Controladores de Dominio y Active Directory: cuestión de accesos e identidad corporativa

En el día a día de las organizaciones, la seguridad de acceso a los recursos de TI de la organización desde cualquier dispositivo se ha convertido en una prioridad. De ahí que los estrategas de seguridad de la organización requieran recursos para hacer más eficiente la gestión de forma remota de las contraseñas, la autenticación y otros protocolos de acceso para cada dispositivo.

¿Qué es un controlador de dominio?

Para entender qué es un controlador de dominio, primero entendamos qué es dominio. Un dominio es simplemente una red de dispositivos (PC, ordenador portátil, impresoras, cámaras de seguridad, etc.) unidos mediante una infraestructura de conexión (cableada o Wi-fi) a un equipo servidor (que será el controlador de dominio). Es decir, un controlador de dominio es un servidor desde el cual se controla un conjunto de funciones de un dominio. Los dispositivos conectados a un dominio son principalmente servidores y estaciones de trabajo de Microsoft Windows (en sus diferentes versiones).
Las funciones principales de un controlador de dominio son las siguientes:

• Albergar información de usuarios, gestión de contraseñas y accesos.
• Distribuir software mediante directivas de grupo.
• Gestionar políticas de usuarios y equipos.

Cada usuario que esté dentro de un dominio tendrá asociada una cuenta de usuario única, mediante la cual podrá acceder a los recursos dentro del dominio siempre y cuando tenga derecho de acceso.

Tipos de Controladores de Dominio

Los controladores de dominio normalmente se implementan como un clúster, para garantizar la alta disponibilidad y maximizar la confiabilidad. En un entorno Windows, un controlador de dominio actúa como controlador de dominio primario (Primary Domain Controller PDC); los demás servidores actúan como controladores de dominio de respaldo (Backup Domain Controller, BDC). En entornos basados en Unix, una máquina actúa como controlador de dominio maestro y otras actúan como controladores de dominio de réplica, replicando periódicamente la información de la base de datos del controlador de dominio principal y almacenándola en un formato únicamente de lectura. Para tenerlo más claro:

• Controlador de dominio primario (PDC): En las primeras versiones de Windows Server, se designaba un controlador de dominio como PDC, que era responsable de mantener la copia maestra de la base de datos del usuario y administrar las solicitudes de inicio de sesión de los clientes. Si el PDC fallaba, se podía promover un controlador de dominio de respaldo (BDC) para que ocupara su lugar.
• Controlador de dominio de respaldo (BDC): Los BDC se introdujeron para proporcionar redundancia a los PDC. Mantenían una copia de la base de datos de usuarios y podían autenticar a los clientes en caso de que el PDC no estuviera disponible.

Aun cuando hoy PDC y BDC ya no se usan en las redes modernas basadas en Windows, representan los dos tipos de controladores de dominio que se usaban en las primeras versiones de Windows Server. Desde Windows 2000, Active Directory (más adelante lo explicaremos) reemplazó las funciones de controlador de dominio principal y de controlador de dominio de respaldo.

Roles Especializados del Controlador de Dominio

Cuando se instala Windows Server en una computadora, se puede configurar una función de servidor específica para esa computadora. Cuando desee crear un dominio nuevo o un controlador de dominio adicional en un dominio existente, se configura el servidor con la función de controlador de dominio instalando Active Directory® Domain Services (AD DS).
Existen funciones de controlador de dominio especializadas que realizan funciones específicas en un entorno de AD DS. Estos roles especializados son:

• Servidores de catálogo global
  Un servidor de catálogo global almacena su propia réplica de dominio completa y grabable (todos los objetos y todos los atributos) más una réplica parcial de solo lectura de todos los demás dominios. El sistema de replicación de AD DS crea y actualiza automáticamente el catálogo global. Los atributos de objeto que se replican en los servidores de catálogo global son los atributos que es más probable que se usen para buscar el objeto en AD DS. Los atributos que se replican en el catálogo global se identifican en el esquema como el conjunto de atributos parciales y Microsoft los define de forma predeterminada. Sin embargo, para optimizar la búsqueda, puede editar el esquema agregando o eliminando atributos almacenados en el catálogo global.
  El catálogo global hace posible que los clientes busquen en AD DS sin tener que ser remitidos de un servidor a otro hasta que se encuentre un controlador de dominio que tenga la partición del directorio del dominio almacenando el objeto solicitado. De forma predeterminada, las búsquedas de AD DS se dirigen a servidores de catálogo global.
  El primer controlador de dominio se crea automáticamente como servidor de catálogo global. A partir de entonces, pueden designar otros controladores de dominio para que sean servidores de catálogo global si es necesario.
• Maestros de operaciones
  Los controladores de dominio que desempeñan funciones de maestro de operaciones están designados para realizar tareas específicas para garantizar la coherencia y eliminar la posibilidad de entradas conflictivas en la base de datos de Active Directory. AD DS define cinco funciones de maestro de operaciones: maestro de esquema, maestro de nombres de dominio, maestro de identificador relativo (relative identifier, RID), emulador de controlador de dominio principal (PDC) y maestro de infraestructura.

