a la vez? ¿Por qué?

140

5 >> Delegación de la administración Delegar el control de la administración supone dar permiso a usuarios del dominio para realizar algunas tareas que le corresponden al administrador de sistemas sobre objetos como usuarios, equipos, unidades organizativas y otros objetos ubicados en una unidad organizativa de Active Directory. Hay que tener mucho cuidado cuando se concede la delegación, ya que una mala gestión podría traer serios problemas en la seguridad del servidor.

Casos prácticos

4

Delegar la administración �� Se quiere aliviar el trabajo del responsable de sistemas y red del instituto. Para ello, este permitirá al usuario ProfeSOR1 tener control total sobre las unidades organizativas de SMR. ¿Cuales son los pasos que se deberán dar para conseguir que el usuario ProfeSOR1 pueda tener control total sobre la unidad organizativa SMR SMR??

Solución �� Para delegar la administración sobre ProfeSOR1 realiza lo siguiente: 1. Antes de empezar es necesario que estés seguro de que el usuario ProfeSOR1 tiene permitido el acceso de modo local al servidor. Esta comprobación se realiza modificando la directiva local Permitir el inicio de sesión local. 2. En la herramienta Usuarios y equipos de Active Directory, Directory, haz clic con el botón secundario del ratón en la unidad organizativa SMR y selecciona Delegar control (figura 7.13). 3. Se iniciará el asistente que nos ayuda en el proceso. Primeramente se selecciona el usuario en el que se ded elegará el control. Pincha Agregar y añade el usuario ProfeSOR1. Para asegurarte de que el nombre de usuario es correcto, haz clic en el botón Comprobar nombres (figura 7.14).

7.13. Menú contextual de Active Directory para delegar el control.

7.14. Seleccionar usuarios sobre los que delegar control.

4. Pincha Aceptar Pincha Aceptar yy continúa con el asistente haciendo clic en Siguiente. 5. En la siguiente ventana se seleccionan las tareas que se delegarán. Para ello aparece un listado de tareas comunes o bien se usa la opción Crear una tarea personalizada (figura 7.15). Para este caso práctico selecciona la segunda opción y haz clic en Siguiente.

141

Unidad Uni dad 7 - Administración de objetos de Active Directory

4 6. El asistente solicita la carpeta, objeto, etc. sobre el que se va a delegar el control. En este caso, elige la opción por defecto: Esta carpeta, los objetos contenidos en la misma y la creación de nuevos objetos en esta carpeta (figura 7.16).

7.15. Tareas que se delegarán.

7.16. Tareas personalizadas que se delegarán.

7. Ahora se indican los permisos que se desea delegar. delegar. En este caso selecciona Control total (figura 7.17). 8. El asistente termina mostrando el resumen de la delegación deleg ación que se ha hecho (figura 7.18). Pincha Finalizar.

7.17. Permisos que se delegarán.

7.18. Resumen final de la delegación.

9. Por último queda comprobar, accediendo al servidor con el usuario ProfeSOR1, que efectivamente este puede crear, eliminar, etc. objetos en la unidad organizativa SMR.

Actividades propuestas 7�� Termina la delegación del caso práctico expuesto para el resto de unidades organizativas propuestas.

142

6 >> Tipos de perfiles de usuario Observación Es importante que los usuarios conozcan que su perfil viaja a través de la red, dado que si archivos muy pesados son colocados por ejemplo en el escritorio o en la papelera, estos formarán parte del perfil móvil.

Los perfiles de usuario son la forma en que Windows almacena la información sobre los usuarios creados en el sistema. En realidad, se crean cuando el usuario se valida, no cuando es creado. Un perfil de usuario puede ser:

– Local: se crea la primera vez que el usuario inicia sesión en un equipo concreto, se almacena en él y solo sirve en este equipo. – Obligatorio: permite a los administradores disponer de escritorios que no pueden cambiarse. Al cerrar la sesión, se ignoran los posibles cambios que el usuario haya realizado. – Móvil: la configuración de un usuario se muestra en cualquier equipo del dominio.

6.1 > Perfiles móviles Los perfiles móviles permiten que el escritorio y otras características del entorno le aparezcan con la misma configuración al usuario siempre que se valide en el dominio, permitiendo que los usuarios puedan moverse de un equipo a otro dentro del dominio. Cuando el usuario cierra la sesión, su perfil es copiado en el servidor. Esto incluye, por ejemplo, las personalizaciones del menú Inicio menú Inicio,, de su escritorio y del contenido de la carpeta carpeta Mis Mis documentos. documentos.

7.19. Carpeta Perfiles compartida para todos los usuarios del dominio con control total.

Para poder trabajar con perfiles móviles debemos crear una carpeta compartida en el servidor para contenerlos, eliminando los permisos del usuario Todos, y agregar al grupo Usuarios del dominio con permisos de control total (figura 7.19).

Casos prácticos

5

Creación y configuración de perfiles móviles �� Queremos que todos los alumnos y profesores puedan trabajar indistintamente con cualquier ordenador del instituto, es decir, decir, que cada uno de los l os usuarios del dominio pueda cambiar de ubicación sin perder sus personalizaciones en cuanto a escritorio, menú de inicio, aplicaciones, etc. En el servidor ya existe una carpeta compartida para todos los usuarios del dominio llamada Perfiles.

Solución �� Para realizar esto debes seguir los siguientes pasos: 1. Antes de empezar empezar,, comprueba que en el servidor existe la carpeta Perfiles que será contenedora de los perfiles, y que está compartida con el permiso Control total para los usuarios del d el dominio (figura 7.20). Vamos a trabajar con el usuario ProfeSOR1 ya creado en el punto anterior. 2. Accede a la herramienta Usuarios y equipos de Active Directory y Directory y busca al usuario ProfeSOR1 de la unidad organizativa SMR. 3. Haz clic con el botón secundario del ratón sobre el usuario y selecciona Propiedades. En las propiedades del usuario accede a la pestaña Perfil Perfil..

7.20. Permisos de la carpeta Perfiles.


143

5 4. En Ruta de acceso al perfil, escribe \\SERVIDOR8\Perfiles\%username% (figura 7.21), donde SERVIDOR8 es el controlador de dominio, Perfiles es la carpeta de perfil y %username% es una variable que contendrá el nombre del usuario. Al aplicar los cambios se observa cómo esta última variable toma el nombre del usuario. 5. Haz clic en Aceptar y en Cerrar . 6. Ahora, desde un ordenador cliente, inicia sesión en el dominio con el usuario ProfeSOR1. Es posible que la primera vez que se entra en el dominio se tarde un poco más de lo normal, ya que se está creando 7.21. Ruta de acceso al perfil móvil. todo el perfil. 7. Si accedes a la carpeta Perfiles del servidor de dominio, podrás observar que se ha creado una carpeta con el nombre del usuario (figura 7.22). En ella se guardará el perfil del usuario cada vez que cierre sesión.

7.22. Carpeta Perfiles del servidor de dominio con el nuevo perfil móvil.

No es necesario realizar todos estos pasos para cada usuario; se puede realizar una selección múltiple de usuarios y proceder así con los pasos, siempre y cuando se quiera que todos almacenen su perfil en la misma ubicación.

Actividades propuestas 8�� ¿Por qué crees que hay que compartir la carpeta Perfiles dando permiso de control total? 9�� ¿Por qué se debe eliminar el usuario Todos de la carpeta que contendrá los perfiles y añadir el usuario Usuarios del dominio?

10�� Al compartir la carpeta con los perfiles con Control total para todos los usuarios del dominio, ¿podría entonces un usuario entrar en dicha carpeta y borrar los perfiles de otros usuarios? Compruébalo.

144

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué tipos de cuentas de usuario existen en Active Directory? 2�� ¿Qué tipos de grupos existen en Active Directory? 3�� ¿Qué diferencia existe entre los grupos locales y los grupos de dominio local? 4�� ¿En una unidad organizativa puedes colocar objetos de otros dominios? 5�� ¿Qué requisitos son necesarios para poder agregar un equipo a un dominio? 6�� ¿En qué consiste la delegación de la administración? ¿Qué ventajas e inconvenientes tiene? 7�� ¿Qué ventajas ofrecen los perfiles móviles con respecto al resto de perfiles? .: APLICACIÓN :. 1�� Crea un dominio llamado smrdominio.com y, dentro de él, el subdominio valencia.smrdominio.com. Realiza las siguientes tareas: a) Crea los usuarios de dominio Director, Empleado1, Empleado2 y Empleado3 en el dominio principal. b) Crea los usuarios de dominio DirectorV, EmpleadoV1, EmpleadoV2 y EmpleadoV3 dentro del subdominio valencia.smrdominio.com. c) Crea un grupo universal en valencia.smrdominio.com llamado grupoUniv con los usuarios Director y DirectorV . d) Crea un grupo global llamado grupoGlobal en el dominio principal con los usuarios Empleado1 y Empleado2. e) Crea un grupo global en el dominio valencia.smrdominio.com con los usuarios EmpleadoV1 y EmpleadoV2 llamado grupoVGlobal. f) Crea un grupo global llamado grupoVGlobal2 en el dominio valencia.smrdominio.com con el usuario EmpleadoV3 y el grupo grupoVGlobal. g) Crea un grupo de dominio local llamado grupoDLocal en el dominio principal con los usuarios Empleado2, Empleado3 y los grupos grupoVGlobal y grupoUniv . h) Crea la carpeta Carpeta1 y asígnale permisos de modificación a grupoDLocal. Luego comparte el recurso. i) Agrega al dominio un equipo cliente y una impresora. j) Crea una unidad organizativa en el dominio smrdominio.com que se llame RRHH y delega su administración al usuario Empleado1 para crear, eliminar y administrar cuentas de usuario. k) Configura Carpeta1 para que se puedan almacenar en ella los perfiles móviles de los usuarios, pero cada uno en su dominio.


145

Caso final

6

Creación de una estructura de usuarios y grupos para una empresa �� Eres el administrador de sistemas del banco de inversión xestbank y dispones del dominio xestbank.com. Esta empresa es un banco con sede en España y subsedes en Francia y Reino Unido. Cada subsede es un dominio diferente y, por tanto, dispones de los subdominios fr.xestbank.com y uk.xestbank.com. Se quiere crear la estructura de unidades organizativas del dominio de la sede central, teniendo en cuenta que en la empresa existen tres grandes áreas: finanzas, administración e inversión. Además, la empresa tiene delegaciones en Madrid, Valencia, Barcelona, Bilbao y Sevilla, y se quiere poder aplicar directivas de manera diferente a cada una. También sería deseable delegar la administración de la creación de usuarios en un usuario que haga de administrador en cada delegación y tener la posibilidad de aplicar directivas de seguridad que afecten a todos los usuarios de las delegaciones. Los directores de cada una de las áreas y el director general deben tener permisos para acceder a determinados recursos que están en los dominios fr.xestbank.com y uk.xestbank.com. Además se quiere que el director general y los directores de las subsedes francesa y británica dispongan de permiso para acceder a ciertos recursos de la sede central. Todos los usuarios de cada una de las delegaciones deberán tener permisos para ver determinada información de su delegación, y los directores de las delegaciones también deben tener acceso a cierta información de la sede central. Describe la estructura que cumpliría las necesidades de xestbank.

Solución �� Crea una estructura donde haya tres dominios en el mismo árbol: el dominio padre xestbank.com y sus subdominios fr.xestbank.com y uk.xestbank.com. La estructura de las unidades organizativas del dominio xestbank.com será de una unidad organizativa por cada una de las tres grandes áreas: una para finanzas, otra para administración y otra para inversión. De e sta manera se puede delegar la administración de estas unidades organizativas en diferentes administradores y aplicar directivas de grupo diferentes a cada una de estas áreas. Además deberás crear una unidad organizativa adicional para las delegaciones llamada delegaciones. De esta manera, se podrán aplicar directivas de grupo a todos los objetos de las delegaciones. Adicionalmente, cada una de las delegaciones tendrá una unidad organizativa dentro de la unidad organizativa delegaciones con el nombre de la ciudad donde está la delegación. De esta manera se pueden configurar directivas diferentes para cada delegación, así como delegar ciertas tareas administrativas de las delegaciones a usuarios de las propias delegaciones. Crea también un grupo global en el dominio xestbank.com con las cuentas del director general, el director de finanzas, el de administración y el de inversión, que llamará XBGlobal. En el dominio fr.xestbank.com crea un grupo local de dominio llamado FXBLocalD que incluirá al grupo XBGlobal. A continuación concede a este grupo permisos para acceder al recurso que se quiere compartir con estos usuarios. En uk.xestbank.com crea un grupo local de dominio donde se realizará lo mismo. Por último, crea un grupo universal con las cuentas de usuario de los directores de las subsedes francesa y británica y el director general. Este grupo universal será incluido dentro de un grupo local del dominio xestbank.com para asignar a estas cuentas permisos sobre los recursos de xestbank.com.

146

Ideas clave

Unidades organizativas

Administración de usuarios en Active Directory

Administración de grupos en Active Directory

ADMINISTRACIÓN DE OBJETOS DE ACTIVE DIRECTORY

Administración de equipos e impresoras en Active Directory

– Agregar equipos – Agregar impresoras

Delegación de la administración

Tipos de perfiles

Perfiles móviles



La editorial despliega un servidor Exchange y un Active Directory sobre una solución de almacenamiento NetApp La compañía implanta una herramienta de correo electrónico corporativo con 125 cuentas y dota de seguridad a los escritorios de sus usuarios con la incorporación de un sistema de almacenamiento NetApp FAS2020. La histórica editorial Grup 62 buscaba ganar facilidad de gestión en sus soluciones de almacenamiento, dentro de su programa de renovación de la infraestructura TIC. La obsolescencia del entorno TIC de la compañía hizo que se tuviera que acometer una renovación de todos los equipos, desde los servidores hasta la conectividad. En ese sentido, Grup 62 ha instalado un sistema NetApp FAS2020 con una capacidad de almacenamiento inicial de 4 TB que ha sido ampliada recientemente hasta los 10 TB. Esta era la mejor opción de almacenamiento para el despliegue de un servidor Exchange y un Active Directory sobre tecnología VMware, además de ofrecer una buena relación calidad-precio, según afirma Sergi Calatayud, responsable TIC de la editorial. El proyecto, que tuvo una duración de un mes aproximadamente y fue desarrollado por ID Grup, ha permitido a la compañía contar con una herramienta de correo electrónico corporativo, aproximadamente unas 125 cuentas, y dotar de seguridad a los escritorios de los usuarios, y ha entrado en producción. Entre estos beneficios destaca la tranquilidad de recuperar archivos en cuestión de minutos gracias a la tecnología Snapshot de NetApp, que permite hacer copias instantáneas de las bases de datos y de los servidores virtuales en caliente, la fiabilidad de la tecnología de NetApp y la rapidez de este en el servicio posventa. Fuente: ComputerWorld, 26 de enero de 2012

Actividades 1�� ¿En que se beneficia Exchange de las cuentas de usuario de Active Directory? 2�� ¿Cómo se puede dotar de seguridad a los escritorios de los usuarios con una solución como Active Directory?

u

n

i

d

a

d

8

Monitorización de sistemas Windows SUMARIO 

El proceso de arranque. Fallos y soluciones



El proceso de apagado



Monitorización del rendimiento



Gestión de logs y programación de alertas

OBJETIVOS ·· Comprender el proceso de arranque. ·· Conocer los fallos que pueden tener lugar durante el proceso de arranque y sus soluciones.

·· Comprender el proceso de apagado. ·· Aprender a monitorizar el rendimiento. ·· Aprender a gestionar los logs y a programar alertas.

·· Aprender a monitorizar la seguridad.


149

1 >> Arranque de un servidor Windows Es importante conocer el proceso de arranque y apagado de un servidor para poder detectar los problemas que surjan en el sistema operativo e impedir que falle el funcionamiento de nuestro servidor. Conociendo el proceso podremos averiguar las causas y sus soluciones.

1.1 > El proceso de arranque Windows Server 2008 R2 utiliza un entorno de arranque totalmente nuevo y adecuado a las distintas versiones de firmware existentes hoy en día, tanto de BIOS como de UEFI (Unified Extended Firmware Interface):

– Nuevo almacén de datos para los datos de configuración de arranque (almacén BCD). – Nuevas aplicaciones de arranque:

Edición del arranque de sistema Podemos editar el arranque ejecutando MSConfig desde el menú Inicio de Windows.

• Administración de arranque de Windows (bootmgr.exe o bootmgr.efi): este programa es el encargado de ejecutar el cargador de arranque de Windows. Forma parte del firmware del ordenador, por lo que es independiente del sistema operativo. • Cargador de arranque de Windows ( winload.exe o winload.efi): este programa, que forma parte del sistema operativo, ejecuta una versión específica de Windows. Utiliza el firmware para cargar el núcleo o kernel del sistema operativo e inicia los controladores de dispositivo críticos. • Cargador de reanudación de Windows ( winresume.exe o winresume.efi): este programa localiza el archivo de hibernación, en caso de que esta esté habilitada, y a continuación utiliza el firmware para leer dicho archivo en la memoria RAM y reanudar el sistema operativo en estado de hibernación. Al encender un equipo, se realizan una serie de comprobaciones. Seguidamente se ejecuta un programa de inicio, el cargador de arranque, que forma parte del firmware y se encarga de buscar e inicializar el kernel del sistema operativo y preparar el acceso a los dispositivos del hardware. El cargador de arranque suele ser independiente del sistema operativo específico y es capaz de encontrar el código necesario para iniciar el siguiente paso: el arranque del sistema operativo. El cargador de arranque y cualquier información de configuración relativa a él se suelen almacenar en archivos de sistema independientes del sistema operativo, programas de aplicaciones y datos de usuario. Para configurar el gestor de arranque seguimos estos pasos: 1. Con el botón secundario del ratón pinchamos el menú Inicio / Equipo, seleccionamos Propiedades en el menú que aparece y hacemos clic en Con figuración avanzada del sistema. 2. En la pestaña Propiedades avanzadas, pinchamos el botón Configuración de la sección Inicio y recuperación (figura 8.1). 3. En la ventana que aparece podemos especificar el sistema operativo que se iniciará por defecto y el tiempo de espera que se mostrará en el menú de inicio.

8.1. Configuración del gestor de arranque.

150

1.2 > Fallos producidos en el arranque. Soluciones

Vocabulario Fichero de volcado: es un fichero donde se almacena la información que existe en memoria relativa a algún proceso que ha terminado de forma inesperada.

Windows ofrece posibilidades para configurar la acción que queremos realizar en caso de que ocurra algún error o fallo grave del sistema:

– Grabar un evento en el registro de sucesos del sistema, que es lo que hace por defecto. – Reiniciar automáticamente. También permite configurar el tipo de información de depuración que queremos almacenar y la ubicación del fichero de volcado. Entre las utilidades que presenta Windows Server 2008 R2 para perseguir problemas en el arranque se encuentran las siguientes:

– Revisión del proceso de arranque con MSConfig. – Revisión de ficheros de log. – Revisión del Visor de eventos.

MSConfig La herramienta MSConfig o de configuración del sistema es muy útil para identificar y solventar problemas en el inicio. Con ella se realiza una de las estrategias más habituales para detectar problemas en el arranque: iniciar el sistema operativo con los servicios y programas mínimos para, poco a poco, ir activando el resto hasta dar con el origen del problema. La pestaña General de MSConfig permite seleccionar el tipo de inicio (figura 8.2) que deseamos utilizar:

Opciones avanzadas de arranque

– Inicio normal: es el tipo de inicio por defecto, cuando no se han producido errores o cuando ya están solucionados. – Inicio con diagnóstico: inicia el sistema operativo con los servicios y controladores de dispositivos básicos. – Inicio selectivo: para iniciar el sistema operativo utiliza, además de los servicios y controladores básicos, otros indicados por el usuario.

Podemos alterar, entre otras, las siguientes opciones avanzadas de arranque: – Número de procesadores. – Memoria máxima. – Bloquear PCI.

8.2. Pestaña General de MSConfig.

151


La pestaña Arranque (figura 8.3) muestra distintas opciones de configuración y depuración (Arranque a prueba de errores), así como opciones avanzadas en las que podemos especificar detalles hardware para el arranque:

8.3. Pestaña Arranque de MSConfig.

Esta tabla resume las opciones de arranque a prueba de errores:

Opciones de arranque

Interfaz

Mínimo

Interfaz gráfica de usuario (GUI)

Shell alterno

Símbolo de sistema

Reparar Active Directory


Red


Soporte para red No

Otras – Servicios críticos del sistema. – Modo seguro. – Servicios críticos del sistema. – Modo seguro. – Active Directory.

Sí

– Servicios críticos del sistema. – Modo seguro.

Sin arranque de GUI

– No muestra pantalla de bienvenida.

Registro de arranque

– Se genera un fichero donde se almacena toda la información del inicio del sistema operativo.

Vídeo base


Información de arranque del sistema operativo

– Modo VGA mínimo, es decir, la resolución y el número de colores mínimo posible. – Muestra información sobre los controladores conforme van siendo cargados.

Actividades propuestas 1�� Inicia tu servidor con las opciones indicadas en la tabla anterior. A continuación completa la información de la tabla con anotaciones y observaciones que consideres interesantes.

2�� Averigua cómo se llama el archivo en el que se almacena la información del proceso de inicio del sistema.

152

2 >> El proceso de apagado Máquinas virtuales Si estamos utilizando máquinas virtuales para realizar las prácticas, para reproducir un apagado inesperado podemos apagar la máquina virtual sin cerrar el sistema operativo. De este modo provocaremos la aparición de la ventana Rastreador de eventos de apagado al reiniciar.

El proceso de apagado en un servidor consiste en las operaciones que se realizan en él para detener los servicios que presta a los ordenadores clientes y a la red. Este proceso debe realizarse de forma ordenada: primero se cierran todas las aplicaciones y después se pincha en el menú Inicio el botón con la opción que deseemos: Instalar actualizaciones y cerrar, Cambiar de usuario, Cerrar sesión, Bloquear o Reiniciar. A diferencia de lo que ocurre con un equipo de usuario final, que se conecta y se desconecta cuando el usuario lo desea, lo normal en un servidor es que siempre esté encendido. Este tan solo se detiene o se apaga por razones de mantenimiento o por alguna razón de peso del administrador. La causa más común de desconexión del sistema es el cierre programado por la realización de tareas de mantenimiento de hardware o software. Sin embargo, también puede ocurrir que el servidor sufra desconexiones no programadas debido a fallos del suministro eléctrico, del hardware, etc. Windows 2008 Server R2 permite realizar un seguimiento de los sucesos de apagado o reinicio del equipo mediante la herramienta Rastreador de eventos de apagado, que registra el motivo de cada apagado o inicio a través del servicio de registro de eventos.

8.4. Ventana Rastreador de eventos de apagado.

Si pinchamos Inicio / Apagar, aparece la ventana Rastreador de eventos de apagado (figura 8.4). En ella podemos distinguir tres apartados:

– Casilla de verificación Planeado: aparece marcada por defecto, por lo que se supone que el apagado del servidor se debe a alguna tarea programada. En caso de que el apagado no ha sido planificado, desmarcaremos esta casilla. – Lista desplegable Opción: muestra una lista de causas posibles en función de si hemos marcado o no la casilla Planeado. – Recuadro de texto Comentario: si hemos seleccionado Otros como causa del apagado, este recuadro permite introducir un texto que explique la causa concreta por la que se realiza dicho apagado. Ahora bien, cuando el servidor se cae, no hay forma de indicar la causa hasta que vuelva a reiniciarse. Cuando la sesión se inicie aparecerá automáticamente la ventana Rastreador de eventos de apagado (figura 8.5) para que introduzcamos información sobre el fallo que provocó la caída del sistema. Podemos seleccionar una causa y añadir cualquier otro dato útil antes de hacer clic en Aceptar. 8.5. Ventanta Rastreador de eventos de apagado de inicio de sesión.

Lo lógico es verificar la causa del fallo y ponerle remedio antes de volver a iniciar el servidor.


153

Casos prácticos

1

Desactivación del Rastreador de eventos de apagado �� Desactiva el Rastreador de eventos de apagado, el cual se encuentra activado por defecto en todos los sistemas Windows Server 2008 R2.

Solución �� El Rastreador de eventos de apagado se puede desactivar con la MMC (Microsoft Management Console) o consola de administración de Windows, que sirve para administrar un ordenador con Windows: 1. Ejecuta la MMC yendo al menú Inicio / Ejecutar (o pulsando + ) y escribiendo mmc. 2. Dentro de la MMC, ve al menú Archivo / Agregar o quitar complemento. 3. Agrega el elemento Editor de objetos de directiva de grupos. 4. Aparecerá el asistente para directivas de grupo. Deja la selección que aparece por defecto (Equipo local) y haz clic en Finalizar. 5. Al cerrar el asistente y volver a encontrarte en la ventana de la MMC, pincha Aceptar. 6. Ve al menú Archivo / Guardar para guardar la configuración actual en la carpeta Herramientas administrativas. Es posible realizar esta tarea de otro modo: 1. En el menú Inicio / Ejecutar, escribe gpedit.msc. 2. Ve a Directiva Equipo local / Configuración del equipo / Plantillas administrativas / Sistema. 3. En el panel derecho aparece una lista de directivas (figura 8.6). Las únicas que interesan en este momento son dos relacionadas con el Rastreador de eventos de apagado: Mostrar rastreador de eventos de apagado y Activar la característica Datos de estado del sistema del rastreador de eventos de apagado. 4. Haz doble clic sobre ellas para poder habilitarlas y configurarlas como quieras.

8.6. Ventana Editor de directivas de grupo local.

La ventaja de mantener activado el Rastreador de eventos es que, mediante el Visor de eventos, podemos obtener información detallada sobre cada suceso.

Actividades propuestas 3�� Busca en los registros del Visor de eventos aquellos relacionados con el apagado del sistema. ¿Qué información puedes obtener de ellos?

4�� Averigua, utilizando Internet, cómo puedes personalizar las razones de apagado que muestra el Rastreador de eventos de apagado.

154

3 >> Monitorización del rendimiento Vocabulario Monitorizar: consiste en observar, mediante una serie de parámetros, el comportamiento de un sistema, comparando los valores obtenidos con los que se considerarían valores normales.

Durante los primeros meses de funcionamiento de un servidor es necesario realizar constantemente monitorizaciones con el fin de ajustar parámetros de su configuración que nos permitirán obtener un mejor rendimiento del servidor y de sus aplicaciones. No obstante, nunca deben perderse de vista estos parámetros, ya que en cualquier momento puede suceder algo imprevisto que altere la estabilidad lograda. Si todo va bien, los ajustes que se realicen estarán relacionados con el rendimiento, pero es habitual encontrar otro tipo de problemas que debemos detectar y solucionar lo antes posible, como por ejemplo los siguientes:

– – – – –

Problemas con los recursos Los principales problemas que pueden surgir en la administración de un servidor relacionados con los recursos de la máquina son: – Espacio en disco: • Llegar al límite de las cuotas de disco asignadas a los usuarios. • Archivos de log extensos. • Fallos en el archivo de paginación. • Excesivo uso del disco por parte de ciertos procesos. – Memoria: • Excesivo uso de la memoria por parte de algún proceso. • Excesiva tasa de fallos de página por memoria insuficiente. • Fallos en el archivo de paginación. – CPU: • Excesivo uso de la CPU por parte de algún proceso.

Caídas de la red. Caídas del servidor por fallos del hardware. Fallo de alguno de los servicios. Problemas con los recursos. Problemas con los usuarios: regeneración de contraseñas de acceso, intentos de acceso no autorizados, etc.

Windows Server 2008 R2 proporciona varias herramientas de utilidad para ayudar al administrador en sus tareas de monitorización del sistema, como son el Administrador de tareas, el Registro de eventos, el Monitor de rendimiento, el Monitor de recursos y el Monitor de confiabilidad.

3.1 > Administrador de tareas Windows Server 2008 R2 tiene la herramienta Administrador de tareas para gestionar y controlar los distintos procesos, servicios y aplicaciones.

8.7. Administrador de tareas.

La ventana del Administrador de tareas tiene las siguientes pestañas:

– Aplicaciones: muestra todos los programas que se están ejecutando, así como su estado ( Activo o No responde). – Procesos: muestra información acerca de todos los procesos que están ejecutándose, independientemente de si los han iniciado los usuarios o el propio sistema. La información que se muestra es el porcentaje de uso de la CPU, uso de memoria, tiempo de CPU consumido, prioridades (qué proceso se ejecuta antes que otro), número de operaciones de lectura y escritura en disco y fallos de página. Podemos seleccionar los parámetros que aparecen en el menú Ver los parámetros a observar.

155


– Servicios: informa acerca de los servicios que el sistema tiene en funcionamiento, tales como nombre, identificador del proceso o PID (Process ID), estado ( Detenido o En ejecución), etc. – Rendimiento: proporciona información sobre el uso de la CPU, historial de uso de la CPU, memoria e historial de uso de la memoria física.

3.2 > Registro de eventos

PID de un proceso El PID o identificador de un proceso es un número que se le asigna internamente al proceso que se está ejecutando.

Se puede acceder al Visor de eventos desde el menú Inicio o siguiendo la ruta Administrador del servidor / Diagnóstico / Visor de eventos. Esta herramienta muestra dos tipos de registros (figura 8.8):

– Registros de Windows: almacenan la información del sistema relativa a: • Aplicaciones: eventos relacionados con el funcionamiento de las aplicaciones y los servicios, como validación de la licencia de Windows, arranque o parada de servicios, etc. • Seguridad: eventos relaciona8.8. Visor de eventos. dos con la seguridad y aquellos que el administrador haya configurado para controlar a través de directivas, como inicios de sesión, cambios en la cuentas de usuario, etc. • Instalación: eventos relacionados con la instalación de componentes (o funciones) del sistema operativo, instalación de paquetes, etc. • Sistema: eventos relacionados con el sistema operativo y con sus componentes y servicios. • Eventos reenviados: si este servicio está en marcha, almacena los eventos reenviados a otros servidores.

– Registros de aplicaciones y servicios: almacenan eventos originados por las aplicaciones y los servicios: • Eventos de hardware: eventos relacionados con el hardware. • Internet Explorer: eventos relacionados con este navegador. • Key Management Service: eventos relacionados con el servicio de gestión de claves, que es el encargado de controlar las c laves del producto y su activación. • Microsoft: eventos relacionados con servicios y características de Windows. • Windows Powershell: eventos relacionados con esta herramienta de comandos. Haciendo clic con el botón secundario sobre cada tipo de registro o bien empleando la columna de la derecha de la ventana principal del Visor de eventos podemos guardar los registros, vaciarlos, visualizar la ruta de acceso a los mismos, filtrarlos, organizarlos, etc.

Eventos de roles, funciones y características La carpeta Vistas personalizadas del Visor de eventos permite ver los eventos relacionados con roles, funciones de roles y características instaladas en nuestro servidor.

Powershell Powershell es una nueva interfaz de comandos que utiliza todo el potencial de la programación orientada a objetos de .NET. Permite el uso de algunos comandos procedentes del CMD de versiones anteriores de Windows, así como del shell de Linux. Windows Server 2008 R2 lleva incorporada la versión 2.

156

3.3 > Monitor de rendimiento Al Monitor de rendimiento se accede mediante la ruta Administrador del servidor / Diagnóstico / Rendimiento / Herramientas de supervisión o desde el menú Inicio / Herramientas administrativas. Esta herramienta permite analizar el rendimiento del sistema con el fin de optimizarlo.

8.9. Monitor de rendimiento.

Conjunto de recopiladores de datos Los conjuntos de recopiladores de datos nos permiten seleccionar los contadores de rendimiento que queremos monitorizar. Una vez creados, se inicializan desde el panel izquierdo, en la rama Informes.

Para ello debemos seleccionar los parámetros que queremos monitorizar, llamados contadores, los cuales dependen de los roles, funciones y características instaladas en nuestro servidor. Hay que tener en cuenta que esta tarea sobrecarga el sistema, por lo que hemos de elegir los parámetros estrictamente necesarios para realizar nuestras valoraciones. Esta herramienta ofrece diversos informes con todos los datos de los análisis realizados. Algunos de estos análisis son creados por el propio sistema (diagnóstico automático) y otros a petición del usuario. Estos últimos se crean para monitorizar el sistema y optimizar su r endimiento.

8.10. Monitor de rendimiento con dos contadores.

157


3.4 > Monitor de recursos Al Monitor de recursos se accede pinchando el botón Monitor de recursos que se encuentra en la pestaña Rendimiento del Administrador de tareas. Esta herramienta permite monitorizar la utilización de los distintos recursos del sistema a través de las diversas pestañas que ofrece.

8.11. Monitor de recursos.

3.5 > Monitor de confiabilidad Al Monitor de confiabilidad se accede mediante la ruta Inicio / Panel de control / Centro de actividades / Mantenimiento / Ver historial de confiabilidad. Esta herramienta valora en una escala del 1 al 10 la estabilidad del sistema, mostrando diversos errores y advertencias, así como información adicional de interés. El índice de estabilidad es sensible a los diversos cambios que podamos realizar, tanto en el hardware como en el software, dentro de nuestro sistema. Si detectamos un descenso en la estabilidad del sistema, haciendo clic sobre dicho punto es posible analizar lo que sucedió en el sistema en ese momento y detectar la causa. Algunas de las causas de inestabilidad son la instalación de aplicaciones y de actualizaciones del sistema, cierres inesperados de las aplicaciones, etc.

8.12. Monitor de confiabilidad.

158

4 >> Gestión de logs, alertas y seguridad 4.1 > Gestión de logs

Vocabulario Log: es un archivo que contiene los registros de los eventos ocurridos durante un determinado intervalo de tiempo.

El Registro de eventos se encarga de registrar los sucesos ocurridos en nuestro servidor Windows y, por tanto, ofrece suficiente información como para detectar los posibles problemas que surgen en un servidor con Windows Server 2008 R2 instalado. La información puede estar almacenada en archivos con formato EVTX, TXT, CSV o XML. Esta tabla muestra dónde se almacena físicamente la información registrada:

Archivo de registro Ubicación Aplicación

%SystemRoot%\System32\Winevt\Logs\Application.evtx

Eventos reenviados %SystemRoot%\System32\Config\FordwardedEvents.evtx Seguridad

%SystemRoot%\System32\Winevt\Logs\Security.evtx

Instalación

%SystemRoot%\System32\Winevt\Logs\Setup.evtx

Sistema

%SystemRoot%\System32\Winevt\Logs\System.evtx

4.2 > Programación de alertas Dado que no podemos estar constantemente pendientes del funcionamiento del servidor ni leyendo los registros e informes a todas horas, Windows Server 2008 R2 permite que sea el propio sistema el que avise con una alerta en caso de que ocurra algún evento importante. El propio Visor de eventos permite adjuntar tareas automáticas asociadas a registros de eventos generales, como por ejemplo el registro de sistema, o bien a eventos concretos, como por ejemplo cada vez que se inicia una sesión. Para asociar una tarea a un Registro de eventos seguimos estos pasos:

8.13. Adjuntar tarea al Visor de eventos.

1. Iniciamos el Visor de eventos. 2. Pinchamos con el botón secundario uno de los registros para abrir el menú contextual, donde seleccionamos Adjuntar tarea a este registro, o bien lo hacemos desde el marco derecho de la ventana (figura 8.13). 3. En Asistente para creación de tareas básicas ponemos un nombre a la tarea. 4. Seleccionamos el tipo de acción que queremos, como por ejemplo que envíe un correo electrónico o un mensaje, que abra un programa, etc. 5. Rellenamos los datos relacionados con la acción elegida y hacemos clic en Finalizar.

