Sistemes heterogenis. Integració de sistemes amb Windows

En aquesta unitat desenvolupeu el concepte de sistema heterogeni i la importància de la integració dels sistemes existents en aquest tipus d’escenari. Així mateix, es mostren les diverses possibilitats d’integració entre diferents tipus de sistemes operatius i introduïm els mecanismes d’integració proporcionats pel sistema Windows Server.

Microsoft Windows és el sistema operatiu amb llicència propietària de programari més important del món, mentre que les diferents distribucions Linux són els sistemes operatius amb llicència lliure més distribuïts arreu del món. És clara, doncs, la importància de fer treballar junts tots dos sistemes i aprofitar al màxim les respectives característiques.

El codi obert dels sistemes Linux i la seva gratuïtat es contraposen al codi tancat i de pagament dels sistemes Windows. Segons Microsoft, els seus sistemes són realment més barats que els sistemes Linux, ja que són més fàcils d’utilitzar i això implica a llarg termini un abaratiment del producte, mentre que els sistemes Linux requereixen una “mà” més experta, cosa que encareix un producte que en un principi era gratuït.

Sistemes heterogenis

La gran majoria d’organitzacions existents actualment, a causa de les tendències del món de la informàtica i les telecomunicacions, fan servir gran quantitat de maquinari i programari amb característiques, arquitectures o fabricants diferents. Aquestes diferències conformen un sistema o escenari heterogeni, que podem definir com:

Un sistema heterogeni és aquell que es troba compost per maquinari amb característiques físiques distintes entre si, i programari amb característiques operatives distintes entre si, però que es poden comunicar utilitzant mitjans comuns.

Molts dels àmbits referents a la comunicació i la compatibilitat entre equips amb diferent maquinari i programari estan estandarditzats, per exemple protocols de comunicacions, estàndards de maquinari… Però existeixen altres àmbits, com són el del funcionament i gestió dels sistemes operatius, en el qual cada distribució o empresa té implementacions, comportaments o funcionalitats diferents. Aquestes implementacions no estandarditzades o no consensuades fan que en molts casos els diferents sistemes operatius siguin incompatibles entre ells. Aquestes diferències són majors sobretot entre sistemes operatius lliures i propietaris, ja que la filosofia de negoci de cadascú dificulta de vegades el desenvolupament d’estàndards comuns i, per tant, la integració dels sistemes.

El fet que existeixen diferents màquines amb sistemes operatius en una mateixa organització indica que cada màquina gestionarà una quantitat d’informació i una sèrie de recursos com ara impressores o unitats d’emmagatzematge, que pot ser necessari que siguin compartits amb la resta de màquines de la xarxa o l’organització.

Així resulta necessari l’ús de serveis o aplicacions que permetin i facilitin l’intercanvi de recursos i informació en les organitzacions i que generin un entorn de xarxa comú entre els diferents sistemes operatius.

Existeixen gran varietat de serveis que us permeten fer la compartició de recursos de manera transparent a l’usuari i amb independència del sistema operatiu que utilitzem a través de la xarxa. Aquesta independència es deu al fet que aquests serveis utilitzen protocols de comunicació estandarditzats, per exemple FTP, HTTP, DNS

Independència

Quan utilitzeu el terme independència no voleu dir que les aplicacions que implementen els serveis de xarxa siguin independents del sistema operatiu, sinó que quan els sistemes utilitzen un determinat servei, per exemple accedir a un fitxer en un servidor FTP, és indiferent que la màquina on es troba funcionant el servei tingui instal·lat un sistema operatiu o un altre, davant de l’usuari.

Però si el que voleu és generar un entorn de xarxa comú en el qual integrem el sistema d’autenticació d’usuaris en una xarxa local, amb la compartició de recursos i la gestió de la informació de les màquines connectades a la xarxa, necessiteu fer servir altres tipus de serveis com són els serveis de directori, serveis d’autenticació centralitzada, serveis de compartició de fitxers, serveis d’impressió…, que funcionin de manera conjunta i integrada.

Integració de sistemes heterogenis

Una vegada enteneu en què consisteix un sistema heterogeni i la importància de la compartició de recursos dins de les organitzacions, podeu adonar-vos de la necessitat d’integrar els diferents sistemes operatius perquè puguin funcionar en conjunt en àmbits comuns i fer servir els recursos de què es disposa.

Definim la integració de sistemes com la creació d’estructures formades per ordinadors de diferent tipus i amb sistemes operatius diferents, que “interoperin” entre si de manera transparent per a l’usuari.