Sistema de Nombres de Dominio (DNS)

El sistema de nombres de dominio (Domain Name System, DNS)​ es un sistema de nomenclatura jerárquico descentralizado para dispositivos conectados a redes IP como Internet o una red privada. Este sistema asocia información variada con nombres de dominio asignados a cada uno de los participantes.

El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena información asociada a nombres de dominio en redes como Internet. Aunque como base de datos el DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más comunes son la asignación de nombres de dominio a direcciones IP y la localización de los servidores de correo electrónico de cada dominio.

Active Directory Domain Services (AD DS) usa los servicios de resolución de nombres del Sistema de nombres de dominio (DNS) para que los clientes puedan localizar controladores de dominio y para que los controladores de dominio que hospedan el servicio de directorio se comuniquen entre sí.

Objetos en Active Directory

Las estructuras de Active Directory contienen información sobre objetos clasificados en dos categorías: recursos (como impresoras) y principios de seguridad (que incluyen cuentas y grupos de usuarios o computadoras). A cada entidad de seguridad se le asigna un identificador de seguridad único (Security Identifier, SID). Un objeto representa una entidad única, tal como un usuario, una computadora, una impresora o un grupo de objetos, junto con sus atributos. Algunos objetos pueden incluso contener otros objetos en su interior. Cada objeto tiene un nombre único y su definición es un conjunto de características e información mediante un esquema que determina el almacenamiento en Active Directory.

Algo importante a considerar es que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivarlos o cambiarlos puede alterar o interrumpir fundamentalmente una implementación. La modificación del esquema afecta a todo el sistema automáticamente y los objetos nuevos no se pueden eliminar, sino sólo desactivar. Cambiar el esquema generalmente requiere una correcta planificación.

Replicación en Active Directory

La infraestructura de Active Directory depende de una replicación saludable. Esto es porque cada controlador de dominio de la red debe estar al día sobre cada cambio que se haya realizado. Cuando el controlador de dominio activa una sincronización, pasa los datos a través de la red física hasta su destino.

Existen básicamente dos tipos de replicaciones:

• Replicación dentro del sitio: Se refiere a la replicación que ocurre en un sitio. De forma predeterminada, (según Microsoft) cualquier controlador de dominio se enterará de cualquier actualización del directorio en 15 segundos. Dentro del sitio, a pesar de la cantidad de controladores de dominio, cualquier actualización del directorio se replicará en menos de un minuto.
  Dentro del sitio, las conexiones de replicación funcionan en topología de anillo ring topology). Lo que significa que cualquier controlador de dominio tiene dos enlaces de replicación (por supuesto, hay un mínimo de tres controladores de dominio). Esta arquitectura evitará que los controladores de dominio tengan bucles de replicación interminables. Por ejemplo, si hay 5 controladores de dominio y todos están conectados entre sí con una conexión uno a uno, cada controlador de dominio tendrá 4 conexiones y cuando haya una actualización en uno de los controladores de dominio deberá anunciarlo a los 4 controladores de dominio. Esto hace que, a pesar de la cantidad de controladores de dominio en el sitio, cualquier controlador de dominio determinado solo necesita anunciar o escuchar a dos controladores de dominio en un momento dado.

  

• Replicación entre sitios: Si la infraestructura del directorio activo contiene más de un sitio, se produce un cambio en un sitio que debe replicarse en otros sitios. Esto se denomina replicación entre sitios y su topología es diferente de la replicación dentro del sitio. La replicación en el sitio siempre se beneficia de los enlaces de alta velocidad. Pero cuando se trata de ancho de banda entre sitios, la latencia y la confiabilidad son aspectos a tener en cuenta.

  

  Cuando se trata de enlaces entre sitios, la replicación se realiza a través de enlaces a sitios— la replicación en cada sitio todavía utiliza la topología de anillo. Tomando la figura anterior como ejemplo, supongamos que se agregó un objeto a REBEL-DC-02 en el sitio de Londres. Ahora, según la topología, también se anunciará en REBEL-DC-03. Pero además de ser un controlador de dominio, este controlador de dominio en particular también es un servidor puente (bridgehead). Por lo tanto, es responsabilidad de este servidor anunciar las actualizaciones que recibió en el servidor puente en el sitio de Canadá, que es REBEL-DC-04. Una vez que se recibe la actualización, se anunciará a los otros controladores de dominio en el sitio. La replicación entre sitios aún debe obedecer las reglas que se aplican para controlar la replicación. Los servicios de dominio de Active Directory seleccionan automáticamente el servidor puente para un sitio. Pero si es necesario, podemos decidir qué debería actuar como servidor puente para el sitio.