159


4.3 > Monitorización de la seguridad Windows Server 2008 R2 ofrece una gran protección desde el propio sistema operativo gracias a las siguientes características:

– Reduce la posibilidad de que el núcleo del sistema operativo sea atacado. – Dispone de un sistema de protección para servicios críticos del servidor. – Posee un sistema de protección de acceso a redes. – Cuenta con un controlador de dominio de solo lectura. – Presenta mejoras en la infraestructura de clave pública. – Incorpora un nuevo firewall de Windows con restricciones tanto de entrada como de salida. – Es compatible con la criptografía de última generación.

Auditar La auditoría informática es una tarea realizada por profesionales cualificados. Consiste en recopilar información del sistema a través de distintos registros y evaluar los datos obtenidos, así como otros parámetros, para valorar el grado de cumplimiento de la legislación vigente, la normativa u otros planes y requerimientos en materia informática por parte de una empresa o institución.

A pesar de su robustez, todo es susceptible de ser atacado, por lo que, como administradores, debemos tener en cuenta la monitorización de sucesos relacionados con la seguridad, como son l os siguientes:

– – – –

Intentos de acceso a recursos donde no se tienen permisos. Intentos de cambio en el perfil de usuario. Intentos fallidos de conexión. Actividad sospechosa de algunas aplicaciones o procesos.

Existen varias posibilidades para detectar este tipo de incidencias:

– Observar el registro de seguridad del Visor de eventos, que ofrece información acerca de los intentos de inicio de sesión y de creación, apertura o eliminación de archivos. – Crear registros de auditoría, es decir, crear políticas para auditar o vigilar determinadas acciones. Si la aplicación Active Directory está instalada y configurada y utilizamos GPO, es posible definir de manera muy precisa los permisos de los usuarios y equipos respecto a todo el sistema. Esto permite además crear políticas de auditoría asociadas a los objetos de Active Directory.

Actividades propuestas 5�� Configura el equipo de tal forma que, cada vez que se produzca un evento de sistema, se abra la aplicación Bloc de notas (notepad.exe).

6�� De pronto te das cuenta de que te has equivocado al realizar la tarea de la actividad anterior y deseas eliminar esta tarea asociada al Registro de eventos del sistema. Indica los pasos que debes seguir para hacerlo.

7�� Crea una alerta para recibir un aviso cuando la tasa de fallos de página supere el 90%. 8�� Indica qué tipo de eventos detecta o reconoce el registro de seguridad del Visor de eventos. 9�� Indica ejemplos de posibles acciones que se pueden auditar en tu servidor.

160

Actividades finales .: CONSOLIDACIÓN :. 1�� Ejecuta el comando bcdedit e indica la información que puedes obtener de él. 2�� ¿Para qué es importante conocer el proceso de arranque y apagado del sistema? 3�� ¿Qué permite la herramienta MSConfig? 4�� Averigua qué función tienen los procesos winlogon y csrss.exe. ¿Qué relación tienen con los virus informáticos? 5�� ¿Qué es la Microsoft Management Console (MMC)? 6�� ¿Qué es un fichero de volcado? 7�� ¿Qué efecto tiene sobre nuestro sistema el hecho de incrementar la velocidad de actualización de la información ofrecida por el Administrador de tareas?

8�� ¿Qué proceso hace más uso del procesador del sistema? ¿Y de la memoria? 9�� Utiliza el monitor de rendimiento para describir la actividad del procesador de tu ordenador. 10�� Investiga en Internet el proceso svchost y explícalo. 11�� ¿Qué es el Rastreador de eventos de apagado? 12�� ¿En qué consiste la monitorización de un sistema? 13�� Provoca varios apagados por diversas causas y, a continuación, busca en el registro del Visor de eventos aquellos registros relacionados con el apagado.

14�� ¿Qué herramienta permite valorar la estabilidad de un sistema? 15�� ¿Qué es un archivo de log? ¿Qué formato suele tener? Muestra un ejemplo. 16�� ¿En qué consiste la auditoría de un sistema? .: APLICACIÓN :. 1�� Una empresa ha solicitado tus servicios como técnico de sistemas porque los usuarios de la red de su oficina han notado que, a determinadas horas del día, la conexión con el servidor del departamento de contabilidad va muy lenta. Indica a qué puede deberse el problema y qué indicadores o parámetros comprobarías con el fin de resolverlo.

2�� Tras la reciente instalación de diversas aplicaciones en el ordenador de tu puesto de trabajo, has notado que el sistema operativo tarda mucho más en arrancar. ¿A qué puede ser debido? ¿Qué operaciones realizarías para comprobarlo?

3�� El servidor de tu empresa se ha vuelto inestable debido, según sospechas, a diversas tareas llevadas a cabo. La primera idea que se te ha ocurrido es analizar el Monitor de confiabilidad. ¿Piensas que es la herramienta adecuada para valorar este problema? ¿Qué pistas o indicadores da esta herramienta si algo no funciona bien?

161


Caso final

2

Auditando la actividad de los usuarios �� La empresa MioChip requiere tus servicios para auditar la actividad de s us empleados. Esta empresa cuenta con un servidor Windows Server 2008 R2 con Active Directory instalado. Los empleados inician sesión en sus ordenadores y deben acceder a una serie de directorios de la red. Las impresoras a las que acceden son impresoras de red con acceso para todos los empleados. Indica qué acciones sugerirías al técnico del sistema para controlar: a) Los inicios de sesión de los empleados. b) Los accesos a las carpetas compartidas de la red.

Solución �� Windows Server 2008 R2 ofrece la posibilidad de auditar determinados eventos, como los inicios de sesión y el acceso a objetos como archivos y carpetas. a) Para auditar los inicios de sesión, sigue estos pasos: 1. Accede a Herramientas administrativas / Directiva de seguridad local / Configuración de directiva de auditoría avanzada / Directivas de auditoría del sistema / Inicio y cierre de sesión. 2. Haz doble clic sobre Auditar inicio de sesión (figura 8.14). 3. Marca las casillas Configurar los siguientes elementos de auditoría y Correcto (figura 8.15). 4. Haz clic en Aceptar.

8.14. Opción Auditar inicio de sesión.

Después accede a Visor de eventos / Registro de Windows / Seguridad. Almacenando dicha información en un fichero CSV podemos importarla a una hoja de cálculo y sacar los gráficos oportunos y los informes que deseemos. b) Para auditar el acceso a las carpetas compartidas de red, en un principio se sigue la misma ruta inicial que en el caso anterior, con la diferencia de que, tras acceder a Directivas de auditoría del sistema, se selecciona Ob jeto de directiva de grupo / Acceso a objetos.

8.15. Activar auditoría.

En este caso debes indicar sobre la carpeta compartida que su acceso va a ser auditado. Para ello, sigue estos pasos: 1. Pincha con el botón secundario del ratón sobre la carpeta y accede a Propiedades. 2. Selecciona la pestaña Seguridad, pincha Opciones avanzadas y selecciona la pestaña Auditoría. 3. En el cuadro de diálogo Configuración de seguridad avanzada para esta carpeta, haz clic en Agregar para añadir una entrada. 4. Selecciona el grupo de usuarios que representa a los empleados. 5. En el cuadro de diálogo Entrada de auditoría, marca las acciones que quieres auditar y pincha Aceptar hasta salir de las opciones de la carpeta. Una vez hecho lo anterior, faltaría tan solo vigilar el registro de seguridad del visor de eventos.

8.16. Acciones que queremos auditar.

162

Ideas clave

El proceso de arranque

Fallos producidos en el arranque

El proceso de apagado

MONITORIZACIÓN DE SISTEMAS WINDOWS Monitorización del rendimiento

– – – – –

Administrador de tareas Registro de eventos Monitor de rendimiento Monitor de recursos Monitor de confiabilidad

Programación de alertas

Gestión de logs Monitorización de la seguridad

Soluciones



Un nuevo estudio desvela importantes lagunas en la comprensión de las soluciones de seguridad de red Un nuevo estudio de Nexans desvela que la confusión abunda en la industria de las TI a la hora de entender las soluciones de seguridad de red y cómo las empresas monitorizan quién está conectado a sus redes. El especialista en infraestructura de cableado advierte que las empresas están malgastando valiosos recursos y posiblemente dejan las redes abiertas a usuarios no autorizados o a la desconexión debido a la falta de comprensión de lo que cubren las soluciones de seguridad de red. Es bastante sorprendente que más del 30% de los encuestados o bien no tenía nada instalado en su sistema o bien no sabía lo que estaba instalado para impedir la conexión no autorizada o la desconexión de la red cableada. Rob Cardigan, de Nexans, afirma: «No importa qué sistema de protección de software se tenga instalado en el sistema, ya que, si la infraestructura física no está correctamente protegida y monitorizada, existe un gran riesgo para la seguridad». El estudio muestra que las soluciones de Gestión de Infraestructura Inteligente (IIM) para la documentación automática de las conexiones de red física y lógica son ampliamente malinterpretadas. Este estudio afirma que el 50% de los encuestados que utiliza la IIM sigue realizando auditorías de seguridad físicas, incluso si la IIM está diseñada para eliminar la necesidad de tal recurso, que es muy tedioso y requiere mucho tiempo para el análisis físico. «El estudio indica que el mercado necesita mucha más educación en referencia a la IIM», dice Cardigan. «Las soluciones de IIM pueden descubrir y monitorizar automáticamente la conectividad de red en tiempo real, lo que asegura que las conexiones de red son seguras y que la documentación sobre la conectividad es totalmente exacta. En un mundo empresarial cada vez más competitivo, la gestión de red eficiente es crucial para la productividad de una organización.» La conectividad con sistema de bloqueo tampoco se entiende en el mercado, como lo demuestra un número muy sorprendente de encuestados, más del 33% de los que la utilizan. Car-

digan sostiene que «Esto no coincide con nuestra experiencia en el mercado. Claramente, las organizaciones están asumiendo que la conectividad con bloqueo cubre una multitud de aplicaciones. El bloqueo de conectividad significa hacer lo correcto desde el nivel básico donde una toma de fibra y cobre, así como una interfaz de enchufe, pueden cerrarse de forma mecánica para impedir una desconexión no autorizada». » Los administradores de centros de datos y redes tienen que pensar en los diferentes niveles de seguridad que necesitan utilizar para asegurar que sus redes están adecuadamente protegidas. No hay otro escenario en el que la capacidad de monitorizar y gestionar el riesgo de forma rápida y efectiva sea más importante que en el entorno cada vez más complejo y más extenso de los centros de datos y administración de redes empresariales. » Las soluciones de IIM pueden permitir respuestas automáticas a amenazas percibidas, por ejemplo poniendo en cuarentena cualquier dirección MAC desconocida que intente conectarse a la red o apagar puertos de conmutador en respuesta a una conexión no autorizada. Las tomas de alimentación que no se utilizan pueden deshabilitarse para impedir que se añada a la red un equipo no autorizado. » Sin embargo, antes de que la industria pueda realmente beneficiarse de dichas soluciones, parece que se necesita más comprensión sobre lo que se puede obtener con ellas, de lo contrario las redes se arriesgan a quedar expuestas y se malgastan recursos.»

Actividades 1�� ¿En qué crees que consisten las soluciones de Gestión de Infraestructura Inteligente? 2�� ¿De qué monitorización se habla en el artículo? ¿Es necesaria? ¿Por qué?

1 1 0 2 l e d e r b m e i c i d e d 5 , m o c . r u s r e b i C : e t n e u F

u

n

i

d

a

d

9

El proceso de instalación en Linux SUMARIO 

Tareas de preinstalación



Tipos de instalaciones






Documentación de la instalación e incidencias



Proceso de arranque y servicios

OBJETIVOS ·· Conocer las tareas que se deben realizar antes de instalar un entorno de trabajo profesional.

·· Distinguir los diferentes tipos de instalaciones.

·· Conocer los problemas que pueden surgir durante la instalación y aprender a resolverlos.

·· Saber cómo documentar un proceso de instalación.

·· Describir el proceso de arranque de un sistema operativo y la gestión de servicios.

165

Unidad 9 - El proceso de instalación en Linux

1 >> Tareas de preinstalación La instalación de un sistema operativo no consiste en lanzar un asistente y responder afirmativamente a las preguntas que van apareciendo, sino que se trata de un proceso que, para ser realizado profesionalmente, debe seguir una serie de pasos o fases:

– Planificación de la instalación: cuándo va a tener lugar, dónde, en qué servidor, características del mismo, elección de la versión que se va a instalar, etc. – Elección del medio de instalación: soporte físico desde el que vamos a lanzar el proceso de instalación (USB, DVD, red, etc.). – Instalación. – Configuración o tareas posinstalación – Puesta en marcha del sistema. A lo largo de este epígrafe veremos las fases más significativas.

1.1 > Elección de la versión de sistema operativo a instalar De entre las numerosas distribuciones interesantes para la instalación de un servidor Linux, vamos a trabajar con CentOS, dado que es uno de los sistemas operativos más implantados actualmente y funciona, además, bajo licencia GPL. Adicionalmente, presenta estas ventajas:

– Posee una comunidad de usuarios activa y creciente, formada por perfiles muy diversos, desde el simple usuario hasta administradores de redes, usuarios empresariales y entusiastas del software libre. – El desarrollo ha sido probado y analizado en diversos entornos. – Posee una extensa red de servidores en espejo (mirrors) desde donde podemos descargar el sistema operativo y otras utilidades. – Existe una amplia red de desarrolladores muy activos. – Posee diferentes vías para dar soporte gratuito, como el IRC Chat, listas de correo, foros, FAQ, etc.

Community Enterprise Operating System CentOS (Community ENTerprise Operating System) en una distribución de Linux creada a partir de la distribución Red Hat Enterprise Linux (RHEL), cuyo primer lanzamiento se realizó en mayo de 2004. Su web oficial es la siguiente:

http://www.centos.org

166

1.2 > Estudio de la compatibilidad del hardware y el software HCL de CentOS Podemos encontrar una HCL de CentOS en la página web de Red Hat:

https://hardware.redhat.com/hcl

Problemas con el hardware propietario Algunas empresas mantienen las especificaciones del interfaz de su hardware como propietario, programando sus propios controladores. Sin embargo, esto no facilita la labor de los desarrolladores de Linux de escribir controladores para dicho hardware.

Al igual que en el caso del sistema operativo Windows, una de las tareas que debemos llevar a cabo antes de instalar el sistema operativo es realizar un inventario del hardware del servidor sobre el que lo vamos a instalar. Además, comprobaremos la compatibilidad del sistema operativo con el hardware, sobre todo si se trata de un servidor antiguo o montado a piezas. Además, también habrá que comprobar las aplicaciones que pretendemos que funcionen en el servidor. Utilizaremos para ello las Hardware Component List (HCL), listas que permiten comprobar si el hardware que tenemos es compatible con el sistema operativo. Podemos encontrar estas listas en las web de los fabricantes del hardware o en las de los sistemas operativos. Por ser CentOS una distribución de Linux para servidores compilada a partir del código libre de Red Hat, en su página web se puede encontrar el listado de hardware compatible. No solo hay que tener en cuenta los requisitos mínimos de hardware necesarios para la instalación, sino que debemos pensar en su posterior funcionamiento, ya que este deberá ser eficiente y lo más rápido posible en el desempeño de sus tareas. Siempre es recomendable visitar las web de los fabricantes y los foros de expertos, que nos pueden orientar en caso de dudas. También se deben tener preparadas las versiones correspondientes de los controladores para su correcta instalación. Este es uno de los puntos importantes que harán que la instalación funcione correctamente. Es muy importante saber cuál será la finalidad del servidor, es decir, si va a ser un servidor web, un servidor de correo, un servidor de archivos, etc., así como la carga de trabajo estimada, dado que esto va a influir a la hora de dimensionar el servidor en recursos. Debe tener la suficiente memoria y velocidad de CPU como para atender los requisitos de todos los usuarios que simultáneamente le demanden servicios. Para que esto sea posible habrá que realizar una estimación de cuántos usuarios solicitarán ser vicios simultáneamente y cuántos recursos necesitarán. En cuanto a la funcionalidad del servidor, la distribución elegida, en nuestro caso CentOS, nos puede dar una idea de los servicios que podrá prestar como servidor.

9.1. Intel® Server System P4200IP.

Por otro lado, tenemos que tener en cuenta que las especificaciones de hardware cambian casi a diario, por lo que no es fácil garantizar que los componentes de nuestro servidor sean absolutamente compatibles.

167


1.3 > Requisitos del disco duro y particionado CentOS recomienda un mínimo de 1,2 GB de espacio en disco duro, pero es aconsejable que sea de al menos 2 GB para la instalación. Aun así, este requisito puede variar dependiendo de la versión que se utilice, por lo que conviene revisar la página web oficial. Además, la cantidad total de disco duro que se necesita depende en gran medida de las necesidades y aplicaciones que se haya planificado instalar.

Particionado Antes de proceder a la instalación se recomienda tener en cuenta si se va a particionar el disco o si se va a instalar todo en una única partición. Conviene utilizar, independientemente de la utilidad que se le vaya a dar al servidor, al menos tres particiones: una partición para el sistema, otra para datos y una tercera para la memoria virtual, que recibe el nombre de swap. Un ejemplo de las particiones que se pueden emplear en un servidor es:

Swap

Swap es una parte del disco que Linux utiliza para realizar la paginación de las aplicaciones. Se emplea cuando la cantidad de memoria física (RAM) no es suficiente.

– /boot: contiene el gestor de arranque. – /system: partición raíz que contiene la instalación del sistema. – /home: contiene los archivos donde se encuentra la configuración personal de cada usuario. – /swap: para la memoria virtual Las instalaciones por medio de DVD, CD, USB, etc. permiten realizar el particionado, aunque también se pueden usar otras herramientas externas. Además, los propios asistentes de instalación de las distribuciones nos ofrecen sugerencias de particionado, que no siembre se ajustan a nuestras necesidades, así como de los puntos de montaje.

1.4 > Elección del sistema de archivos Linux admite múltiples sistemas de archivos, entre los que destacan:

– Ext3: versión mejorada de ext2, que incorpora el journaling. – Ext4: sistema de archivos para Linux evolucionado de ext3. – XFS: sistema de archivos de 64 bits con journaling. Utilizado principalmente en Unix. – ReiserFS: sistema de archivos con journaling diseñado e implementado por la empresa Namesys. Es el sistema de archivos por defecto de algunas distribuciones de Linux como SuSE o Xandros. Para instalar CentOS es necesario formatear las particiones con ext3

Journaling

En caso de fallo del sistema, la característica journaling asegura que la estabilidad del sistema de archivos pueda ser recuperada. Por tanto, un sistema con journaling será un sistema tolerante a fallos.

Actividades propuestas 1�� Averigua cuál es la última versión estable de CentOS que está disponible para instalar. 2�� ¿Cuáles son los requisitos mínimos para la instalación de la última versión estable de CentOS? 3�� Confecciona la lista de componentes hardware de tu ordenador y comprueba si soporta la última versión de CentOS.

168

2 >> Tipos de instalaciones Podemos realizar la instalación un sistema operativo de dos formas: atendida o desatendida.

2.1 > Instalación atendida Una instalación atendida es aquella en la que el usuario realiza todos los pasos necesarios interactuando con la aplicación de instalación. La instalación del sistema operativo se puede realizar a través de:

– – – – –

Un CD-ROM/DVD-ROM. Una imagen (archivo, ISO…). Un disco duro. Un dispositivo externo como un USB o disco externo. La red.

Veamos cómo hacer la instalación sobre una máquina virtual.

Casos prácticos

1

Instalación atendida de CentOS en una máquina virtual �� Realiza una instalación atendida del sistema operativo CentOS 6 en una máquina virtual. Solución �� La instalación de CentOS 6 en una máquina virtual se compone de tres partes bien diferenciadas: la preparación de la máquina virtual, la instalación del sistema operativo y las tareas de posinstalación. Preparación de la máquina virtual En la preparación de la máquina virtual para instalar CentOS debes seguir estos pasos: – Prepara el soporte desde el cual vas a realizar la instalación (imagen, DVD, etc.). Configura la máquina virtual para el soporte que hayas elegido. – Escoge como sistema operativo para instalar Linux CentOS o bien CentOS 64 bits, en función de la imagen descargada. – Indica un nombre para la máquina virtual y su ubicación. – Elige el número de procesadores y la cantidad de memoria que se va a usar; recuerda para ello cuáles son las especificaciones recomendadas y las posibilidades de tu máquina anfitriona. – Selecciona la siguientes opciones para la máquina virtual: • Opción de conexión a la red: escoge bridged, ya que permite tener una dirección IP para la máquina virtual y otra para la real. • Controlador de E/S: opta por el recomendado por el sistema. • Disco: elige la opción de crear un nuevo disco virtual. • Tipo de disco: escoge el recomendado (IDE o SCSI). • Espacio asignado del disco duro para la máquina virtual: debes tener en cuenta las limitaciones de tu disco físico. Acuerda con el profesor el tamaño apropiado para poder trabajar de manera cómoda. – Selecciona la ruta donde quieres almacenar los archivos físicos de la máquina virtual. Cuando hayas terminado de preparar la unidad virtual, se muestra una ventana con un resumen de las especificaciones seleccionadas para revisarlas. Si estás de acuerdo, finaliza.

169


1 Instalación Para realizar la instalación de CentOS 6 propiamente dicha, sigue estos pasos: 1. Descarga de Internet la imagen de la última versión estable y disponible de CentOS desde el menú Downloads / Mirrors de la web http://www.centos.org. Allí encontrarás los servidores o mirrors desde donde puedes descargar la imagen. Para este caso práctico se utilizará la ISO CentOS-6.2-i386-LiveCD.iso. En caso de que no se dispusiera de conexión a Internet, el profesor proporcionará el soporte adecuado para poder proceder con la realización de la práctica. 2. Ejecuta la ISO (o el CD/DVD suministrado por el profesor) en la máquina virtual para empezar la instalación. 3. Elige el mapa del teclado (figura 9.2) en nuestro caso el español. 4. CentOS permite realizar la instalación sobre dispositivos de almacenamiento como las SAN (redes de área de almacenamiento), pero como solo dispones de un disco duro en el equipo debes elegir la opción que el programa marca como predeterminada: Basic Storage Devices (dispositivos de almacenamiento básicos) (figura 9.3). 5. Aparece una advertencia sobre el disco duro que indica que no encuentra particiones o sistemas de archivos, es decir, ha detectado que está sobre un disco o partición que no tiene formato. Selecciona Yes, discard any data para continuar con la instalación (figura 9.4). 6. A continuación se pide que introduzcas un nombre para el equipo. Una vez introducido, continúa con la instalación. 7. Selecciona la zona horaria correspondiente a tu localidad pinchando en el mapa o bien con el menú desplegable (figura 9.6). Es recomendable dejar seleccionada la opción System clock uses UTC (figura 9.5), de esta forma el reloj del sistema utilizará el tiempo universal coordinado (UTC), sucesor de GMT, para sincronizarlo.

9.5. Activación del sistema UTC.

9.2. Elección del mapa del teclado.

9.3. Tipos de dispositivos que se instalarán.

9.4. Advertencia sobre la ausencia de particiones.

9.6. Selección de zona horaria.

170

1 8. Introduce la contraseña para el administrador (root) (figura 9.7). 9. El siguiente paso permite seleccionar las particiones que se crearán en el disco duro. Exceptuando la última opción, que crea un diseño personalizado (Create Custom Layout), el resto crea las siguientes particiones: – Una partición para /boot estándar de unos 200 MB. 9.7. Creación de la contraseña del usuario root. – Un volumen lógico para el directorio /, que utilizará la mayor parte del espacio. – Un volumen lógico para la partición /swap de memoria de intercambio: • En equipos con menos de 1 GB de RAM, el espacio que se utilizará será más o menos el doble de la cantidad de RAM que se tenga. • En equipos con más de 1GB de RAM se utilizará el espacio equivalente a la suma de la RAM física del equipo más 2 GB. Las opciones de pantalla que aparecen son las siguientes (figura 9.8): – Use All Space (usar todo el espacio): elimina todo tipo de particiones, aunque sean de otro sistema operativo, para crear las particiones necesarias. – Replace Existing Linux System(s) [reemplazar sistema(s) Linux existente(s)]: en este caso solo elimina las particiones Linux que ya se tengan para crear las nuevas particiones. – Shrink Current System (archivar el sistema actual): cambiará el tamaño de las particiones que ya existan en el equipo, aunque sean de otros sistemas operativos, para hacer hueco e instalar las nuevas particiones. – Use Free Space (usar espacio libre): las particiones que se creen en la instalación solo utilizarán el espacio que haya disponible. – Create Custom Layout (crear un diseño personalizado): permite que sea el usuario quien cree las particiones que necesite. En este caso, elige la primera opción: Use All Space.

9.8. Configuración de las particiones que se crearán en el disco duro.

10. Espera unos minutos para que se creen las particiones y se aplique la configuración. 11. Finaliza la instalación. A continuación conviene reiniciar el sistema para completar algunos pasos de la configuración y poder así utilizar el sistema adecuadamente.

171


1 Posinstalación Las tareas que debes realizar una vez que se haya completado la instalación del sistema son las que se describen a continuación: 1. Aparece una pantalla donde se muestra información sobre la licencia del producto. Selecciona Yes, I agree to the License Agreement y haz clic en Forward . 2. A continuación se te solicita que crees un usuario para utilizarlo en lugar del administrador del sistema (figura 9.10). Cuando lo hayas hecho pincha Forward .

9.9. Información sobre la licencia.

9.10. Pantalla de creación de un usuario.

3. Introduce la fecha y la hora (figura 9.11) y haz clic en Forward . 4. Configura Kdump, que es una aplicación que se encarga de capturar información en caso de que se produzcan fallos en el sistema (figura 9.12).

9.11. Introducción de la fecha y la hora.

Y con esto se finaliza esta parte de la configuración.

9.12. Pantalla de configuración de Kdump.

172

2.2 > Instalación desatendida. Automatización de instalaciones Una instalación desatendida es aquella en la que se realiza una configuración previa y, a partir de ella, el sistema se instala automáticamente sin necesidad de interacción por parte del usuario.

Wiki de CentOS En esta dirección web se encuentra la Wiki de CentOS, que contiene mucha información sobre este sistema operativo:

En caso de encontrarnos con instalaciones con varios servidores, instalar cada servidor independientemente y configurarlo por separado puede ser un trabajo muy tedioso. CentOS proporciona las herramientas Kickstart y Anaconda, que permiten automatizar el proceso ahorrando tiempo y esfuerzo, lo que, en el caso de una organización, puede traducirse en un ahorro económico. Estas herramientas crean un archivo llamado ks.cfg, conocido como archivo de respuestas, que contiene la configuración necesaria que deben usar los servidores para realizar la instalación desatendida.

http://wiki.centos.org/es

Para crear el archivo de instalación desatendida se utiliza el programa Kickstart. Podemos partir, por ejemplo, de una instalación recién hecha mediante el comando:

# system-config-kickstart Por otro lado, cuando se realiza una instalación atendida de CentOS, esta se guarda de manera automática en el archivo /root/anaconda-ks.cfg por si se quisiera hacer una instalación desatendida similar a la realizada en otro equipo. Las instalaciones desatendidas se pueden realizar desde distintos dispositivos:

– A través de un CD: habrá que crear un CD de arranque y copiar en el directorio de nivel superior el archivo ks.cfg, indicando que la instalación va a utilizar Kickstart introduciendo en la siguiente línea de comandos del arranque lo siguiente:

linux ks=cdrom:/ks.cfg – A través de un USB: habrá que crear un USB de arranque al que se le añadirá el archivo ks.cfg en la raíz y en la línea de comandos del arranque escribimos:

linux ks=hd:sdb1:/ks.cfg – A través de una red: será necesario que haya configurado un servidor DHCP en la red para poder acceder a la URL, y escribimos en la línea de comandos del boot lo siguiente:

linux ks=http:// direcciónIP /ks.cfg

Actividades propuestas 4�� Elabora un documento especificando qué características de las herramientas Kickstart y Anaconda son las más interesantes para el administrador de sistemas.

5�� Investiga en la página web de CentOS dónde se hallan las guías para su instalación.

173


3 >> Resolución de problemas durante la instalación Algunos de los problemas más comunes que pueden ocurrir durante este proceso de instalación ya los vimos en la unidad del proceso de instalación de Windows. Aun así, vamos a analizar algunos de los más comunes que pueden presentarse en una instalación de Linux:

– En el inicio de la instalación el sistema no detecta el ratón: en este caso (figura 9.13) se puede elegir entre continuar con la instalación GUI con el teclado o bien usar la instalación en modo texto, la cual está preparada para no necesitar del uso del ratón. – Problemas con la tarjeta gráfica: si la tarjeta gráfica da problemas cuando el programa de instalación se ejecuta en modo gráfico, es posible que el programa de instalación continúe ejecutándose, pero en un modo de resolución gráfica más baja. Si, por algún motivo, esto no ocurriera, el programa de instalación intentaría dar la opción de pasar a ejecutarse en modo texto. – Aparece un mensaje de error del tipo no se encuentran los dispositivos: en este caso probablemente se trate de un problema de compatibilidad hardware. Habrá que verificar si existe o no un controlador disponible para la versión del sistema que se está instalando, bien en el sitio web del fabricante del hardware que da problemas o bien en la página web de la distribución Linux elegida. – Problemas con la tabla de particiones: si durante la instalación aparece un error de este tipo, indica que no se pudo leer la tabla de partición en el dispositivo hda o similar. Esto puede ser debido a que no se tenga una tabla de particiones en el dispositivo o que la tabla no esté siendo reconocida por el software usado en la instalación. Tras la instalación también pueden presentarse algunos problemas como los siguientes:

– Problemas con la pantalla gráfica de GRUB en un sistema x86: algunos de estos problemas pueden solucionarse deshabilitando la pantalla gráfica de arranque. Para ello hay que acceder al archivo /boot/grub/grub.conf y convertir en comentario la línea splashimage añadiéndole el carácter # delante para que no se ejecute. Posteriormente, en la pantalla del gestor de arranque, habría que escribir la letra b para arrancar el sistema y leer la nueva configuración del GRUB. – No arranca el entorno gráfico: si se ha instalado pero no arranca, entonces se puede iniciar la interfaz gráfica con el comando startx. – El sistema no reconoce toda la memoria RAM del equipo: para verificarlo habrá que ejecutar este comando:

$ cat /proc/meminfo y comparar si la cantidad de memoria que nos muestra se corresponde con la del equipo. En caso de que no coincidan, habrá que añadir al archivo /boot/grub/grub.confla la línea mem=xxM, donde xx indica la cantidad de RAM en megabytes que tiene el equipo.

9.13. Pantalla de advertencia de que no se detecta el ratón.

GNU GRUB GNU GRUB o GRUB es un gestor de arranque que permite tener diferentes sistemas operativos en un mismo equipo. De este modo es posible elegir cuál ejecutar al iniciar el equipo.

174

4 >> Documentación de la instalación y las incidencias Como ya se vio anteriormente, es recomendable documentar todo el proceso de instalación y tomar nota de las condiciones de partida (hardware inicial, controladores instalados, particionado de disco, opciones de instalación elegidas, usuarios y contraseñas, etc.). Tanto la documentación de la instalación, como la de las posteriores modificaciones de los parámetros de la misma, ayudarán a detectar y resolver de manera más sencilla posibles problemas con futuras instalaciones y actualizaciones. Tener documentado todo el proceso de instalación, actualizaciones y actuaciones sobre el servidor servirá para que cualquier miembro del equipo del departamento de informática pueda resolver los problemas que surjan. Llevar un cuaderno de bitácora que contenga las incidencias surgidas y los métodos empleados para solucionarlas puede ser de gran ayuda para, en futuras ocasiones, poner en marcha cuanto antes el protocolo de actuación que lleve a resolverlas. Recordemos que estos libros de bitácora podrán ser desde simples libretas a elaboradas aplicaciones o bases de datos destinadas a dicho fin.

CentOS es una distribución basada en una versión compilada a partir de código libre de Red Hat Enterprise Linux, por tanto no ofrece ningún tipo de soporte técnico para resolver incidencias. Sin embargo, posee una amplia y activa comunidad de desarrolladores que hacen que cualquier incidencia surgida sea resuelta lo antes posible. Además, existen numerosas páginas web con foros de expertos donde pueden encontrarse soluciones a los problemas que puedan surgir.

Actividades propuestas 6�� Averigua qué es un cuaderno de bitácora y cuáles son sus orígenes. 7�� Investiga páginas web donde haya foros activos en los que se traten temas de CentOS. Elabora una lista con las que ofrecen más fiabilidad según tu criterio.

175


5 >> Proceso de arranque y servicios El inicio del proceso de arranque del sistema Linux puede ser diferente dependiendo de la plataforma hardware que se esté utilizando. Sin embargo, una vez cargados el gestor de arranque y el kernel, el proceso ya será prácticamente idéntico para todas ellas. Este es un breve recordatorio de las etapas básicas del proceso de arranque para un sistema x86: 1. Al arrancar el equipo, la BIOS del sistema realiza una comprobación para, posteriormente, lanzar la primera etapa del gestor de arranque del MBR del disco duro primario. Esta primera etapa se almacena en la memoria. 2. Se lanza la segunda etapa del gestor de arranque desde la partición /boot/ . Esta segunda etapa carga el kernel en la memoria, lo que hace que se carguen los módulos necesarios y se monte la partición root para solo lectura. 3. El kernel transfiere el control del proceso de arranque al programa /sbin/init. 4. El proceso init se encarga de iniciar todos los servicios y herramientas del usuario, así como de montar todas las particiones indicadas en /etc/fstab. Utiliza un mecanismo basado en la clonación del proceso y la sustitución de su código por el del proceso que se va a arrancar. De este modo comprobamos que todo proceso tiene un proceso padre a partir del cual se creó, y que el proceso origen de todos ellos es init. 5. Finalmente, al usuario se le muestra la pantalla de inicio de conexión al sistema que acaba de ser iniciado.

Kernel

El kernel o núcleo puede definirse como el encargado de gestionar los recursos del sistema a través de los servicios de llamada, es decir, gestiona las peticiones de acceso al hardware del equipo por parte de los programas.