Existeixen diferents possibilitats d’integració entre sistemes lliures i propietaris per a la compartició de recursos, la possibilitat més comuna és mitjançant dominis Windows. Per implementar un domini Windows teniu diferents opcions:

  • Utilitzar una màquina Windows com a controlador de domini.
  • Utilitzar una màquina GNU/Linux com a controlador de domini.

En els dos casos anteriors, els clients podran ser màquines amb sistemes Windows o GNU/Linux.

En el cas d’utilitzar una màquina Windows com a controlador de domini, les màquines clients Windows no tindran cap problema per accedir al domini. Per a les màquines clients GNU/Linux, ens caldrà especificar un mecanisme d’autenticació i proporcionar la manera d’obtenir els atributs específics (UID; GID; shell…) per a usuaris i grups. Així, haureu de configurar el client GNU/Linux per utilitzar NSS (especificació de la base de dades d’usuaris) i PAM (autenticació de comptes).

En el cas d’utilitzar una màquina GNU/Linux com a controlador de domini, la màquina haurà de tenir instal·lat el paquet Samba i estar configurada com a controlador primari de domini. Aquesta solució permet emular un domini Windows amb una màquina GNU/Linux, la qual cosa suposa fer servir programari lliure, evitant així, haver de pagar llicències per la seva utilització. Els clients Windows podran accedir al domini i als recursos accessibles des del domini sense cap problema. Els clients GNU/Linux podran accedir als recursos del domini, si els usuaris existents als clients estan donats d’alta també com a usuaris Samba. Si volem que els clients GNU/Linux, a més, s’autentiquen al domini creat pel servidor Samba, haurem d’utilitzar i configurar eines com NSS i PAM.

Integració de sistemes lliures i propietaris amb Windows 2019 Server

Tot i que Microsoft domina clarament el mercat domèstic, cada vegada més el sistema Linux està present a les llars compartint màquina amb una versió Windows. En el món de les supercomputadores les dades canvien: Microsoft és el segon sistema utilitzat per darrere de Linux.

Des del punt de vista tècnic, el més important és saber identificar les febleses de cadascun dels sistemes i cobrir-les amb un altre sistema operatiu. És aquí on té un paper molt important saber integrar diferents sistemes operatius.

Microsoft Windows Server 2019 ofereix diverses opcions d’integració vers diferents sistemes operatius, com ara les distribucions Linux o els sistemes operatius d’Apple.

Utilització d'NFS en Windows Server

Resulta de gran utilitat fer servir un client NFS per compartir arxius des d’una màquina Windows Server fins a una màquina Linux. Utilitzant el servidor i client per a NFS podreu accedir sense gaires problemes a recursos ubicats a un Windows Server.

Per fer la instal·lació del servidor de NFS al Windows Server, us heu de dirigir al Administrador del servidor > Afegir rols i característiques > Servidor de NFS. Ho podeu veure a la figura.

Figura Servidor NFS


Configuració de l’ús compartit d’NFS:

És possible configurar NFS per compartir carpetes locals en volums NTFS utilitzant l’explorador de Windows o mitjançant d’administració d’emmagatzematge i recursos compartits. Mitjançant l’explorador de Windows podreu activar i configurar l’ús compartit d’NFS si seguiu els passos següents:

  1. Cliqueu amb el botó dret del ratolí a sobre del recurs compartit que vulgueu administrar.
  2. Seleccioneu Propietats.
  3. Trieu la pestanya Us compartit avançat d’NFS, cliqueu a Administrar ús compartit de NFS, i activeu l’opció Compartir carpeta.
  4. Escriviu el nom del recurs compartit en el quadre de text Recurs compartit.
  5. Si voleu permetre l’accés anònim al servidor, haureu de desmarcar les opcions d’autenticació per Kerberos.
  6. Si voleu que els usuaris puguis escriure al servidor NFS, ho haureu de definir a Permisos.

Aquesta configuració la podeu veure a la figura, on s’ha simulat que volem compartir una carpeta anomenada “Carpeta-IOC”.

Figura Servidor NFS 2

Aquesta configuració us exportarà una carpeta a la xarxa mitjançant NFS, però els usuaris de xarxa encara no tenen permís NTFS de lectura i escriptura sobre la unitat d’emmagatzematge.

