Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
para
Administracin de Servidores I
Descripcin General
de los
Servicios de Red
Mdulo 5:
ndice
Descripcin general ..........................................................................................................................2
5.1 Servicios de Red..........................................................................................................................3
5.1.1 Introduccin a servicios de red/NOS ...............................................................................3
5.2 Administracin Remota y Servicios de Acceso ....................................................................4
5.2.1 Qu es el acceso remoto? ...............................................................................................4
5.2.2 Teleconmutacin .................................................................................................................6
5.2.3 Usuarios mviles.................................................................................................................6
5.2.4
Servicios de emulacin de Terminal .......................................................................7
5.2.5
Servicios Telnet...........................................................................................................8
5.2.6
Configuracin de acceso remoto para un cliente...............................................10
5.2.7
Control de los derechos del acceso remoto........................................................18
5.2.8
Administracin remota a un sistema Linux .........................................................22
5.3
Servicios de Directorio .....................................................................................................28
5.3.1
Qu es un servicio de directorio? .......................................................................28
5.3.2
Estndares del servicio de directorio ...................................................................31
5.3.3
Active Directory de Windows 2000........................................................................32
5.3.4
Servicio de Informacin de Red (NIS) ...................................................................35
5.4
Otros Servicios de los NOS .............................................................................................39
5.4.1
Correo .........................................................................................................................39
5.4.2
Impresin....................................................................................................................41
5.4.3
Archivos compartidos..............................................................................................42
5.4.4
FTP (Transferencia de Archivos) ...........................................................................43
5.4.5
Servicios web ............................................................................................................45
5.4.6
Intranet........................................................................................................................48
5.4.7
Extranet ......................................................................................................................51
5.4.8
Tareas automatizadas con servicios de scripts..................................................52
5.4.9
Servicio de Nombre de Dominio (DNS).................................................................54
5.4.10
DHCP...........................................................................................................................57
5.4.11
Dominios ....................................................................................................................59
Mdulo 5:
Descripcin general
Este captulo proporciona una introduccin a los sistemas operativos de red (NOSs). Tambin
trata la capacidad para acceder a un sistema remoto. Esto permite a un administrador del
sistema mantener eficientemente una red. Un servicio de directorio proporciona a los
administradores de sistemas un control centralizado de todos los usuarios y recursos en toda la
red. El alumno aprender otros servicios de los NOSs que permiten a los usuarios
comunicarse, compartir archivos e imprimir. Tambin aprender cmo acceder a Internet, a una
intranet, y a una extranet.
Mdulo 5:
Mdulo 5:
El acceso remoto se est haciendo ms importante a medida que los usuarios de red se hacen
ms mviles y las compaas expanden sus negocios a mltiples locaciones o abren sus
recursos a gente de fuera seleccionada sin poner esos recursos en Internet.
Algunos usos populares del acceso remoto incluyen lo siguiente:
Mdulo 5:
Mdulo 5:
5.2.2 Teleconmutacin
Los viajes de negocios se estn volviendo ms prevalecientes a medida que las compaas
comercializan sus productos a escala nacional o internacional. Vendedores, reclutadores,
capacitadores, personal de gerencia de alto nivel, y otros pasan gran parte de su tiempo de
viaje. Las necesidades de los usuarios mviles son similares a las de los usuarios que se
quedan despus de hora.
Mdulo 5:
Puede ser difcil o imposible almacenar todos los archivos necesarios en una computadora
laptop o notebook. Es tambin una amenaza a la seguridad porque la laptop y sus contenidos
puede ser robada fsicamente. Una mejor solucin podra ser que los usuarios mviles se
conectaran telefnicamente con la LAN de la compaa. Aqu, como muestra la Figura , sus
cuentas de usuarios se autentican, y pueden acceder a los datos aqu en lugar de copiarlos a
su propio disco rgido.
5.2.4
IBM 3270
DEC VT100
AS/400 5250
TTY
xterm
Mdulo 5:
5.2.5
Servicios Telnet
Telnet es el principal protocolo de Internet para crear una conexin con una mquina remota.
Da al usuario la oportunidad de estar en un sistema informtico y trabajar en otro, que puede
estar cruzando la calle o a miles de kilmetros de distancia. Telnet proporciona una conexin
libre de errores. Telnet tiene las siguientes consideraciones de seguridad.