5.1 > Niveles de ejecución Como administradores de sistemas, nuestra función consistirá en controlar todas las aplicaciones y servicios que se inician en el servidor. En una instalación ideal, solamente tendríamos que tener en marcha aquellos servicios imprescindibles. De esta forma, no solo optimizamos los recursos del servidor, sino que también minimizamos el número de posibles agujeros de seguridad. El programa init es el primer proceso que se ejecuta en el servidor Linux tras la carga del kernel y se encarga de especificar, a través de dos sistemas de inicio (System V y BSD-Like), los scripts de arranque que iniciarán los diferentes servicios y programas. Los niveles de ejecución permiten ejecutar el sistema operativo de diferentes maneras para adecuarlo a las necesidades del administrador. Por ejemplo, podría suceder que se necesitara realizar tareas de diagnóstico, en este caso lo ideal sería ejecutar el sistema de tal modo que fuera totalmente eficiente para tal efecto, sin la necesidad de consumir otros recursos. En CentOS existen siete niveles de ejecución numerados del 0 al 6. Si hay que elegir un nivel para el servidor, habrá que seleccionar, preferiblemente, aquel que tenga soporte de red y multiusuario y que no tenga entorno gráfico. En el caso de CentOS sería el nivel 3.

System V Init System V Init (SysV) es un sistema de niveles de ejecución integrado, entre otros, en CentOS. Controla qué programas se han de ejecutar o detener al inicializar un nivel de ejecución.

176

Lo normal es utilizar los niveles 3 y 5 (los dos son multiusuario). Los niveles 0, 1 y 6 son niveles de ejecución para realizar funciones específicas. Los niveles 2 y 4 no son usuales y pueden ser personalizados para cubrir alguna necesidad específica. Cada uno de estos niveles lleva asociado un directorio concreto, tal y como se indica en la siguiente tabla:

Niveles de ejecución de CentOS Nivel de ejecución

Descripción

Directorio

0

Encargado de detener todos los procesos que estén ejecutándose. Es la parada del sistema.

/etc/rc0.d

1

Modo monousuario sin red. Para labores de mantenimiento. El usuario que lo ejecuta es root.

/etc/rc1.d

2

Modo monousuario con red. Hay NFS para compartición de datos.

/etc/rc2.d

3

Modo multiusuario completo con red, pero sin entorno gráfico.

/etc/rc3.d

4

No se utiliza.

/etc/rc4.d

5

Modo multiusuario completo con red y con entorno gráfico.

/etc/rc5.d

6

Reinicio del sistema.

/etc/rc6.d Los directorios indicados en la tabla contienen enlaces simbólicos a scripts del directorio /etc/init.d/ que indican el servicio o proceso, su nivel de ejecución y el tipo de operación (inicio o parada) (figura 9.14):

9.14. Ejemplo de contenido del directorio /etc/rc3.d.

– Los enlaces que empiezan por «s» son de inicio (start). – Los enlaces que empiezan por «k» son de parada (kill). – El número que aparece a continuación indica el orden en el que se ejecutarán, empezando por los de menor valor. En caso de empate, se ejecutará antes aquel cuyo nombre ordenado alfabéticamente ocupe el primer lugar.

177


Al arrancar el sistema:

– Los servicios que se inician vienen determinados por el nivel de ejecución que se indica en el archivo /etc/inittab. – En el directorio /etc/rc.d se encuentran los distintos directorios para cada uno de los niveles de ejecución. – En el archivo /etc/rc.d/init.d se encuentran los scripts de inicio. Si queremos saber qué nivel se está ejecutando en un momento dado, se podría:

– Buscar en el archivo /etc/inittab la entrada init, por ejemplo:

id:5:initdefault – Ejecutar el comando runlevel, por ejemplo:

# runlevel N 3 Para cambiar el nivel de ejecución predeterminado disponemos de varias opciones:

9.15. Linus Torvalds, el creador del kernel de Linux.

– Editar el archivo /etc/inittab cambiando al nivel que deseamos en la entrada correspondiente. – Ejecutar el comando init . Por ejemplo, si queremos cambiar al nivel de ejecución 3, escribiremos:

# init 3 – Utilizar el comando telinit. Por ejemplo, si queremos cambiar al nivel de ejecución 5, escribiremos:

# telinit 5 Los comandos telinit 0 o init 0 apagarían directamente el equipo, lo que podría provocar una pérdida de datos. Por tanto, este nivel 0 o el 6 se suelen combinar con la opción sync, por ejemplo:

# sync&&init 0 De esta forma, solo si sync acaba con éxito, se ejecuta init 0, aunque para apagar el sistema siempre es más recomendable utilizar otros comandos como poweroff , halt o shutdown.

5.2 > Los servicios Muchos servicios son iniciados con el arranque del sistema; otros podrán iniciarse posteriormente cuando se necesiten. Los servicios en Linux también se denominan daemons (demonios). Estos ser vicios se encuentran en el directorio /etc/init.d. Para ver un listado de los que están instalados en el equipo, escribimos la siguiente línea de comandos:

$ ls /etc/init.d/ El programa /sbin/init se encarga de gestionar el resto del proceso de arranque, explicado anteriormente, y de configurar la parte del usuario. Podemos encontrar dentro de /etc o /etc/rc.d una serie de scripts que permiten iniciar o detener algunos de los servicios i nstalados en el equipo de forma manual.

Comando sync El comando sync sirve para forzar la grabación de datos de la caché.

178

Para actuar sobre los distintos servicios, se debe escribir el archivo ejecutable o el script de inicio correspondiente, seguido de uno de estos parámetros:

– start: inicia el servicio. – stop: detiene el servicio. – restart: vuelve a lanzar el servicio. – status: permite comprobar el estado del servicio. Por ejemplo, para iniciar el servicio Samba ejecutaríamos lo siguiente:

# /etc/rc.d/init.d/smb start Starting Samba SMB daemon También podemos utilizar el comando service, que, junto con los mismos parámetros, permite ver el estado e iniciar y detener los servicios. Veamos un ejemplo con el servicio MySQL:

Comando service El comando service ejecuta un script de SysV Init. Su sintaxis es la siguiente: service script command options

– Para conocer el estado de un servicio:

# /sbin/service mysql status Checking for service MySQL: stopped – Si se quiere iniciar el servicio:

# /sbin/service mysql start Starting service MySQL

Añadir o quitar servicios al iniciar el sistema Para configurar qué servicios iniciar al arrancar el sistema, CentOS ofrece la herramienta chkconfig. Mediante el comando chkconfig -list se muestra un listado de los servicios del sistema, indicando si está o no iniciado para cada nivel de ejecución (figura 9.16).

9.16. Ejemplo de listado de los servicios del sistema obtenido con el comando chkconfig.

En la imagen podemos observar que la primera columna representa los servicios y el resto los diferentes niveles de ejecución, donde se indica con un on o un off si está activo o no para el nivel correspondiente. Por ejemplo, el servicio bluetooth está activado para los niveles 3, 4 y 5. Además de la consola, existen herramientas específicas para la gestión de los servicios. Por ejemplo, una que puede utilizarse para CentOS y que resulta muy sencilla es ntsysv, que permite, mediante una interfaz, gestionar los servicios del nivel de ejecución actual.


Se pueden añadir o quitar servicios a los distintos niveles de la siguiente forma:

chkconfig —level runlevel servicio on/off Veamos unos ejemplos del uso de chkconfig con el servicio web HTTPD:

– Si queremos que se inicie al arrancar el sistema en los niveles de ejecución 3, 4 y 5, la línea de comandos será:

# chkconfig —level 345 httpd on – Si lo que queremos es simplemente iniciarlo sin especificar el nivel de ejecución, la línea de comandos será:

# chkconfig —add httpd – Si lo que queremos es detenerlo:

# chkconfig —del httpd

5.3 > Gestión de los servicios en modo gráfico CentOS también ofrece la posibilidad de gestionar los servicios utilizando el modo gráfico. La utilidad encargada de esto se encuentra dentro del menú Sistema / Administración / Servicios. Esta herramienta muestra una lista de los servicios que podemos encontrar en el directorio /etc/rc.d/init.d, así como los controlados por xinetd (figura 9.17):

– Seleccionando cualquiera de los servicios mostrados en el panel izquierdo, se puede observar su estado en el panel derecho. – Mediante los botones de la barra de herramientas o bien mediante el menú Service se puede cambiar el estado de un servicio. – Para activar un servicio, se selec- 9.17. Herramienta Configuración del servicio. ciona el servicio en la lista y se hace clic en los botones Habilitar , Deshabilitar o Personalizar, situados en la barra de herramientas o en el menú Servicio. Para activar el servicio en unos niveles determinados de ejecución, tan solo hay que seleccionar el servicio y pinchar el botón Personalizar. Estas mismas acciones también se pueden realizar desde el menú Service.

Actividades propuestas 8�� Indica cómo puedes ver los scripts que se arrancan al inicio en un determinado nivel. 9�� Haz que el servicio HTTPD se inicie en los niveles 3, 4 y 5. 10�� Indica al menos tres servicios que estén iniciados y otros tres que estén parados en tu sistema.

179

180

Actividades finales .: CONSOLIDACIÓN :. 1�� Indica a cuál de las fases de planificación, instalación, configuración o puesta en marcha pertenecen las siguientes tareas: a) Tener un amplio conocimiento del hardware del equipo a instalar. b) Instalar el sistema operativo desde un CD Live.

2�� Resume brevemente cuáles son las principales tareas de preisntalación que se deben tener en cuenta antes de instalar un sistema operativo Linux.

3�� ¿En qué se diferencia una instalación atendida de una desatendida? 4�� ¿Cuándo recomendarías una instalación desatendida? 5�� Indica si son ciertas o falsas las siguientes afirmaciones y, en caso de ser falsas, indica por qué lo son: a) La instalación atendida es aquella en la que se realiza una configuración previa y, a partir de ella, el sistema se instala automáticamente sin interacción por parte del usuario. b) La herramienta Kickstart permite automatizar el proceso de instalación, ahorrando tiempo y esfuerzo. c) Una instalación atendida solo se puede realizar utilizando CD o DVD. d) El archivo llamado ks.cfg contiene la configuración necesaria que deben usar los servidores para realizar la instalación desatendida. e) En la postinstalación es recomendable crear un usuario para utilizarlo en lugar del administrador del sistema.

6�� ¿Cómo actuarías ante la aparición de un error durante la instalación del sistema? 7�� Que nivel de ejecución utilizarías para los siguientes casos: a) Sin entorno gráfico, con soporte de red y multiusuario. b) Con entorno gráfico, con soporte de red y multiusuario. c) Para reiniciar el equipo. d) Para que solo el root pueda realizar tareas de mantenimiento.

8�� ¿Cuál es el primer proceso que se ejecuta en el servidor tras la carga del kernel? 9�� ¿Qué son los niveles de ejecución en Linux? 10�� ¿Qué razones le darías a un administrador de sistemas para argumentar por qué debe documentar las incidencias que se produzcan en cualquier tipo de instalación de software en su empresa?

.: APLICACIÓN :. 1�� Cambia el nivel de ejecución a otro distinto del 0. Después explica cómo lo has hecho. 2�� Indica en qué nivel de ejecución se está usando en estos momentos tu sistema CentOS. Detalla cómo lo has averiguado.

2�� Explica de qué diferentes maneras se puede comprobar cuál es el estado de un servicio. 3�� Indica qué comando usarías para detener el servicio httpd. Detalla cómo activarías el servicio sshd utilizando el modo gráfico.

4�� Prepara una nueva máquina virtual para realizar una instalación atendida de CentOS, pero esta vez documéntala según se ha estudiado.


181

Caso final

2

Análisis de la instalación de un servidor CentOS �� La empresa I-services.com quiere poner en marcha un servidor nuevo y no quiere instalar software comercial en él para ahorrar costes, por lo que está pensando en Linux. El servidor debe cumplir los siguientes requisitos: – Tiene que funcionar únicamente como servidor para la gestión tanto de usuarios como de aplicaciones y de datos. – Se calcula que deberá ser capaz de soportar a entre 50 y 75 usuarios de manera simultánea sin mermar el rendimiento. – Se estima que deberá almacenar al menos 50 GB de información al año. a) ¿Qué versión de CentOS sería la más conveniente? b) ¿Qué características hardware debería tener el servidor para ofrecer un rendimiento adecuado?

Solución �� Las preguntas se responderían de la siguiente forma: a) Dado que eres un administrador experto en CentOS, esta será la distribución elegida. La versión del sistema operativo que se instalará vendrá dada por temas de compatibilidad con el hardware del servidor. Si se quiere instalar el sistema operativo para 64 bits y con interfaz gráfica, el procesador debe ser de 64 bits con una velocidad mínima recomendada de 1,4 GHz. b) En cuanto a la memoria RAM, 2 GB deberían ser suficientes para las características que expone el enunciado. Aun así, estos requisitos mínimos dependerán mucho de la versión que se vaya a instalar, por tanto es recomendable visitar la página oficial para comprobar cuáles son. El disco debería tener capacidad para albergar la información de los usuarios, dado que una de las funciones requeridas es la de servidor de archivos. Los puntos de montaje durante el proceso de instalación se realizarán teniendo en cuenta esta funcionalidad. El gerente también te ha solicitado que utilices el servidor Linux como gestor de usuarios y de aplicaciones. Lo primero que debes averiguar es el tipo de aplicaciones con las que se va a trabajar, las cuales influirán en el tipo de peticiones que se harán al servidor y en el consumo de recursos del mismo. Para realizar la gestión de usuarios, debes tener en cuenta si en la red donde se va a ofrecer el servicio y los usuarios que se deben administrar poseen cuentas procedentes de equipos con Windows o con Linux, ya que ello influirá en las aplicaciones que se instalarán para gestionar las cuentas de usuario.

182

Ideas clave

Elección de la versión del sistema operativo a instalar Estudio de la compatibilidad del hardware y el software

Tareas de preinstalación Requisitos del disco duro y particionado Elección del sistema de archivos

Instalación atendida

Tipos de instalaciones Instalación desatendida EL PROCESO DE INSTALACIÓN EN LINUX


Documentación de la instalación y las incidencias

Proceso de arranque y servicios

Unidad Uni dad 9 - El proceso de instalación en Linux

BMW


migra sus aplicaciones críticas a Linux

BMW ha migrado sus aplicaciones críticas de un sistema propietario a un entorno Linux. Esto ha sido sido posible gracias a las herramientas Cobol de Micro Focus.

L

a multinacional alemana de automoción BMW AG ha migrado sus aplicaciones críticas de negocio, que operaban en un sistema propietario central de Unisys, a una plataforma abierta basada en Linux utilizando las herramientas de Micro Focus. La modernización de sus aplicaciones heredadas y el cambio de las plataformas hardware permitirán a BMW reducir drásticamente los costes operativos de las aplicaciones y mejorar su rendimiento y sus funcionalidades. El proceso de migración de las aplicaciones críticas del negocio de BMW a Linux se ha realizado por un equipo integrado por profesionales de la consultora alemana msgGillardon y de Micro Focus que ha portado las aplicaciones críticas de negocio de la multinacional automovilística desde un sistema host Unisys a otro basado en Suse Linux. El éxito final ha sido posible gracias a la utilización de las herramientas Cobol de Micro Focus, que han permitido gestionar y trasladar al nuevo sistema los más de 350 000 registros de datos maestros que había hab ía en los sistemas centrales en Alemania y que contenían más de 2,5 millones de líneas de código.

Herramientas Cobol de Micro Focus Las herramientas de migración de aplicaciones de Micro Focus permitieron asegurar el éxito de dicha migración

utilizando reglas que han simplificado el proceso, al ofrecer máximos niveles de automatización. Además de migrar los datos de las aplicaciones a una base de datos Oracle, se sustituyó el sistema de transacción con la implementación de CICS por parte de Micro Focus, retirando el sistema batch a favor de Unix Shell Script y convirtiendo las máscaras online. En la nueva infraestructura de aplicaciones, Micro Focus Enterprise Server actúa como middleware en Linux. Las aplicaciones heredadas de BMW se portaron una a una, lo que no impidió que el cambio de plataforma se realizara sin tiempo de inactividad y de manera imperceptible para los usuarios finales. La migración de una plataforma a otra incluyó 900 programas Cobol, 330 máscaras y 1770 procesos batch. La agenda de este ambicioso proyecto, que ha durado un año, incluyendo todas las pruebas, se llevó adelante sin problemas y el host se cerró después de 12 meses, reduciendo los costes de operación. Fuente: http://www.idg.es/computerworld

Actividades 1�� ¿Desde qué sistema se hizo la migración? ¿Qué distribución Linux se eligió para hacerla? 2�� ¿Cuáles crees que pueden haber sido las razones por las que BMW ha migrado a un sistema Linux? emple ados? 3�� ¿Cómo puede afectar esta migración a los empleados?

u

n

i

d

a

d

10

Tareas de posinstalación en Linux SUMARIO 

Configuración inicial del entorno del servidor



Configuración de la red



Gestión de repositorios



Instalación de paquetes. Actualizaciones



Comprobación de conectividad entre equipos clientes y el servidor

OBJETIVOS ·· Aprender a configurar el entorno de un servidor Linux.

·· Saber gestionar los repositorios. ·· Aprender a instalar paquetes y actualizaciones.

·· Aprender a probar la conectividad entre equipos clientes y el servidor Linux.

185

Unidad Unid ad 10 - Tareas de posinstalación en Linux

1 >> Configuración inicial del entorno del servidor Una vez instalada la distribución Linux que hayamos elegido, es necesario realizar una serie de configuraciones iniciales para que nuestro servidor quede completamente operativo. Si bien es cierto que cualquier distribución Linux puede utilizarse tanto para trabajar como servidor como para trabajar como cliente, bastan una serie de modificaciones para que algunas de ellas queden preparadas para trabajar como servidor. Es habitual que estas distribuciones no dispongan de aplicaciones comerciales multimedia y que la explotación del servidor se realice a través de comandos en vez de en modo gráfico. Configurar y explotar un servidor mediante la línea de comandos puede resultar complicado si nuestros conocimientos no son muy amplios, sin embargo es la forma de trabajar habitual del administrador del ser vidor. En este manual vamos a realizar la mayoría de las tareas en entorno gráfico para facilitar su comprensión, pero también indicaremos los comandos con los que pueden realizarse. Estas son las tareas que debemos llevar a cabo después de la instalación del servidor:

– Configurar la red: la configuración de red suele suele realizarse automáticamente, lo que consiste en que el sistema operativo detecta de forma automática nuestra tarjeta de red e instala el controlador adecuado y la pila de protocolos TCP/IP para que el equipo funcione en redes IP. Además, si estamos dentro de una red con un servidor DHCP que asigna direcciones IP a los equipos, seguramente este nos asigne una. No obstante, debemos dominar el controlador y los parámetros de red necesarios. – Configurar los repositorios adecuados desde donde realizar la descarga e instalación de los paquetes. – Realizar las actualizacione actualizacioness necesarias:

Consejo Desde el punto de vista de la seguridad es recomendable realizar una instalación mínima del sistema operativo e ir añadiendo posteriormente los distintos paquetes.

• Actualizaciones del software del servidor. • Actualizaciones de paquetes. paquetes.

Actividades propuestas l levar a cabo tras la instalación de un servidor. servidor. 1�� Indica las tareas que debemos llevar serv idores Linux se administran en modo no gráfico? 2�� ¿Por qué crees que la mayoría de servidores

186

2 >> Configuración de la red La configuración de la red puede realizarse desde el entorno gráfico o desde la línea de comandos.

2.1 > Configuración de la red desde el entorno gráfico

El kernel y las tarjetas de red El kernel o núcleo del sistema operativo es el encargado de numerar los interfaces asociados a las tarjetas de red (eth0, eth1...) en función de unos aspectos determinados.

En Linux la configuración de la red desde el entorno gráfico se realiza mediante la utilidad gráfica system-config-network system-config-network y y se se realiza realiza de la siguie siguiente nte forma: 1. Accedemos al menú Sistema / Preferencias / Conexiones de red. Se abre así la ventana ventan a Conexiones de Red, que posee varias pestañas: Cableado, Inalámbrico, Banda ancha móvil, VPN y DSL. y DSL.

10.1. Ventana Conexiones de red.

10.2. Icono de red del panel superior.

2. En la pestaña Cableado, pinchamos el botón Añadir botón Añadir . 3. En la ventana que aparece configuramos los parámetros de nuestra red. Para ello accedemos a las pestañas Ajustes pestañas Ajustes de Ipv4 Ipv4 o Ajustes de Ipv6, Ipv6, según nos interese. Otro modo de acceder a las opciones de configuración es haciendo clic con el botón secundario del ratón en el icono correspondiente a la red que se encuentra en el panel superior del la pantalla (figura 10.2). Si pinchamos este icono con el botón derecho del ratón podemos realizar lo siguiente:

– Activar o desactivar desactivar la red: para que nuestra conexión de red esté operativa o no, ya que, por ejemplo, podemos tener dos conexiones a redes distintas y preferir en algún momento que una de ellas esté desacti vada. – Acti Activar var o desactiva desactivarr las notificaci notificaciones ones:: para que se nos informe o no acerca de eventos relacionados con la red. – Ver información de las conexiones (figura 10.3): una ventana nos muestra los parámetros de las conexiones, como las direcciones IP y DNS, la máscara de subred, el tipo de interfaz, la velocidad de la conexión, etc. – Editar las conexiones: si abrimos la ventana Conexiones de red accedemos a la utilidad gráfica de configuración. Para iniciar la interfaz de red (eth0) desde la línea de comandos se usa el comando:

$ sudo ifconfig eth0 up Y para detenerla: 10.3. Ventana Información de la conexión.

$ sudo ifconfig eth0 down

187


2.2 > Configuración de la red desde la línea de comandos Configuración de la red en IPv4 La configuración de la red a través de la lí nea de comandos consiste, básicamente, en la modificación de los archivos archivo s de configuración de las tarjetas de red. Estos archivos se llaman ifcfg-eth0 para la primera tarjeta, ifcfg-eth1 para la segunda, etc. y se encuentran en el siguiente directorio: /etc/sysconfig/network-s /etc/sysco nfig/network-scripts/ cripts/ Para realizar la configuración tenemos que seguir estos pasos: 1. Editamos el archivo de la primera tarjeta ( DEVICE=“eth0” DEVICE=“eth0” en el archivo de configuración) con el editor gedit editor gedit :

$ sudo gedit /etc/sysconf /etc/sysconfig/networkig/network-scripts/ifcf scripts/ifcfg-eth0 g-eth0 2. Modificamos el archivo hasta que quede del siguiente modo:

DEVICE="eth0" ONBOOT="yes" TYPE=Ethernet BOOTPROTO=dhcp NAME="System NAME="Syste m eth0"

Comando touch Desde la línea de comandos es posible crear un archivo vacío con esta orden: touch [nombre_archivo]

Posteriormente podemos editarlo en líPosteriormente nea de comandos, con algún editor como vi, gedit, etc., y rellenarlo con el código que necesitemos.

Así estamos determinando que la IP de nuestro servidor de pruebas se asigne dinámicamente por DHCP (BOOTPROTO=dhcp) (BOOTPROTO=dhcp) y y le estamos dando un nombre a la conexión (NAME=”System eth0”). 3. Para que estos cambios se hagan efectivos, reiniciamos los servicios de red con el siguiente comando:

$ sudo sudo serv service ice netw network ork rest restart art Las direcciones IP de los servidores suelen ser estáticas, por lo que el archivo de configuración de la tarjeta de red es similar a lo siguiente:

DEVICE="eth0" ONBOOT ="yes" TYPE=Ethernet BOOTPROTO=none NAME="System NAME="Syste m eth0" IPADDR=192.168.1.31 NETMASK=255.255.255.0 GATEWAY=192.168.1.1 Las variables IPADDR, variables IPADDR, NETMASK NETMASK y y GATEWAY GATEWAY configuran, configuran, respectivamente, los valores de la dirección IP, la máscara de subred y la pasarela por defecto. En el caso de tener una configuración estática las variables IPADDR variables IPADDR y NETMASK y NETMASK son obligatorias. La variable TYPE indica el tipo de conexión, en este caso ethernet . La variable ONBOOT indica si la interfaz correspondiente se activará en el arranque (ONBOOT=“yes”) o no (ONBOOT=“no”). Después de configurar la red, deberemos comprobar que funciona, es decir, que tenemos conectividad dentro de nuestra red de pruebas. Para hacer esto basta con ejecutar el comando ping comando ping en en cualquiera de los equipos de la red.

Recuerda Un servidor DHCP se encarga de asignar direcciones IP a los equipos de la red y toma estas direcciones de entre las de un rango especificado en su configuración.

188

Estos son otros archivos de interés: i nterés:

– /etc/sysco /etc/sysconfig/network nfig/network:: donde se indican parámetros parámetros de configuración configuración general de la red.

Vocabulario Enrutamiento: es el proceso que realizan algunos dispositivos de red y que consiste en enviar paquetes por distintas rutas dentro de una red.

$ sudo cat /etc/s /etc/sysco ysconfig nfig/net /network work NETWORKING=yes HOSTNAME=localhost.localdomain La variable variable NETWORKI NETWORKING NG indica indica si se activa o no la red y HOSTNAME es el nombre FQDN de dominio del servidor.

– /etc/resolv.c /etc/resolv.conf onf : donde se especifican las direcciones IP de los servidores DNS. El archivo resolv.conf resolv.conf se se actualiza de forma automática al configurar el DHCP. No deberíamos modificarlo salvo en caso necesario.

$ sud sudo o cat /etc/ /etc/res resolv olv.co .conf nf nameserver 80.58.61.250 nameserver 80.58.61.254 – /etc/hosts /etc/hosts:: sirve para resolver los nombres de hosts a partir de su dirección IP en caso de que no tengamos un servidor DNS en nuestra red que los resuelva:

$ sudo sudo cat /et /etc/h c/host osts s 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 La siguiente tabla muestra los archivos relacionados con la configuración de la red y sus cometidos más importantes:

Archivos Linux para configurar la red

IPv4 e IPv6 Una dirección IP es un número que identifica a un dispositivo. Si se trata de una dirección IPv4, este número está formado por 32 bits, y si la dirección es IPv6, el número está compuesto por 128 bits. Por ejemplo, la dirección IPv4 192.168.10.5 se corresponde con la dirección IPv6 fe80:0:0:0:0:0:c0a8:a05 En Internet podemos encontrar varios conversores de direcciones IP.

Archivo

Función

/etc/sysconfig/network-scripts/ifcfg-eth0

Configuración de la tarjeta de red etiquetada como eth0

/etc/sysconfig/network-scripts/ifcfg-eth1

Configuración de la tarjeta de red etiquetada como eth1

/etc/sysconfig/network

Configuración general general de la red

etc/resolv.conf

Lista de servidores DNS

etc/hosts

Resolución de nombres en caso Resolución de no tener DNS

Configuración de la red en IPv6 Cuando se diseñó la dirección IPv4, se le asignó una longitud de 32 bits, lo 32 que permitía utilizar un total de 2 direc direcciones ciones (es (es decir, decir, 4 294 967 296). Los únicos dispositivos que se conectaban entonces a Internet eran ordenadores y dispositivos de interconexión de redes. Sin embargo, desde hace unos años se conectan a Internet multitud de dispositivos ( smartphones, smartphones, datáfonos, datá fonos, tablets, etc.) que también consumen direcciones de Internet.

189


El organismo encargado de la estandarización de los protocolos de Internet (IETF o Internet o Internet Engineerin Engineering g Task Task Force Force) creó por ello la versión 6 del protocolo 128 IP (IPv6). Esta se compone de 128 bits, por lo que se pueden utilizar 2 direcciones. Todos los sistemas operativos vigentes en la actualidad son compatibles (de forma nativa o no) con esta versión. Para Linux concretamente, IPv6 está soportado en versiones del núcleo a partir de la 2.4.x. Podemos verificar si nuestro sistema operativo soporta IPv6 comprobando que existe el archivo /proc/net/ archivo /proc/net/if_inet6. if_inet6.

www.ipv6.es El Ministerio de Industria dispone de una página web que proporciona información acerca de la nueva versión del protocolo IPv6:

Para activar el direccionamiento IPv6 seguimos estos pasos: 1. Editamos el archivo /etc/sysco /etc/sysconfig/network nfig/network y y le añadimos, en caso de que no exista, la línea siguiente:

NETWORKING_IPV6=yes 2. Indicamos cuál va a ser nuestra dirección IPv6, para lo cual introducimos una IP fija, dado que nuestro equipo funcionará como servidor. Como recordaremos, el archivo de configuración de la tarjeta de red es /etc es /etc/sys /sysconcon fig/network-scripts/ifcfg-et fig/network-s cripts/ifcfg-eth0 h0 y le añadiremos, si no existen, las líneas siguientes:

http://www.ipv6.es

IPV6INIT=yes IPV6ADDR=fe80:0:0:0:0:0:c0a8:128 IPV6_DEFAULTGW=fe80:0:0:0:0:0:c0a8:100 La variable IPV6INIT indica si se activa el direccionamiento por IPv6, la variable IPV6ADDR indica la dirección IPv6 que asignemos y la variable IPV6_DEFAULTGTW indica la dirección IPv6 de la pasarela por defecto. 3. Al igual que en el apartado anterior, reiniciamos los servicios de red:

$ sudo service network restart Los archivos de configuración de la red son los l os mismos que en el epígrafe anterior (hosts, (hosts, resolv.conf, etc.). Para comprobar el funcionamiento del IPv6, Google ofrece un test online que permite saber si un equipo está preparado para trabajar con este tipo de direccionamiento: http://ipv6test.google.com

Día mundial del IPv6 El día 8 de junio es el Día mundial del IPv6. Se tomó esta fecha porque fue ese día cuando se realizó la prueba definitiva de funcionamiento de los servicios de Internet sobre este protocolo de red.

Actividades propuestas 3�� Recuerda la sintaxis del archivo de configuración de la tarjeta de red ifcfg-eth0 . Busca en Internet otras variables que pueden aparecer en él no especificadas en el libro. resolv.conf? ¿Qué ¿Qué relación tiene con el archivo hosts? hosts? ¿Qué ¿Qué sucede si no 4�� ¿Cuál es la utilidad del archivo resolv.conf? existe o está vacío? Estudia su sintaxis.

5�� Averigua cuál es la dirección IPv4 de tu equipo. 6�� Busca en Internet un convertidor de direcciones IPv4 a IPv6 y averigua qué dirección IPv6 le corresponde a tu dirección IPv4. Compáralas y saca tus propias p ropias conclusiones.

190

3 >> Gestión de repositorios A diferencia de otros sistemas operativos comerciales, las distribuciones Linux disponen de sitios web desde los cuales es posible descargar aplicaciones y actualizaciones gratuitamente. A estos almacenes de software se les llama repositorios repositorios.. Los programas que nos podemos descargar desde los repositorios están ordenados mediante diversas estructuras organizativas de empaquetado (RPM, APT, etc.). Estos programas se obtienen de diferentes formas: bien a través de su código fuente o bien en forma de archivos binarios archivos binarios o ejecuejecutables. Algunos de estos paquetes son independientes y otros tienen dependencias entre sí.

Paquete En un entorno Unix/Linux, un paquete es un conjunto de software que desempeña alguna funcionalidad. Algunas veces para que funcione un paquete es precisa la instalación previa de otros. Esto es lo que se conoce como dependencia.

Para facilitar la realización de las descargas y las actualizaciones existen los programas llamados gestores llamados gestores de paquetes. paquetes. Estos instalan los paquetes necesarios directamente desde Internet resolviendo los problemas que pudieran surgir debido a dependencias entre algunos de ellos, al borrado de los paquetes o a su actualización. Los repositorios se configuran mediante un archivo que varía de una distribución a otra y en el que se almacenan la dirección URL correspondiente al repositorio en particular y la clave con la que se accede al mismo. Existe una amplia lista de repositorios que ofrecen la descarga de utilidades para CentOS, entre ellos CentOS Plus, CentOS Extras, etc. (figura 10.5).

3.1 > Gestión de repositorios desde el entorno gráfico Gráficamente, para gestionar paquetes se sigue la ruta Sistema / Administración / Añadir/Quitar software. software .

10.4. Ventana Ventana Añadir/Quitar Añadir/Quitar software.

10.5. Ventana Repositorios de software.

Para visualizar los repositorios que podemos utilizar se sigue la misma ruta o bien Sistema / Repositorios de software (figura 10.5).

191


3.2 > Gestión de repositorios desde la línea de comandos CentOS dispone del comando yum para gestionar los paquetes. El archivo de configuración de este comando se encuentra en el directorio /etc/yum.conf (figura 10.6). Para crear nuevos repositorios de paquetes se utiliza el comando createrepo. Cada nuevo repositorio requiere que se cree un archivo.repo dentro del directorio /etc/yum.repos.d de configuración del mismo. La figura 10.7 muestra la información de acceso correspondiente a un repositorio llamado Base que hemos editado.

10.6. Contenido del archivo /etc/yum.conf.

10.7. Contenido del archivo /etc/yum.repos.d.

Algunas acciones que se pueden realizar con el comando yum Acción

Línea de comando

Actualizar el sistema con todas sus dependencias

$ sudo yum update

Buscar un paquete

$ sudo yum search [paquete]

Consultar la información de un paquete

$ sudo yum info [paquete]

Instalar paquetes resolviendo sus dependencias automáticamente

$ sudo yum install [paquete]

Desinstalar paquetes y software relacionado

$ sudo yum remove [paquete]

Listar todos los paquetes disponibles para ser instalados

$ sudo yum list available

Listar todos los paquetes instalados en el sistema

$ sudo yum list installed

Listar todos los paquetes instalados en el sistema pendientes de actualización

$ sudo yum list updates

Actividades propuestas 7�� Averigua qué repositorios hay configurados por defecto en tu sistema operativo y busca el archivo correspondiente a cada uno de ellos.

192

4 >> Instalación de paquetes. Actualizaciones Una vez configurados los repositorios para nuestro sistema operativo, procederemos a la instalación de los paquetes necesarios. Cuantos más repositorios hayamos dado de alta, de más fuentes de software dispondremos para instalar aplicaciones, utilidades, etc.

4.1 > Instalación de paquetes Para instalar una aplicación, en primer lugar buscamos el paquete que la contiene, así como los paquetes relacionados. Tal y como hemos comentado, los gestores de paquetes solucionan las dependencias que existen entre ellos. Si estamos en un entorno gráfico, los paquetes se instalan de este modo: 1. Vamos al menú Sistema / Administración / Añadir/Quitar software y aparecerá una ventana que muestra los distintos programas o aplicaciones agrupados por funcionalidad o tipología:

10.8. Ventana Añadir/Quitar software.

2. Realizamos una búsqueda por palabras para encontrar la aplicación deseada, la marcamos para instalar y hacemos clic en Aplicar. Si estamos en línea de comandos basta con escribir:

$ sudo yum install [paquete]

4.2 > Instalación del paquete Webmin Vamos a instalar Webmin, uno de los paquetes más útiles para realizar tareas de administración y que está disponible para la mayoría de las distribuciones Linux.