Active Directory (AD)

Introducción a Active Directory

Hemos mencionado varias veces Active Directory, por lo que nos toca ahora entender qué es. Active Directory (AD) es un servicio de directorio desarrollado por Microsoft para redes de dominio de Windows. Los sistemas operativos Windows Server lo incluyen como un conjunto de procesos y servicios. Originalmente, sólo la gestión de dominios centralizada utilizaba Active Directory. Sin embargo, finalmente se convirtió en un título general para varios servicios relacionados con la identidad basados en directorios.

Ahora bien, un controlador de dominio es un servidor que ejecuta la función del Servicio de dominio de Active Directory (AD DS). Como mencionamos antes, AD autentica y autoriza a todos los usuarios y computadoras en una red de tipo dominio de Windows, asigna y aplica políticas de seguridad para todas las computadoras e instala o actualiza software. Por ejemplo, si un usuario inicia sesión en una computadora que forma parte de un dominio de Windows, Active Directory verifica el nombre de usuario y su contraseña para determinar si el usuario es un administrador del sistema o un usuario no administrador. También permite la gestión y almacenamiento de información, proporciona mecanismos de autenticación y autorización y establece un marco de referencia para implementar otros servicios relacionados: servicios de certificación, servicios de federación de Active Directory y servicios de gestión de derechos.

Otros Servicios de Active Directory

Los servicios de Active Directory consisten en múltiples servicios de directorio.

• Los Servicios de dominio de Active Directory (AD DS) son los más comunes y son la base de toda red de dominio de Windows. AD DS almacena información sobre los miembros del dominio, incluyendo dispositivos y usuarios, verifica sus credenciales y define sus derechos de acceso. El servidor que ejecuta este servicio se denomina controlador de dominio. Se contacta a un controlador de dominio cuando un usuario inicia sesión en un dispositivo, accede a otro dispositivo a través de la red o ejecuta una aplicación de línea de negocio descargada en una máquina.
  Otros servicios de Active Directory incluyen Políticas de grupo, sistema de cifrado de archivos, BitLocker, servicios de nombres de dominio, servicios de escritorio remoto, Exchange Server y SharePoint Server.
• Servicios de directorio ligeros (Active Directory Lightweight Directory Services, AD LDS) se ejecuta como un servicio en Windows Server y ofrece la misma funcionalidad que AD DS, incluyendo una API equivalente. Sin embargo, AD LDS no requiere la creación de dominios ni controladores de dominio. Proporciona un almacén de datos para almacenar datos de directorio y un servicio de directorio con una interfaz de servicio de directorio Lightweight Directory Access Protocol (LDAP). A diferencia de AD DS, varias instancias de AD LDS pueden funcionar en el mismo servidor.
• Servicios de certificación Active Directory (Active Directory Certificate Services, AD CS) establecen una infraestructura de clave pública local. Puede crear, validar, revocar y realizar otras acciones similares, así como certificados de clave pública para usos internos de una organización. Estos certificados se pueden utilizar para cifrar archivos (cuando se utilizan con Encrypting File System, EFS), correos electrónicos (según el estándar S/MIME) y tráfico de red (cuando se utilizan en redes privadas virtuales, protocolo Transport Layer Security o protocolo IPSec). AD CS requiere una infraestructura AD DS.
• Servicios de federación de Active Directory (Active Directory Federation Services, AD FS) son un servicio de inicio de sesión único. Con una infraestructura AD FS implementada, los usuarios pueden utilizar varios servicios basados en web (por ejemplo, foros de Internet, blogs, compras en línea, correo web) o recursos de red utilizando solo un conjunto de credenciales almacenadas en una ubicación central, en lugar de tener que solicitar credenciales para cada servicio. AD FS utiliza muchos estándares abiertos populares para pasar credenciales token SAML, OAuth u OpenID Connect. El propósito de AD FS es ser una extensión de AD DS, permitiendo a los usuarios autenticarse y utilizar los dispositivos que forman parte de la misma red mediante un conjunto de credenciales. AD FS requiere una infraestructura AD DS.
• Servicios de gestión de derechos: Active Directory Rights Management Services (AD RMS), anteriormente conocido como Rights Management Services o RMS antes de Windows Server 2008, es un software de servidor que permite la gestión de derechos de información, incluido con Windows Server. Utiliza cifrado y denegación selectiva para restringir el acceso a diversos documentos, como correos electrónicos corporativos, documentos de Microsoft Word y páginas web. También limita las operaciones que los usuarios autorizados pueden realizar en ellos, como ver, editar, copiar, guardar o imprimir. Los administradores de TI pueden crear plantillas preestablecidas para los usuarios finales para mayor comodidad, aunque también los usuarios finales aún pueden definir quién puede acceder a determinado contenido y qué acciones pueden realizar.