Hacking
Deduccin de contraseas
Mdulo 5:
Mdulo 5:
5.2.6
10
Mdulo 5:
Esta informacin es el dilogo que es intercambiado por el mdem y el ISP acerca del
nombre de usuario y cuenta del usuario al iniciar sesin en Internet. sta es la
informacin que un usuario necesitar introducir en las ltimas dos lneas de este script
para hacerlo funcionar. Como alternativa, si el ISP del usuario usa PAP o CHAP, estas
ltimas dos lneas slo necesitarn comentadas haciendo precederlas con un signo
numeral (#) para que no se lean al ejecutarse el script y ser necesario eliminar la
barra invertida (\) de la lnea de conexin.
Despus de efectuar todos estos cambios, inicie sesin como raz y tipee ppp-on desde el
shell. (El usuario podra tener que hacer preceder el comando con la ruta completa). Si los
scripts fueron editados exitosamente, entonces el sistema deber marcar el mdem y
establecer una conexin.
Configuracin PPP del Dialer GUI
La configuracin PPP tambin puede efectuarse desde la GUI usando las utilidades de
marcado de la GUI. El Dialer GUI PPP que viene con KDE es el dialer KPPP. Un ejemplo del
dialer KPPP se muestra en la Figura . Para iniciar la Ventana KPPP, tipee kppp en el shell o
seleccionndolo desde el men KDE. La primera vez que se inicia el dialer KPPP, ser
necesario configurarlo. Una vez introducida toda la configuracin, todo lo que es necesario una
vez ejecutado el comando kppp es seleccionar el ISP de la lista "Connect To" y luego introducir
el nombre de usuario y contrasea.
Siga estos pasos para configurar el dialer KPPP:
1. Tipee kppp en el shell. Esto iniciar el dialer KPPP.
2. Cuando el dialer inicia, haga clic en Setup. Esto iniciar la ventana de configuracin de
KPPP. Un ejemplo de ventana de configuracin de KPPP se muestra en la Figura .
3. Haga clic en New. Esto crear una nueva cuenta. Note aqu que si el usuario se
encuentra en Estados Unidos, tendr que seleccionar la opcin del recuadro de dilogo
y no el asistente porque el asistente no soporta ISPs de EE.UU. Una vez seleccionada
la opcin del recuadro de dilogo se abrir el recuadro de dilogo New Account. Un
ejemplo del recuadro de dilogo New Account se muestra en la Figura .
4. En el recuadro "nombre de la conexin" tipee el nombre con el que se va a referir a
esta conexin.
5. Haga clic en Add, y luego introduzca el nmero telefnico del ISP, luego haga clic en
OK. A veces un ISP proporcionar ms de un nmero que marcar. En este caso, repita
este paso para nmeros adicionales que marcar.
6. En la solapa Authentication, seleccione el tipo de autenticacin que usa el ISP, ya sea
PAP o CHAP. Luego haga clic en OK para cerrar el recuadro de dilogo New Account.
7. Por ltimo, vea las solapa modem y device para confirmar que se haya seleccionado el
Dispositivo Mdem y la velocidad de Conexin correctos.
Conexin usando ISDN
Una alternativa al uso de lneas telefnicas analgicas para establecer una conexin es ISDN.
La Figura ilustra un ejemplo de representacin lgica de una conexin ISDN. ISDN tiene
muchas ventajas sobre el uso de las lneas telefnicas. Una de estas ventajas es la velocidad.
ISDN usa un par de lneas digitales de 64 kilobits por segundo (Kbps) para conectarse, lo cual
proporciona un total de 128 Kbps de throughput. Esto es mucho mejor que usar una lnea
telefnica que se conecta a una velocidad mxima de 56 Kbps, y a menudo ni siquiera llega a
ser tan alta en algunas reas. Aunque ISDN es mejor que usar lneas telefnicas, una
alternativa an mejor a ISDN es DSL o los servicios de cable mdem. DSL y los servicios de
cable mdem se tratan en la siguiente seccin.