10.9. Logo de Webmin.

Webmin es una interfaz web para la administración de sistemas Unix y, mediante un navegador, permite realizar muchas acciones, como crear cuentas de usuario, configurar Apache, configurar un servicio DNS, compartir archivos, etc. De este modo evitamos editar manualmente los archi vos de configuración y, además, es posible hacerlo también de forma remota.

193


También veremos otra forma alternativa de instalar paquetes cuando no disponemos del repositorio adecuado o cuando el fo rmato del paquete no es el habitual para nuestra distribución. Para descargar dicha utilidad podemos acudir a la secc ión Downloads de su página oficial y seguir las indicaciones, que describen tres formas posibles de realizar la descarga:

Web de Webmin La página oficial de Webmin:

– Crear el repositorio adecuado y descargarla de él. – Descargarla con el comando wget. – Pinchar sobre el enlace adecuado y descargar el paquete. Después se nos mostrará la opción de abrirlo con el instalador. Vamos a utilizar la segunda opción:

http://www.webmin.com

1. Abrimos una ventana de comandos, nos autenticamos como root y escribimos lo siguiente:

$ sudo wget http://prdownloads.sourceforge.net/ webadmin/webmin-1.580-1.noarch.rpm 2. A continuación ejecutamos la siguiente línea:

$ sudo rpm -U webmin-1.580-1.noarch.rpm De este modo se procederá a la instalación.

10.10. Mensajes de instalación de Webmin.

Una vez finalizado el proceso de instalación de Webmin, abrimos el explorador e, introduciendo el URL http://localhost:10000 , podemos acceder a esta herramienta. Para trabajar con ella nos autenticaremos como root .

Los comandos wget y rpm El comando wget es una utilidad que permite la descarga de archivos desde la web. Se puede ejecutar en segundo plano, sin necesidad de que el usuario esté conectado. El comando rpm (Red Hat Package Manager) es otro gestor de paquetes que permite trabajar con los que tienen formato RPM. Lo que le distingue del comando yum es que no resuelve las dependencias entre paquetes y no dispone de entorno gráfico. Podemos ver la sintaxis de los dos comandos mediante la orden man en línea de comandos.

Atención

10.11. Página principal de Webmin.

Aunque en los ejercicios del libro se accede a aplicaciones de administración como Webmin, en entornos reales desde un navegador que no disponga de más protección que la de usuario y contraseña, hay que incrementar la seguridad estableciendo accesos seguros mediante, por ejemplo, el servicio https. De este modo el acceso a Webmin sería similar a https://localhost:10000 .

194

Esto permite acceder remotamente a nuestro servidor Linux y configurarlo vía web, lo cual facilita enormemente la tarea. Por ejemplo, si estamos trabajando con un ordenador con Windows 7 (IP: 192.168.1.35) y tenemos CentOS instalado en una máquina virtual dentro de la misma red (IP: 192.168.1.36), podemos acceder a administrar CentOS desde un navegador con Windows 7 apuntando la dirección http://192.168.1.36:10000 . En el firewall de CentOS debemos habilitar el acceso a través de este puerto. Esta herramienta ofrece un menú en la parte izquierda para seleccionar aquellos parámetros de interés, visualizar la información, realizar cambios de configuración, etc. (figura 10.12).

4.3 > Actualizaciones Para proceder a actualizar los paquetes instalados desde la línea de comandos podemos ejecutar lo siguiente:

$ sudo yum list updates Es posible, así mismo, obtener una lista de paquetes instalados pendientes de actualizar. En caso de tener alguno, ejecutaremos el siguiente comando:

$ sudo yum update En entorno gráfico la aparición de una estrella anaranjada en el panel superior (figura 10.13) indica la existencia de actualizaciones pendientes. Pinchando sobre ella aparece una ventana (figura 10.14) que indica todo aquello que debemos actualizar. Para instalar las opciones marcadas, haremos clic en Instalar Actualizaciones.

10.12. Menú izquierdo de Webmin.

10.13. Estrella indicadora de actualizaciones pendientes de instalar.

10.14. Ventana Actualización de software.

Actividades propuestas 8�� Instala la aplicación de distribución libre GIMP en modo gráfico. 9�� Elige cualquier otra aplicación, averigua el nombre del paquete correspondiente e instálala desde la línea de comandos.

195


5 >> Comprobación de la conectividad entre clientes y servidores Una vez configurado el servidor Linux con los servicios y aplicaciones que va a ofrecer a los demás equipos de la red, es hora de comprobar si hay conectividad entre todos ellos. La conectividad entre el servidor y los equipos clientes tiene lugar desde varios niveles:

– A nivel de red: los equipos pueden encontrarse o no en la misma red TCP/IP. La prueba más sencilla es ejecutar el comando ping desde la línea de comandos de cualquier equipo. Por ejemplo, si nuestro servidor Linux tiene como dirección IP 192.168.20.100, abriremos una ventana de línea de comandos en cualquiera de los equipos de la red, independientemente del sistema operativo que tenga instalado, y escribiremos ping 192.168.20.100. Si obtenemos respuesta significa que hay conectividad. – A nivel de aplicación o de servicio: los equipos de la red pueden acceder a aplicaciones del servidor, como una página web servida desde el propio servidor, una base de datos instalada que está ejecutándose en el ser vidor, etc. La forma más sencilla es acceder a algún directorio del servidor. Por ejemplo, si tenemos instalado el servidor web Apache en nuestro servidor, abriremos una ventana del navegador y escribiremos el URL http://192.168.20.100 ; si accedemos a la página principal de Apache o a la página web que se haya configurado como inicial es que hemos accedido correctamente al servidor web. Otra opción posible es la conexión remota al servidor por parte de cualquiera de los equipos de la red. Esto resulta de bastante utilidad, sobre todo para los administradores, cuya tarea habitual es la de abrir sesiones remotas en los servidores con el fin de monitorizar su actividad. Quizá la primera idea que se le viene a la cabeza a un usuario cuando se habla de conectividad entre clientes y servidores es la imagen del famoso entorno de red de los sistemas Microsoft, en la que se ven tanto los equipos clientes de la red con Windows como los servidores. En caso de redes con Linux, la visibilidad entre equipos de la misma red se puede obtener siguiendo la ruta Lugares / Red. La visualización de redes mixtas (servidores y equipos clientes tanto Microsoft como Linux) la abordaremos más adelante, en la Unidad 14.

Observación yum es un potente comando que resuelve automáticamente las posibles dependencias existentes entre paquetes.

Actividades propuestas 10�� Instala el servidor Apache desde el entorno gráfico indicando los pasos que sigues. Comprueba que el resto de compañeros de clase puede acceder a tu servidor web. En caso contrario, intenta averiguar qué es lo que podría estar impidiendo el acceso.

196

Actividades finales .: CONSOLIDACIÓN :. 1�� En sistemas Linux, ¿qué es un paquete? ¿Qué formatos de empaquetado podemos encontrar? 2�� ¿Qué gestor de paquetes utiliza CentOS? 3�� Revisa las actualizaciones pendientes en tu sistema operativo, analízalas y realiza su instalación. 4�� Realiza un cuadro que incluya los tipos de paquetes, las distribuciones más importantes de Linux y algunos repositorios de interés.

5�� Busca en Internet los distintos comandos y gestores de paquetes existentes para gestionar los paquetes de Linux en función de su formato.

6�� ¿Hay alguna diferencia entre los gestores de paquetes RPM y YUM? 7�� ¿Qué pasos debes realizar para configurar IPv4 en tu equipo? 8�� ¿Qué pasos debes realizar para configurar IPv6 en tu equipo? 9�� ¿Por qué el día 8 de junio es el Día mundial de IPv6? ¿Qué sucede ese día? 10�� ¿Cómo se puede probar la conectividad cliente-servidor? 11�� Busca un nuevo repositorio de software y añádelo al archivo de fuentes de repositorio. 12�� Actualiza la base de datos de software disponible para que añada el nuevo repositorio. 13�� Realiza un esquema resumen con los archivos de configuración de la red más importantes. 14�� Busca en Internet un test online que permita verificar si tu equipo aceptará trabajar con IPv6 o no. Indica el resultado de dicho test.

.: APLICACIÓN :. 1�� El administrador de sistemas de la empresa Edu-Science S.L. se ha incorporado recientemente. En su anterior empresa estaba acostumbrado a trabajar con Debian y conoce a fondo su sistema de paquetería, sin embargo la actual empresa utiliza CentOS, que emplea un sistema de paquetería distinto. a) ¿Qué diferencias va a encontrar entre ambos sistemas de paquetería? b) ¿Qué ventajas ofrecen uno y otro? c) ¿Cuáles son los gestores de paquetes para Debian y CentOS? d) ¿Hay alguna forma de trabajar con la paquetería APT en CentOS? ¿Cómo?

2�� Como administrador de sistemas, pretendes reducir el tráfico de red evitando que todos los ordenadores se tengan que conectar a Internet para descargar actualizaciones de paquetes. En su lugar has pensando en crear un repositorio local en uno de los servidores de la empresa. Indica los pasos que debes realizar en el servidor para poder llevar a cabo esta tarea.

3�� Indica cómo prepararías los equipos de la empresa, los cuales tienen Linux instalado, para que accedieran al repositorio creado en el ejercicio anterior.

197


Caso final

1

Creación de nuevos repositorios �� La empresa Xmonday.es se dedica al desarrollo de aplicaciones para sistemas no propietarios. Sus usuarios trabajan normalmente con Linux, concretamente con la distribución CentOS. Últimamente están notando que la conexión a Internet va muy lenta, especialmente cuando coincide con actualizaciones de paquetes o del sistema operativo, lo que influye negativamente en el rendimiento del trabajo de otros usuarios que requieren una conexión fluida. El gerente de la empresa no tiene planificado ampliar ni modificar la infraestructura de comunicaciones a corto plazo. ¿Cómo se podría resolver el problema?

Solución �� Como administrador de sistemas de la red piensas que posiblemente la descarga de actualizaciones, tanto del sistema operativo como de las aplicaciones, es la causante del colapso de la conexión a Internet. Tras monitorizar el tráfico de la red durante un tiempo confirmas tu sospecha. Para solucionar el problema decides crear un repositorio local al que accedan los demás equipos a través de FTP. Así solo un equipo actualizaría y utilizaría la conexión a Internet (el servidor o repositorio centralizado llamado servmonday), mientras que el resto de ordenadores utilizaría dicho repositorio para realizar las actualizaciones necesarias. Los pasos que hay que seguir para crear este repositorio son los siguientes: – En el servidor: 1. Crea dos directorios, uno para los archivos de instalacion del sistema operativo, que podría ser /var/ftp/pub/sistema, y otro para las actualizaciones, por ejemplo /var/ftp/pub/actualiza. 2. Utiliza a continuación el comando createrepo para crear los repositorios sobre dichos directorios: $ sudo createrepo /var/ftp/pub/sistema $ sudo createrepo /var/ftp/pub/actualiza

3. Crea el archivo /etc/yum.repos.d/CentOS-Local.repo con el contenido de la figura 10.15. – En los equipos cliente: 1. Crear un archivo nuevo llamado CentOS-Local.repo dentro del directorio /etc/yum.repos.d con el contenido de la figura 10.16. 2. Actualiza la base de datos de software disponible.

10.15. Archivo /etc/yum.repos.d/CentOS-Local.repo del servidor.

10.16. Archivo /etc/yum.repos.d/CentOS-Local.repo del cliente.

198

Ideas clave

Configuración inicial del entorno del servidor

Configuración de la red en IPv4

Configuración de la red Configuración de la red en IPv6

TAREAS DE POSINSTALACIÓN EN LINUX

Gestión de repositorios

Instalación de paquetes. Actualizaciones

Comprobación de la conectividad entre clientes y servidores



El repositorio del kernel de Linux cambia de sitio Tras un reciente ataque al repositorio del kernel de Linux, presuntamente iniciado por un grupo popular de hackers, el repositorio oficial ha sido transferido de sitio temporalmente. Así lo afirmó Linus Torvalds, quien tomó la decisión de establecer un nuevo sitio con la nueva versión o candidato a kernel 3.1 de Linux. Todo parece indicar que un grupo de hackers se infiltró en Kernel.org, el repositorio oficial del kernel de Linux. Al percatarse de los hechos, el grupo a cargo del sitio estableció una rápida y precisa búsqueda para conocer las consecuencias visibles de la infiltración detectada. Una vez realizada la auditoría se procedió a contactar con las autoridades, tal y como comentó este grupo. Tras ser determinados los hechos, se tomaron medidas rápidas y, posiblemente, efectivas estableciendo un sitio alternativo para el repositorio oficial del kernel de Linux. Si se establece un sistema estable, el kernel 3.1 pasará a ser la versión final. El sitio temporal del kernel de Linux es GitHub, un portal libre de código, tal como GoogleCode o SourceForge, entre otros. Ahí se ha establecido el kernel oficial de manera temporal mientras se profundiza en la búsqueda del código malicioso en el sitio principal. De hecho, actualmente se están realizando análisis meticulosos del sitio en cuestión así como de su seguridad. Para descargar el kernel 3.1, la versión candidata, se puede revisar el portal alternativo oficial en GitHub.

Fuente: Tony, http://tecnoark.com, 7 de septiembre de 2011

Actividades 1�� ¿Qué consecuencias puede tener una infiltración de este tipo? 2�� ¿Crees que debería protegerse o controlar de alguna forma el acceso a los repositorios para que no pudiera realizarse con un simple FTP?

3�� ¿Se te ocurre alguna idea para evitar que sucedan este tipo de acciones?

u

n

i

d

a

d

11

Administración de usuarios y permisos en Linux SUMARIO 

Gestión de cuentas de usuario



Gestión de grupos



Gestión de permisos de archivos y directorios



Plantillas de creación de usuarios



Concesión de privilegios administrativos

OBJETIVOS ·· Saber cómo se administran los usuarios. ·· Saber cómo son los grupos en Linux. ·· Conocer la gestión de permisos en Linux. ·· Conocer la gestión de propietarios de archivos.

·· Analizar la utilización y concesión de privilegios administrativos.

201

Unidad 11 - Administración de usuarios y permisos en Linux

1 >> Gestión de usuarios Una de las responsabilidades del administrador de un servidor es gestionar a los usuarios. Esta labor consiste en lo siguiente: Dar de alta y de baja a los usuarios. Administrar las contraseñas de los usuarios. Configurar los usuarios. Administrar los archivos que se incluyen en el directorio inicial del usuario (plantilla de creación de usuario). – Gestionar los grupos y la pertenencia de los usuarios a los mismos.

– – – –

Recuerda El usuario administrador por defecto en todos los sistemas Linux es root. Por ser un usuario conocido con muchos privilegios, hay distribuciones que lo deshabilitan en la instalación como medida de seguridad.

Es recomendable trabajar con privilegios de administrador solo en los casos necesarios, ya que así se evita realizar operaciones potencialmente peligrosas. En Linux, la creación de usuarios se realiza con los comandos adduser, que se utiliza desde el inicio de los sistemas Unix, y useradd, que se incorpora con la suite Shadow. Esta suite está integrada en Linux desde sus orígenes y permite la gestión de usuarios a través de comandos de una manera más flexible. Es importante que conozcamos sus archivos de configuración y el significado de sus campos. Por otro lado, la gestión de contraseñas se realiza con el comando passwd. En este manual vamos a estudiar la gestión de usuarios mediante la línea de comandos, sin embargo esta tarea también puede realizarse en entorno gráfico y con la utilidad de interfaz web Webmin.

1.1 > Archivos de configuración de usuarios Los archivos de configuración de usuarios son los siguientes:

– /etc/passwd: es el archivo que contiene la información de los usuarios, salvo las contraseñas. Todos los usuarios tienen permisos de lectura sobre este archivo. – /etc/shadow: es el archivo de contraseñas. El administrador del sistema (root) es el único usuario con permisos de lectura y escritura sobre este archivo. Estos archivos están separados por motivos de seguridad.

Archivo /etc/passwd Este archivo contiene las cuentas de los usuarios y sus características. En él se encuentran tanto las cuentas de usuarios que pueden acceder al sistema como aquellas que son creadas para ser utilizadas por los diferentes servicios de Linux. Existen además las cuentas de las aplicaciones y de los demonios, que necesitan cuentas diferentes a las de los usuarios para poder ejecutarse, así como un entorno en el que dispongan de los suficientes privilegios, aunque sin utilizar cuentas de superusuario. Estas cuentas no permiten la conexión como usuario, sino que sirven para la ejecución del demonio que ofrece el servicio. Un ejemplo sería el usuario apache para la gestión del servidor web Apache.

Los demonios de Linux Un demonio es un proceso del sistema que se ejecuta en segundo plano y permanece en activo esperando una petición, siempre que el servicio esté arrancado. La palabra demonio viene del término daemon, que son las siglas de Disk and Execution Monitor.

202

11.1. Ejemplo de archivo /etc/passwd.

Como podemos ver en el ejemplo de la figura 11.1, cada línea contiene la información relativa a un usuario. Los diferentes campos van separados por «:» y son los siguientes: Login:Password:UID:GID:Descripción:Directorio_personal:Shell

– Login: nombre de la cuenta. Es el identificador de usuario con el que se accede al sistema. – Password: contraseña del usuario. Como Linux tiene siempre instalada la suite Shadow, en la contraseña aparece «x». – UID: número de identificador único del usuario. Los usuarios pueden cambiar muchos parámetros, incluso su nombre de usuario, pero nunca su UID. El número de usuario de la cuenta root es 0. Las cuentas creadas para aplicaciones y demonios de Linux son las que tienen los números más bajos y las cuentas de usuario empiezan a partir del número que se define con el parámetro UID_MIN que se encuentra en el archivo /etc/login.defs. – GID: número de identificador del grupo al que pertenece el usuario en el inicio de sesión. Este número es único para cada grupo. Varios usuarios pueden tener el mismo grupo como grupo de inicio y los datos del grupo aparecerán en el archivo /etc/group. Al crear una cuenta de usuario, si no se especifica lo contrario, se crea por defecto un nuevo grupo con el mismo nombre que el usuario. – Descripción: cadena que describe al usuario y que se muestra con el comando finger. Esta información es variada, pero sigue un determinado estándar. – Directorio personal: ruta absoluta al directorio de trabajo del usuario. – Shell: intérprete de comandos que ejecuta el usuario. Si el usuario tiene la información /sbin/nologin, no tiene permisos para conectarse al sistema, por lo que es un usuario creado para un servicio.

Archivo /etc/shadow

Atención

Este archivo almacena información sobre las contraseñas. Esta información incluye tanto las contraseñas cifradas correspondientes a las cuentas de /etc/passwd como los datos sobre el vencimiento de la contraseña y bloqueo de la cuenta. En este punto es necesario explicar dos conceptos:

El valor del vencimiento de cuenta no ha de ser muy bajo. De lo contrario, por ejemplo, si el usuario tiene una baja prolongada en la empresa o se ausenta el mes de vacaciones, su cuenta podría bloquearse y, cuando se reincorporara, necesitaría al administrador para poder acceder al sistema.

– Vencimiento de la contraseña: es el tiempo de vida de una contraseña desde su último cambio. Transcurrido este tiempo, Linux obliga al usuario a cambiar su contraseña, tras haberle o frecido durante algunos días la posibilidad de realizar ese cambio. – Bloqueo de cuenta: la cuenta de un usuario se bloquea (es decir, se impide el acceso a ella) si, pasado un tiempo tras su vencimiento, su contraseña no ha cambiado.

203


11.2. Ejemplo de archivo /etc/shadow.

Como podemos ver en el ejemplo de la figura 11.2, cada línea del archivo contiene la información relativa a un usuario. Los diferentes campos van separados por «:» y son los siguientes: Login:Contraseña:Ultmod:Min:Max:Aviso:Inactivo:Expira:

– Login: nombre de la cuenta. – Contraseña: puede contener: • Una contraseña cifrada. • «*»: indica que la cuenta tiene la clave deshabilitada. • «!»: indica que la cuenta está bloqueada y no puede usarse.

– Ultmod: tiempo que ha transcurrido desde el último cambio de la c lave. – Min: número de días que transcurren desde que la contraseña se cambia hasta que puede volver a ser modificada por el usuario. – Max: vencimiento de la contraseña. Es el número máximo de días que pueden pasar desde el último cambio de contraseña hasta que el sistema obligue al usuario a cambiarla de nuevo. – Aviso: número de días previos al vencimiento de la contraseña (Max) en los que se le sugiere al usuario que la cambie dada su próxima expiración. – Inactivo: número de días que transcurren entre el vencimiento de la contraseña y el bloqueo de la cuenta. Si estos días expiran, el usuario pasará a no estar activo y a no tener acceso al sistema. – Expira: fecha en la que la cuenta se deshabilita.

1.2 > Gestión de usuarios con la suite Shadow La suite Shadow es un conjunto de comandos y herramientas, muy popularizadas en entornos Unix, que permiten mejorar la seguridad en la gestión de los usuarios y ocultar las contraseñas. La siguiente tabla muestra algunos de los comandos incluidos en esta suite:

Principales comandos de la suite Shadow para gestionar usuarios

Cambio a otro usuario En Linux, mediante el comando su, se puede cambiar de usuario dentro de la misma consola de comandos. Si no se especifica ningún usuario, el comando realiza el cambio a root. Por supuesto, el comando solicita la contraseña del usuario al que se desea cambiar. Con el comando exit se vuelve al usuario anterior.

Comando

Función

useradd

Crear un usuario

userdel

Eliminar un usuario

usermod

Modificar la información del usuario

Los administradores suelen disponer de un usuario para realizar el trabajo habitual y cambiar al usuario root para realizar tareas administrativas:

chsh

Modificar la shell asignada

$ su

chfn

Cambiar la información de usuario que muestra el comando finger

id

Mostrar el UID del usuario y la información asociada

ghage

Modificar la información sobre la caducidad de la contraseña de los usuarios

Para llevar a cabo este cambio se les solicita la contraseña del usuario root. Y, una vez han realizado las tareas administrativas pertinentes, vuelven al usuario anterior: # exit

204

2 >> Gestión de grupos Los grupos permiten a los administradores conceder permisos a un conjunto de usuarios simultáneamente. En Linux un usuario solo puede pertenecer a un grupo en un determinado momento. El grupo al que pertenece cuando se conecta al sistema es el que aparece en el archivo /etc/passwd (campo GID), pero, a lo largo de su conexión, puede cambiar a otro grupo para tener otros permisos. Esto se realiza con el comando newgrp de la suite Shadow, como vemos en este ejemplo:

$ sudo newgrp grupo1

2.1 > Archivo de configuración de grupos El archivo /etc/group se utiliza para gestionar los grupos y la relación de los usuarios que pueden cambiarse a cada grupo. Cada línea identifica un grupo diferente y los campos están separados por «:» (figura 11.3): Nombre del grupo:Contraseña:GID:Lista de usuarios

11.3. Ejemplo de archivo /etc/group.

– Nombre del grupo: nombre que se le asigna al grupo. – Contraseña: clave necesaria para ejecutar el comando newgrp y que permite al usuario cambiar de grupo, siempre y cuando sea uno de los usuarios asignados a ese grupo. Cada grupo posee una contraseña. Si el campo está vacío, no se pide clave, y si aparece una «x», la contraseña aparece cifrada en el archivo /etc/gshadow. Sin embargo, rara vez se utilizan contraseñas para acceder a los grupos. – GID: número de identificador único del grupo. – Lista de usuarios: usuarios que pertenecen a un grupo. La lista contiene los nombres de los usuarios separados por comas.

2.2 > Gestión de grupos con la suite Shadow Los comandos que la suite Shadow emplea para gestionar grupos son:

Principales comandos de la suite Shadow para gestionar grupos Comando

Función

groupadd

Añadir un nuevo grupo

groupdel

Eliminar un grupo

groupmod

Modificar la información de los grupos

gpasswd

Asignar o cambia la clave de un grupo

Actividades propuestas 1�� Crea un grupo llamado grupo1 con Webmin. 2�� Crea un grupo llamado grupo2 en el entorno gráfico. 3�� Crea un grupo llamado grupo3 y comprueba a continuación en /etc/group que el grupo se ha creado. 4�� Elimina el grupo3 y después comprueba en el archivo que se ha eliminado.

205


3 >> Gestión de permisos de archivos y directorios 3.1 > Permisos sobre los archivos En Unix y Linux existen tres tipos de operaciones que se pueden realizar sobre un archivo:

– Lectura del archivo: permite leer su contenido. Se expresa mediante la letra «r» (read). – Escritura del archivo: permite la modificación del contenido del archivo. Se expresa con la letra «w» (write). – Ejecución del archivo: permite ejecutar el archivo. Se representa mediante la letra «x» (execute). Estos permisos se asignan a tres tipos de usuarios; si bien, a cada uno de ellos se le puede asignar todos o solo alguno de los permisos:

– Usuario principal o usuario propietario del archivo: es el usuario al que se le ha concedido la propiedad del archivo. Este es por defecto el usuario que ha creado el archivo y mantiene su propiedad a no ser que esta cambie explícitamente. – Grupo: es el grupo propietario del archivo. Este es, por defecto, el grupo al que pertenecía el creador del archivo en el momento en que se creó, pero puede modificarse. – Otros: son los usuarios que no son propietarios ni pertenecen al grupo propietario de ese archivo. Si observamos las propiedades de un archivo, podemos conocer sus permisos y a sus propietarios:

$ ls –l - rwxr-x--x 1 usuario1 grupo1 4096 sep 26 19:01 program1.sh Tras el primer carácter de los atributos, aparecen nueve caracteres en los que se combinan las letras antes mencionadas y guiones (figura 11.4):

– Los tres primeros caracteres hacen referencia a los permisos del propietario. El propietario de este archivo es el tercer campo, usuario1. Por lo tanto, en nuestro ejemplo el propietario tiene permisos de lectura, escritura y ejecución sobre el archivo program1.sh. – Los tres siguientes caracteres hacen referencia a los permisos que tiene el grupo de usuarios especificado en el cuarto campo: grupo1. En nuestro ejemplo, todo usuario perteneciente al grupo1 tendrá permisos de lectura y ejecución sobre el archivo, pero no podrá modificarlo. – Los tres últimos caracteres hacen referencia a los permisos que otros usuarios tienen sobre ese archivo. En el ejemplo, cualquier otro usuario tiene permiso de ejecución sobre el archivo, pero no de lectura ni de escritura.

rwxrwxrwx

Propietario

Otros Grupo

11.4. Permisos correspondientes a cada usuario.

206

3.2 > Permisos sobre los directorios Cruzar un directorio Cruzar un directorio es poder acceder a él y poder pasar por él para llegar a un subdirectorio sobre el que se tenga permisos de acceso. Un problema habitual es que teniendo permisos para acceder a un directorio, no podemos entrar en él porque no disponemos de permiso de ejecución sobre algún directorio padre.

En los directorios se emplean los mismos grupos de caracteres que expresan los permisos, pero las operaciones asociadas con cada uno de los permisos tienen un significado diferente:

– «r»: indica que se puede consultar cuáles son los archivos que pertenecen al directorio. Permite, por tanto, ejecutar sobre el directorio el comando ls. – «w»: indica que el usuario tiene permisos para crear y borrar archivos y directorios dentro del directorio. – «x»: indica la posibilidad de cruzar el directorio y ejecutar comandos que le soliciten información, tales como ls con parámetros que soliciten atributos.

3.3 > Modificación de los permisos de los usuarios En Linux, tan solo el propietario o el administrador del sistema pueden modificar los permisos de los archivos y los directorios. El comando encargado de gestionar los permisos de los usuarios es chmod. Su utilización genérica es esta:

chmod permisos archivo(s) Los permisos pueden asignarse de modo relativo o absoluto.

Modo relativo Para asignar permisos de modo relativo se utilizan las letras de los permisos que se quieren añadir, quitar o establecer. Mediante este modo también se especifica sobre qué tipos de usuarios se quiere hacer la operación. La ventaja de este modo es que resulta más rápido e intuitivo añadir o quitar algún permiso en particular. Su funcionamiento es el siguiente: 1. Se indica en primer lugar a qué tipo de usuario se le va a cambiar el permiso: «u» designa al propietario, «g» al grupo y «o» al resto de usuarios (modelo de permisos UGO). Además puede utilizarse la letra «a» como comodín que designa los tres tipos de usuarios. 2. Se añaden los signos + o –, que indican si se añaden o se eliminan los permisos. Además el signo = indica que s e establece ese permiso. 3. Se escribe el permiso o los permisos que se van a cambiar. En el siguiente ejemplo se le añaden al propietario los permisos de lectura y escritura sobre el archivo1:

$ sudo chmod u+rw archivo1 En este otro ejemplo se les quita el permiso de ejecución al resto de usuarios:

$ sudo chmod o-x archivo1 Junto al comando chmod se puede utilizar la opción –r, que permite el cambio de permisos de forma recursiva para los archivos existentes en un directorio y en todos sus subdirectorios. Si se asignan los permisos de este modo es necesario tener cuidado, ya que es posible encontrarse con permisos no deseados sobre determinados archivos o directorios que pueden provocar fallos en la seguridad del sistema.

207


Modo absoluto La asignación de permisos de modo absoluto es útil para cambiar muchos permisos, ya que se determinan todos los permisos al mismo tiempo, independientemente de los que los archivos tuvieran anteriormente. Este modo consiste en utilizar valores numéricos de tres cifras en octal. Cada cifra corresponde a los permisos de un tipo de usuario: la primera a los del propietario, la segunda a los del grupo y la tercera a los de los otros. Además, cada cifra octal representa tres bits que se corresponden, de izquierda a derecha, con los permisos de lectura, escritura y ejecución, donde 1 indica que se tiene permiso y 0 que no. El siguiente ejemplo de comando asigna todos los permisos sobre archivo1 a todos los usuarios:

$ sudo chmod 777 archivo1 Este otro ejemplo asigna al usuario principal to dos los permisos, al grupo solo los permisos de ejecución y a los otros ningún permiso:

$ sudo chmod 710 archivo1

3.4 > Cambio de propietario y de grupo de un archivo Dos de los atributos de un archivo son su propietario y su grupo. Estos atributos pueden cambiarse mediante dos comandos:

– chown: permite cambiar el propietario del archivo o directorio, así como el grupo. Su utilización genérica es la si guiente:

chown archivo nuevo_propietario – chgrp: permite cambiar el grupo al que pertenece un archivo. Su utilización genérica es esta:

Tres permisos especiales Existen tres permisos especiales que se pueden utilizar en Linux: – Bit SetUID (S): se usa para que un usuario ejecute un archivo con los permisos del propietario del archivo. – Bit SetGID (G): se usa para que un usuario ejecute un archivo con los permisos del grupo propietario del archivo. – Bit sticky (T): se usa en los directorios para permitir, únicamente a los propietarios de los archivos contenidos en el directorio, renombrarlos o borrarlos. Para asignar estos permisos se utiliza un número octal que se sitúa antes de los tres números que usan las asignaciones en modo absoluto. Por ejemplo, para asignar el bit SetUID el comando sería este: $ sudo chmod 4750 /etc/passwd

Cambio de grupo con chown Se puede cambiar el grupo al que pertenece un archivo utilizando chown de la siguiente forma:

chgrp archivo nuevo_grupo

chown –g archivo nuevo_grupo

Casos prácticos

1

Asignación de permisos a un archivo �� Quieres asignar, sobre el archivo1, permisos de lectura, escritura y ejecución para el propietario, lectura y ejecución para el grupo y ejecución para el resto de usuarios. ¿Qué línea de comandos debes ejecutar?

Solución �� Primero se debe traducir a un valor binario los permisos que se van a asignar: – Al propietario, los tres permisos (rwx): los tres primeros bits han de ser 1, es decir 111 (7 en octal). – Al grupo, los permisos de lectura y ejecución, pero no el de escritura (r-x): esto en bits se traduce como 101 (5 en octal). – Al resto de usuarios, permisos de ejecución, pero no de lectura ni de escritura (--x): los bits serán 001 (1 en octal). Por tanto, el número en octal que debe introducir en el comando chmod es 751: $ sudo chmod 751 archivo1

208

3.5 > Máscara La máscara es un parámetro del servidor que define los permisos que se asignan por defecto, tanto a los archivos como a los directorios, en el momento de su creación. En el sistema se establece una única máscara formada por tres dígitos en octal que puede cambiarse mediante el comando umask. Para calcular los permisos que se asignan por defecto a los archivos y directorios debemos realizar una operación. Partimos del valor máximo que pueden tener los permisos por defecto; en el caso de un directorio es 777 y en el de un archivo 666 (no tiene activo el bit de ejecución). Pasamos ambos valores (máscara y valor máximo) a binario. Después, en el valor máximo ponemos a 0 los bits que la máscara tiene a 1, y los bits que quedan a 1 son los permisos que se asignarán por defecto a los archivos o los directorios. Si queremos calcular la máscara apropiada para el sistema, seguiremos estos pasos: 1. Vemos los permisos que se les pretende dar por defecto a l os archivos y a los directorios. 2. Comprobamos que a los archivos no se les quiere dar permisos de ejecución y que los permisos de lectura y escritura que se les quiere dar a los archivos y a los directorios son los mismos. 3. Partimos de la máscara como un número binario de nueve ceros. 4. Vemos qué permisos debemos eliminar para obtener los que hemos definido para los directorios y ponemos un 1 en la cifra correspondiente de la máscara. 5. Pasamos a octal el número de máscara que hemos obtenido.

Casos prácticos Cálculo de los permisos por defecto de los archivos y directorios (máscara) �� Partiendo de una máscara 023, se quiere saber los permisos que tendrán por defecto los archivos y directorios del sistema.

Solución �� Partiendo del valor máximo para los directorios, 777, y para los archivos, 666: Pasa ambos valores (máscara y permisos máximos) a binario: – Permiso máximo de directorios: 777 → 111111111 – Permiso máximo de archivos: 666 → 110110110 – Máscara: 023 → 000010011 Quita los bits de la máscara y transfórmalos en permisos: – Para directorios: 111111111 pasa a 000010011 → 111101100 → rwxr-xr-– Para archivos: 110110110 pasa a 000010011 → 110100100 → rw-r--r-Puedes observar que, si en la máscara hay un 1, el resultado será siempre un 0, y si en la máscara hay un 0, este no modificará el valor de partida.

2

209


3.6 > Listas de control de acceso Las ACL (Access Control Lists) o listas de control de acceso constituyen un sistema avanzado de permisos de acceso a los archivos. Se pueden aplicar a los sistemas de archivos ext3 exportados por NFS y a los accedidos por Samba. Para implementar ACL se necesita el paquete ACL. Existen dos tipos de listas de control de acceso:

– ACL de acceso: aquellas que se dan a un archivo o directorio. – ACL por defecto: aquellas usadas por todos los archivos de un directorio que no tienen ACL de acceso definida. Se definen para lo s directorios. Las ACL se pueden configurar:

– – – –

Por usuario. Por grupo. Por la máscara de derechos efectivos. Para los otros, que no son los usuarios del grupo propietario ni el propietario.

