La incorporación del Directorio Activo de Microsoft, como solución comercial del servidor de Directorio es hoy muy difundido en las organizaciones, sobre todo porque proporciona herramientas gráficas de administración y configuración del directorio muy fáciles de utilizar; pretendiendo aislar al administrador de la red, de los conocimientos avanzados acerca de los protocolos y estándares que implementa.
La sustitución del Active Directory por Samba-OpenLdap ofrece numerosas ventajas, no sólo por ser este un software amparado por licencias de libre distribución, sino por ser un sistema altamente configurable, que permite personalizar una organización en la medida exacta a través del directorio.
Active Directory
Active Directory es una implementación propietaria (creada por Microsoft) de los Servicios de Directorio, y proporciona una manera de compartir información entre recursos y usuarios de la red. Además de proporcionar una fuente centralizada para esa información, Active Directory también funciona como autoridad de seguridad centralizada de autenticación para la red.
Active Directory combina capacidades que tradicionalmente se hallaban en sistemas separados y especializados de directorio, como integración simplificada, gestión y seguridad de los recursos de la red. El paquete SAMBA puede configurarse para usar los servicios de Active Directory desde un controlador de dominio de Windows.
LDAP
(«Lightweight Directory Acces Protocol», en español Protocolo Ligero de Acceso a Directorios) es un protocolo de tipo cliente-servidor para acceder a un servicio de directorio. Se usó inicialmente como un Front-End o interfaz final, también puede usarse con servidores de directorio únicos y con otros tipos de servidores de directorio. ¿Qué es un directorio? Un directorio es una base de datos, pero en general contiene información más descriptiva y más basada en atributos de usuarios y recursos de red.
LDAP (OpenLDAP)
La aplicación de servidor LDAP proporciona funcionalidad de Servicios de Directorio a ordenadores Windows de una forma muy similar a los servicios de Microsoft Active Directory. Tales servicios incluyen gestionar las identidades y las relaciones entre los ordenadores, usuarios y grupos de ordenadores o usuarios que participan en la red, y proporcionan una forma consistente de describir, localizar y gestionar esos recursos. La implementación de libre distribución disponible en su sistema de libre se llama OpenLDAP. Los demonios de servidor responsables de gestionar las peticiones de directorio OpenLDAP, y la propagación de datos de directorio entre un servidor LDAP y otro Linux, son slapd y slurpd.
OpenLDAP puede usarse junto con SAMBA para proporcionar servicios de Archivo, Impresión y Directorio prácticamente de la misma forma que un Controlador de Dominio de Windows, si se compila SAMBA con soporte LDAP.
OpenLDAP no tiene nada que envidiarle al Microsoft Active Directory, las herramientas están ahí, sólo hay que saberlas implementar y administrar, lo que sería su único costo (tiempo y paciencia).
Integración de redes con OpenLDAP+Samba+cups:
Con esta herramienta usted puede integrar sus usuarios finales, usuarios comunes con su computador Windows XP, si el caso lo amerita, esto sin hacer cambios que puedan entorpecer las labores de estos usuarios, en caso de que usted quiera hacer alguna prueba en alguna empresa o casa de estudios.
Active Directory y OpenLDAP son en esencia, lo mismo (utilizan el mismo protocolo «LDAP», son de la misma gama de servidores de directorio «X500», trabajan con el mismo tipo de bases de datos «BDB», entre otras muchas similitudes…), hay una cosa que los malos administradores no saben, y es que un servidor de directorio (LDAP) no es solamente para guardar la información relativa al login de un usuario, sino que también sirve para almacenar libretas de contactos, calendarios compartidos, Información personal mas allá de simplemente usr y pass, en resumen… sirve para mucho más…. además, es el aliado #1 de un buen administrador de red.
Dos de las preguntas más frecuentes, de aquellos que quieren intentar este cambio de plataforma son:
1: ¿Qué pasa con el Controlador de Dominio (DC) que poseo actualmente?
2: ¿Qué hago con mis usuarios finales, que poseen Windows XP o Vista?
Existe la manera para hacer una migración completa de todos los usuarios y contraseñas, entre otros servicios propios de un Controlador Principal de Dominio PDC (Primary Domain Controller). Esto es totalmente válido para Controladores de Respaldo de Dominio (Backup Domain Controller, BDC).
Fuente:clavedigital.com
Para los que no deseen pegarse demasiado con Samba, Kerberos, Bind y OpenLDAP o para aquellos sin demasiados conocimientos, podéis probar un producto libre que los integra WBSAgnitio (http://www.wbslabs.com/wbslabs/live/proyectos/wbsagnitio.html).
A parte de la licencia, ¿cual es la ventaja de usar OpenLDAP en vez de Active Directory?
que es mucho más compatible con diversos Sistemas Operativos, porque las soluciones Microsoft son sólo para Microsoft
Hay forma de aplicar policys??
se pueden establecer relaciones de confianza con dominios active directory?