Així doncs, caldrà configurar els permisos que voleu que tinguis els usuaris. Aquesta acció, i també l’anterior (permís NFS), es poden fer des del Administrador del Servidor > Servei de fitxers i emmagatzematge > Recursos compartits. Un cop aquí, haureu de triar la vostra carpeta > Clic dret > Propietats > Permisos del recurs compartir i Permisos NTFS. Tindreu l’opció d’agregar usuaris o grups d’usuaris (o Todos), i assignar-hi permisos NFS i NTFS.

A la figura podeu veure com s’ha compartit la carpeta amb permís de lectura i escriptura per tothom. Així, tot usuari de la xarxa hi podrà accedir, llegir el contingut, i crear-ne de nou.

Amb aquestes configuracions ja teniu la part del servidor NFS acabada. Ara podeu configurar el client Linux.

Figura Servidor NFS 3

Configuració del client Linux:

Els equips Ubuntu necessiten instal·lar el paquet nfs-common per convertir-se en clients NFS. Ho podeu fer amb la següent comanda:

sudo apt install nfs-common

Un cop instal·lat el programari, haureu de muntar la carpeta remota a una carpeta local, i assignar-hi els permisos necessaris de lectura i/o escriptura. Les comandes serien:

sudo mkdir /documents-ioc
sudo mount -t nfs 192.168.0.200:/carpeta-ioc/ /documents-ioc/

En l’exemple anterior, es muntarà la carpeta NFS del servidor Windows Server (IP = 192.168.0.200) anomenada carpeta-ioc fins a la carpeta local /documents-ioc, que es troba a l’arrel del sistema. També podeu veure-ho a la figura.

Figura Client NFS

Amb això, ja podreu compartir recursos entre ordinadors Windows i ordinadors Linux.

Configuració d'Active Directory per autenticar màquines Linux

A partir del Microsoft Windows Server 2000 es començar a treballar amb Active Directory i els serveis d’autenticació integrats d’autenticació Kerberos, sistema molt segur i escalable. Els sistemes Linux i UNIX també utilitzen Kerberos, per tant, es converteix en molt real la possibilitat d’integrar els diferents sistemes operatius.

Existeix un problema amb l’autenticació d’usuaris de Linux i UNIX amb Active Directory: els identificadors d’usuaris i grups. Internament, ni Linux ni Windows fan referència als usuaris pel nom, sinó que utilitzen els identificadors interns únics.

Els sistemes Microsoft utilitzen el SID (identificador de seguretat), que és una estructura de longitud variable que identifica sense marge d’error els diferents usuaris dins d’un domini de Windows. El SID també conté un identificador únic de domini per tal que el sistema operatiu pugui distingir entre els usuaris en diferents dominis.

En sistemes UNIX i distribucions Linux cada usuari té un identificador d’usuari (UID). L’àmbit de l’UID està limitat en l’equip, sense que es garanteixi que un altre usuari en una màquina diferent pugui tenir el mateix nombre enter. Això fa que un usuari ha d’iniciar sessió en cada equip on hagi de tenir accés.

Aquest problema té la següent solució: proporcionar autenticació de xarxa amb el sistema d’informació de xarxa (NIS) o un directori compartit d’LDAP. El sistema d’autenticació de xarxa proporciona l’UID per a l’usuari i tots els equips Linux o UNIX utilitzen aquest sistema d’autenticació compartint el mateix usuari i els identificadors de grup.

És recomanable fer servir Active Directory per proporcionar un usuari únic i els identificadors de grup. Es pot crear un UID per a cada usuari i grup i emmagatzemar aquest identificador amb l’objecte corresponent en Active Directory, així, quan un usuari s’autentica pot cercar l’UID per a l’usuari i proporcionar-lo per al sistema operatiu com l’identificador de l’usuari intern.

Com a tècnics, haureu de conèixer el procediment per unir clients Linux a dominis Active Directory de Windows Server, amb l’objectiu de centralitzar-hi l’autenticació.

Configuració del servidor Active Directory de Windows Server

El procediment per configurar l’Active Directory no canvia si hi afegim clients Linux; són els mateixos passos que si només tenim clients Windows.

La tasca que sí que haureu de fer és configurar els clients Linux per preparar-los per la unió al domini Active Directory de Windows Server. Un cop fet, els usuaris creats dins el domini des del Windows Server podran iniciar sessió a equips Windows (per exemple Windows 10) o Linux (per exemple Ubuntu).

Podeu consultar el procediment dins del mòdul de SMX, unitat “Sistemes operatius propietaris en xarxa ”, a l’apartat anomenat “Active Directory”.