El comando con el que se gestionan las ACL es setfacl y en la asignación de permisos a archivos con ACL se emplea la misma nomenclatura que en el modo relativo («r» es lectura, «w» es escritura y «x» es ejecución). A continuación se explican las operaciones más importantes.

Consultar la información de una ACL Para consultar la información de una ACL se utiliza la siguiente línea de comandos:

getfacl archivo El modo de consultar, por ejemplo, la ACL del archivo1 sería:

$ sudo getfacl archivo1 # file:archivo1 # owner:rafa # group:rafa user::rwuser:rafaperezm:rwgroup::r- group:users:rwmask::rwother::r- -

Dennis Ritchie

Modificar una ACL Para modificar las ACL se utiliza la siguiente línea de comando:

setfacl - reglas archivos La línea de comando que asigna, por ejemplo, los permisos de lectura y escritura del usuario rafaperezm sobre el archivo1 es esta:

$ sudo setfacl –m u:rafaperezm:rw archivo1 Aquellos archivos que tengan permisos con ACL tendrán un signo + al final de sus permisos.

Dennis Ritchie (1941-2011) colaboró en el diseño y desarrollo de Multics y Unix, así como en el del lenguaje de programación C. En 1983 fue galardonado con el premio Turing (premio de informática equivalente al Nobel) y en 1998 recibió la Medalla Nacional de la Tecnología de Estados Unidos. Falleció el 12 de octubre de 2011, un día después que Steve Jobs. ¿Alguien lo recordó?

210

Añadir una ACL por defecto

Máscara de derechos efectivos La máscara de derechos efectivos es la unión de los permisos del grupo propietario y de todas las entradas de usuario y grupo.

Las ACL que se añaden por defecto proporcionan el conjunto de permisos que queremos que se apliquen automáticamente a los nuevos archivos y directorios que se crean dentro de un directorio dado. Para añadir una ACL por defecto se utiliza la opción -d con el comando setfacl. Por ejemplo, la línea de comandos que se utilizaría para añadir una ACL por defecto al directorio /usr/local/bin y a los usuarios del grupo grupo1 adjudicándoles permiso de ejecución sería:

$ sudo setfacl -d –m g:grupo1:x /usr/local/bin/

Actividades propuestas 5�� Realiza las siguientes tareas: a) En modo relativo, adjudica todos los permisos a todos los tipos de usuarios sobre el directorio personal de usuario5, es decir, sobre /home/usuario5. b) Copia el siguiente script en un archivo llamado script1 del directorio personal del usuario5: # !/bin/bash echo "Hola mundo"

c) Asigna al propietario con el modo relativo permisos de le ctura, escritura y ejecución sobre script1. d) Asigna al grupo con el modo relativo permisos de lectura y ejecución sobre el archivo. e) Elimina con el modo relativo todos los permisos sobre script1 del resto de usuarios. f) Asigna a los tres tipos de usuario todos los permisos sobre el directorio personal de usuario1 mediante el modo absoluto. g) Asigna al propietario permisos de lectura, escritura y ejecución sobre script1. A continuación asigna permisos de lectura al grupo y ningún permiso a los otros. Realiza todo ello mediante el modo absoluto.

6�� Realiza las siguientes tareas: a) Comprueba quién es el propietario de script1 y su grupo. b) Cambia el propietario de script1 a usuario2. c) Cambia el grupo de script1 a usuario3. d) Cambia el propietario de todos los archivos contenidos en el directorio /home/usuario5 y de sus subdirectorios a usuario3.

7�� Cambia la máscara para que los directorios que se creen a partir de este momento tengan por defecto permisos de lectura, escritura y ejecución para el propietario, lectura y ejecución para el grupo y lectura para el resto.

8�� Cambia la máscara para que los archivos (excepto los directorios) que se creen a partir de este momento tengan, por defecto, permisos de lectura y escritura para el propietario, lectura para el grupo y ninguno para los otros.

9�� Realiza las siguientes tareas: a) Establece la ACL de lectura y escritura sobre un archivo de tu elección para e l usuario3. b) Obtén la lista de ACL de este archivo. c) Elimina la ACL creada sobre este archivo.

10�� Establece la ACL de acceso sobre un directorio de tu elección con permisos de lectura, escritura y ejecución para el usuario4. Luego, conectado como usuario4, crea un archivo dentro de él.

211


4 >> Creación de plantillas de usuarios Las plantillas permiten ahorrar tiempo en la creación de usuarios cuando su número aumenta. Son como moldes que poseen la configuración básica para crear a partir de ellos el resto de usuarios. La creación de plantillas de usuarios en Linux se basa en la utilización de:

– Archivos que se copian en la creación de un usuario para configurar su entorno personal. Estos archivos se configuran en el directorio /etc/skel/ . – Parámetros que se dan por defecto a los usuarios en su creación. Es decir, nosotros podemos especificar en la creación los parámetros de los usuarios, pero si no lo hiciéramos estos serían tomados del archivo /etc/login.defs. En él hay parámetros para la gestión de contraseñas, registros de control, reintentos permitidos en el login y archivos de mensajes de bienvenida, entre otros. Cuando se crea un usuario, el sistema realiza lo siguiente: 1. Copia los archivos que se encuentran en el directorio /etc/skel en el directorio de inicio del nuevo usuario. 2. Establece al usuario y al grupo del usuario que se está creando como propietario y grupo de estos archivos copiados. Gracias a esto, cuando creamos los usuarios podemos controlar la apariencia de su escritorio, sus variables de entorno, sus alias y muchos otros parámetros de su entorno. Los pasos que se deben seguir para crear muchos usuarios y que estos tengan una configuración predeterminada son los siguientes: 1. Crear un usuario prototipo. 2. Acceder al usuario y configurar el escritorio tal como queremos que lo tengan todos los usuarios nuevos. 3. Crear las variables de entorno que queramos en el archivo .bash_profile. Este es el archivo del perfil del usuario y en él se ejecuta un guión de configuración de la cuenta de usuario cada vez que este se conecta. Así mismo, en el archivo de configuración .bashrc podemos crear los alias que queramos que tengan los usuarios. 4. Regresar al administrador y copiar en el directorio /etc/skel/ los archivos que se encuentran en el directorio personal del usuario prototipo. Muchos de los archivos y directorios de configuración son ocultos, por lo que deberemos copiarlos uno a uno. 5. Cambiar el usuario y el grupo propietarios de los archivos copiados al usuario root y grupo root . A cada nuevo usuario que creemos a partir de ahora se le dará la misma configuración que tenía el original.

Recuerda

De este modo el archivo de configuración .bash_profile se copia de /etc/skel de forma automática en el directorio de trabajo de los usuarios nuevos cuando estos se dan de alta. Desde ese momento el usuario puede modificarlo incluyendo variables de entorno. Este archivo se ejecuta cuando un usuario se conecta al sistema.

Un alias es un comando usado habitualmente que se crea a partir de otros comandos existentes.

El archivo .bashrc es el que se encarga de determinar el comportamiento del intérprete de comandos. En él se definen los alias.

Cada vez que ejecutemos el comando lsa se ejecutará ls –la.

Por ejemplo: $ alias lsa="ls –la"

212

Casos prácticos

3

Creación de una plantilla de usuarios �� Los usuarios que creemos a partir de ahora han de tener las siguientes características: – La variable PATH ha de incluir la ruta a un directorio dentro del directorio personal de los usuarios, que contienen una serie de ejecutables. Este directorio se llama scripts y contiene varios scripts de utilidades creadas para los usuarios, los cuales serán modificados por ellos. Los usuarios además podrán crear los suyos personalizados. – Deberán llevar creada una orden llamada copiaseg que realiza una copia de seguridad de sus archivos: alias copiaseg="find / -user $LOGNAME –exec cp {} /copiaseg/$LOGNAME/"

– Tendrán en el escritorio el mismo tema, los mismos iconos, el mismo panel, la misma imagen de tapiz y la misma configuración que Nautilus. – La vigencia máxima de su contraseña será de un año y la mínima de 5 días. El sistema advertirá que se debe cambiar la contraseña 30 días antes de su expiración. – La longitud mínima de la contraseña será de 8 caracteres.

Solución �� Para crear la plantilla de usuario solicitada debes seguir estos pasos: 1. Crea un usuario de pruebas y conéctate al sistema con él. 2. Añade al final del archivo .bash_profile lo siguiente: PATH=$PATH:$HOME/scripts/

3. Añade al final del archivo .bashrc lo siguiente: alias copiaseg="find / -user $LOGNAME –exec cp {} /copiaseg/$LOGNAME/"

4. Configura en el escritorio del usuario de pruebas el tema, los iconos, el panel, la imagen de tapiz y el explorador de archivos de Nautilus. 5. Cambia al usuario administrador y copia en el directorio /etc/skel todos los archivos de este usuario. No olvides copiar también los archivos ocultos (aquellos que comienzan por un punto). $ sudo cp –R /home/usuarioprueba/* /etc/skel/

Debemos copiar los archivos y directorios uno a uno, y luego cambiarles el propietario a root: $ sudo chown root:root /etc/skel/*

6. En el archivo /etc/login.defs, cambia los siguientes parámetros: #Vigencia máxima, mínima y días de aviso antes de la expiración de la contraseña PASS_MAX_DAYS 365 PASS_MIN_DAYS 5 PASS_WARN_AGE 30 #Longitud minima de la contraseña PASS_MIN_LEN 8

Actividades propuestas 11�� En el archivo .bash_profile modifica la variable PS1 poniéndola con >, la variable PS2 poniendo el shell actualmente activo, la variable PATH añadiendo . dentro del path y añadiendo la variable YO que contenga tu nombre de usuario.

213


5 >> Concesión de privilegios administrativos En Linux se puede conceder a determinados usuarios la posibilidad de ejecutar comandos administrativos. Para ello Linux dispone del comando sudo, que permite a los usuarios elegidos ejecutar determinados comandos como si fuesen root. Esta es la sintaxis:

sudo comando A continuación del comando, el sistema pide la contraseña del usuario que ejecuta el comando y, si es correcta, la orden se ejecutará. Si no, el comando denegará el acceso y registrará este intento. Pero para poder ejecutar estas tareas, el administrador previamente tiene que habernos concedido este privilegio. La concesión se realiza a través del archivo /etc/sudoers, que permite determinar qué usuarios pueden utilizar sudo y con qué comandos pueden visualizarlo. Las modificaciones sobre este archivo se hacen con la herramienta visudo. El archivo /etc/sudoers está dividido en estas secciones:

Ken Thompson

– Definiciones de alias:

Ken Thompson (1943) participó en el desarrollo de Multics. Junto a Dennis Ritchie, creó en 1969 el sistema operativo Unix. El lenguaje de expresiones regulares que utilizamos hoy en día también fue creado por él y trabajó además en el desarrollo del sistema de tuberías de los sistemas operativos y en el servidor PDP-11. Diseñó junto a Rob Pike el sistema de codificación UTF-8. En 1983 fue galardonado con el premio Turing y en 1998 con la Medalla Nacional de la Tecnología de Estados Unidos. Ha trabajado para los laboratorios Bell y también para Google.

• Alias de comandos que pueden ejecutar los usuarios de sudo. • Alias de los hosts. • Alias de los usuarios.

– Ajuste de opciones por defecto. – Reglas de acceso: especifica qué usuarios, y desde qué máquinas, pueden ejecutar determinados comandos. Esta es la única sección obligatoria.

5.1 > Gestión de alias Para gestionar de forma flexible los elementos (usuarios, comandos o equipos) en el archivo /etc/sudoers surge el concepto de alias. El alias agrupa bajo un solo nombre una serie de elementos que después, en la parte de definición de reglas, serán referenciados. La manera de crear un alias es la siguiente: tipo_alias NOMBRE_DEL_ALIAS = elemento1, elemento2,..., elementoN tipo_alias NOMBRE1=elemento1, elemento2:NOMBRE2= elemento1, elemento2 Los tipo_alias definen el tipo de elemento que contiene, que puede ser:

– Cmnd_Alias: define alias de comandos. Se debe especificar la ruta absoluta de los comandos. Por ejemplo:

Cmnd_Alias IF_RED = /sbin/ifup, /sbin/ifdown – User_Alias: define alias de usuarios normales. Por ejemplo:

User_Alias ADMINS = amparo, juanpa – Runas_Alias: define alias de usuarios administradores o con privilegios. – Host_Alias: define alias de hosts o equipos desde donde se pueden ejecutar comandos administrativos en el servidor. Los equipos pueden indicarse por su nombre, por su dirección IP o por su dirección IP con máscara de red. Por ejemplo:

Host_Alias MIEMPRESA = 171.116.0.0/16

214

Las opciones por defecto permiten definir ciertas características de comportamiento con un gran nivel de detalle en su configuración. Esta configuración puede establecerse en cuatro niveles de utilización:

– De manera global (afecta a todos): por ejemplo Global: Defaults opcion1, opcion2... – Por usuario: por ejemplo Defaults: usuario opcion1, opcion2... – Por usuario privilegiado: por ejemplo Defaults>usuario opcion1, opcion2... – Por equipo: por ejemplo Defaults@equipo opcion1, opcion2... Las reglas de acceso son la parte fundamental del archivo /etc/sudoers, ya que conceden los permisos administrativos y el resto del archivo se define en función de ellas. Podríamos no configurar las opciones y los alias, pero no las reglas de acceso, ya que estas definen los usuarios que pueden ejecutar un conjunto de comandos administrativos y desde qué equipos pueden hacerlo. Su sintaxis básica es la siguiente: usuario host=[(usuario_privilegiado)] comando1, comando2,... comandoN

– Usuario: puede ser un usuario, un alias de usuario o un grupo (el grupo vendrá indicado por %). – Host: puede ser ALL (indica desde cualquier equipo), un solo equipo, un alias de equipos, una dirección IP o una definición de red IP/máscara. – Comandox: es cualquier comando indicado con su ruta completa o un alias. Puede ser ALL para todos los comandos. Es bastante habitual asignar a un usuario todo ti po de comandos administrativos ejecutables desde cualquier máquina lo que se realiza con una línea como esta:

ALL=(ALL) ALL usuario

Casos prácticos

4

Concesión de privilegios administrativos del servidor �� El banco Xestbank dispone de un servidor de intranet CentOS. Realiza una delegación de permisos administrativos a determinados usuarios con los siguientes requisitos: – Que los usuarios rafa y amparo puedan apagar el servidor y reiniciarlo. – Que los usuarios borja y andrea sean los administradores. Debes permitirles realizar cualquier operación de administración en el servidor desde cualquier equipo. – Definir como administradores de red a los usuarios casandra y amparo, que deberán poder realizar operaciones de red con los comandos ifconfig, ping, iwconfig e iptables, ejecutar los comandos de red y de contraseña, acceder a los archivos de configuración de Apache y reiniciar los servidores desde los equipos de la red interna. – Definir a angel y kelly como webmasters. Estos se conectarán para realizar operaciones de webmaster desde los equipos con IP 10.0.1.100 y 10.0.1.101. Para gestionar el servidor web Apache deben poder ejecutar el comando apachectl y arrancar y parar apache2. – Que los administradores de red también tengan permisos para poder actuar como webmasters en caso de necesidad. El banco dispone además de una red interna que accede al servidor 10.0.1.0/24.


215

4 Solución �� En la línea de comandos, ejecuta visudo para editar el archivo /etc/sudoers, donde debes escribir las siguientes líneas: – La máscara de la red se puede expresar con notación CIDR (/24) o como máscara 255.255.255.0: Host_Alias LANS = 10.0.1.0/24

– Define un alias para las LANS que tienen acceso al servidor de modo que quede restringida la conexión a ellas desde otra IP diferente con fines administrativos: Host_Alias WEBMASTERHOSTS = 10.0.1.100, 10.0.1.101

– Define un alias para cada agrupación de usuarios con idénticos privilegios: User_Alias User_Alias User_Alias User_Alias

ADMIN = borja, andrea USR_RED = casandra, amparo USR_APAGAR = rafa, amparo USR_WEB = angel, kelly, USR_RED

– Agrupa los comandos de la administración del servidor web. Estos son los comandos apachectl y apache2. Además deben poder editarse los archivos de administración de Apache que se encuentran en /etc/httpd/: Cmnd_Alias WEB = /usr/sbin/apachectl, /usr/sbin/httpd, sudoedit /etc/httpd/*, /etc/init.d/httpd

– Crea un alias para el comando que permite apagar o reiniciar el servidor: Cmnd_Alias APAGAR = /sbin/shutdown -h now, /sbin/reboot

– Agrupa en un alias los comandos de configuración de red, configuración del cortafuegos y todos los previamente definidos de administración web: Cmnd_Alias ADMIN_RED = /sbin/ifconfig, /sbin/iptables, /bin/ping, /sbin/iwconfig, CMND_WEB

– Los usuarios USR_RED deben poder ejecutar desde cualquier equipo comandos de administración de red: USR_RED LANS = ADMIN_RED

– Los usuarios del alias ADMIN pueden ejecutar cualquier tipo de comandos administrativos desde cualquier máquina: ADMIN ALL = (ALL) ALL

– Los usuarios USR_WEB pueden ejecutar comandos de administración web desde los equipos webmasterhosts: USR_WEB WEBMASTERHOSTS = WEB

– Los usuarios USR_APAGAR pueden apagar y reiniciar el servidor web desde cualquier equipo: USR_APAGAR ALL = (ALL) APAGAR

Actividades propuestas 12�� Concede a un usuario de tu sistema privilegios para ejecutar cualquier tipo de comando administrativo. A continuación comprueba que este usuario puede apagar el sistema.

13�� Modifica la configuración de la actividad anterior y concede únicamente a ese usuario la capacidad de cambiar las contraseñas de otros usuarios y de crear nuevos usuarios. Realiza la configuración mediante el uso de alias. Luego comprueba que puede hacer estas operaciones administrativas, pero no otras.

216

Actividades finales .: CONSOLIDACIÓN :. 1�� Cita las principales tareas del administrador en cuanto a la gestión y configuración de usuarios. 2�� ¿Por qué no es conveniente utilizar una cuenta con privilegios administrativos para realizar tareas que no sean administrativas?

3�� ¿Cuáles son los archivos que sirven de base de datos para los parámetros de las cuentas de los usuarios y de sus contraseñas?

4�� ¿Qué sentido tiene que el administrador root pueda cambiar a otro usuario sin necesidad de utilizar contraseña? ¿No constituye esto un problema de seguridad?

5�� Realiza una comparación de las diferencias que existen entre los s istemas de pertenencia a grupos en Linux y en Windows.

6�� ¿Qué ventajas aportan las ACL con respecto al sistema ugo (usuario-grupo-otros) de asignación de permisos? 7�� ¿Qué beneficios puede tener que la creación de los usuarios en Linux esté personalizada en función de las necesidades de la empresa mediante la utilización de plantillas?

8�� Explica por qué puede ser interesante en una empresa delegar permisos administrativos en otros usuarios. .: APLICACIÓN :. 1�� Crea un usuario llamado usuario1 y realiza las siguientes tareas: a) Accede al archivo /etc/passwd e interpreta los campos que contiene la línea donde aparece usuario1. b) Interpreta los campos de un usuario con un número de UID menor que 500.

2�� Crea el usuario2 con directorio personal /home/usu2 cuya contraseña caduque en 100 días, que no pueda volver a cambiarla en menos de 10 días y que reciba el aviso para cambiarla durante 2 días.

3�� Cambia el grupo de inicio de usuario4 para que su grupo sea grupo1. 4�� Asigna a todos los usuarios permisos de lectura y escritura sobre un archivo mediante el modo relativo. 5�� Concede en el directorio personal de usuario4 permisos de lectura, escritura y ejecución para el propietario, de lectura y ejecución para el grupo y de lectura para los otros, todo ello en modo absoluto.

6�� Comprueba qué máscara presenta por defecto tu máquina. 7�� Cambia la máscara para que, por un lado, los archivos que se creen a partir de ahora tengan por defecto permisos de lectura y escritura para el propietario, de lectura para el grupo y ninguno para los otros y, por otro lado, para que los directorios tengan permisos de lectura, escritura y ejecución para el propietario, lectura y ejecución para el grupo y ninguno para los otros.

8�� Elimina el permiso de escritura de todos los grupos y todos los usuarios empleando la máscara de derechos efectivos sobre el archivo1.doc.

9�� Crea un directorio llamado dir1. Asigna al grupo2 un permiso de lectura por defecto usando ACL sobre el directorio dir1.

10�� Cambia el propietario de un directorio a otro usuario de tu elección. 11�� Asigna a un usuario de tu sistema un permiso para apagar el servidor desde otra máquina de tu red.


217

Caso final

5

Configuración inicial de usuarios en un servidor Linux �� La empresa InforNew dispone de un servidor CentOS que actúa como servidor del servicio de terminales de la empresa. Los usuarios se conectan al servidor desde clientes ligeros teniendo la impresión de trabajar directamente en dicho servidor. Realiza la siguiente configuración: – Todos los usuarios han de tener la misma configuración inicial. En esta entra la configuración del escritorio, las variables del sistema y los alias de comandos. – Los usuarios han de tener una longitud mínima de contraseña de 10 caracteres. – Las contraseñas caducan en 90 días, advirtiéndose su vencimiento 10 días antes de que tenga lugar. Además no puede modificarse la contraseña durante la primera semana des pués de haberla cambiado. – Se dispone de un ayudante en la administración del servidor que tiene privilegios administrativos para realizar cualquier operación de administración. Utiliza para ello al usuario JuanPaPerez. – Los archivos han de tener permisos individuales para cada uno de los usuarios.

Solución �� Para que todos los usuarios tengan la misma configuración inicial, haz lo siguiente: 1. Crea un usuario prototipo. 2. Accede al sistema con el usuario prototipo. 3. Configura los alias y añádelos al final del archivo .bashrc. 4. Añade las variables de entorno al archivo .bash_profile. 5. Configura el escritorio tal como creas conveniente. 6. Accede al usuario como administrador. 7. Copia el contenido del directorio personal del usuario prototipo en el directorio /etc/skel. Así todos los usuarios tendrán inicialmente la misma configuración que este prototipo. Para disponer de permisos para cada archivo y directorio individualizados según cada usuario o grupo, instala el paquete ACL y configura con sus comandos los permisos tal como desees. Para conceder permisos administrativos al usuario JuanPaPerez, edita el archivo /etc/sudoers con visudo y añade la línea siguiente: JuanPaPerez ALL =(ALL) ALL

Para cambiar la configuración de las contraseñas, abre el archivo login.defs y modifica los parámetros que se indican a continuación: PASS_MAX_DAYS 90 PASS_MIN_LEN 10 PASS_WARN_AGE 10 PASS_MIN_DAYS 7

218

Ideas clave

Gestión de usuarios

Archivos de configuración: /etc/passwd /etc/shadow

Suite Shadow

Gestión de grupos

Archivo de configuración: /etc/group

Sobre archivos y sobre directorios

ADMINISTRACIÓN DE USUARIOS Y PERMISOS EN LINUX

Modificación de permisos: – Modo relativo – Modo absoluto

Comando chmod

Gestión de propietarios

Comandos chown y chgrp

Máscara

Comando umask

Gestión de permisos

Listas de control de acceso (ACL)

Creación de plantillas de usuarios

Concesión de privilegios administrativos

Comando sudo Archivo de configuración: /etc/sudoers



El reconocimiento facial de Android 4.0 se deja engañar con una foto

E

l sistema de desbloqueo mediante reconocimiento facial en Android Ice Cream Sandwich puede superarse simplemente con una foto del usuario, según confirma un vídeo publicado en YouTube. El próximo 17 de noviembre llegará a España el nuevo Samsung Galaxy Nexus, el primer smart phone con Android Ice Cream. Entre sus posibilidades está la de utilizar el reconocimiento facial para desbloquear el terminal, lo que se ha promocionado como un sistema rápido para la operación. Sin embargo, en un vídeo en YouTube se demuestra que el sistema no es completamente seguro. El reconocimiento facial de Ice Cream utiliza la cámara delantera de los terminales para reconocer la cara de los usuarios y así saber si puede permitir el acceso al sistema. Los usuarios deben configurar la herramienta indicando qué cara es la que da acceso. Una vez hecho esto, cada vez que se quiera acceder al terminal, el sistema activará la cámara y buscará el rostro del usuario admitido y, si no se trata de la persona previamente señalada, no permitirá el acceso.

Desde que Google mostrara el sistema, el reconocimiento facial de acceso ha recibido fuertes críticas. Por otro lado, la principal virtud que se ha destacado de él es su velocidad, ya que evita tener que introducir códigos gracias a su sistema casi instantáneo. Aunque la ventaja de la inmediatez es interesante, parece que el sistema presenta un importante fallo de seguridad. En un vídeo de YouTube se ve cómo se le puede engañar, tan solo es necesaria una fotografía del usuario validado. Si esta se pone delante de la cámara del dispositivo, el sistema no reconoce que se trata de una captura en vez de la cara real del usuario, por lo que permite el acceso. Desde el portal Phandroid han reconocido la existencia de este fallo, aunque han destacado que no puede considerarse de elevada gravedad. El sistema pretende ser una herramienta ágil para el desbloqueo y consideran que ataques tan concretos como el de utilizar una fotografía no son muy habituales. Lo cierto es que en el vídeo queda demostrado que el sistema por el momento no es perfecto y posiblemente Google introduzca mejoras para corregir este tipo de situaciones. Fuente: extracto de un artículo de CSO, 15 de noviembre de 2012

Actividades 1�� Indica otros sistemas de validación de usuario que también podrían utilizarse en lugar del clásico usuariocontraseña.

2�� ¿Qué ventajas observas en la validación del usuario por reconocimiento facial? ¿Y qué inconvenientes?

u

n

i

d

a

d

12

Gestión de recursos. Seguridad básica del servidor SUMARIO 

Conexión de equipos al servidor



Montaje de dispositivos



Cuotas de disco



Gestión de impresoras compartidas (CUPS)



Gestión de archivos compartidos (NFS)

OBJETIVOS ·· Comprender cómo se conectan los equipos al servidor.

·· Aprender a montar dispositivos. ·· Aprender a configurar las cuotas de disco. ·· Saber compartir impresoras. ·· Saber compartir archivos con NFS.

221

Unidad 12 - Gestión de recursos. Seguridad básica del servidor

1 >> Conexión de equipos al servidor Una vez que se han creado los usuarios, estos pueden iniciar sesión de varias formas:

– Localmente: la sesión se inicia en el mismo servidor, introduciendo el nombre del usuario y su contraseña. – Remotamente: la sesión se inicia en otro ordenador y la conexión al servidor se realiza de forma remota. Dentro de este apartado hay que distinguir varias situaciones posibles: • El usuario inicia sesión validándose contra el servidor para acceder a recursos compartidos e impresoras. • El usuario inicia sesión remota, a través de Telnet, SSH o VNC, para realizar tareas de administración o de mantenimiento. • El usuario se conecta remotamente a unidades y otros recursos compartidos, por ejemplo mediante Samba. Vamos a centrarnos en el inicio de sesión remoto en el segundo caso. Las aplicaciones más utilizadas para iniciar sesión remota son las siguientes:

– Telnet: se trata de una aplicación en modo terminal. Utiliza el puerto 23 y el protocolo TCP. La información viaja en texto plano a través de l a red, pero viaja sin cifrar, por lo que no es seguro. Algunos ejemplos de programas clientes Telnet son Putty, Zoc o NetRunner. – SSH (Secure Shell): permite a los usuarios conectarse de forma segura, ya que encripta la sesión de conexión, así que es prácticamente imposible que alguien obtenga contraseñas. Utiliza por defecto el puerto 22. – VNC: permite interconectar diferentes sistemas operativos. Utiliza el protocolo RFB (Remote Frame Buffer) y los puertos 5900 y 5800 de TCP. Algunos ejemplos de programas son RealVNC, UltraVNC y TightVNC. Nosotros utilizaremos VNC para acceder a nuestro servidor CentOS de forma remota, tanto con Linux como con Windows.

1.1 > Instalación de VNC Server en el servidor Para utilizar VNC es necesario instalar VNC Server en el ordenador que queremos monitorizar, es decir, en el servidor CentOS. Para ello antes debemos realizar algunas tareas. La primera es habilitar permisos de acceso remoto desde el menú Sistema / Preferencias / Escritorio remoto. En la pantalla que aparece (figura 12.1) podremos establecer algunas opciones de seguridad, como la solicitud de confirmación cuando alguien acceda remotamente al servidor, la solicitud de una contraseña de acceso al mismo o la aceptación automática de las conexiones remotas (algo poco recomendable). En el caso de acceder remotamente, la opción más adecuada es la segunda, ya que no suele haber nadie en el servidor para confirmar el acceso al equipo.

12.1. Ventana Preferencias del escritorio remoto.

222

La segunda tarea consiste en habilitar el puerto 5900, que es el puerto utilizado por esta aplicación, en el cortafuegos del servidor: 1. Entramos en el menú Sistema / Administración / Cortafuegos. 2. Tras introducir la contraseña del usuario root, vamos a la entrada Otros puertos de la parte izquierda y pinchamos Añadir. 3. Aparece entonces una lista con todos los puertos TCP y UDP, así como los servicios asociados. Buscamos el puerto TCP 5900 y hacemos clic en Aceptar .

12.2. Ventana Configuración del cortafuegos.

12.3. Inicio del servicio VNC Server.

4. Pinchamos Aplicar y así la excepción se añade al cortafuegos. 5. A continuación, desde el menú Sistema / Administración / Servicios habilitamos e iniciamos el servicio correspondiente (figura 12.3).

1.2 > Instalación de VNC Server en el cliente Una vez instalado VNC Server en el servidor, procedemos a instalar un cliente VNC en el ordenador desde el que se quiere acceder. Existen varias aplicaciones de este tipo, tanto para Linux como para Windows. Nosotros vamos a utilizar UltraVNC, una aplicación gratuita que se ejecuta bajo Windows 7 (http://www.uvnc.com). Una vez instalado UltraVNC, lo iniciamos y seguimos estos pasos:

12.4. Ventana principal de UltraVNC.

12.5. Durante la conexión con el servidor aparece un pequeño monitor en la parte superior que muestra información sobre ella.

1. En la ventana que aparece (figura 12.4) indicamos la dirección IP del servidor VNC (en nuestro caso el servidor con CentOS tiene la dirección IP 192.168.1.139) y, si es necesario, indicamos también el puerto. En caso de tener un servidor DNS que resuelva el nombre bastaría con ponerlo en lugar de la dirección IP. 2. En el apartado Quick Options, indicamos el tipo de conexión que deseamos realizar. En nuestro caso, para realizar las pruebas, seleccionaremos AUTO. Sin embargo, si necesitamos personalizar la conexión, seleccionaremos la opción MANUAL y, pinchando Options, accederemos a una ventana que permite definir esta conexión. 3. Para conectarnos al servidor hacemos clic en el botón Connect. 4. En el servidor aparecerá una ventana que solicita la contraseña de acceso. Por lo tanto escribimos la contraseña y pinchamos Log On para dar permiso al ordenador con Windows 7 (192.168.1.130) a acceder remotamente al servidor. Ahora ya podemos acceder completamente al servidor CentOS.

223


2 >> Montaje de dispositivos Una de las diferencias entre los sistemas operativos Windows y Linux es su forma de trabajar con los dispositivos. En Windows se le suele asignar una letra de unidad a cada dispositivo de almacenamiento, ya se trate de discos duros, unidades de CD, DVD, USB, etc. Sin embargo, en Linux estos se montan formando un árbol único de directorios, de modo que cuando montamos un dispositivo le indicamos que sus archivos serán colgados a partir de un directorio y esos archivos se ven dentro del directorio siguiendo la misma estructura que tienen en el dispositivo. Todo dispositivo dispone de un archivo especial que se encuentra dentro del directorio /dev/ . La asociación del dispositivo físico referenciado por su archivo especial junto con el directorio donde se va a visualizar la información del dispositivo se llama montaje. Para saber los dispositivos que están montados, podemos realizar cualquiera de estas acciones:

– Ejecutar el comando mount:

$ sudo mount – Visualizar el archivo /etc/mtab, que indica los dispositivos que se encuentran montados en ese momento (figura 12.6):

$ sudo cat /etc/mtab

12.6. Contenido de un archivo /etc/mtab.

– Visualizar el archivo /proc/mounts, que en realidad no se trata de un archivo, sino de información generada por el kernel en el momento en que se realiza la consulta sobre el estado de los dispositivos que se encuentran montados (12.7):

$ sudo cat /proc/mounts

12.7. Contenido del archivo etc/mounts.

Recuerda Linux organiza todos los archivos de forma jerárquica, con un punto inicial llamado directorio raíz (/), del que cuelgan todos los demás directorios con sus ficheros y subdirectorios respectivos.

224

Para que estos sistemas de archivos se integren en el árbol de directorios principal, es necesario unirlos en el árbol. Esta unión, denominada montaje del dispositivo, se lleva a cabo con el comando mount, cuya sintaxis es la siguiente:

mount –opciones dispositivo directorio_de_montaje – Dispositivo: es el dispositivo de almacenamiento que se quiere montar. La siguiente tabla muestra los principales:

Archivos de montaje de los dispositivos de almacenaje en Linux Ejemplos de dispositivos de almacenamiento – fda2: segunda partición del primer disco duro SCSI o SATA. – hdb1: primera partición del segundo disco duro IDE. – /dev/cdrom1: segunda unidad de CD.

Tipo de dispositivo

Archivo

Sufijos

Discos duros SCSI o SATA

/dev/sd xy

Discos duros IDE

/dev/hd xy

Disquetes

/dev/fd z

Unidades de CD

/dev/cdromz

Unidades USB

/dev/usbz

– x: letra que indica el número de disco duro (a, b, c...). – y: número de la partición del disco duro x, empezando por 1. – z: número del dispositivo correspondiente empezando por 0.

– Directorio de montaje: es el punto donde se va a montar el sistema de archivos del dispositivo.

Las opciones de mount Para ver las distintas opciones que tiene el comando mount podemos recurrir a la ayuda del shell con el comando man: $ man mount

Entre estas opciones destaca –a, que monta todos los sistemas de archivos indicados en el archivo fstab.

El sistema de archivos principal de Linux se monta de forma automática durante el inicio de Linux. Por otro lado, el comando que sirve para desmontar un sistema de archivos es umount. Su sintaxis es la siguiente:

umount –opciones dispositivo directorio Tanto para realizar el montaje como el desmontaje de dispositivos debemos tener privilegios de root.

Ejemplos Un pendrive en Linux Al conectar un pendrive USB de 2 GB a nuestra máquina virtual con CentOS, esta no lo detecta automáticamente. Para montarlo tendremos que seguir estos pasos: 1. En primer lugar, comprobamos cómo lo ha reconocido el sistema ejecutando el siguiente comando: $ sudo fdisk –l

De este modo vemos que la unidad USB es reconocida por CentOS como /dev/sdb. 2. Creamos un directorio. Podemos hacerlo, por ejemplo, dentro de nuestro directorio de trabajo para no tener problemas con los permisos: $ mkdir /home/alumno/usb

3. A continuación montamos el USB: $ sudo mount –v vfat /dev/sdb /home/alumno/usb

4. Después podremos acceder al contenido del USB yendo al directorio correspondiente: $ cd /home/alumno/usb

225


2.1 > El archivo /etc/fstab El archivo /etc/fstab contiene información acerca de las particiones que se tienen que montar durante el proceso de arranque.