Estructura de Active Directory

Active Directory es un servicio que comprende una base de datos y un código ejecutable, responsable de gestionar las solicitudes y mantener la base de datos. El Agente del sistema de directorio (Directory System Agent) es la parte ejecutable, como un conjunto de servicios y procesos de Windows que se ejecutan en Windows 2000 y versiones posteriores. Se puede acceder a los objetos en las bases de datos de Active Directory a través de varias interfaces, como LDAP, ADSI, messaging API y servicios de gestión de cuentas de usuario (Security Accounts Manager).

La estructura de Active Directory consta de información sobre objetos clasificados en dos categorías: recursos (por ejemplo, impresoras) y principios de seguridad (que incluyen cuentas y grupos de usuarios o computadoras). A cada entidad de seguridad se le asigna un identificador de seguridad único (SID). Un objeto representa una entidad única, como un usuario, computadora, impresora o grupo, junto con sus atributos. Algunos objetos pueden incluso contener a su vez a otros objetos. Cada objeto tiene un nombre único y su definición es un conjunto de características e información mediante un esquema, que determina el almacenamiento en Active Directory. Los administradores pueden ampliar o modificar el esquema. Sin embargo, como habíamos mencionado antes, debido a que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivarlos o cambiarlos puede alterar o interrumpir fundamentalmente una implementación.

En Active Directory, el marco que contiene los objetos tiene diferentes niveles: el bosque, el árbol y el dominio:

• Los dominios contienen objetos almacenados en una única base de datos replicable y la estructura de nombres DNS identifica sus dominios (namespace).
• Un dominio es un grupo lógico de objetos de red, como computadoras, usuarios y dispositivos, que comparten la misma base de datos de Active Directory.
• Un árbol es una colección de dominios y árboles de dominios en un namespace vinculado en una jerarquía de confianza transitiva. El bosque está en la parte superior de la estructura, donde está una colección de árboles con un catálogo global estándar, esquema de directorio, estructura lógica y configuración de directorio. El bosque es un límite seguro que limita el acceso a usuarios, computadoras, grupos y otros objetos.

Otro elemento importante en la estructura de AD son las Unidades Organizacionales u Organizational Units (OUs), que refiere a que los objetos contenidos dentro de un dominio se pueden agrupar en unidades organizacionales. Estas unidades proporcionan jerarquía a un dominio, facilitan su administración y pueden parecerse a la estructura de la organización en términos administrativos o geográficos.

Microsoft recomienda utilizar las OUs en lugar de dominios para estructurar y simplificar la implementación de políticas y administración— aunque las políticas también se pueden aplicar a dominios o sitios.

Uso de Pandora FMS con Controladores de Dominio y Active Directory

Pandora FMS dispone de diferentes plugins, consultas remotas WMI y el agente software con los que podremos extraer información de nuestro servidor para alertar en caso de que se presente algún problema.
Genéricamente los datos que podemos extraer son los siguientes:

• Ficheros de logs.
  
• Registros de accesos.
  
• Monitorizar el servicio del servidor.
  
• Obtener información sobre los recursos del servidor.
  

Existen plugins específicos de Active Directory en Pandora FMS que permiten extraer mucha más información:

• AD Users
• Unused AD User
• AD Schema Master
• AD Root Domain
• AD Forest Domains
• AD Computer DNS Host Name
• AD Global Catalogs
• AD SPN suffixes
• AD UPN suffixes
• Connectivity
• Replication admin
• Service DNS status
• Service DFS Replication status
• Service Intersite Messaging status
• Service Kerberos Key Distribution Center status
• Service NetLogon status
• Service Active Directory Domain Services status
• Test Advertising status
• Test FrsEvent status
• Test SysVolCheck status
• Test KccEvent status
• Test KnowsOfRoleHolders status
• Test MachineAccount status
• Test NCSecDesc status
• Test Netlogons status
• Test ObjectsReplicated status
• Test Replication status
• Test RidManager status
• Test Services status
• Test SystemLog status
• Test VerifyReferences status

Cualquiera de esos módulos se pueden emplear para generar informes, alertas y mostrar las gráficas de su evolución a lo largo del tiempo.

Uso de Active Directory para autenticarse en Pandora FMS

Pandora FMS permite usar la autenticación mediante AD (Active Directory), con esta integración podremos loguearnos en Pandora FMS de forma automática con usuarios creados en nuestro AD sin tener que crearlos previamente, ni asociarles ningún tipo de perfil en nuestra consola de Pandora FMS, ya que se pueden definir automáticamente a los usuarios autocreados, siempre que autentiquen correctamente.