Abans de continuar, es pressuposa que tenim una xarxa local amb un equip Windows Server que té en funcionament l’Active Directory, amb almenys un usuari creat.

La configuració del client té dues opcions:

  • La configuració automàtica amb el programari Power Broker Identity Services Open Edition.
  • La configuració manual fent servir Samba.

Configuració automàtica dels clients Linux

Power Broker Identity Services Open Edition és un programari que automatitza la configuració dels equips Linux per l’addició d’aquests en dominis Windows Server (Active Directory). Fent servir aquest programari, caldrà fer molt poques configuracions abans de poder autenticar-vos al domini.

Podeu seguir la configuració amb aquest vídeo o amb els següents passos:

Consultar documentació

Podeu consultar tota la documentació d’aquest programari al seu web: bit.ly/3elhAhC.

Domini Windows Server amb clients Linux

Aquesta és la pàgina web oficial de BeyondTrust, on hi ha el programari PBIS-OPEN per unir clients Linux a dominis d’Active Directory: bit.ly/3TBZ8ld.


I aquesta és la pàgina web oficial de Microsoft, on expliquen que amb el programari SSSD i Samba es pot unir clients Linux a dominis d’Active Directory: bit.ly/3wP3kEg.

Amb l’última versió d’Ubuntu (i LinuxMint), cal entrar manualment el DNS i el Domini al fitxer /etc/systemd/resolved.conf. Editeu-lo amb nano i modifiqueu la següent informació:

DNS=IP_Windows_Server
Domains=EL_VOSTRE_DOMINI.LOCAL

Podeu veure’n un exemple a la figura.

Figura Power Broker 1

En l’exemple superior, la IP del Windows Server és 192.168.0.200, i el domini de l’Active Directory és domini.local.

Per la instal·lació del programari caldrà tenir el paquet SSH. Així doncs, reviseu que el teniu instal·lat amb:

sudo apt update
sudo apt install ssh

El següent pas ja serà baixar i instal·lar el programari Power Broker Identity Services Open Edition. Per fer-ho, des del navegador web del vostre Linux, entreu a la web oficial: bit.ly/2CkjtqH

Trieu el paquet segons la vostra distribució. Si feu servir Ubuntu o derivats, triareu el paquet que acaba amb .deb.sh.

Podeu veure l’enllaç de baixada a la figura.

Figura Power Broker 2

Per instal·lar el paquet baixat, us haureu de situar a la carpeta on teniu el fitxer, i executar-lo. Suposant que està ubicat a la carpeta Baixades, les ordres serien:

cd Baixades
sudo sh ./pbis-open-9.1.0.551.linux.x86_64.deb.sh (el nom del fitxer pot variar segons la versió).

Us podeu assegurar que s’ha instal·lat correctament fixant-vos amb el següent missatge de la figura.

Figura Power Broker 3

Un cop instal·lat el paquet, només falta unir el client Ubuntu al domini Active Directory de Windows Server. Ho fareu amb aquesta ordre:

sudo domainjoin-cli join nom-domini Administrador

On nom-domini és el vostre domini Active Directory, i Administrador és el nom d’usuari de l’administrador de Windows Server (per defecte és Administrador).

Podeu veure un exemple d’aquesta ordre, i el resultat esperat, a la figura.

Figura Power Broker 4

Tal com es veu a la figura anterior, haureu de reiniciar l’Ubuntu per aplicar els canvis.

Un cop heu unit el client al domini de Windows Server, i heu reiniciat, ja podeu entrar amb qualsevol usuari de l’Active Directory. Per fer-ho, haureu d’entrar els usuaris amb la següent nomenclatura: nom-domini\nom-usuari. Ho podeu veure a la figura.

Figura Power Broker 5

Nota sobre les últimes versions del LinuxMint

Si feu servir les últimes versions del LinuxMint, quan intenteu fer login amb el nou usuari veureu que no us apareix a la pantalla de login, ni teniu opció d’entrar-lo manualment. Per activar l’entrada manual dels usuaris LDAP, cal editar el fitxer /etc/lightdm/lightdm.conf.d/70-linuxmint.conf (pot ser que el nom del fitxer sigui diferent), i afegir la següent línia:

greeter-show-manual-login=true


Un cop reiniciat l’ordinador, ja podreu entrar manualment qualsevol usuari del domini.

Configuració manual dels clients Linux

La configuració manual es fa amb el client de codi obert SSSD: System Security Services Daemon. Aquest, permet l’autenticació de clients Linux dins de dominis d’Active Directory.