En lugar de usar un mdem para conectarse a una computadora remota, ISDN usa un
adaptador de terminal. El adaptador de terminal esencialmente lleva a cabo el mismo papel que
juega un mdem en una conexin PPP. Establecer una conexin con el adaptador de terminal
se hace de igual manera que con un mdem y una conexin PPP. Por lo tanto, simplemente
siga las mismas instrucciones delineadas en la seccin anterior sobre conexiones PPP para
configurar una conexin ISDN.
12
Mdulo 5:
14
Mdulo 5:
Un adaptador de terminal es un dispositivo externo que acta de manera muy similar a como lo
hace un mdem externo. No obstante, un usuario puede usar un dispositivo interno que se
conecta a uno de los slots PCI de la computadora. Estos dispositivos ISDN internos se
denominan mdems ISDN. Tenga en cuenta que el usuario necesitar tener instalados los
controladores apropiados para que el mdem ISDN funcione apropiadamente en Linux. Otra
cosa importante a recordar acerca del uso de mdems ISDN es que a diferencia de los
mdems regulares que marcan hacia una lnea telefnica, los mdems ISDN no pueden usar el
nombre de archivo /dev/ttyS0. En cambio, un mdem ISDN debe usar el nombre de archivo
/dev/ttyI0 y los nombres de archivos de dispositivos numerados subsecuentemente.
Conexin mediante DSL y Servicio de Cable Mdem
Un medio popular de establecer una conexin remota a una computadora hoy por hoy es
mediante DSL o servicio de cable mdem, o a veces simplemente denominado acceso remoto
de alta velocidad o acceso remoto por banda ancha. La Figura ilustra un ejemplo de cmo se
efecta una conexin DSL o de Internet por cable. Este servicio an es proporcionado por un
ISP pero ofrece algunas ventajas sobre las conexiones PPP e ISDN. En primer lugar, DSL y
cable tienen velocidades mucho ms altas que PPP e ISDN. Donde PPP se conecta a un
mximo de 56 Kbps e ISDN a 128 Kbps, DSL y Cable se conectan a una velocidad de 1000
Kbps a 3000 Kbps. La velocidad variar dependiendo de varios factores, como el trfico en
Internet. Estas velocidades de conexin ms altas tambin permiten transmisin de video, voz
y datos digitales, no slo datos. Las conexiones PPP e ISDN son simplemente demasiado
lentas para permitir otra cosa que no sean transmisiones regulares de datos. Otra ventaja que
permite el acceso remoto de alta velocidad es que se establece una conexin permanente.
Esto significa que la conexin puede utilizarse 24 horas al da y los usuarios no necesitan pasar
por ninguna configuracin de dialer, ni siquiera tienen que introducir un comando para iniciar la
conexin. Hay dos excepciones a esta regla que se tratarn brevemente.
Nuevamente, al tratar con Linux, surgirn problemas de compatibilidad al utilizar un servicio de
DSL o cable mdem. Estos dos problemas son la compatibilidad del hardware y el mtodo de
asignacin de direcciones IP. Los problemas de compatibilidad de hardware surgen al elegir el
mdem apropiado para usar con Linux. La mayora de los mdems para DSL y cable son
externos y hacen interfaz con la computadora mediante un puerto Ethernet. ste es el mtodo
preferido de conexin que ser el ms compatible con un sistema Linux. No obstante, algunos
mdems DSL o cable externos usan una interfaz USB. Por otro lado, pueden ser mdems
internos. Usar estos dos tipos de mdems DSL y cable requieren el uso de controladores
especiales en un sistema Linux que son raros y difciles de hallar. Hay cuatro formas en que un
ISP de banda ancha asignar direcciones IP. stas son con una direccin IP esttica, DHCP,
PPP sobre Ethernet (PPPoE), o PPP sobre ATM (PPPoA). Si el ISP proporciona al usuario un
mdem incompatible, la mejor idea es reemplazarlo con uno que sea compatible. Si el ISP del
usuario usa PPPoE o PPPoA, el usuario tendr que introducir configuracin para establecer la
conexin. El usuario tambin tendr que introducir comandos en el shell para iniciar la conexin
y terminar la conexin. El comando asdl-start iniciar la conexin y el comando asdl-stop la
terminar.