Particiones NTFS CentOS no monta por defecto las unidades formateadas con NTFS. Para poder hacerlo es necesario instalar el paquete RPM correspondiente.

12.8. Contenido de un archivo /etc/fstab.

Si lo abrimos veremos que contiene los siguientes campos (figura 12.8):

– Primer campo: nombre del dispositivo especial de bloques o sistema de archivos que se montará. – Segundo campo: directorio o punto de montaje. – Tercer campo: tipo de sistema de archivos (swap, ext3, ext4, etc.). – Cuarto campo: opciones de montaje según el sistema de archivos: • auto/noauto: indica si la partición se montará (auto) o no (noauto) automáticamente en el arranque. • exec/noexec: indica si la partición puede ejecutar archivos binarios, lo que depende del grado de seguridad que queramos darle. Si se trata, por ejemplo, de particiones destinadas a copias de seguridad, será preferible indicar noexec. • ro/rw: indica si la partición será de solo lectura (ro, read only) o de lectura y escritura (rw, read write). • sync/async: indica si los comandos se ejecutarán sobre los dispositivos montados de forma inmediata (sync) o de forma asíncrona (async) en periodos de baja actividad del sistema. • nouser/user: indica si permitimos o no al usuario tener privilegios para montar y desmontar el dispositivo.

– Quinto campo: indica si el sistema de archivos puede ser volcado (1) ó no (0) para hacer copias de seguridad. – Sexto campo: indica si el sistema de archivos debe ser comprobado en busca de errores (1) ó no (0).

Actividades propuestas 1�� Visualiza los dispositivos de los que dispone tu sistema mediante la orden cat /proc/devices. 2�� Verifica cuáles son los sistemas de archivos montados en el sistema. 3�� Monta un lápiz USB FAT32 y visualiza los archivos /etc/mtab y /etc/ftab. ¿Qué diferencias encuentras entre ellos?

226

3 >> Cuotas de disco Una de las operaciones que más se realizan cuando se trabaja en un entorno de red es la compartición de recursos, ya sean carpetas o impresoras. En un entorno empresarial es habitual utilizar un servidor como repositorio de documentos de los usuarios. De este modo se pueden almacenar en el servidor aquellos documentos de mayor importancia, los que necesitan ser compartidos o los que deben incluirse en las copias de seguridad del servidor. Si los usuarios tuvieran acceso libre e incontrolado al servidor, es probable que el espacio en disco empezara a menguar de forma significativa y que algunos de ellos ocuparan más espacio que otros. Para que esto no ocurra, se utilizan las cuotas de disco. Una cuota de disco es la capacidad de almacenamiento que se le concede a un usuario o a un grupo en el espacio de almacenamiento de un servidor o de una red. Ya hemos trabajado este concepto en entornos Windows, pero la operatoria en Linux es distinta. En Linux podemos asignar dos tipos de cuotas:

– Por bloques: se especifica el número de bloques de tamaño de 1 KB que asignamos a los usuarios. – Por i-nodos: se especifica un parámetro muy similar al número de archivos, el número de i-nodos, que el usuario podrá almacenar. Estas cuotas se caracterizan por:

– El límite soft: es la cantidad de disco (bloques o i-nodos) que se le permite utilizar al usuario. Si esta se sobrepasa, el sistema avisa de que se está llegando al límite del tamaño asignado. – El límite hard: indica la cantidad máxima de disco (bloques o i-nodos) que se le ha asignado al usuario. Si este límite se supera, el usuario recibe un error y no se le permite completar la operación que esté realizando en el espacio asignado. El usuario dispone de lo que se llama tiempo de gracia, que es el tiempo que ofrece el sistema desde que se supera el límite soft hasta que se llega al límite hard. Transcurrido este tiempo, el sistema no permite disponer de más bloques o i-nodos hasta que no se rebaje la cantidad hasta el límite soft. Como es fácil de deducir, el límite soft debe ser inferior al límite hard. Las cuotas se pueden asignar a usuarios y a grupos.

227


3.1 > Creación de un sistema de cuotas Para establecer un sistema de cuotas en CentOS, por ejemplo en el directorio /home, debemos realizar lo siguiente: 1. Comprobamos que tenemos instalado el paquete quota. Si no es así, lo instalamos utilizando el comando yum:

$ sudo yum install quota 2. Habilitamos las cuotas, es decir, montamos el sistema de archivos afectado por las cuotas con esta propiedad activada. Suponiendo que las cuotas se van a establecer en /home, que es desde donde se suelen colgar los directorio de trabajo de los usuarios, editamos el archivo /etc/fstab y modificamos la línea correspondiente al directorio /home añadiendo al cuarto campo la opción usrquota (cuotas por usuario) o grpquota (cuotas por grupo):

Atención Hay que tener en cuenta que, en el caso de situaciones reales, /home se monta sobre un disco o partición aparte. Sin embargo, puede que este escenario no sea posible para nuestras pruebas.

UUID=cce4e389-a0a4-4cce-947c-5eabafe8f7a3 /home ext4 defaults,usrquota,grpquota 1 2 Para habilitar las cuotas, aún es necesario activarlas. 3. Para que los cambios sean efectivos, desmontamos y volvemos a montar la unidad con la siguiente línea de comandos:

$ sudo mount -o remount /home 4. Podemos comprobar que todo ha ido correctamente ejecutando el comando quotacheck con las opciones que se indican en el margen:

quotacheck - opciones -F formato sistema_de_archivos 5. Para crear los archivos de cuotas, utilizamos el comando anterior con las siguientes opciones:

$ sudo quotacheck –cugm /home 6. Ahora configuramos la cuota para cada usuario (o para cada grupo), utilizando el comando edquota con la siguiente sintaxis:

edquota –u nom_usuario Por ejemplo, si hemos creado un usuario llamado usuario1, al ejecutar el comando que se muestra a continuación aparecerá algo parecido a lo que se ve en figura 12.9:

$ sudo edquota -u usuario1

Opciones del comando quotacheck

– u: comprueba el archivo de cuota de los usuarios (aquota.user). – g: comprueba el archivo de cuota de los grupos (aquota.group). – c: crea los archivos de cuota. – v: visualiza el progreso en la ejecución del comando. – m: no intenta volver a montar sistemas de archivos de solo lectura. – M: intenta el montaje de sistemas de archivos de solo lectura. – a: comprueba todos los sistemas de archivos. – R: excluye /root al comprobar los sistemas de archivos. – f: fuerza la comprobación de los sistemas de archivos con cuotas.

12.9. Editor de cuotas (edquota).

– Filesystem: indica el sistema de archivos donde hemos activado la cuota. – Blocks: es el número de bloques que está utilizando el usuario. – Inodes: es el número de i-nodos que está utilizando el usuario. – Soft y hard: son los límites de las cuotas, que se pueden indicar en bloques o en i-nodos. El valor 0 en dichos límites indica que estos no se han configurado y, por lo tanto, que no hay control de cuotas para el usuario en cuestión.

UUID El UUID (Universally Unique Identifier) o identificador único universal es una cadena alfanumérica que identifica de forma única a cada sistema de ficheros. Podemos realizar el montaje utilizando este identificador.

228

Manejo del editor de cuotas El editor de cuotas o comando edquota funciona de manera similar al editor vi. Para editar su contenido, una vez abierto el archivo, debemos pulsar la tecla para pasar al modo Inserción. Una vez realizadas las modificaciones, pulsamos la tecla para pasar al modo Comando. Escribiendo :x guardaremos los cambios y cerraremos el editor.

Para configurar la cuota del usuario modificamos la información anterior estableciendo, por ejemplo, una cuota soft de 15 000 y hard de 20 000:

12.10. Modificación de la cuota del usuario1.

Una vez realizados los cambios, activamos las cuotas, tanto de usuarios como de grupos, con un comando que habilita las cuotas de usuario por defecto:

$ sudo quotaon -a

3.2 > Otras acciones con cuotas En la gestión de cuotas podemos realizar otras acciones:

– Deshabilitar cuotas: para deshabilitar todas las cuotas, tanto de usuarios como de grupos, utilizaremos el comando quotaoff de la siguiente forma:

$ sudo quotaoff -a – Obtener un informe de cuotas: para obtener un informe acerca de las cuotas, tanto de usuarios como de grupos, que tenemos asignadas a un directorio, por ejemplo /home, utilizaremos el comando repquota de la siguiente forma:

$ sudo repquota /home – Comprobar la cuota de usuario: para comprobar la cuota de un usuario concreto, por ejemplo usuario1, podemos utilizar el comando quota de la siguiente forma:

$ sudo quota –v usuario1 – Establecer el tiempo de gracia para un usuario:

$ sudo edquota -u usuario1 -t periodo_tiempo

Actividades propuestas 4�� Realiza los pasos indicados en la teoría para establecer un sistema de cuotas en tu servidor Linux. Para hacer esto, crea un usuario llamado UsuCuotas y configúrale una determinada cuota en su directorio de trabajo /home/UsuCuotas.

5�� Identifícate como UsuCuotas y crea algunos archivos en tu directorio de trabajo. Luego, realiza como root un informe acerca de la utilización de las cuotas creadas.

6�� Entra al sistema como UsuCuotas y alcanza el límite soft. ¿Qué sucede? ¿Y qué ocurriría si sobrepasaras el límite hard?

7�� Crea un grupo llamado clase y, dentro de él, crea tres usuarios: alumno1, alumno2 y alumno3. A continuación indica cómo establecerías un sistema de cuotas para el grupo clase.

8�� Si has establecido un sistema de cuotas por grupo y sobrepasas el límite de cuota asignado, ¿a quién avisarías y cómo?

229


4 >> Gestión de impresoras compartidas (CUPS) En un entorno de trabajo es habitual utilizar impresoras. Las impresoras pueden ser locales, es decir, estar conectadas localmente a cada ordenador, y estar a su vez compartidas con el resto de usuarios. Este último caso requiere que el equipo que tiene la impresora conectada esté siempre encendido. Para evitar esto, y con el fin de optimizar recursos, se utilizan impresoras de red o servidores de impresión, que gestionan varias impresoras para ponerlas al servicio de los usuarios. Estas impresoras disponen de conexión para LAN o WIFI, e incluso algunas pueden llevar incorporado su propio gestor de impresión. En Linux, la gestión de las impresoras se realiza mediante el servidor de impresión CUPS (Common UNIX Printing System), que podemos encontrar en todos los sistemas operativos Unix y Linux. CUPS está incluido en la instalación de CentOS y puede configurarse desde el navegador accediendo a la dirección http://nombredequipo:631. En caso de que no quedara instalado, lo instalaríamos bien a través de la interfaz gráfica o bien desde la línea de co mandos con yum:

$ sudo yum install cups

12.11. Página principal del sistema CUPS.

La página principal de CUPS (figura 12.11) consta de tres columnas:

– CUPS para usuarios: está formada por varios enlaces a páginas destinadas a informar al usuario acerca de las funcionalidades de la aplicación, así como por archivos de ayuda para las órdenes de impresión desde la consola. – CUPS para administradores: permite realizar las tareas de administración de impresión, dar de alta impresoras, gestionar trabajos de impresión y colas, editar el archivo de configuración, habilitar la compartición de impresoras, llevar a cabo la administración remota, etc. También es accesible desde el URL http://nombredequipo:631/admin. – CUPS para desarrolladores: consta de enlaces con información para desarrolladores relativa a la API de CUPS.

Printer Administration Tools

Para añadir una impresora local en CentOS podemos instalar la aplicación gráfica Printer Administration Tools (system-config-printer). Una vez instalada podemos acceder a ella desde el siguiente menú: Sistema / Administración / Impresión Esta utilidad gráfica permite configurar el servidor de impresión CUPS.

230

Casos prácticos

1

Instalación y configuración de un servidor de impresión CUPS Una de las empresas colaboradoras con el instituto para la realización de la formación en los centros de trabajo utiliza varios servidores con CentOS. Para intentar optimizar el equipamiento informático de las oficinas, se ha decidido instalar un servidor de impresión que funcione con CentOS y que gestione todas las impresoras que poseen. Hay que tener en cuenta que no solo disponen de ordenadores con CentOS, sino también con Windows 7. a) Explica los pasos a seguir para dar de alta las impresoras en el servidor y para compartirlas. b) ¿Cómo pueden acceder a las impresoras del servidor de impresión los distintos equipos de las oficinas?

Solución �� Lo primero que tienes que hacer es comprobar si el servidor CUPS está instalado. Para hacerlo, ve a la dirección http://nombredemaquina:631, donde nombredemáquina puede ser, por ejemplo localhost, y accede a la interfaz administrativa de CUPS. De este modo podrás comprobar si está instalado. a) Para explicar cómo se dan de alta las impresoras, vamos a realizar el procedimiento con la impresora HP Photosmart 2570. 1. Ve a la opción Añadiendo impresoras y clases en el apartado CUPS para administradores. 2. Conecta la impresora a la máquina virtual como se muestra en la figura 12.12. 3. En la página que aparece, pincha el botón Añadir impresora. Aparecerán las impresoras locales que están instaladas en nuestro servidor, así como las que se detectan dentro de la red (figura 12.13). 4. En este caso ha detectado una impresora local instalada. Selecciónala y pincha Siguiente. 5. Aparece una pantalla en la que debes indicar el nombre de la impresora y elegir si quieres o no que se comparta. Elige Sí y 12.12. Conexión de la impresora HP Photosmart a la máquina virtual. haz clic en Siguiente. 6. Verifica la marca y el modelo de la impresora y pincha Añadir impresora. En caso de que no detecte su marca y modelo, tendrás que recurrir a la instalación de los controladores de impresora, lo que se realiza desde el entorno gráfico de yum. Si accedes a la pestaña Impresoras, verás que aparece el nombre con el que se va a compartir la impresora y su ubicación (figura 12.14). En este caso, el servidor aparece como localhost.localdomain. Esto supone un problema en el entorno de pruebas, debido a que este nombre no será resuelto por el DNS, lo que tiene como consecuencia que para acceder al servidor habrá que utilizar su dirección IP.

12.13. Ventana Añadir impresora.

12.14. Pestaña Impresoras.

231


1 Para compartir las impresoras dadas de alta en el servidor, ve a la pantalla inicial. En el apartado Servidor habilita las opciones relativas a la compartición y haz clic en Cambiar configuración (figura 12.15). b) Para añadir una impresora en los equipos con Windows 7 sigue estos pasos: 1. Ve a Inicio / Dispositivos e Impresoras. 2. Haz clic en Agregar una impresora y, a continuación, en Agregar una impresora de red, in- 12.15. Apartado Servidor. alámbrica o Bluetooth. 3. Haz clic sobre La impresora deseada no está en la lista. 4. Marca Seleccionar una impresora compartida por nombre y escribe en el campo de texto lo siguiente: http://192.168.1.139:631/printers/HP-Photosmart-2570-series 192.168.1.139 es la IP del servidor, 631 es el puerto desde el que es compartida la impresora y el resto es el directorio de impresoras y la ruta hacia la impresora compartida por el servidor de impresión (figura 12.16). 5. Pincha Siguiente. 6. En la ventana Asistente para agregar impresoras, comprueba que la impresora es correcta y haz clic en Aceptar (figura 12.17).

12.16. Ventana Agregar impresora de Windows 7.

12.17. Agregar la impresora a Windows 7.

Para añadir una impresora en los equipos con CentOS realiza lo siguiente: 1. Ve al menú Sistema / Administración / Impresoras. Así te conectarás al servidor de impresión CUPS, que en este caso tiene la dirección IP 192.168.1.139. 2. A continuación aparecerán las impresoras activadas en el servidor. Haz clic con el botón secundario sobre la impresora deseada y establécela como impresora predeterminada o por defecto.

Actividades propuestas 9�� Indica cuáles son las ventajas y desventajas de tener instalado un servidor de impresión en un entorno de trabajo.

10�� ¿Cómo se llama la utilidad de servidor de impresión para Linux?

232

5 >> Gestión de archivos compartidos (NFS) Paquetes necesarios Los paquetes que se necesitan para compartir archivos con NFS son: – Servidor NFS: es necesario tener instalado el servicio NFS, así como el servicio Portmap si la versión de Linux no es muy reciente. El conjunto de paquetes llamado nfs-utils es de gran ayuda para la configuración de NFS, por lo que también se recomienda su instalación. – Cliente NFS: es recomendable instalar las utilidades de NFS (NFS utilities), aunque de estas solo se utilizará el comando mount.

La principal diferencia en la gestión de archivos compartidos entre los sistemas Windows y Linux es la manera en que se comparten los directorios y cómo se accede a ellos. En Linux todo cuelga del directorio / o raíz, y los directorios compartidos deben ubicarse también dentro del árbol principal de directorios. NFS (Network File System) es un servicio de red que permite la compartición de archivos entre equipos con sistemas tipo Unix. Podemos considerar que existen dos roles respecto a NFS:

– Un ordenador debe «exportar» los directorios que se van a compartir. Este tiene el rol de servidor NFS. – El resto de ordenadores debe «montar» los directorios compartidos para poder acceder a ellos desde su árbol de directorios. Estos ordenadores actúan como clientes NFS y pueden tener acceso a varios directorios compartidos por varios servidores. Todos los ordenadores de la red pueden actuar como servidores y como clientes NFS.

5.1 > El archivo /etc/exports

Compartir carpetas del servidor Para poder utilizar como carpeta compartida una carpeta creada en el servidor, hay que cambiar sus permisos (660), además de su usuario y grupo de propietarios, que deberán ser el usuario y el grupo con el que se accederá desde el ordenador cliente.

El archivo /etc/exports indica qué directorios se van a compartir. Consta de una línea por cada directorio. Esta es su sintaxis: Directorio Rango_de_IP( permisos) [Rango_de_IP(permisos)]

– Directorio: es el directorio que se quiere compartir. – Rango de IP: es la IP o rango de IP autorizadas para acceder al directorio compartido. Se presentan separadas por un espacio en blanco. Si no se especifica ningún rango, se considera que el directorio es de acceso público. – Permisos: indica los permisos que se asignan al rango de IP correspondiente. No se debe dejar espacio entre la IP y los paréntesis que contienen los permisos. Veamos varios ejemplos de modificaciones del archivo /etc/exports para compartir directorios:

– Si el ordenador con dirección IP 192.168.1.15 tiene permiso para acceder al directorio /tmp/todos del servidor en modo de solo lectura:

/tmp/todos 192.168.1.15(ro) – Si todos los ordenadores dentro del rango IP 192.169.3.1 a 192.168.3.254 tienen permiso para acceder al directorio /tmp/aula3 del servidor en modo de lectura y escritura (observa la utilización del caracter «*»):

Importante Para hacer efectivos los cambios que realicemos en /etc/exports, debemos reiniciar el servicio NFS: $ sudo service nfs restart

/tmp/aula3 192.168.3.*(rw) – Si todos los ordenadores con la máscara de subred 255.255.255.X tienen permiso para acceder al directorio /tmp/aula2 del servidor en modo de lectura y escritura (observa la utilización del caracter «?»):

/tmp/aula2 255.255.255.?(rw)

233


Casos prácticos

2

Instalación y configuración del servidor NFS �� En el aula de informática de tu instituto se ha decidido instalar Linux en los ordenadores. El equipo del profesor hace de servidor con CentOS. Se quiere que el servidor tenga un directorio compartido con el nombre practicas donde los alumnos coloquen todos los trabajos que les debe corregir el profesor. Dado que no se necesita seguridad, se ha pensado en utilizar NFS para implementar esta funcionalidad. El rango de direcciones IP asignado al aula es 192.168.15.X, siendo la IP 192.168.15.100 la del profesor y X un número entre 1 y 99. Indica los pasos que se deben seguir en el ordenador del profesor y en los de los alumnos. ¿Cómo nos aseguraremos de que los ordenadores del aula sean los únicos que accedan al directorio practicas?

Solución �� El ordenador del profesor va a actuar como servidor NFS, por lo necesitamos que dicho paquete esté instalado. Para comprobarlo vamos al menú Sistema / Administración / Añadir / Quitar software y buscamos nfs. Si no lo encontramos, procederemos a instalarlo. Una vez instalado, seguimos estos pasos: 1. Ponemos en marcha el servicio NFS desde el entorno gráfico haciendo clic en Habilitar (figura 12.18). 2. Una vez está en marcha, pasamos a editar el archivo /etc/exports para añadir la línea que indicará las condiciones en las que se quiere compartir el directorio practicas: /home/practicas 192.168.15.*(rw)

3. Cambiamos los permisos al directorio practicas y a sus subdirectorios con la opción –R:

12.18. Puesta en marcha del paquete NFS.

$ sudo chmod –R 660 /home/practicas

4. Cambiamos el usuario propietario y el grupo de forma recursiva con la opción –R: $ sudo chown –R alumno /home/practicas $ sudo chgrp –R alumno /home/practicas

5. Reiniciamos el servicio NFS para que actualice los cambios en la configuración. 6. Comprobamos el firewall para asegurarnos de que los puertos 2049/TCP y 2049/UDP están abiertos, ya que son los que utiliza NFS. 7. En los ordenadores cliente (usuario: alumno) instalamos las utilidades de NFS y creamos el directorio llamado /pracServidor , donde montaremos el directorio practicas del servidor: $ sudo mount 192.168.1.100:/home/practicas /home/prac-servidor

8. Si todo ha funcionado correctamente, podemos configurar el archivo /etc/fstab para que el directorio se monte automáticamente durante el arranque del sistema. Para ello añadimos al archivo la siguiente línea: 192.168.1.100:/home/practicas /home/prac-servidor nfs defaults 0 0

Actividades propuestas 11�� Averigua cómo se puede mejorar la seguridad de NFS buscando en Internet.

234

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Qué es un cliente VNC? ¿Y un servidor VNC? 2�� ¿Qué puerto hay que habilitar en el cortafuegos para poder acceder remotamente al servidor? 3�� Busca por Internet información adicional a la indicada en los recuadros de la teoría e indica las diferencias entre Telnet, SSH y VNC.

4�� Realiza una conexión remota desde un ordenador con Windows a otro equipo con Linux de otro compañero de clase utilizando alguno de los programas de acceso remoto.

5�� Realiza una conexión remota desde un ordenador con Linux a otro equipo con Linux de otro compañero de clase utilizando alguno de los programas de acceso remoto.

6�� Busca en Internet cómo realizar el montaje de un disco o pendrive USB con el sistema de archivos NTFS. 7�� Explica qué sentido tiene ejecutar la siguiente línea de comandos al establecer la modificación del archivo etc/fstab cuando queremos habilitar las cuotas: $ sudo mount -o remount /sistema_archivos

8�� Busca en Internet o mediante el comando de ayuda de Linux cómo conceder un tiempo de gracia a un usuario cuando se excede de su cuota de disco asignada.

9�� ¿Cuál es el archivo que se debe modificar para compartir un directorio con NFS? 10�� ¿Qué ventajas tiene compartir impresoras? 11�� ¿Qué ventajas tiene la compartir de directorios? .: APLICACIÓN :. 1�� Realiza las siguientes tareas: a) Instala un servidor VNC en tu CentOS de la máquina virtual. b) Instala un cliente de VNC en tu ordenador con Windows o con Linux. c) Toma el control del servidor CentOS desde tu ordenador. d) Indica qué parámetros estás utilizando para configurar el acceso a tu servidor con CentOS: velocidad y tipo de conexión, etc.

2�� En el laboratorio de prácticas de tu escuela se han habilitado las cuotas para limitar el espacio en disco ocupado por los estudiantes. El sistema de archivos en el que se han establecido las cuotas es /home. Dado que en el aula entran 6 grupos de 20 alumnos a distintas horas, es poco práctico crear cuotas para cada usuario individual, además de que cada año se renuevan los usuarios. Responde las siguientes cuestiones: a) ¿Se te ocurre alguna idea para establecer las cuotas de manera más ágil? b) ¿Cómo se implementa el sistema de cuotas? Contesta según la opción que hayas tomado en el apartado anterior. c) ¿Qué sucede si se excede el límite de cuota de un usuario? d) ¿Qué hace falta configurar para notificar al administrador por email que se han excedido las cuotas?

3�� Añade un disco a la máquina virtual y crea una partición para él. Crea el directorio /apuntes en el servidor CentOS de tu máquina virtual y monta en él la partición que hemos creado. Entra en este directorio y crea un directorio con el nombre SOR.

235


Caso final

3

Establecimiento del sistema de cuotas y montaje de dispositivos La empresa Compar-t.com ha decidido establecer un sistema de cuotas en su servidor con CentOS para que los usuarios de la red depositen allí sus archivos de trabajo de forma controlada y, de paso, para facilitar la realización de copias de seguridad. Para ello se va a ampliar la capacidad del servidor mediante un nuevo disco SATA de 2 TB. a) Indica cómo ha de realizarse el montaje del nuevo disco para que se almacenen en él los directorios de trabajo de todos los usuarios. b) Indica cómo se establece un sistema de cuotas en el disco.

Solución �� El montaje y el establecimiento un sistema de cuotas en el nuevo disco se realiza de esta forma: a) Montaje del nuevo disco Para simular la ampliación del disco del servidor, añade un disco a tu máquina virtual: 1. Ve al menú VM / Settings y haz clic en el botón Add. 2. Siguiendo el asistente, crea un disco del tamaño y tipo deseados y ubica su archivo físico donde quieras dentro de la máquina real. 3. Consulta la utilidad gráfica Utilidad de discos (figura 12.19), situada dentro del menú Aplicaciones / Herramientas del sistema. 4. Reinicia la máquina virtual para que detecte el nuevo cambio en el hardware.

12.19. Utilidad de discos.

A continuación, si consultas la utilidad de discos, verás que ya detecta el nuevo disco (figura 12.20). El nuevo disco aparece como /dev/sdb y sin formatear. Por tanto tendrás que formatearlo, y puedes hacerlo desde el mismo entorno gráfico, pinchando sobre la opción Formatear volumen, situada en la parte inferior izquierda. El siguiente paso para poder utilizarlo es montarlo, algo que también puede llevarse a cabo desde el entorno gráfico, haciendo clic sobre la opción Montar volumen.

12.20. Utilidad de discos con nuevo disco.

Como resultado tenemos el dispositivo /dev/sdb montado sobre el punto de montaje /media/otrodisco, siendo otrodisco la etiqueta que le hemos puesto en el asistente de montaje de dispositivo. b) Establecimiento de cuotas Edita el archivo /etc/fstab y haz las modificaciones necesarias para establecer las cuotas en el disco, tal y como vimos en la teoría. Para finalizar, desmonta y vuelve a montar la unidad: $ sudo mount –o remount /media/ otrodisco

236

Ideas clave

Conexión de equipos al servidor

– Localmente – Remotamente

Montaje de dispositivos

GESTIÓN DE RECURSOS. SEGURIDAD BÁSICA DEL SERVIDOR

Cuotas de disco

Gestión de impresoras compartidas

Gestión de archivos compartidos

– Tipos – Características – Configuración

– Servidor de impresión CUPS

– Entre equipos Linux: NFS


Unidad Unid ad 12 - Gestión de recursos. Seguridad básica del servidor

El uso de Linux Linux aumenta aumenta en el sector empresarial L

a Fundación Linux ha publicado su último informe sobre las tendencias de adopción de Linux en las empresas y por usuarios finales, el cual muestra que este tipo de sistema es cada vez más popular en el sector empresarial. Entre los principales motivos se encuentran su bajo coste total de propiedad, sus características técnicas y el hecho de que ofrece mayor seguridad en comparación con otras plataformas. Según los datos, un 82% de los profesionales que ya utilizaban alguna versión de Linux decidió expandir su uso en otras tareas o campos, en concreto a través de las distintas versiones del sistema Linux Server. Por el contrario, tan solo en 21,7% de los encuestados ha admitido que tiene previsto implantar Windows Server durante los próximos años. Linux Foundation ha explicado que tendencias como la virtualización, el cloud computing y

la gestión de Big Data son los máximos exponentes a la hora de adoptar plataformas Linux. Otros datos que aparecen en el estudio son que el 70% de los encuestados ha adoptado sistemas Linux debido a su bajo coste de propiedad, un 66% de los profesionales que han migrado a algún sistema a la nube lo ha hecho con Linux como plataforma primaria y un 72% tiene previsto previsto que al

menos uno de cada cuatro servidores esté virtualizado a finales de este año. Entre los datos negativos aparecidos en este informe se puede ver que el 39,6% admite que la complejidad de su gestión es un impedimento para una adopción más rápida y un 32,5% admite que la interoperabilidad con otros sistemas también frena su progresión.

Fuente: Arantxa Asián, MyComputerPro , 20 de enero de 2012

Actividades 1�� ¿Cuáles son las ventajas, desde el punto de vista empresarial, que aporta utilizar Linux en lugar de Windows en los servidores?

2�� ¿Cuáles podrían ser los inconvenientes de utilizar Linux en servidores? 3�� ¿Qué tecnologías y tendencias apoyan el auge de Linux?

u

n

i

d

a

d

13

Administración de servicios y procesos. Monitorización SUMARIO 

Administración de servicios y procesos






Monitorización del sistema



Análisis de archivos de log

OBJETIVOS ·· Aprender a administrar los servicios y los procesos.

·· Aprender a programar tareas. ·· Aprender a monitorizar el sistema. ·· Analizar y entender los archivos de log y detectar problemas de rendimiento.

239

Unidad Unid ad 13 - Administración de servicios y procesos. Monitorización

1 >> Administración de servicios y procesos 1.1 > Administración de procesos Los procesos son programas en ejecución. Muchos de ellos son iniciados por determinados servicios y otros por el propio usuario. Cada servicio puede iniciar uno o más procesos y cada uno de ellos ll eva asociado un ID o identificador de proceso. Los procesos pueden ejecutarse en primer pl ano o segundo plano:

– Los procesos que se ejecutan en primer plano son los que interactúan con el usuario en ese momento. Tan solo puede haber un proceso activo en primer plano en un shell. un shell. – Los procesos en segundo plano se ejecutan de manera oculta al usuario. Puede enviarse más de un comando en segundo plano. Para enviar o ejecutar un proceso en segundo plano basta con añadir el operador & al final del comando o utilizar el comando nohup.

El comando kill El comando kill se emplea para enviar señales a los procesos. Su sintaxis es: kill -número_señal ID_proceso

Una de las señales más empleadas es -9. Se utiliza para matar el proceso cuyo ID indiquemos al invocarlo. Con la orden kill –l aparece un listado con todas las señales que se pueden enviar a los procesos.

El siguiente ejemplo es un comando que lista los archivos del directorio /home en primer plano:

$ ls –laR /home Mientras que este otro comando hace lo mismo pero de forma oculta al usuario:

$ ls –laR /home & Dado que en nuestra consola puede haber al mismo tiempo procesos en ejecución en primer plano y segundo plano, para saber qué procesos se están ejecutando en un momento dado utilizamos el c omando ps. CentOS dispone además de la herramienta gráfica Monitor del sistema, a la que podemos acceder desde el menú A plic plicacio aciones nes / Herram Herramient ientas as del Sist Sistema ema.. En su pestaña Procesos podemos ver los procesos que se están ejecutando (figura 13.1). Desde el menú Editar podemos realizar las siguientes tareas en relación a los procesos:

13.1. Pestaña Procesos del Monitor del sistema.

– Detener: pausamos el proceso. Es similar al comando kill -2 (envío de la señal INT). – Continuar: reanudamos la ejecución de un proceso tras una pausa. Es similar al comando kill -18 (envío de la señal CONT). – Finalizar: termina la ejecución de un proceso ordenadamente. Es similar al comando kill -15 (envío de la señal STOP). – Matar: termina la ejecución de un proceso. Se utiliza en caso de que el proceso esté bloqueado. Es similar al comando kill -9 (envío de la señal KILL). – Cambiar prioridad: cambia la prioridad nice en que se ejecuta el proceso desde -20 (muy alta) hasta 20 (muy baja), siendo 0 la prioridad normal. Esta tarea también se puede realizar con los comandos nice nice y y renice.

Observación Desde el menú Editar / Preferencias del Monitor del sistema podemos seleccionar qué parámetros visualizar. visualizar.

240

1.2 > Administración de servicios

xinetd

El demonio xinetd demonio xinetd controla controla el acceso a varios servicios de red como FTP, IMAP y Telnet, con opciones de configuración específicas para el control de acceso, el registro mejorado, el redireccionamiento y el control de utilización de recursos.

Observación

Recordemos que los servicios son aplicaciones encargadas de realizar determinadas funciones de manera independiente y transparente al usuario. Algunos ejemplos son los servicios de red, la monitorización del sistema, las actualizaciones, etc. Para configurar los servicios que se ejecutan cuando se inicia el sistema se usa la herramienta Servicios Servicios,, ubicada dentro del menú Sistema S istema / Administración.. Esta herramienta es una aplicación gráfica que permite configurar tración qué servicios de dentro del directorio /etc/rc.d/i directorio /etc/rc.d/init.d nit.d se iniciarán durante el proceso de arranque (para los niveles de ejecución 3 , 4 y 5) y qué servicios xinetd serán habilitados. Desde su menú Configuración del servicio (figura 13.2), podemos habilitar, deshabilitar, iniciar, detener y reiniciar el servicio, así como personalizar el nivel de ejecución.

Algunos procesos no se pueden iniciar manualmente por depender de otros.

13.2. Menú Configuración del servicio.

13.3. Ventana Preferencias de la herramienta Aplicaciones al inicio.

Otra herramienta interesante es Aplicaciones es Aplicaciones al inicio, que se encuentra dentro del menú Sistema / Preferencias (figura 13.3). 13.3). Con ella podemos indicar indicar qué aplicaciones queremos que se ejecuten cuando iniciamos sesión en el equipo, así como quitar las que no nos interesen.

Actividades propuestas 1�� Abre el Monitor del sistema y selecciona con el botón secundario uno de los procesos, por ejemplo clockapplet o gnome-panel. Visualiza los archivos abiertos por dichos procesos.

2�� Desde la herramienta servicios, detén el servicio network. Describe qué sucede. 3�� Busca en Internet las diferencias entre enviar un comando a segundo plano con el operador & y hacerlo con el comando nohup. Desde los sitios web oficiales: www.centos.org o www.redhat.com www.redhat.com,, puedes descargarte o consultar los manuales de Linux, así como el material para la certificación LPI existente en la red. nice.. Puedes ayudarte con los materiales indicados en la actividad 4�� Busca en Internet qué es la prioridad nice anterior.