A continuació veureu els passos que podeu seguir per unir el client Ubuntu al domini de Windows Server. Abans de començar, assegureu-vos que el vostre DNS apunta al Windows Server. O sigui, editeu la configuració de xarxa i entreu la IP del vostre Windows Server al camp DNS.

Comenceu per editar el nom de l’equip al fitxer /etc/hostname. Per exemple ‘ubuntu’.

Editeu el fitxer /etc/hosts per entrar la informació sobre el domini. Haureu d’entrar-hi el nom de l’equip local i el domini, així:

127.0.0.1	ubuntu.domini.local	ubuntu
127.0.1.1	ubuntu

En l’exemple anterior, ubuntu és el nom de l’equip client, i domini.local és el domini de Windows Server.

Un cop reiniciat l’equip per aplicar el canvi de nom, ja podreu actualitzar els repositoris i instal·lar els paquets:

sudo apt update
sudo apt install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli

Els paquets necessaris són:

  • krb5 per l’autenticació del tipus Kerberos.
  • sssd per gestionar la identitat dels usuaris i poder-se unir a l’Active Directory.
  • realm és l’eina que permet unir-se al domini.

És important que les dues màquines estiguin en la mateixa hora, així que fareu servir el protocol de sincronització NTP. Editeu-lo i entreu la informació del vostre servidor:

sudo nano /etc/ntp.conf

Entreu-hi la següent línia:

ws domini.local

On ws és el nom de la màquina de Windows Server.

Reinicieu el servei:

sudo systemctl restart ntp

Amb aquesta configuració prèvia ja teniu preparat l’equip per unir-se al domini. Primer descobrireu el domini, i després us hi unireu.

sudo realm discover domini.local
sudo kinit -V Administrador@DOMINI.LOCAL
sudo realm join --verbose DOMINI.LOCAL -U Administrador --install=/

On domini.local és el nom del domini, i Administrador és el nom de l’usuari administrador de Windows Server.

Aquesta última comanda us ha de donar el resultat amb:

Successfully enrolled machine in realm

Amb això ja teniu l’equip client unit al domini. Només faltarà definir com els usuaris s’hi podran connectar.

Comenceu editant el fitxer /etc/sssd/sssd.conf, i comentant (posant un # al principi) la següent línia:

use_fully_qualified_names = True

us ha de quedar així:

# use_fully_qualified_names = True

Continueu editant el fitxer /etc/ssh/ssh_config, i descomenteu (treient el # del principi) la següent línia:

PasswordAuthentication yes

Editeu el fitxer /etc/pam.d/common-session per tal que els usuaris nous tinguin la seva carpeta. Ho fareu entrant la següent línia, tal com es veu a la figura.

session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
Figura common-session

Podeu comprovar com l’equip client ja pot detectar els usuaris del domini amb la comanda id, tal com es veu a la figura.

Figura id

A la comanda anterior, veureu que el grup de treball dels usuaris és “usuarios del dominio”. Així doncs, haureu d’habilitar-ne l’accés:

sudo realm deny --all
sudo realm permit --all
sudo realm permit -g 'usuarios del dominio'

Fins aquí la configuració. Després de reiniciar l’Ubuntu podreu provar la unió. Ho podeu veure a la figura, figura i figura.

Figura login sssd 1
Figura login sssd 2
Figura login sssd 3

Interoperabilitat amb equips Mac

El sistema operatiu MacOS disposa d’un client i un servidor SMB incorporat, fet que permet a l’equip que està funcionant amb MacOS pertànyer a la xarxa exactament igual que qualsevol PC per als usuaris de Windows i viceversa. A l’equip amb MacOS, heu de seleccionar Connectar al servidor … al menú Anar per navegar per diversos ordinadors de grups de treball i dominis Windows.

Amb aquesta implementació de client i servidor SMB, els usuaris de MacOS poden compartir les carpetes i impressores connectades per USB a una xarxa Windows.

Des d’una estació de treball Windows s’accedeix de la mateixa manera a tots els recursos ubicats en un servidor MacOS.

El programari inclòs en el sistema operatiu MacOS també inclou eines d’administració per a ordinadors Macintosh anteriors i les aplicacions necessàries per implantar un servidor d’Internet complet (DNS, web, correu i un llarg etcètera). A més, el programari proporciona una interfície d’administració unificada per organitzar els privilegis d’accés dels usuaris.

Anar a la pàgina anterior:
Referències
Anar a la pàgina següent:
Activitats