Alternativas para crear un dominio con Linux
Existen distintos servizos para crear dominios con Linux. Neste apartado analizaremos as distintas posibilidades polas que podemor optar e as características de cada unha delas.
Servidores de dominio en Linux
Os principais servizos de autentificación de usuarios que podemos instalar nun servidor Linux son:
Servidor NIS
- O servizo de NIS (Network Information System) permite a autentificación de usuarios centralizada cando tanto os clientes como o servidor do dominio son equipos con Linux.
- O seu funcionamento é bastante simple, e básicamente consiste en compartir os ficheiros de configuración do servidor de usuarios, claves, grupos,... (poden compartirse outros ficheiros como nomes de máquinas, etc.) nunhas estruturas na memoria chamadas mapas de NIS ás que acceden os clientes.
- O servizo NIS+ é unha mellora do servidor NIS con características adicionais, pero non está dispoñible para Linux.
Servidor LDAP
- LDAP é un protocolo para o acceso a servizos de directorio, moi utilizado para centralizar a autentificación de usuarios en todo tipo de servizos.
- Unha das súas grandes vantaxes é que se trata dun protocolo estándar respectado por toda a industria do software, incluíndo Microsoft que implementa o servidor LDAP no Active Directory.
- OpenLDAP é unha implementación libre do protocolo LDAP que permite centralizar con este servizo de directorio a autentificación de usuarios nun servidor Linux.
- Os clientes utilizarán o cliente LDAP para validar as credenciales dos usuarios contra o servidor LDAP.
- O servizo LDAP é moi potente e flexible, pode configurarse con distintos niveis de seguridade e permite unificar a autentificación de todos os distintos servizos que haxa na rede (Intranet, servidor de correo, etc.)
Servidor Samba
- Samba é unha implementación para Linux do protocolo NetBIOS utilizado polas redes Windows para compartir carpetas e impresoras, formar un dominio ou un grupo de traballo, etc.
- Ademais de compartir carpetas de impresoras entre equipos Windows e Linux, Samba permite configurar un equipo Linux como controlador de dominio dunha rede Windows.
- Basicamente a idea é a de "enganar" aos equipos Windows facéndolles crer que o servidor Linux é un servidor de Windows, e que o utilicen como controlador de dominio.
- Dado que hoxe en día é moi difícil contar nun centro con unha rede só con clientes Linux, a combinación de Samba con NIS ou LDAP é imprescindible para poder ter un dominio híbrido con cliente Linux e Windows.
Servidor NIS con Samba
- Unha alternativa simple para montar un dominio con un servidor Linux no que se combinen clientes Windows e Linux é utilizar o servidor de NIS xunto co servidor de Samba.
- O esquema de funcionamento desta alternativa pode ser similar ao mostrado no diagrama:
- Por un lado, os clientes Linux autentifícanse co cliente de NIS contra os mapas de NIS do servidor. Estes mapas son creados polo servidor de NIS cada vez que arranca a partir dos ficheiros de configuración de usuarios, claves, etc. do servidor de dominio.
- Polo outro lado, os clientes Windows autentifícanse contra o servidor de samba, que toma os usuarios dun ficheiro de configuración propio.
- Hai que ter en conta que se queremos manter un único login e clave para o usuario nos clientes Windows e Linux, é necesario establecer un mecanismo que manteña sincronizadas as credenciais do ficheiro do sistema co de Samba, e pola parte do servidor de NIS recargar a información dos mapas cando se produzan cambios.
- Ademais destas problemas, esta solución ten a carencia de ter que integrar os dous servizos no mesmo equipo servidor e non poder centralizar a autentificación de outros servizos, como Intranet, correo electrónico, etc.
- Por todas estas razóns, esta alternativa resulta adecuada para unha rede con tamaño e necesidades medias; en caso contrario será mais recomendable optar pola seguinte alternativa.
Servidor LDAP con Samba
- Nesta alternativa, o servidor LDAP realiza a función de almacén principal de usuarios, que xa non se toman dos ficheiros de configuración do equipo servidor se non do almacén propio da base de datos LDAP.
- Os clientes Linux utilizan o cliente LDAP para autentificarse directamente contra o servidor LDAP.
- Os clientes Windows autentifícanse contra o servidor de Samba, que á súa vez utiliza o servidor LDAP para autentificar aos usuarios.
- O servidor de Samba e LDAP poden estar na mesma máquina ou en máquinas distintas.
- Con esta configuración evitamos o problema de ter que manter distintos almacéns de usuarios sincronizados (o ficheiro de usuarios do sistema, o de samba e os mapas de NIS) do caso anterior.
- O servidor LDAP ofrece características de configuración e seguridade maiores que o servidor de NIS, á vez que favorece unificar a autentificación de distintos servizos e aplicacións da rede.