241

Unidad Unid ad 13 - Administración de servicios y procesos. Monitorización

2 >> Programación de tareas Como administradores o encargados de ciertas tareas de mantenimiento, nos puede interesar automatizar algunas de ellas, especialmente las rutinarias o las más tediosas. La programación de tareas permite programar o planificar la ejecución de un determinado comando, script comando, script o o programa en un determinado momento (por ejemplo la realización de copias de seguridad, la eliminación de archivos temporales, la creación de informes, etc.). El servicio o demonio que se encarga de la planificación es crond y debe estar en activo activo para que las tareas programadas se ejecuten. Este servicio se inicia (start), detiene (stop) (stop) y y reinicia reinicia (restart) como cualquier otro, desde la línea de comandos con /etc/rc.d/ con /etc/rc.d/init.d/crond init.d/crond o bien mediante la herramienta Servicios en el entorno gráfico. Lo más habitual es que se lance automáticamente durante el inicio del sistema operativo. La programación de tareas se realiza principalmente mediante un archivo o tabla llamado crontab. Estos archivos, junto con las tareas programadas, se almacenan en el directorio /var/spool/ directorio /var/spool/cron. cron. El archivo /etc/crontab es el de configuración general o crontab de sistema. Su sintaxis es similar a la del archivo crontab normal. Para gestionar la posibilidad de que ciertos usuarios puedan crear sus propios crontab, se utilizan dos archivos:

– /etc/cron.allow, /etc/cron.allow, donde se indican los usuarios que pueden crearlos. – /etc/cron.d /etc/cron.deny, eny, donde se indican los usuarios que no pueden crearlos. Si existe el archivo /etc/cron.al /etc/cron.allow low solo podrán utilizar el planificador de tareas o cron los usuarios especificados en él. En caso de que no exista, el sistema busca en el archivo /etc/cron.d /etc/cron.deny eny a los usuarios a los que les ha sido denegado el uso de esta aplicación. Y si no existe ninguno de los dos archivos, solo el usuario administrador (root) podrá utilizar cron. Cuando el servicio crond está activo, comprueba los archivos de configuración para saber si debe realizar alguna tarea y, en caso afirmativo, la ejecuta en el momento indicado. Los archivos crontab se modifican desde la línea de comandos con la siguiente sintaxis:

crontab opcion [usuario] [archivo] Pueden utilizarse las siguientes opciones:

– – – –

-u usuario: usuario: se usa para indicar el usuario cuyo crontab queremos editar. -l:: muestra el archivo crontab activo. -l -r : elimina el archivo crontab crontab.. -e:: edita el archivo crontab -e crontab..

Observación Para saber si el servicio crond se está ejecutando o no, utilizamos el siguiente comando desde la línea de comandos: $ sudo service crond status

242

En el archivo /etc/crontab (figura 13.4) se definen las variables:

– SHELL: el shell donde se ejecuta cron o el asignado al usuario. – PATH: las rutas donde cron buscará el comando que se ejecutará. – MAILTO: el usuario al que le llegarán las notificaciones de cron. – HOME: el directorio raíz del comando cron.

13.4. Ejemplo de archivo /etc/crontab.

La sintaxis de las tareas programadas en etc/crortab es la siguiente: Primer campo: minuto en el que se ejecutará (0-59). Segundo campo: hora en la que se ejecutará (0-23). Tercer campo: día del mes en el que se ejecutará (1-31). Cuarto campo: mes en el que se ejecutará, que se indica en formato numérico (1-12) o con tres letras correspondientes al nombre del mes en inglés ( jan, feb, mar, etc.). – Quinto campo: día de la semana en el que se ejecutará, que se indica en formato numérico (0-7, siendo el domingo 0 ó 7) o con tres letras correspondientes al nombre del día en inglés ( sun, mon, etc.). – Sexto campo (opcional): el nombre del usuario. Solo aparece en el crontab del sistema. – Séptimo campo: el comando o script que se debe ejecutar.

– – – –

En el ejemplo de la figura 13.4 se ejecuta el script home/usuarios/backup.sh todos los viernes a las 0:00. Dentro de cada campo se puede especificar lo siguiente:

– Que se cumpla para todos los valores, que se indica con «*». – Que se cumpla en un intervalo de tiempo, que se indica con un guion. Por ejemplo, 1-4 determina que sea de enero a abril. – Que se cumpla para varios valores para el c ampo, separados por comas sin espacios. Por ejemplo, 0,20 indica los minutos 0 y 20. Las tareas también se pueden programar guardando el script que se desea ejecutar en alguna de las siguientes carpetas de configuración de cron:

– /etc/cron.hourly: se ejecutan los scripts de su interior cada hora. – /etc/cron.daily: se ejecutan los scripts de su interior cada día. – /etc/cron.weekly: se ejecutan los scripts de su interior cada semana. – /etc/cron.monthly: se ejecutan los scripts de su interior cada mes.

Unidad 13 - Administración de servicios y procesos. Monitorización

243

Ejemplos Ejemplos de programación de tareas en crontab Para programar las siguientes tareas habría que añadir al archivo /etc/crontab las siguientes líneas: – Para que se ejecute la tarea send.sh cada minuto de cada hora de todos los días y semanas del año: * * * * * send.sh

– Para que se ejecute la tarea limpia.sh todos los días laborables a las 15:00: 0 15 * * 1-5 limpia.sh

– Para que se ejecute la tarea check.sh de lunes a jueves a las 8:00 y a las 15:00: 0 8,15 * * 1-4 check.sh

Casos prácticos

1

Planificando tareas �� Al terminar el periodo lectivo de un centro de estudios y, tras analizar los equipos donde los alumnos han realizado las prácticas, se comprueba que se ha acumulado mucha información que ya no se va a utilizar en el próximo curso. Para evitar eliminar los archivos en cada equipo y con el fin de automatizar este proceso de limpieza de cara al nuevo curso, se quiere encontrar una solución que agilice esta labor. a) Indica cómo se ha de realizar la limpieza de archivos temporales si los usuarios entran al sistema como usuariox, su directorio de trabajo es /home/usuariox y los directorios donde se encuentran los archivos temporales son Imágenes y Descargas. b) Indica cómo automatizar las tareas de limpieza de modo que cada semana se eliminen los archivos no relevantes de los usuarios tras acabar las clases a las 14:30 del viernes.

Solución �� Las tareas se realizarían de la siguiente forma: a) La limpieza de archivos temporales y no relevantes se realiza mediante comandos que se guardan dentro de un script llamado limpia.sh que contiene lo siguiente: #!/bin/bash #archivo limpia.sh find –type f /home/usuariox/Imagenes –exec rm {} \; find –type f /home/usuariox/Descargas –exec rm {} \;

b) Para automatizar las tareas, se edita el archivo crontab del usuario y se añaden las tareas que queremos ejecutar. Para editarlo usamos el siguiente comando: $ sudo crontab –e

La línea que tenemos que añadir al archivo es la siguiente: 30 14 * * 5 root /root/limpia.sh

Actividades propuestas 5�� Explica cómo se realiza la programación de tareas en Linux.

244

3 >> Monitorización del sistema Para detectar posibles errores y saber el motivo que los ha causado, necesitamos monitorizar el funcionamiento del servidor. Para esto Linux posee varias herramientas. La mayoría de estas tareas de monitorización pasan por la preparación de scripts o secuencias de comandos que proporcionan dicha información.

Sabías que… Si visualizas el tamaño de los archivos del directorio /proc comprobarás que es 0. Esto es debido a que el sistema de archivos es virtual, por lo que la información que se muestra es interna del sistema y no está almacenada en el disco duro.

La mayoría de los comandos ofrecen información obtenida de la lectura de un directorio particular dentro del sistema de archivos de Linux: el directorio virtual /proc. Linux también dispone de algunas herramientas gráficas para realizar las tareas de monitorización.

3.1 > Monitorización con la línea de comandos Los siguientes comandos son los más utilizados en los procesos de monitorización:

– ps: muestra los procesos que se están ejecutando y su estado.

13.5. Ejemplo de ejecución del comando ps.

– pstree: muestra los nombres de los procesos de forma jerárquica.

13.6. Ejemplo de ejecución del comando pstree.


– df: muestra el espacio libre disponible en l os sistemas de archivos.

13.7. Ejemplo de ejecución del comando df.

– du: muestra el espacio ocupado del directorio que especifiquemos.

13.8. Ejemplo de ejecución del comando du.

– free: proporciona información sobre la cantidad de memoria física, espacio de swap, buffers y memoria caché que utiliza el núcleo.

13.9. Ejemplo de ejecución del comando free.

– iptraf: muestra gráficamente las estadísticas de red en tiempo real. Es posible que no se instale con el sistema, pero se puede buscar, descargar e instalar desde la utilidad gráfica para añadir software.

13.10. Ejemplo de ejecución del comando iptraf.

245

246

– dstat: permite realizar estadísticas de CPU, utilización de disco, red, paginación y estado del sistema.

dstat

Si el comando dstat no está instalado, podemos buscarlo, descargarlo e instalarlo desde la utilidad gráfica para añadir software.

13.11. Ejemplo de ejecución del comando dstat.

– top: proporciona información en tiempo real sobre la actividad del sistema, la carga del sistema operativo, el porcentaje de utilización de la CPU, el porcentaje de utilización de la memoria física, etc. Para salir de la herramienta se debe pulsar .

13.12. Ejemplo de ejecución del comando top.

– last y lastb: el comando last muestra un listado de los últimos usuarios que han entrado en el sistema, cuándo lo han hecho y desde dónde. El comando lastb muestra los últimos intentos fallidos de entrada al sistema (figura 13.13). – uname: muestra información sobre el sistema, como el tipo de procesador, el sistema operativo, la versión del kernel, etc. (figura 13.14).

13.13. Ejemplo de ejecución del comando last.

13.14. Ejemplo de ejecución del comando uname.

247


– sar: almacena la actividad del sistema (carga de red, CPU o memoria) en un archivo binario. Si ejecutamos el comando y no lo encuentra, hay que instalar el paquete systat que lo contiene. Además, haciéndolo con yum, este añadirá al planificador de tareas las necesarias para que este comando recopile la información que muestra.

13.15. Ejemplo de ejecución del comando sar.

3.2 > Herramientas gráficas de monitorización Adicionalmente a la cantidad de comandos que nos ofrecen información acerca de la utilización de los recursos de nuestro servidor, Linux cuenta con algunas herramientas gráficas que también nos pueden ayudar.

Analizador de uso de disco El Analizador de uso de disco permite analizar el uso del disco en cualquier entorno GNOME, tanto el árbol del sistema de archivos completo como una rama específica del directorio solicitada por el usuario (local o remota). También detecta en tiempo real cualquier cambio hecho en nuestra carpeta personal, así como el montaje/desmontaje de cualquier dispositivo. Además proporciona un gráfico de mapa de árbol para cada carpeta seleccionada.

Baobab El analizador de uso de disco se llama Baobab y se encuentra dentro del paquete gnome-utils. Podemos invocarlo desde la línea de comandos mediante la siguiente orden: $ baobab

13.16. Analizador de uso de disco.

En un momento dado, por ejemplo, puede interesarnos el porcentaje de utilización del disco del directorio /home donde hemos creado las carpetas personales de los usuarios de nuestra red para prever si necesitarán más espacio.

248

Monitor del sistema

gnome-system-monitor

El Monitor del sistema se llama gnomesystem-monitor y puede ser invocado desde la línea de comandos mediante la siguiente orden: $ gnome-system-monitor

El Monitor del sistema muestra información básica sobre él y monitoriza los procesos y la utilización de los recursos del sistema y de los sistemas de archivos. También se puede utilizar para modificar el comportamiento del sistema. Esta herramienta presenta cuatro secciones en forma de pestañas:

– Sistema: muestra información básica del equipo, acerca del software base (nombre y versión de la distribución, versión del núcleo Linux y versión de GNOME), hardware (memoria RAM instalada, procesador y velocidad) y estado del sistema (espacio disponible en disco):

13.17. Pestaña Sistema del Monitor del sistema.

– Procesos: muestra la actividad de los procesos que están activos en el sistema, su estado, el porcentaje de utilización de la CPU y la memoria, entre otros datos.

13.18. Pestaña Procesos del Monitor del sistema.


249

– Recursos: muestra la actividad del procesador, la memoria física, la memoria de intercambio y de la red.

13.19. Pestaña Recursos del Monitor del Sistema.

– Sistemas de archivos: muestra todos los sistemas de los archivos montados junto con información básica acerca de cada uno, como el tipo de sistema de archivos, ocupación, etc.

13.20. Pestaña Sistemas de archivos del Monitor del sistema.

Actividades propuestas 6�� Indica qué comando ejecutarías para averiguar la cantidad de memoria física, espacio de swap, buffers y memoria caché que utiliza el núcleo del sistema. Señala cuáles son los valores que obtienes.

7�� ¿Cuáles son los procesos que más tiempo de tu CPU consumen utilizando la línea de comandos? 8�� ¿Qué procesos usan más memoria utilizando la línea de comandos? 9�� Abre la herramienta monitor del sistema y compara la información que muestra con la ofrecida por algunos de los comandos estudiados en el epígrafe anterior.

250

4 >> Análisis de los archivos de log Hemos visto que las herramientas de monitorización permiten detectar posibles anomalías en el funcionamiento del servidor, no obstante, esto no impide que sucedan. Cuando surgen problemas, lo más importante es saber qué es lo que ha pasado en el servidor. Para ello, puede ayudarnos la información que se registra sobre su actividad. Existen diversos archivos que registran eventos relacionados con el funcionamiento del servidor, como problemas de hardware, fallos en los ser vicios, problemas de autenticación, etc. El servicio encargado de registrar estos sucesos es rsyslog (figura 13.21), el cual recoge los mensajes de eventos de otros programas y servicios, clasificándolos en función de su tipo y prioridad.

13.21. El servicio rsyslog en la herramienta Configuración del servicio.

El archivo de configuración de rsyslog es /etc/rsyslog.conf. En él se configura en qué archivo de log se escribirá cada proceso del sistema. Los archivos de log o de registro se encuentran dentro del directorio /var/log (figura 14.22).

13.22. Archivos de log dentro del directorio /var/log.

251


En este directorio podemos encontrar muchos tipos de archivos, en función del suceso que el administrador quiera monitorizar. Entre los archivos de log que podemos consultar dentro de él se encuentran los siguientes:

– messages: mensajes informativos y de error de programas generales de sistema y demonios. – secure: mensajes de autenticación y errores. – maillog: mensajes y errores relativos al correo electrónico. – cron: mensajes y errores relativos al planificador cron. Para acceder gráficamente a los archivos de log podemos instalar el Visor de registros de auditoría o Visor de auditoría (audit-event-viewer) (figura 13.23). Esta herramienta permite crear listas de sucesos para auditar y utilizar filtros para, posteriormente, extraer informes. Este visor muestra por defecto los registros de auditoría recogidos por el archivo de eventos /var/log/audit/audit.log. Para cambiar la fuente de datos podemos seleccionar otro archivo de log desde el menú Ventana / Cambiar fuente de eventos Desde el menú Ventana / Abrir se accede a diversas plantillas de informes ya creados y almacenamos en /usr/share/audit-viewer (figura 13.24).

13.23. Visor de registros de auditoría.

13.24. Abrir plantillas de informes de auditorías.

Otra herramienta que resulta interesante para el análisis de los archivos de log es Webmin. Desde el menú System / System Logs podemos seleccionar qué archivo de log analizar.

13.25. Menú System Logs.

252

Casos prácticos

2

Realización de una auditoría con el Visor de auditoría �� Utilizando el Visor de auditoría, analiza los accesos de un usuario llamado profesor. Solución �� Para analizar los accesos del usuario profesor con el Visor de auditoría debes seguir los siguientes pasos: 1. Abre el Visor de auditoría y ve al menú Ventana / Nueva Lista. 2. En el menú Lista / Propiedades rellena los campos de las distintas pestañas tal y como se indica: – General: debes indicar el nombre de la lista, por ejemplo Control de accesos del usuario profesor , y el orden en que quieres que aparezcan los eventos. – Filtro: en la parte inferior selecciona el campo por el que filtrar con el desplegable, el operador y el campo de filtrado, que en tu caso es el usuario profesor . Pincha Añadir (figura 13.26). – Columnas: selecciona las columnas que quieres visualizar. En este caso déjalo como está. – Filtrar por Fecha: debes indicar el rango de fechas que quieres auditar, por ejemplo los eventos anteriores al 31/12/2012 (figura 13.27). – Expresión: se utiliza para indicar órdenes avanzadas. Déjalo como está 3. Haciendo clic en Aceptar vuelves a la ventana principal, donde verás la lista de registros auditados (figura 13.28).

13.26. Añadir un filtro a la lista.

13.27. Filtrar la lista por fecha.

Puedes extraer los resultados mediante el menú Lista / Exportar o realizar informes del mismo modo en que has realizado la lista, es decir, desde el menú Ventana / Nuevo Informe. La diferencia entre estas dos opciones es que el informe permite obtener gráficos. La figura 13.29 muestra un informe en forma de gráfico con dos filtros, uno para el usuario root y otro para el usuario profesor .

13.28. Nueva lista en el Visor de auditoría.

13.29. Informe de auditoría en forma de gráfico.


253

4.1 > Detección de problemas de rendimiento Gracias a las herramientas de monitorización y al análisis de archivos de log, podemos detectar problemas de rendimiento como estos:

– Lentitud en la realización de tareas, inicio de servicios o aplicaciones. – Errores en la instalación y desinstalación de determinados paquetes. – Lentitud de la red. Lo primero que debemos tener en cuenta es el correcto dimensionamiento del servidor en función de las aplicaciones o tareas que se le van a encomendar, esto es, que tanto el espacio en disco como la memoria y el procesador sean suficientes. Por ejemplo, si en el servidor se van a ejecutar aplicaciones que consumen mucha memoria, tendremos que analizar aspectos como el tamaño de la memoria física (RAM) o el de la memoria de intercambio ( swap). Si el sistema se queda corto de memoria física, utilizará la zona de intercambio o swap. La optimización del uso de la memoria ayuda a evitar que el servidor opere de manera ralentizada. La optimización de la utilización de elementos hardware, como la tar jeta gráfica, contribuye a consumir menos memoria Observando las herramientas o comandos de monitorización, podemos estudiar la utilización de la CPU en su trabajo diario para detectar picos de uso o carencias en cuanto al número de procesadores del ser vidor o sus características. Una tarea interesante, desde el punto de vista del rendimiento y de la seguridad, es optimizar el número de procesos que se inician durante el arranque, ya que seguramente haya procesos que podamos detener o deshabilitar porque no son necesarios.

Actividades propuestas 10�� Instala el Visor de sucesos o de auditoría y analiza lo que muestra. 11�� Localiza en qué archivo de log se registra el acceso de los usuarios. ¿Puedes averiguar las horas de inicio de sesión de los usuarios y desde dónde han accedido?

12�� Crea un usuario con el que poder trabajar con Webmin para evitar utilizar root. 13�� ¿Cómo gestiona Linux la memoria? ¿Para qué se utiliza la swap? 14�� Indica algunos procesos que podrías deshabilitar durante el proceso de inicio por no ser necesarios.

254

Actividades finales .: CONSOLIDACIÓN :. 1�� ¿Cuál es la diferencia entre servicio, proceso y programa? 2�� Indica el nombre de las herramientas gráficas que permiten monitorizar el estado del sistema. 3�� ¿Qué tareas en relación a los procesos puedes realizar desde el Monitor del sistema? 4�� ¿Qué implica cambiar la prioridad de un proceso? 5�� ¿En qué directorio se ubican los servicios que se inician durante el proceso de arranque? 6�� Realiza la programación de la apertura de la aplicación Calculadora para que se inicie todos los martes a las 10:30 modificando el archivo crontab.

7�� Realiza un listado en formato de árbol con todos los procesos que se están ejecutando en tu ordenador. 8�� Instala la aplicación iptraf. ¿Qué información ofrece? 9�� ¿Qué información se obtiene con la utilidad sar? 10�� Busca en Internet otras herramientas que faciliten la administración de Linux en forma gráfica. 11�� Indica cuáles de los siguientes elementos pueden afectar al rendimiento de un ordenador con Linux y por qué: a) La memoria RAM. b) El espacio en disco. c) La tarjeta de red. d) La tarjeta gráfica.

12�� Comprueba en qué estado está crond. 13�� Edita el archivo crontab del directorio /etc y planifica que se abra el navegador Mozilla Firefox dentro de 10 minutos. Después comprueba si esta tarea tiene lugar.

14�� Compara la información sobre las particiones del disco duro que aporta el analizador de uso de disco y la información que ofrece Webmin. ¿Qué diferencias encuentras entre una y otra?

.: APLICACIÓN :. 1�� La empresa Crea2res trabaja con ordenadores con Linux. Con el fin de controlar el trabajo de los usuarios, que se almacena en el servidor en el directorio /home/empleadoxx, siendo xx un número desde el 01 hasta el 99, se ha decidido crear una tarea programada semanalmente que liste el contenido de estos subdirectorios ordenados por fecha y se almacene en un archivo en cuyo nombre conste la fecha del día en que se realizó el control: a) Indica el comando necesario para realizar este listado. b) Indica la línea o líneas necesarias para realizar esta tarea programada en el archivo crontab.

2�� El administrador de sistemas de la empresa Crea2res ha decidido instalar Webmin con el fin de administrar remotamente el servidor, sin embargo se ha encontrado con un problema: no puede acceder a él a través del navegador. Indica las posibles causas de este fallo, las comprobaciones que sería necesario realizar y cómo puede solucionarse.

3�� Una vez resueltos los problemas de comunicación entre el ordenador del administrador de sistemas de la empresa Crea2res y el servidor, se ha decidido realizar los trabajos de control diario indicados en el ejercicio de aplicación n.º 1 a través de Webmin. Indica los pasos que se han de seguir.

255


Caso final

3

Detectando problemas de rendimiento �� La empresa Contax dispone de un servidor con CentOS con varios años de antigüedad que da servicio a toda la red. Se utiliza para varias tareas, como servidor web de la intranet, servidor de archivos, etc. Varios usuarios se van quejando de la excesiva lentitud de algunas aplicaciones que trabajan contra el servidor, especialmente durante las primeras horas de la mañana. Como nuevo responsable del área de sistemas: a) ¿Qué comprobaciones realizarías para verificar el problema? b) ¿Es significativo el dato de que la lentitud sea más acusada durante cierto periodo de tiempo? ¿Por qué?

Solución �� a) Comprobaremos primero si se trata de problemas de hardware. En caso de que no sea así, veremos si el problema es del sistema operativo o de las aplicaciones. Para realizar la comprobación del hardware, tomaremos nota de las características actuales del servidor (espacio en disco, RAM, procesador, velocidad del procesador...) mediante las herramientas que nos ofrece el sistema. Observamos, como datos más relevantes, que nuestro servidor tiene 256 MB de RAM y 40 GB de disco duro. A continuación procedemos a comprobar, gráficamente o usando la línea de comandos, las estadísticas e informes de rendimiento del grado de ocupación de los distintos recursos. Las gráficas del Monitor del sistema (figura 13.30) muestran un primer indicio de que puede tratarse de un problema de memoria. Su ocupación en este momento es del 87,5%. Para estar más seguros, ejecutamos el comando sar . En su informe (figura 13.31) observamos que la columna %idle tiene valores cercanos a 0, lo que indica sobrecarga de la CPU, y valores elevados en la columna %iowait, un síntoma de sobrecarga en los discos.

13.30. Gráficas del Monitor del sistema.

13.31. Informe generado por el comando sar.

Para analizar problemas derivados de la memoria utilizamos el comando sar –B (figura 13.32), de cuyo informe, a partir de los valores de la columna majflt/s, 13.32. Informe generado por el comando sar -B. concluimos que hay un elevado número de fallos de página, lo que pone de manifiesto que la cantidad de memoria asignada al sistema es insuficiente. b) Una lentitud más elevada a determinada hora del día es indicativo de que alguno de los procesos lanzados a esa hora es el causante de la ralentización. Analizando la actividad de la red y la hora en la que se lanzan los procesos, comprobamos que a esa hora se actualizan los antivirus.

256

Ideas clave

Administración de servicios y procesos


ADMINISTRACIÓN DE SERVICIOS Y PROCESOS. MONITORIZACIÓN

Monitorización del sistema

Análisis de los archivos de log

Detección de problemas de rendimiento

– Monitor del sistema – Servicios – Aplicaciones al inicio

– Crontab

– Comandos – Herramientas gráficas



Android vuelve a la familia en el Linux Kernel 3.3 F

inalmente, después de mucho tiempo y rumores, Android vuelve al Linux Kernel en la versión 3.3, que fue anunciada ayer por Linus Torvalds. Esto significa que este kernel podrá ser usado en dispositivos Android directamente y viceversa, ya que contiene los drivers necesarios para este sistema. También será más fácil actualizar estos controladores o implementarlos por parte de los fabricantes, ya que automáticamente estarían disponibles en Android y GNU/Linux. Sin duda se trata de una noticia esperada no solo por los fabricantes. Desarrolladores y usuarios podrán ejecutar y desarrollar aplicaciones en los dos sistemas, permitir que funcionen por separado en un PC sin riesgo de incompatibilidades o en diferentes dispositivos móviles que podrán interactuar entre sí sin problemas. Por supuesto, aunque esta es la novedad más relevante, se han anunciado otras, como el nuevo controlador NVMe (Non-Volatile Memory), que permite acceder a discos duros o SSD conectados por tarjetas PCIe, SATA Express, etc. En el tema de almacenamiento, también presenta muchas mejoras para

sistemas de archivos Btrfs, mejor redimensionamiento en línea del Ext4 (sin pausas) o la posibilidad de conectar o extraer discos RAID en caliente. Así mismo trae novedades en los controladores libres Nvidia Nouevau y Gallium3D, que ahora tienen soporte para transmitir audio mediante HDMI, nuevas características energéticas y soporte para nuevo hardware. Sin embargo, siguen siendo insuficientes, ya que no

incluyen controladores para algunas tarjetas, como algunas Radeon HD. Los chips Intel, por su parte, sí incluyen mejoras, como el sistema de ahorro de energía RC6, que pasa de consumir en reposo 5W a 2W. Las novedades alcanzan también a las redes, pues el protocolo 802.1AX permite combinar diversas interfaces Ethernet en un único dispositivo virtual.

Fuentes: The H Open y kernelnewbies.org. Elías Hidalgo, http://www.linuxzone.es, 19 de marzo de 2012.

Actividades 1�� ¿Qué ventajas aporta el hecho de que esta versión del kernel se pueda utilizar en dispositivos Android? 2�� ¿Qué son los archivos Btrfs? 3�� ¿Qué es el protocolo 802.1AX?

u

n

i

d

a

d

14

Redes mixtas. Integración de sistemas SUMARIO 

Sistemas heterogéneos



La herramienta Samba



Compartir recursos con Samba



Seguridad en los recursos compartidos en la red



Administración remota en entornos mixtos

OBJETIVOS ·· Conocer diferentes escenarios heterogéneos.

·· Saber qué es Samba y cómo se instala. ·· Saber qué es SWAT. ·· Aprender a configurar la compartición de recursos con Samba.

·· Aprender a mejorar la seguridad en la compartición de recursos de red.

·· Aprender a administrar remotamente servidores en entornos mixtos.


1 >> Sistemas heterogéneos A lo largo de todo el libro se ha estudiado cómo instalar y configurar servidores con sistemas operativos Windows y Linux. Estos servidores ofrecen sus servicios y diversas funcionalidades en entornos de red. Los servidores Windows están diseñados inicialmente para operar en entornos con el mismo tipo de sistema operativo y los servidores Linux, a su vez, para operar en entornos Linux, sin embargo es muy frecuente que las empresas dispongan de ambos tipos de servidores. Además, en muchas ocasiones se elige el sistema operativo del servidor en función del servicio que vaya a ofrecer; es muy habitual, por ejemplo, encontrar que el servidor web funciona sobre un servidor Linux. Un sistema heterogéneo es un sistema informático en el que los ordenadores que lo componen tienen sistemas operativos distintos. La figura 14.1 muestra un ejemplo de entorno homogéneo de red basado en Windows. Como se puede apreciar, todos los sistemas operativos son Windows (Windows 7, Windows 8 y Windows Server 2008 R2) y muchas de las aplicaciones que se muestran son específicas de este sistema operativo (Exchange, Sharepoint, SQL Server, IIS, Navision...).

14.1. Ejemplo de entorno homogéneo basado en Windows.

259

260

La figura 14.2 muestra un ejemplo de entorno de red homogéneo basado en Linux, en el que se trabaja con distintas distribuciones L inux (Ubuntu, CentOS, Suse, Fedora...) y con aplicaciones para Linux.

Linux Desktop Apache sobre Linux Router

Firewall

Router Router

BBDD sobre Linux

Firewall

ERP sobre Linux 14.2. Ejemplo de entorno homogéneo basado en Linux.

Sin embargo, lo más habitual es encontrar escenarios heterogéneos formados al mismo tiempo por servidores Windows (Windows Server 2003, Windows Server 2008, Windows Server 2008 R2...) y Linux (CentOS, Ubuntu, Red Hat...), así como estaciones cliente formadas por varios sistemas operativos (Windows XP, Windows Vista, Windows 7, Ubuntu, Fedora, Mac OS...), como muestra la figura 14.3.

Internet

BBDD MySQL sobre Linux

Servidores de aplicaciones Windows

PC

Acceso desde dispositivos móviles con distintos SSOO

14.3. Ejemplo de entorno heterogéneo.

Servidor web Apache sobre Linux


Con la expansión de nuevos dispositivos de comunicaciones como tablets, smartphones, etc., ha surgido la necesidad de que las redes informáticas empresariales intercambien información con ellos, si bien estos tienen sus propios sistemas operativos (Android, Symbian, iOS, Blackberry OS, Windows Phone, Windows 8, etc.). En las empresas es habitual que los comerciales trabajen remotamente con sus tablets, portátiles y teléfonos mó viles contra los servidores de la empresa o que las agendas de los teléfonos móviles de los empleados se sincronicen automáticamente con las aplicaciones de los servidores. Si tenemos un ordenador de sobremesa con Ubuntu, un portátil con Windows 7, un teléfono móvil con Android y un iPad, por ejemplo, lo primero que observamos es que no se detectan entre sí, es decir, que no se pueden comunicar de forma inmediata. Es necesario que realicemos algunas modificaciones en su configuración o que instalemos alguna aplicación para que puedan compartir recursos. La integración de sistemas se encarga de lograr la comunicación en entornos heterogéneos. Esto se realiza a distintos niveles:

– Nivel de conexión: los equipos se comunican entre sí mediante algún protocolo o canal de comunicación, por ejemplo una tablet y un ordenador portátil que se conectan a Internet a través de wifi mediante TCP/IP. Para establecer estas comunicaciones se requiere la intervención de ser vidores o equipos que ofrezcan los servicios necesarios, como los de enrutamiento, DHCP, DNS, etc. – Nivel de información: los equipos intercambian datos entre sí, por ejemplo un PC y un móvil que intercambian datos por USB o varios ordenadores que comparten datos en una red. Para que esto sea posible es necesaria en muchos casos la utilización se servicios como NFS y Samba, que logran el entendimiento entre los distintos si stemas operativos. – Nivel de servicios: los ordenadores o dispositivos clientes utilizan ser vicios ofrecidos por distintos servidores, por ejemplo una tablet con iOS que accede al servidor web Apache sobre Linux y a un servidor de archi vos con Windows. Los servicios más utilizados son Active Directory de Microsoft, LDAP para Linux, acceso remoto, correo, publicación web, etc.

Actividades propuestas 1�� ¿Qué es un sistema heterogéneo? 2�� Busca en Internet imágenes que reflejen distintos escenarios mixtos. 3�� Busca en Internet sistemas operativos para smartphones y para tablets.

261

262

2 >> La herramienta Samba El protocolo SMB SMB (Server Message Block) es un protocolo de nivel presentación del modelo OSI, creado en 1985 por IBM y modificado posteriormente por otros fabricantes.

Samba es un conjunto de programas que permiten la interoperabilidad entre sistemas Windows y Linux/Unix. Esta herramienta utiliza el protocolo SMB (Server Message Block), que es usado por diversos sistemas operativos para realizar operaciones cliente-servidor en un entorno de red. Entre esos sistemas operativos están Windows, Linux, Unix y OS/2. Gracias a Samba un ordenador con Linux en un entorno Windows puede compartir archivos e impresoras, autenticar usuarios Linux sobre ordenadores con Windows y visualizar toda la red. También se puede utilizar para ver servidores Linux desde clientes Windows. Samba permite compartir los recursos de una forma sencilla, entre sistemas operativos distintos, con la posibilidad de aplicar cierto nivel de seguridad a la hora de acceder a los recursos compartidos.

2.1 > Instalación de Samba Samba se encuentra distribuida en tres paquetes: Samba, Samba-common y Samba-client, que necesitaremos descargar e instalar. Para realizar la instalación podemos utilizar el modo gráfico tal y como se muestra en la figura 14.4:

Los nombres NetBIOS La resolución de nombres NetBIOS consiste en asignar un nombre NetBIOS a una dirección IP. Los nombres NetBIOS son direcciones de 16 bytes que se utilizan para identificar un recurso NetBIOS en la red.

14.4. Instalación de Samba en modo gráfico.

O bien podemos instalarla con el comando yum desde el shell:

$ sudo yum install samba samba-client samba-common Samba se ejecuta mediante dos servicios o demonios que pondremos en marcha desde la herramienta gráfica Servicios o desde la línea de comandos: smb (proporciona servicios de red SMB) y nmb (proporciona servicios de nombre NetBIOS).

$ sudo service smb start $ sudo service nmb start Una vez instalada la herramienta Samba, se debe proceder a su configuración para adaptarla a nuestras necesidades.

Actividades propuestas 4�� Realiza la instalación de Samba en tu máquina virtual con CentOS.

263


2.2 > Configuración de Samba en la línea de comandos Una vez instalada Samba, procederemos a configurarla con el fin de compartir archivos entre ordenadores con Linux y ordenadores con Windows. Las distintas opciones de configuración se realizan mediante la modificación del archivo /etc/samba/smb.conf, que consta de varias secciones cuyo nombre se indica entre corchetes, y en cuyo interior se especi fican los parámetros de configuración de la forma «parámetro = valor». Antes de realizar cualquier modificación es recomendable hacer una copia de seguridad del archivo, ya que, en cuanto sea modificado por nosotros o por las distintas herramientas de entorno gráfico, perderá parte de su contenido, concretamente todos los parámetros que están marcados como comentarios. Entre las secciones que aparecen encontramos las siguientes:

– global: define algunos parámetros comunes a la compartición de todos los recursos que se aplican a todo el servidor.

14.5. Ejemplo de la sección global del archivo /etc/samba/smb.conf.

– homes: se emplea para poder compartir los directorios personales de los usuarios (del tipo /home/usuario) (figura 14.6). – printers: se emplea para compartir impresoras (figura 14.6). – recurso: contiene parámetros para compartir el recurso indicado. Cada sección en el archivo de configuración (excepto global) describe un recurso compartido, conocido con el nombre de share o compartición. Los parámetros dentro de la sección definen los atributos de dicha compartición: derechos, opciones de administración, etc.