13
Mdulo 5:
5.2.7
Al configurar un servidor para acceso remoto, es importante mantener una estricta poltica de
derechos de acceso. sta puede ser una importante operacin de administracin de redes. El
sistema operativo Linux proporciona muchas opciones que elegir al controlar los derechos de
acceso remoto. Al configurar los controles de acceso remoto, es una buena idea usar una
combinacin de al menos dos de estas opciones. La razn para esto es que si uno fallara o
pasara a inactividad siempre habr un respaldo.
Firewalls
Un firewall acta como barrera entre una red, como Internet por ejemplo, y otra. Esta otra red
podra ser la red de la cual est a cargo el usuario para controlar su seguridad. El firewall se
coloca en medio de donde estas dos redes hacen interfaz, bloqueando as el trfico no
deseado. Se puede configurar un firewall en una variedad de formas diferentes. Una de las
formas tradicionales es instalar un router que pueda bloquear y controlar el trfico no deseado
que entra y sale de una red. Otros tipos de firewalls incluyen firewalls externos dedicados como
Cisco PIX Firewall, o slo una computadora comn actuando como firewall.
Todo el trfico de la red que fluye hacia dentro y fuera de ella lo hace usando puertos. Un
firewall de filtro de paquetes restringe el trfico basndose en estas asignaciones de puertos.
Este tipo de firewall examina el nmero de puerto del origen y el destino y la direccin IP del
origen y el destino. Por ejemplo, si un servidor Samba est funcionando en la red interna, el
administrador configurara el firewall para bloquear el puerto usado por Samba en el firewall.
Esto evitara cualquier acceso indeseado al servidor de un hacker malicioso de fuera de la red.
Tal como se mencion previamente, el sistema operativo Linux por s mismo puede
configurarse para proporcionar servicios de firewall. Linux usa las herramientas ipfwadm,
ipchains, e iptables para configurar funciones de firewalls. Las funciones de firewall pueden
18
Mdulo 5:
SNMP
Samba Web Administration Tool (SWAT)
Webmin
SNMP
Este protocolo se tratar en detalle en captulos posteriores. Es importante notar aqu no
obstante que sta nunca ha sido la herramienta de administracin remota preferida para
sistemas Linux como lo ha sido en el entorno Windows. La razn es que requiere mucha
configuracin complicada en los sistemas que deben administrarse.
Samba Web Administration Tool (SWAT)
Esta herramienta es una herramienta basada en la web que se usa para administrar un
servidor Samba. Despus de configurar SWAT, los usuarios pueden acceder al servidor
remotamente usando un navegador web. SWAT usa el puerto 901 y para acceder a la pgina
de administracin de SWAT, los usuarios tipearan el URL del servidor al que desean acceder
remotamente, seguido del puerto 901. Por ejemplo, los usuarios tipearan http://ciscoflerb.cisco.com:901. La Figura proporciona un ejemplo de la pgina de SWAT. Tenga en
cuenta que SWAT slo permite a los usuarios administrar las funciones Samba del servidor.
Los usuarios no podrn llevar a cabo ninguna otra tarea de administracin con SWAT. No
obstante, los usuarios tendrn un control completo de Samba en el servidor remoto.
Webmin
Webmin, como el nombre lo implica, es otra herramienta de administracin remota basada en
web. Webmin fue diseada teniendo como concepto principal que pueda ser usada en todas
las distribuciones de Linux as como en sistemas UNIX. Cuando se instala Webmin, se instalan
archivos de configuracin especficos de esa distribucin de Linux o UNIX en particular.
Webmin usa el puerto 10000. Para acceder a la pgina de administracin de Webmin, los
usuarios tipearan el URL del servidor al que desean acceder remotamente, seguido por el
puerto 10000. Por ejemplo tipee http://cisco-flerb.cisco.com:10000.
rmon y ssh
Remote Monitoring (RMON) es una especificacin de monitoreo estndar que permite a varios
monitores de red y sistemas de consola intercambiar datos de monitoreo de red. Secure Shell
(SSH) es probablemente la ms popular herramienta de administracin remota para Linux.
SSH ofrece acceso de lnea de comando mediante un tnel encriptado que proporciona ms
seguridad que telnet. Muchas distribuciones de Linux vienen con un servidor SSH ya instalado.