Estoy tratando de levantar un web-proxy utilizando squid 2.7 STABLE3 sobre ubuntu 8.10, trabajando ademas con autenticacion LDAP hacia Active Directory. Hasta ahora, no he podido pasar del proceso de autenticacion de los usuarios….. alguien sabe algo del tema? estoy estancado, agradezco cualquier ayuda que me puedan brindar.
Realice las pruebas con OpenLdap, la verdad prefiero pagar y tener una plataforma estable, segura y sobre todo conocida, la cual es mundialmente soportada. Muy lindo el software libre, muy buenos productos, pero Microsoft tiene mucha ventaja y crea productos convincentes y amigables para plataformas empresariales de alto nivel, en pocas palabras Microsoft trabaja para elaborar productos de alto desempeño y requimiento de negocios.
Administro 3 dominios distribuido en 17 paises, relaciones de confianza, realice la prueba con el openLdap, la verdad como menciones arriba, para mi gusto me quedo con Microsoft.
lo mismo me pasa a mi.
Una cosa es probar o no tener limites de tiempo para implementar (casi una utopia en las empresas actuales). Ya tengo suficientes problemas en dejar los dominios estables y seguros, como para hacer de lo simple y conocido, algo complejo. Estoy a favor de OpenLDAP, pero siempre que tengas a expertos de verdad en la empresa. Lo de las licencias, es una tonteria; todas las empresas integran los costes de licencias y al final de un ciclo de vida de un sistema, es perfectamente asumible.
En cuanto a lo que se dice mas arriba que ActiveDirectory es menos personalizable, discrepo rotundamente. a dia de hoy, posiblemente es la mejor estructura de LDAP existente en la actualidad. Mirad el directorio Active de Windows 2008 R2, la aun mayor integracion con la PKI de Microsoft y los sistemas de proteccion del borde ActiveDirectory desde su forma basica como ldaps de solo lectura hasta los sistemas Federativos.
Es facil comparar OpenLDAP de hoy con el Active directory de windows 2000…. claro que… desde esa epoca hasta hoy a llovido mucho. 🙂
Hay cosas en las que discrepo, y me perdonarás vos y Dios por decirlo (pues no me toca a mí juzgarte), pero dices "pagar por una plataforma estable, segura y conocida", lo único en que puedo estar de acuerdo es enl lo conocido. Y yo opino que AD es mejor que OLDAP, pero veo en tu comentario que las razones por la cuales prefieres AD no es por seguridad, ni estabilidad, pues OLDAP también lo es, sino tus motivos son pereza, falta de amor y entrega a la profesión, e incluso me atrevo a decir negligencia, pues no sos una persona que se exige a sí mismo.
Es lamentable que no seas un profesional que crece y se supera.
Maldita costumbre de "siguiente, siguiente, finalizar", así con asistentes hasta mi vecina puede ser administradora de red.
Falta amar la profesión, el único interés es monetario. No hay orgullo por poder decir "yo sé cómo funciona".
Estoy de acuerdo contigo
Muy bien oscar. Totalmente de acuerdo.
Excelente post.
Con respecto a la preferencia de pagar.
Aqui en la empresa donde precidio. Hemos migrado el 90% de los sistemas operativos a GNU/LINUX, y tengo el orgullo (que quede claro que no soy pedante ni egolatra jejej) de decir, yo se como funciona y formo parte de una de las pocas empresas con totalidad de software libre.
Hoy día muchas empresas migran a software libre, es una buena opción cuando las licencias se hacen impagables. También es cierto que en otros casos se puede conseguir un buen plan para no tener que re-enseñar a muchos empleados a usar un nuevo SO y otro tipo de Software, igualmente lo bueno es que hay soluciones para todos y cada uno puede adecuarse a estas 🙂
Sin dudas la opción del software libre es excelente hoy día si bien no puede usarse en el 100% de los casos.
Muchachos por el momento puedo decirles que la experiencia que tengo con sofware libre es buena x ahora funciona y muy bien con mas de 8000 usuarios incorporados al dominio ( Ubuntu+samba+ldap ).
Mira creo que hay grandes ventajas mas alla de los costos, es en primer lugar un desafio profesional y segundo no crear una dependencia de la plataforma.
Ha otra gran ventaja el open source te permite una administracion mas granular de los recursos de hardware y esto es un punto muy importante para la reutilizacion de servidores.
@vg63 sin dudas Ubuntu y casi todos los linux son una excelente opción como servidor.
Muchas veces bromeo y lo hago en los comentarios de nuestros sitios y se enojan porque hablo a favor de Windows (o a veces Linux) pero no se ponen a mirar que toda nuestra red de sitio esta en servidores Linux, para mi es la mejor opción hoy día para colgar este tipo de sitios 🙂
hola a todos si me podrian ayudar yo estoy implementado ldap y opte por implementar OpenDs en centOS, pero la verdad una ves configurado el servidor no se como conectar usuarios windos a mi dominio dc=sistemas, dc=com intento desde windows unir a este dominio sistemas.com y me dice que el dominio no existe osea no puede conectarse, y tengo un monton de dudas como si es necesario hacer uso de samba para poder unirme al dominio algo que no me parece logico…….. Si alguien domina esta información le estaría eternamente agradecido