14.6. Ejemplo de las secciones printers y homes del archivo /etc/samba/smb.conf .

264

Entre los parámetros que podemos configurar en la sección global del archivo se encuentran estos:

– Workgroup: nombre del grupo de trabajo o dominio. – Netbios name: nombre del NetBIOS de la máquina. En caso de ponerlo, debe coincidir con el valor establecido en el archivo /etc/samba/lmhosts. – Server string: comentario descriptivo del servidor. – Interfaces: indica a través de qué interfaces de red se escucharán las peticiones de Samba. – Hosts allow y hosts deny: indican qué equipos tienen acceso (allow) y cuáles no (deny). Podemos escribir direcciones IP, por ejemplo 192.168.4.16, ó rangos, por ejemplo 192.168.4. Entre los parámetros que podemos configurar en la sección recurso se encuentran los siguientes:

– Comment: comentario acerca del recurso compartido. – Browseable: indica si se puede explorar o no el recurso. – Writable: indica si el recurso es de escritura o no lo es. – Read only: indica si el recurso es de solo lectura. – Valid users: permite especificar, separados por comas, los usuarios o grupos que tendrán acceso al recurso compartido. – Write list: permite especificar, separados por comas, los usuarios o grupos que tendrán acceso al recurso compartido con permiso de escritura. – Admin users: permite especificar, separados por comas, los usuarios o grupos que tendrán acceso al recurso compartido con permisos administrativos. – Guest ok: indica si permitiremos el acceso de invitados al recurso. – Path: indica la ruta al recurso compartido. – Public: indica si el directorio es o no de acceso público. – Printable: indica si el recurso es imprimible o no. – Create mode y create mask: indican los permisos (máscaras) que tendrán los archivos creados dentro del recurso. – Directory mode y directory mask: indican los permisos (máscaras) que tendrán los directory creados dentro del recurso. Tras instalar Samba, la mayoría del contenido del archivo /etc/samba/smb.conf son comentarios, esto es, líneas precedidas por una almohadilla (#) o líneas de ejemplo o desactivadas, precedidas por punto y coma (;). En función del tipo de servidor con el que contemos y de los servicios que tenga instalados, el archivo de configuración tomará unos valores u otros en forma de parámetros para cada una de las secciones. Para que el sistema acepte los cambios realizados en el archivo de configuración de Samba, reiniciaremos el servicio mediante la siguiente línea de comandos:

$ /sbin/service smb reload Una vez realizadas las modificaciones, en función de nuestros requerimientos para los recursos compartidos y los usuarios que acceden a ellos, podemos comprobar la sintaxis del archivo de configuración mediante la herramienta testparm.

265


2.3 > Configuración de Samba en modo gráfico La configuración de Samba también se puede realizar desde el entorno gráfico, mediante las siguientes utilidades:

– Samba Server Configuration Tool: herramienta gráfica muy limitada que permite administrar Samba de forma básica. Para instalarla, hay que descargar el paquete RPM system-config-samba, así como sus dependencias. – Webmin: herramienta gráfica de ámbito general para la administración de máquinas Linux /Unix a través de un navegador. – SWAT (Samba Web Administration Tool): herramienta de administración de Samba a través del navegador. En nuestro caso utilizaremos SWAT y la instalaremos desde esta línea de comandos:

$ sudo yum install samba-swat Para acceder a esta herramienta, abrimos el navegador y escribimos la URL http://127.0.0.1:901 . Lo primero que debemos hacer como administradores es evitar un acceso incontrolado a las herramientas de administración, en este caso Swat. No obstante, la propia herramienta nos va a pedir las credenciales. En función del perfil con el que entremos, tendremos acceso solo a información o bien a las propias herramientas de configuración.

Atención SWAT utiliza el puerto TCP 901, por lo que deberemos habilitarlo en el firewall para poder utilizarlo.

Si entramos con privilegios de usuario normal la pantalla que aparecerá será la siguiente:

14.7. Página principal de Samba con privilegios de usuario normal.

Desde esta página principal (figura 14.7) se pueden realizar las siguientes acciones:

– Consultar la documentación haciendo clic sobre la línea Samba documentation o sobre el apartado Books. – Consultar información sobre los servicios o demonios que utiliza Samba pinchando el apartado Daemons: smdb, nmdb o winbindd. – Consultar la sintaxis de los archivos de configuración de Samba: • smb.conf: es el principal archivo para su configuración. • lmhost: archivo de configuración de los hosts NetBIOS. • smbpasswd: archivo de usuarios de Samba.

Vocabulario smdb: es el servidor SMB/CIFS. Se encarga de la autenticación de usuarios, el bloqueo de recursos y la compartición de datos a través del protocolo SMB.

nmdb: es el demonio que se encarga de atender las peticiones NetBIOS.

winbindd: es el demonio que permite utilizar las cuentas de usuario de un dominio Microsoft.

266

– Consultar las distintas herramientas para llevar a cabo la administración:

El sistema CIFS El sistema de archivos común para Internet (CIFS) proporciona el medio para que sistemas clientes soliciten servicios de archivos a otras máquinas a través de la red, independientemente de la plataforma que se utilice. Este protocolo es una implementación del denominado bloque de mensajes del servidor (SMB), usado principalmente por ordenadores con Windows.

Base de datos de Samba Samba utiliza una base de datos trivial (TDB) para almacenar toda la información relativa a la integración de archivos e impresoras compartidas entre Linux y Windows.

• smbcontrol: envía mensajes de control a los servicios o demonios de Samba. • smbpasswd: gestiona las contraseñas SMB. • SWAT: es la herramienta de configuración web que estamos utilizando. • net: se encarga de la administración de servidores remotos CIFS (sistema de archivos común para Internet) y Samba. • pdbedit: gestiona las cuentas de usuario de Samba. • tdbbackup: realiza copias de seguridad de las bases de datos TDB (Trivial Database).

– Consultar información sobre las herramientas clientes: • rpcclient: es el cliente MS-RPC en línea de comandos. • smbtar: realiza copias de seguridad SMB. • smbclient: es el cliente SMB en línea de comandos. • smbmnt: ayuda al montar sistemas de archivos SMB en máquinas con Linux. • smbmount: monta sistemas de archivos SMB en Linux. • smbumount: desmonta sistemas de archivos SMB en Linux. • ntlm_auth: permite a los programas externos utilizar la autenticación NTLM. • smbcquotas: permite establecer cuotas al compartir archivos sobre si stemas de archivos NTFS. • smbspool: envía trabajos de impresión a una impresora SMB. • smbtree: es un explorador de redes SMB basado en texto.

– Consultar información acerca de las herramientas de diagnóstico: • smbstatus: sirve para monitorizar Samba. • testparm: sirve para testar o validar el archivo de configuración de Samba. • nmblookup: herramienta de consultas por nombre NetBIOS. • wbinfo: herramienta para obtener información de Winbind. Si entramos como usuario root, la ventana que aparece nos ofrece más posibilidades:

14.8. Página principal de Samba con privilegios de usuario root.

Cada icono que se ve en la figura representa una sección del archivo de configuración /etc/samba/smb.conf.


267

Si pinchamos el icono GLOBALS, accedemos a los parámetros de configuración de Samba que quedarán escritos en la sección globals de dicho archivo:

14.9. Sección GLOBALS de Samba.

Lo mismo sucede con los iconos SHARES, para compartir directorios, y PRINTERS, para compartir impresoras. El resto de los iconos tienen las siguientes funciones:

– WIZARD: abre un pequeño asistente para configurar el servidor. – STATUS: muestra el estado de los servicios relacionados con Samba y ofrece la posibilidad de cambiarlo. – VIEW: muestra el archivo de configuración /etc/samba/smb.conf en versión compacta (sin comentarios). – PASSWORD: sirve para añadir usuarios que puedan acceder a SWAT o para modificar sus contraseñas. Podemos configurar los distintos parámetros desde la vista básica, que es la que se muestra por defecto, o desde la vista avanzada, que permite especificar requerimientos de seguridad mayores. Para nuestro caso es suficiente con la primera.

Actividades propuestas 5�� Abre el archivo de configuración de Samba y localiza las distintas secciones. Analiza los parámetros de la sección globals.

6��

Realiza una copia de seguridad del archivo de configuración y después haz las modificaciones que creas convenientes para que tu servidor pertenezca al grupo de trabajo AULA.

7�� Instala Samba Server Configuration Tool indicando todos los pasos, así como los paquetes que ha sido necesario descargar e instalar.

8��

Instala SWAT en tu máquina virtual. Comprueba que puedes acceder a la herramienta a través del navegador. Si no es así, realiza las comprobaciones pertinentes en el firewall.

9�� Visualiza el archivo de configuración de Samba desde la utilidad gráfica. Compara el aspecto actual del archivo con la copia de seguridad que hiciste de él.

268

3 >> Compartir recursos con Samba Samba tiene su propia gestión de la seguridad para acceder a los recursos que se comparten a través de ella. El único requisito es que los usuarios de Samba deben haber sido creados previamente en el sistema operativo. Posteriormente, mediante el comando smbpasswd, modificaremos sus contraseñas para Samba.. A la hora de compartir recursos, si tenemos SWAT instalado, la gestión es mucho más sencilla y no es necesario tocar directamente el archivo de configuración. Para hacerlo entramos como root a la página de administración de Samba y pinchamos los iconos correspondientes a la o peración que queremos realizar (figura 14.10).

14.10. Iconos de la página principal de Samba accediendo como usuario root.

3.1 > Creación de usuarios Samba Los usuarios de Samba son usuarios ya existentes en el sistema a los que cambiamos la contraseña para que utilicen Samba. Pinchando el icono PASSWORD desde SWAT permitimos que un usuario acceda a la ventana de SWAT con privilegios mínimos.

14.11. Autenticación de un usuario de Linux en Samba.

Mediante el comando smbpasswd creamos la contraseña para Samba del usuario que indiquemos, el cual ya debe existir en el sistema, por ejemplo:

$ sudo smbpasswd –a ususamba Para completar la operación, el sistema solicitará la contraseña del usuario que queremos añadir, en este caso ususamba.

3.2 > Compartir archivos Windows desde Linux Una vez instalado el paquete de Samba y puestos en marcha sus servicios, podemos compartir un directorio. Para compartir archivos debemos indicar el directorio donde se encuentran, para proceder a habilitar la compartición, así como las condiciones bajo las que esta se produce (permisos, tipo de acceso, etc.).

269


Desde la línea de comandos Para compartir archivos Windows desde Linux desde la línea de comandos, básicamente hay que modificar el archivo /etc/samba/smb.conf de configuración de Samba.

Ejemplos Compartir un directorio desde la línea de comandos Vamos a crear el directorio comun en /home del ordenador de IP 192.168.1.38, para que el grupo AULA comparta archivos Windows desde el ordenador con IP 192.168.1.35: 1. Empezamos creando en /home una carpeta llamada común. Para ello ejecutamos como root lo siguiente:

# mkdir /home/comun 2. Damos los permisos rwx para el usuario y r-x para el grupo y para los otros:

# chmod 755 /home/comun 3. Editamos el archivo /etc/samba/smb.conf y, en el apartado global, ponemos las líneas correspondientes a los siguientes parámetros: – Nombre del grupo de trabajo: AULA. – Dirección IP de la máquina con Linux: 192.168.1.38. – Dirección IP de la máquina desde la que vamos a acceder: 192.168.1.35. Además, comentamos las líneas que modificamos por si las necesitamos posteriormente:

workgroup = AULA server string = Samba Server Versión %v ;netbios name = MICENTOS interfaces = lo eth0 192.168.1.38 hosts allow = 192.168.1.35 4. Añadimos al final de /etc/samba/smb.conf la sección correspondiente al directorio que queremos compartir:

[comun] comment = Recurso de pruebas con Samba path = /home/comun public = yes writable = yes 5. Guardamos los cambios y reiniciamos Samba con este comando:

14.12. Validación como usuario de Samba.

# service smb restart 6. Desde el Explorador de Windows buscamos la IP 192.168.1.38 del servidor con CentOS. Tras validarnos como usuario de Samba (figura 14.12) aparecerán los recursos compartidos que tengamos en el ordenador (figura 14.13) 7. Debemos tener en cuenta el firewall si observamos que no se puede llevar a cabo la conexión.

14.13. Directorio compartido comun en el Explorador de Windows.

270

Desde el entorno gráfico Para compartir archivos Windows desde Linux utilizando SWAT debemos hacer lo siguiente: 1. Una vez que hemos ejecutado la aplicación SWAT, hacemos clic sobre el icono SHARES. 2. Introducimos el nombre del recurso compartido, por ejemplo otracarpeta (figura 14.14), que ya debe existir en el sistema, y hacemos clic en Create share. 3. Una vez creado el recurso, lo seleccionamos en el apartado Choose Share (figura 14.15).

14.14. Nombre del nuevo recurso compartido.

14.15. Selección del recurso compartido que queremos configurar.

Podemos trabajar en modo Basic (básico) o Advanced (avanzado) haciendo clic sobre los botones correspondientes. Para empezar trabajaremos en el primer modo (figura 14.16), que permite configurar:

– Opciones de configuración básicas: como comentarios y ruta al recurso compartido. – Opciones de seguridad: usuarios autorizados y no autorizados, administradores, opciones de lectura y escritura, servidores que tienen acceso y servidores que no lo tienen, aceptación o no de invitados... – Opciones de búsqueda: si el recurso se puede localizar en la red o si será únicamente visible para aquellos usuarios con privilegios de lectura o escritura. – Opciones varias: si el servidor está o no disponible. – Opciones de módulo VFS: objetos VFS (Virtual File System).

14.16. Modo Basic de configuración del recurso compartido.

En el modo avanzado aparecen más variables dentro de las mismas opciones que en el modo básico, como podemos observar, sobre todo en la sección de opciones de seguridad. Además también se puede acceder a opciones adicionales como las de autenticación, tunning , manejo de archivos, configuración avanzada de la impresión, opciones LDAP, opciones MSDFS, opciones Winbind, etc.


3.3 > Compartir archivos Linux desde Windows En el apartado anterior hemos estudiado cómo se puede acceder a una carpeta compartida en un equipo con Linux desde un ordenador con Windows. Ahora bien, podemos encontrarnos con la situación opuesta, es decir, necesitar acceder a una carpeta compartida en Windows desde un ordenador que tenga instalado Linux. Para compartir una carpeta de Windows, por ejemplo C:\comunw, en Linux debemos seguir los siguientes pasos: 1. Pinchamos sobre la carpeta con el botón secundario del ratón y, para compartirla, seleccionamos Propiedades / Compartir . 2. Recordaremos que en el archivo de configuración /etc/samba/smb.conf del ejemplo anterior había una línea en la que se indicaba el grupo de trabajo AULA. Este grupo es el mismo con el que trabajamos en Windows. Por lo tanto, si desde el menú Lugares / Red del equipo con Linux buscamos la red Windows, visualizaremos el grupo de trabajo AULA y, dentro, el ordenador con Windows. 3. Haciendo clic sobre la imagen del ordenador con Windows (Red de Windows), accedemos a la carpeta compartida.

14.17. Acceso a la carpeta compartida.

4. Para no tener problemas de permisos, modificaremos convenientemente el archivo /etc/samba/smbusers: añadiremos al usuario de Samba (por ejemplo alumno) como si fuera root de Linux, tal y como se indica en la imagen 14.18. Otra opción que sería mucho más adecuada sería añadir la línea usuario_linux = usuario_samba.

14.18. Archivo /etc/samba/smbusers.

5. Después, reiniciando el servicio de Samba, ya tendremos acceso al directorio.

271

272

3.4 > Compartir impresoras con Windows desde Linux Además de compartir archivos, podemos compartir impresoras instaladas en nuestro ordenador con Linux para que sean utilizadas por equipos con Windows. Para compartir una impresora desde Linux con ordenadores Windows, debemos hacer lo siguiente:

14.19. Nombre de la nueva impresora.

14.20. Selección de la nueva impresora.

1. Utilizando el usuario root, accedemos a SWAT escribiendo la dirección 127.0.0.1:901 en nuestro Explorador y pinchamos el icono PRINTERS. 2. Si tenemos que añadir una nueva impresora, en el campo Create Printer escribimos un nombre para identificarla, por ejemplo Mi-Impresora (figura 14.19), y pinchamos el botón Create Printer. Posteriormente habrá que crearla desde las opciones de impresión de Linux. 3. Seleccionamos la impresora que queremos compartir y pinchamos Choose Printer (figura 14.20). 4. Haciendo clic en el botón Basic, accedemos a los parámetros básicos de configuración de esta impresora compartida (figura 14.21).

14.21. Parámetros básicos de configuración de la impresora.

Para acceder a la impresora desde los ordenadores con Windows, abriremos el Explorador de Windows y buscaremos el ordenador con Linux. En él aparecerán los recursos compartidos, entre ellos la impresora, y podremos utilizarla tras validarnos como usuario de Samba.

Actividades propuestas 10��

Crea un usuario llamado tecnico1 en tu ordenador con CentOS. Indica los pasos que se deben realizar para que dicho usuario tenga acceso total a su carpeta home desde un ordenador con Windows en el qu e tiene cuenta de usuario.

11�� Crea una impresora a la que solo tenga acceso el usuario

tecnico1.


273

4 >> Seguridad en los recursos compartidos en red En los epígrafes anteriores hemos estudiado cómo configurar de forma básica las opciones de compartición de recursos con Samba. La herramienta Samba cuenta con opciones de configuración que permiten compartir de manera controlada y segura los recursos de la red. Estos son algunos consejos para incrementar la seguridad a la hora de compartir recursos en red:

– Si creamos usuarios en Linux solo para que accedan a ciertos recursos compartidos en la red, debemos asegurarnos de que dichos usuarios no pueden ejecutar comandos en nuestro ordenador con Linux. Para ello, en su perfil de usuario estableceremos los valores /sbin/nologin o /bin/false como intérprete de comandos asignado que es lo mismo que no asignarles ningún shell. – Hemos de definir qué ordenadores tendrán acceso a nuestro servidor. Para ello, en el archivo de configuración de Samba smb.conf indicaremos como valores del parámetro hosts allow de la sección global las direcciones IP de los ordenadores autorizados. – Si nuestro servidor tiene varias tarjetas de red, deberemos establecer por cuál de sus interfaces de red se atenderán las peticiones de Samba, algo que haremos con el parámetro interfaces dentro de la sección global. – Si deseamos compartir un recurso de manera pública sin contraseña, estableceremos el parámetro public = yes o guest ok = yes en la sección correspondiente del archivo smb.conf . En caso contrario, indicaremos el valor no. – Si queremos indicar qué usuarios o qué grupos podrán acceder a un determinado recurso compartido, utilizaremos el parámetro valid users del archivo smb.conf: • Si queremos que dichos usuarios accedan con privilegios administrativos, les daremos de alta como valores del parámetro admin users. • Si solo deben acceder con permisos de escritura, los determinaremos como valores del parámetro write list.

– Para establecer los permisos con los que se podrán crear directorios y archivos dentro de un directorio compartido, se han de utilizar los parámetros directory mask y create mask.

Actividades propuestas 12�� Indica qué parámetros configurarías dentro del archivo

smb.conf si quisieras crear un directorio para las prácticas de los alumnos en tu servidor con las siguientes características:

– – – – –

Solo deben poder acceder a él los usuarios del grupo alumnos. Los permisos con los que se crearán los archivos de los alumnos serán rwxr--r--. Solo los usuarios profesor y root tendrán permisos de administración en el directorio. No se admitirán invitados. La red del aula es la 192.168.15. X. Ningún equipo fuera de esta red puede tener acceso al directorio.

274

5 >> Administración remota en entornos mixtos En una red corporativa, en la que hay diversidad de equipos y de servidore s con sistemas operativos heterogéneos (Windows y Linux), es habitual que los administradores realicen las tareas de gestión de los servidores de forma remota. Existen varias razones para ello, entre las que destacan estas:

– Los servidores se encuentran habitualmente en salas específicas y aisladas del resto de equipos (CPD). Estas salas pueden no encontrarse en las mismas dependencias que los administradores, además, las condiciones ambientales de dichas salas están pensadas para un trabajo óptimo de los equipos pero no para las personas dadas las bajas temperaturas. – Si sucede una caída de algún servidor o alguna incidencia con algún servicio, se puede tomar el control desde cualquier ubicación para tratar de averiguar qué ha sucedido y solucionarlo. Es habitual que al administrador le llegue un aviso (SMS al móvil, un mensaje de correo, etc.) y así, mediante control remoto, puede levantar un servicio incluso desde un terminal móvil. Los servicios de acceso remoto se pueden clasificar en función del tipo de sesión:

– Orientado a la sesión: no se puede ver remotamente en la pantalla del servidor lo que el usuario está haciendo, sino que abrimos nuestra propia sesión. – No orientado a la sesión: se puede ver remotamente en la pantalla del servidor lo que está haciendo el usuario. Son varias las herramientas disponibles para realizar servicios de acceso remoto. Entre ellas destacamos aquellas que son multiplataforma, es decir, que permiten acceder a equipos con Windows y con Linux:

Opciones de instalación de UltraVNC Varias son las opciones de instalación: – Full installation: instalación completa de los módulos cliente y servidor. – Viewer Only: solo se instala el módulo cliente, por lo que únicamente podremos administrar de forma remota equipos que tengan instalado un servidor VNC. Server Only: solo instala el módulo ser– vidor, lo que permitirá que nuestro ordenador pueda ser administrado remotamente por otro que tenga instalado el módulo cliente.

– Telnet: además de ser una herramienta, también es un protocolo para acceso remoto basado en TCP. Utiliza el puerto 23, ofrece servicio de acceso remoto en modo texto y está orientado a sesión. Su principal des ventaja es que la información viaja sin encriptar y puede ser escuchada por alguien que intercepte el tráfico de red. – VNC: aplicación en modo gráfico de software libre basada en una estructura cliente-servidor. Se trata de un servicio de administración remoto no orientado a sesión, es decir, el equipo servidor comparte la pantalla con el cliente conectado. – SSH: añade una capa de seguridad adicional que encripta la comunicación entre los ordenadores implicados. Utiliza el puerto 22 y el protocolo de transporte TCP. Se accede al servidor con un terminal con los pri vilegios de la cuenta con la que se inicia la sesión. Se trata de un servicio de acceso remoto en modo texto y orientado a la sesión. Para instalar una herramienta de acceso remoto en modo gráfico en Windows 7, utilizaremos UltraVNC (ya la utilizamos en la Unidad 12), una aplicación de software libre que ofrece una interfaz gráfica fácil e intuitiva y posee una estructura cliente-servidor que permite tomar el control remoto del servidor a través de un ordenador cliente, en nuestro caso un ordenador con Windows 7.

275


Una vez instalada, configuraremos la aplicación según nuestras necesidades mediante las dos ventanas que aparecen:

– En la primera indicamos opciones de configuración rápidas relativas a la velocidad de nuestra conexión y las opciones de pantalla. Señalamos además la dirección IP del ordenador al que queremos acceder remotamente, en nuestro caso el servidor con Linux que tiene la dirección IP 192.168.1.38. – Si queremos ajustar más opciones seleccionaremos la opción Manual y, haciendo clic en el botón Options, accedemos a la segunda ventana de configuración (figura 14.22), desde la que podremos ajustar opciones relativas al formato y la codificación de la información mostrada, opciones del ratón, etc.

14.22. Ventana de opciones de conexión de UltraVNC.

En el servidor, ya sea con Windows o con Linux, debe estar abierto el puerto 5900 en el firewall y debe estar instalado y ejecutándose el servidor VNC. Al iniciar la conexión, en el servidor aparecerá una ventana donde se nos advierte que otro usuario está intentado ver nuestro escritorio y nos pide permiso. Haciendo clic en Permitir tendrá acceso al servidor. Una vez realizada la conexión, aparecerá en el escritorio del servidor al que estemos conectados una barra de herramientas con opciones de administración remota:

1

2

3

4

5

6

7

8

9

1 Envía la orden + + al servidor. 2 Activa y desactiva la visualización en pantalla completa. 3 Muestra las opciones de conexión. 4 Refresca la pantalla. 5 Envía la orden de inicio al servidor ( + ). 6 Envía un carácter especial de teclado. 7 Muestra la ventana de estado. 8 Cierra la conexión. 9 Oculta la barra de herramientas.

14.23. Botones de la barra de administración de UltraVNC.

Podemos acceder a más opciones haciendo clic con el botón derecho sobre la parte superior de la ventana de UltraVNC.

Actividades propuestas 13��

Instala la herramienta UltraVNC (u otra similar) y trata de acceder a tu servidor con Linux. ¿Qué problemas encuentras? ¿Cómo puedes solucionarlos?

14�� ¿Qué significa que un servicio está orientado a la sesión?

276

Actividades finales .: CONSOLIDACIÓN :. 1�� Dibuja un esquema de un sistema heterogéneo en el que haya servidores de archivos, correo, web y bases de datos, indicando sobre qué sistema operativo de servidor implementarías los servicios citados.

2�� ¿Qué es Samba? 3�� ¿Cómo se llama el archivo de configuración de Samba? Búscalo y haz una copia para estudiarlo. 4�� Describe la estructura del archivo de configuración de Samba. 5�� ¿Qué servicios o demonios son necesarios para compartir recursos con Samba? 6�� ¿Existe alguna otra herramienta, además de Samba, que permita compartir recursos en entornos mixtos? 7�� Indica dos herramientas que permitan administrar Samba en entorno gráfico. ¿Qué puerto utilizan? 8�� ¿Qué comando permite testear el archivo de configuración de Samba cuando realizamos algún cambio? 9�� Indica los valores que se deben especificar en el archivo smb.conf si queremos compartir con Samba un directorio llamado practicas que utilizará el grupo de alumnos Dossmr que opera en la red 192.168.2.0.

10�� Realiza un esquema de los distintos tipos de servicios de administración remota. 11�� Busca en Internet herramientas de control remoto para cada uno de los tipos de servicios que se han explicado en la teoría.

12�� Indica cómo se gestionan los usuarios de Samba. 13�� Busca en Internet información acerca de los modos de seguridad de Samba. 14�� Indica algunos consejos para incrementar la seguridad a la hora de compartir recursos en una red. .: APLICACIÓN :. 1�� La empresa Mecainf S.L. tiene un parque informático constituido por distintos sistemas operativos. Todos sus equipos de oficina tienen Windows instalado con configuraciones prácticamente iguales entre sí, y los servidores son Windows y Linux. El control de usuarios lo realiza un servidor con Windows con una configuración que n o es relevante y el resto de funcionalidades son implementadas sobre servidores con Linux que no disponen de entorno gráfico instalado. Cada departamento está ubicado en un segmento de red con IP distinta y se utiliza un servidor Linux como puerta de enlace. Se pretende que los usuarios de cada departamento accedan a una carpeta compartida con Samba en uno de los servidores Linux: a) ¿Cómo se realizaría la configuración de Samba para implementar dicha solución? b) ¿Qué restricciones, desde el punto de vista de la seguridad, son necesarias para que ningún usuario no autorizado acceda a recursos que no debe ver ni utilizar?

2�� La empresa anterior dispone de un servidor web Apache instalado en uno de los servidores con Linux y el administrador se está planteando la posibilidad de realizar la administración vía web con un entorno más amigable. a) ¿Qué gestiones o tareas de administración puede realizar a través de la web? ¿Cómo? b) ¿Qué medidas de seguridad debe poseer el servidor para evitar el acceso incontrolado desde Internet?


277

Caso final

1

Integración de sistemas en entorno corporativo �� La empresa Playwithme S.L. se dedica al desarrollo y la venta de videojuegos. Inicialmente contaba con un único servidor Linux al que se conectaban el resto de ordenadores a través de la red. Con el paso de los años y el auge del mercado de los videojuegos, la empresa ha crecido, por lo que se ha adquirido otro servidor con Windows Server 2008 R2 y se han creado los departamentos de desarrollo, comercial y administración. Por todo ello, ahora la empresa se encuentra ante las siguientes necesidades: – Los ordenadores de los departamentos llevan instalado Windows 7. – Todos los empleados deben poder utilizar cualquier ordenador de sobremesa de la empresa accediendo con su nombre de usuario y su contraseña. – Varios desarrolladores trabajan con sus portátiles, algunos de los cuales tienen instalado Linux y otros Mac OS como sistema operativo. La empresa les proporcionará una sala con mesas y cableado eléctrico y de red para poder trabajar. – Cada departamento tiene asignadas impresoras que deberán ser gestionadas mediante algún gestor de impresión para optimizar su uso. – Los usuarios de cada departamento han de poder acceder a su carpeta compartida (desarrollo, comercial y administración), que se almacenará en el servidor Linux de la empresa. – Los usuarios administradores deben poder acceder a todas las carpetas compartidas. Busca la solución que mejor se adapte a las necesidades de la empresa y que optimice el uso de los servidores, suponiendo que los aspectos de conectividad de red están solucionados mediante los servicios DHCP y DNS, que ya están implementados.

Solución ��

En principio dejaremos que el servidor Linux existente gestione los servicios de red tal y como venía haciéndolo. La condición de que todos los empleados puedan utilizar cualquier ordenador accediendo con nombre de usuario y contraseña te hace pensar en la necesidad de crear un servicio de dominio para centralizar la gestión de usuarios. Puedes implementarlo tanto en un servidor con Windows, mediante Active Directory, como con Linux, mediante LDAP. Como el servidor Linux se emplea para otros servicios y el número de ordenadores con Windows es mayor, eliges la opción de instalar Active Directory en el nuevo servidor con Windows Server 2008 R2. Utilizas los grupos de usuarios y administradores de Windows Server 2008 R2 e incluyes en el primero a los empleados y en el segundo a los administradores. Creas las unidades organizativas desarrollo, comercial y administración y las políticas adecuadas para que se conecten a las unidades compartidas mediante Samba en el servidor Linux. Cada usuario pertenecerá a la unidad organizativa correspondiente a su departamento y tendrá acceso a su respectiva carpeta compartida. Como servidor de archivos, para establecer las carpetas compartidas puedes utilizar tanto Linux como Windows, ayudándote de las herramientas NFS y Samba según la necesidad. Como el enunciado de la actividad indica que deben almacenarse en Linux, utilizarás para tal fin el servidor Linux. El enunciado también señala la necesidad de desarrollar una gestión de impresoras. Para realizar una administración sencilla instalas Webmin en el servidor Linux, lo que permitirá gestionar tanto los directorios com-

partidos como las impresoras.

278

Ideas clave

Sistemas heterogéneos

Samba

– Definición – Instalación – Configuración

SWAT

REDES MIXTAS. INTEGRACIÓN DE SISTEMAS Compartir recursos con Samba

Seguridad

Administración remota en entornos mixtos

– Gestión de usuarios – Archivos – Impresoras



Ejecución de código remoto en Samba (una vulnerabilidad «como las de antes»)

S

e ha anunciado una grave vulnerabilidad en

El error ha sido descubierto por el investigador Brian

Samba que podría permitir la ejecución remota

Gorenc y una persona anónima de Zero Day Initiative

de código como usuario root a través de una co-

(ZDI), quienes han demostrado también la posibilidad

nexión anónima (sin autenticar).

de explotación que este presenta mediante una prueba

Samba es un software libre que permite compartir ar-

de concepto.

chivos e impresoras entre cliente y servidor con dife-

Se ha asignado el identificador CVE-2012-1182 a esta

rentes sistemas operativos, tales como DOS, Microsoft

vulnerabilidad. Su gravedad es máxima, de hecho re-

Windows, OS/2, Linux o Mac OS, mediante el protocolo

cuerda a vulnerabilidades de otro tiempo, cuando era

SMB/CIFS. Samba es ampliamente utilizado tanto por particulares como por empresas y se encuentra en prácticamente la totalidad de las distribuciones Linux y en un gran número de dispositivos con GNU/Linux. La vulnerabilidad está causada por un error en el generador de código utilizado para empaquetar y desempaquetar las llamadas de procedimiento remoto (RPC) a través de la red. Este error se debe a la falta de comprobación de concordancia entre la variable que contiene la longitud de un array y la variable usada para reservar memoria para dicho array. Un atacante remoto no autenticado podría explotar esta vulnerabilidad a través de una llamada RPC especialmente manipulada para lograr ejecutar código ar-

más común que surgieran fallos de este tipo en una red mucho más insegura. El fallo se encuentra en el código desde la versión 3.0.25 de Samba, de mayo de 2007, lo que significa que lleva cinco años en el código fuente del programa. Aunque las distribuciones ya están publicando nuevos paquetes para actualizar Samba y corregir esta debilidad, puede mitigarse el problema en aquellos dispositivos o servidores que no puedan actualizarse de inmediato utilizando la opción host allow en el archivo de configuración smb.conf para restringir los clientes que pueden acceder, o hacerlo a través de un cortafuegos adicional.

bitrario en el servidor como usuario root. En la práctica,

Para solucionar la vulnerabilidad, Samba ha lanzado

esto significa que con solo lanzar un comando contra

las versiones 3.4.16, 3.5.14 y 3.6.4, así como parches

un servidor Samba vulnerable en la red, se obtendría

para otras versiones más antiguas. Se pueden descargar

un control total sobre la máquina afectada.

desde su página oficial.

Fuente: Juan José Ruiz ( [email protected]), Hispasec (http://www.hispasec.com/), 13 de abril de 2012

Actividades 1�� ¿De qué utilidad habla el artículo? ¿La has usado en clase? 2�� ¿Cuál es la solución que propone el artículo para mitigar el efecto de esta vulnerabilidad? 3�� ¿Cuál es tu conclusión tras leer el artículo?

© Rosa Romero, Rafael Pérez, Gema Escrivá © MACMILLAN IBERIA, S.A. empresa que pertenece al GRUPO MACMILLAN c/ Capitán Haya, 1 – planta 14ª. Edificio Eurocentro 28020 Madrid (ESPAÑA) Teléfono: (+34) 91 524 94 20 Agradecimientos: a mi marido Miguel Ángel y mis hijos Miguel Ángel y Cristina; a Rafael Pérez Bisquert y Amparo Mª Morales Fabra; a mi marido Rubén, mi hijo Diego y mis padres Edición: Virgilio Nieto Corrección: Olga Martínez Coordinación de maquetación: Pedro Coronado Maquetación: Artes Gráficas G3 Diseño de cubierta e interiores: equipo Macmillan Profesional Realización de cubierta: Ángeles Marcos Fotografías: IngImage, Intel, Hewlett-Packard Ilustración: Artes Gráficas G3 ISBN EDICIÓN ELECTRÓNICA: 978-84-15991-40-3 Reservados todos los derechos. Queda prohibida, sin autorización escrita de los titulares del copyright , la reproducción total o parcial, o distribución de esta obra, incluido el diseño de cubierta, por cualquier medio o procedimiento, comprendido el tratamiento informático y la reprografía. La infracción de los derechos mencionados puede ser constitutiva de delito contra la propiedad intelectual (Art. 270 y siguientes del Código Penal).

Sistemas operativos en red.pdf

Recommend Documents