Al igual que con cualquier herramienta, deben instalarse patches y colocarse restricciones para
evitar que usuarios no autorizados usen el servicio. Una vez que tenga instalado un servidor
SSH, configurarlo es muy fcil. Existen un par de configuraciones importantes que deber
ordenar para minimizar el riesgo, incluyendo:
24
Mdulo 5:
PermitRootLogin Este valor deber configurarse a No, puesto que nunca deber
iniciarse sesin en la raz remotamente. Si desea administrar la caja, cree un usuario
normal y entre con SSH con esa cuenta. Una vez dentro, puede usar el comando su
para iniciar sesin como raz.
X11 Forwarding Este valor se utilizar para obtener una conexin grfica. Si slo
desea usar la consola, puede configurar este valor a No; de otro modo, configrelo a
S.
Si no tiene instalado un servidor SSH, puede utilizar su instalador RPM de la distribucin Linux
para hacerlo funcionar. Una vez logrado eso, conectarse es muy simple. Primero, es necesario
que obtenga un cliente. Un cliente SSH fcil y gratuito es PuTTY, que puede descargar del sitio
web de PuTTY ubicado en el vnculo web de ms abajo. PuTTY es una utilidad de cliente ssh
que le permite conectarse a sistemas remotos usando diversos protocolos, incluyendo SSH y
Telnet. Configurar PuTTY es muy fcil. Para conectarse a un sistema remoto, todo lo que tiene
que hacer es completar el nombre de host o direccin IP a la cual conectarse, y seleccionar
SSH para el tipo de conexin, como lo muestra la Figura
25
Mdulo 5:
26
Mdulo 5:
27
Mdulo 5:
5.3
Servicios de Directorio
5.3.1
Qu es un servicio de directorio?
medida que las intranets continan creciendo de tamao, las complejidades de estas redes
tambin crecen rpidamente. Las modernas intranets pueden contar con miles de usuarios, y
cada uno de ellos necesita diferentes servicios y diversos niveles de seguridad en la red. La
tarea de administrar este desafo logstico ha crecido ms all de la capacidad del NOS por s
solo. Muchos administradores de sistemas usan ahora "servicios de directorio" para
suplementar las herramientas de administracin de un NOS. La Figura muestra los conceptos
bsicos respecto a cmo se construye un servicio de directorio. El objeto superior en un
directorio, que contiene a todos los otros objetos, se denomina objeto "raz".
Un servicio de directorio proporciona a los administradores de sistema un control centralizado
de todos los usuarios y recursos en toda la red. Proporciona a un administrador la capacidad
de organizar informacin. Ayuda a simplificar la administracin de la red proporcionando una
interfaz estndar para tareas de administracin de sistema comunes. Esta funcin es
importante cuando una red grande est ejecutando varios sistemas operativos y diversos
protocolos de red. Con un nico servicio de directorio, el administrador de red puede
administrar centralmente todos esos recursos con un conjunto definido de herramientas en
lugar de atender manualmente cada dispositivo por separado. Estos servicios de directorio
pueden ser locales, lo cual significa que estn restringidos a una nica mquina o la
informacin del directorio puede estar diseminada en varias mquinas. Esto se denomina base
de datos de directorio distribuida.
En el mundo informtico, un directorio puede ser algo diferente. Los alumnos probablemente
estn familiarizados con el trmino "directorio" en lo que se refiere a los sistemas de archivos
de computadora, en los cuales un directorio es una coleccin de archivos agrupados bajo un
nombre identificatorio. Los servicios de directorios usados por un NOS son diferentes pero son
conceptos relacionados. En este contexto, un directorio es un tipo especial de base de datos.
Puede contener variados tipos de informacin.
Beneficios del Uso de una Estructura de Directorio
Los beneficios de usar servicios de directorio en una red incluyen:
Hay ventajas en usar servicios de directorio para acceder a los recursos de la red.
Tradicionalmente, los archivos y carpetas compartidos se almacenaban en las unidades de
disco rgido de estaciones de trabajo individuales o servidores de archivos. Para conectarse a
los archivos compartidos, el usuario necesitaba saber dnde estaban ubicados.
Un servicio de directorio elimina este requisito. Los recursos compartidos se publican en el
directorio. Los usuarios pueden localizarlos y acceder a ellos sin siquiera saber en qu
mquina residen fsicamente los recursos. La Figura ilustra cmo est pensado que funcione
este proceso. Los archivos, directorios y compartidos a los que los usuarios acceden desde un
nico punto pueden distribuirse a travs de varios servidores y ubicaciones usando servicios de
directorio distribuido y replicacin. Los siguientes dos mtodos pueden usarse para buscar en
todo el directorio distribuido desde una nica ubicacin.
28
Mdulo 5:
29
Mdulo 5:
30
Mdulo 5:
5.3.2
Agente del Sistema de Directorios (DSA) Administra los datos del directorio
Agente del Usuario del Directorio (DUA) Otorga a los usuarios acceso a servicios de
directorio
Base de Informacin de Directorio (DIB) Acta como el almacn central de datos, o
base de datos, en la cual se guarda la informacin del directorio
Los estndares X.500 tratan cmo se almacena la informacin en el directorio y cmo los
usuarios y sistemas informticos acceden a esa informacin. La seguridad de los datos, el
modelo de nombrado, y la replicacin de datos del directorio entre servidores est todo definido
en X.500.
31
Mdulo 5:
Las especificaciones X.500 definen la estructura del directorio como un rbol invertido, y la
base de datos es jerrquica. Un servicio de directorio que cumpla con X.500 usa el Protocolo
de Acceso al Directorio (DAP), que se trata a continuacin.
DAP y LDAP
DAP permite que el DUA se comunique con el DSA. DAP define el medio mediante el cual el
usuario puede buscar en el directorio para leer, agregar, borrar, y modificar entradas del
directorio.
DAP es un protocolo potente, pero la sobrecarga asociada es alta. El Protocolo de Acceso al
Directorio Liviano (LDAP) fue desarrollado como un subconjunto de DAP para simplificar el
acceso a directorios tipo X.500. LDAP se ha convertido en un estndar popular porque integra
directorios de diferentes fabricantes. LDAP est diseado para usar menos recursos de
sistema que DAP, y es ms fcil de implementar. La versin actual de LDAP es LDAPv3.
LDAPv3 ofrece varias mejoras importantes sobre versiones anteriores de LDAP. La mejora a la
seguridad es un foco principal de la nueva versin. LDAPv3 soporta cifrado Secure Sockets
Layer (SSL) entre cliente y servidor y habilita la autenticacin de certificados X.509.
LDAPv3 tambin habilita al servidor para que refiera al cliente LDAP a otro servidor si no es
capaz de responder a la consulta del cliente. La Figura ilustra un ejemplo de un servicio de
directorio DAP y LDAP tpico.
5.3.3
Con el lanzamiento de Windows 2000 Server, Microsoft hizo cambios fundamentales en sus
componentes de networking que son incluso ms drsticos que aqullos efectuados por Novell
en la transicin de NetWare 3 a 4. El Active Directory es central a estos cambios. Donde el
32
Mdulo 5:
Novell NDS funciona como servicio que funciona con el NOS, el NOS, el Microsoft Active
Directory funciona como aplicacin profundamente integrada al sistema operativo.
Las siguientes secciones tratan la estructura de la base de datos Active Directory, integracin
de Active Directory, e informacin de Active Directory.
Estructura de la Base de Datos de Active Directory
La informacin de Active Directory se almacena en tres archivos:
La base de datos es el directorio. Los archivos de registro toman nota de los cambios
efectuados en la base de datos. El Volumen de Sistema Compartido (llamado Sysvol) contiene
scripts y objetos de poltica de grupo en los controladores de dominio de Windows 2000. La
Poltica de Grupo es el medio por el cual los administradores de Windows 2000 controlan los
escritorios de los usuarios, implementan aplicaciones automticamente, y configuran los
derechos de los usuarios.
Dominios de Windows 2000
La estructura lgica del Active Directory se basa en unidades llamados Dominios. Aunque se
usa la misma terminologa, los dominios en Windows 2000 funcionan de manera diferente a los
de Windows NT. Tanto en Windows NT como en Windows 2000, un dominio representa un
lmite de seguridad y administrativo, as como una unidad de rplica. No obstante, Windows NT
usa una estructura de dominio plana, y Windows 2000 dispone los dominios en rboles de
dominio jerrquicos.
El concepto de rbol jerrquico funciona de manera diferente en Active Directory que en NDS.
NDS no divide la red en dominios. Las redes Windows 2000 pueden tener mltiples dominios,
organizados en rboles de dominio. Adicionalmente, a estos rboles pueden unrseles otros
rboles para formar bosques. La Figura muestra una estructura de dominio de Windows 2000
con dos rboles de dominio (con los dominios raz shinder.net y tacteam.net) unidos en un
bosque. Un bosque es el trmino que usa Microsoft para llamar a una coleccin de los rboles
de un dominio enteramente diferente que se incluyen en la estructura jerrquica de Active
Directory.
Unidades de Organizacin (OUs) de Windows 2000
Active Directory, como NDS, usa Unidades de Organizacin (OUs) para organizar los recursos
dentro de los dominios. La autoridad administrativa puede delegarse a OUs individuales. Por el
contrario, el networking de NT permite la asignacin de privilegios administrativos slo al nivel
del dominio.
Active Directory y DNS
Active Directory usa convenciones de nombrado DNS y es dependiente de DNS para operar.
Debe haber un servidor DNS en cada red Windows 2000. Adems, las actualizaciones de
informacin de la zona DNS puede integrarse con la replicacin de Active Directory, que es
ms eficiente que los mtodos de actualizacin DNS tradicionales.
Windows 2000 soporta DNS Dinmico (DDNS), que permite la actualizacin automtica de la
base de datos DNS.
Servidores Active Directory
Para usar Active Directory, al menos un servidor debe configurarse como Controlador de
Dominio (DC). Se recomienda que haya al menos dos DCs en cada dominio, para tolerancia de
fallos. Configurar el primer controlador de dominio en la red crea el directorio para ese dominio.
33
Mdulo 5:
A diferencia de los servidores Windows NT, los Servidores Windows 2000 que ejecutan Active
Directory, no tienen un controlador de dominio principal (PDC) o controlador de dominio de
respaldo (BDC). En los dominios Windows NT, slo el PDC contena una copia completa de
lectura/escritura del directorio de cuentas de usuario e informacin de seguridad. El PDC
autenticara los nombres de usuario y contraseas cuando los miembros iniciaran sesin en la
red. El BDC mantendra una copia de respaldo de slo lectura del directorio master del PDC y
por lo tanto cualquier cambio necesitara efectuarse en el PDC. Los servidores Windows 2000
que ejecutan Active Directory toman el concepto de controlador de dominio de manera un tanto
diferente. A diferencia de Windows NT Server, donde un PDC debe ser accesible para efectuar
cambios en el directorio, Windows 2000 Server se basa en el modelo de replicacin
multimaster de Active Directory para actualizar todos los controladores de dominio dentro del
Bosque cuando se hace un cambio en cualquier otro controlador de Dominio. No hay PDC o
BDC. Todos los controladores de dominio son iguales. Todos los Controladores de Dominio
contienen una copia de lectura/escritura de la particin del Active Directory. Esta informacin se
mantiene actualizada y sincronizada mediante el proceso de replicacin. Este proceso se trata
en la siguiente seccin de este captulo.
Replicacin del Active Directory
Replicacin es el proceso de copiar datos de una computadora a una o ms computadoras y
sincronizar esos datos para que sean idnticos en todos los sistemas.
Active Directory usa replicacin multimaster para copiar informacin del directorio entre los
controladores de dominio de un dominio. Pueden efectuarse cambios en cualquier controlador
de dominio, y esos cambios luego se replican a los otros, excepto durante el desempeo de
una operacin de master nico.
Los administradores de Windows 2000 pueden establecer polticas de replicacin que
determinen cundo y cun a menudo tiene lugar la replicacin de directorios. Esto permite el
uso ptimo del ancho de banda de la red. Controlar el cronograma de replicaciones es
especialmente importante cuando los controladores de dominio estn ubicados en lados
opuestos de un vnculo lento, como un vnculo WAN de 56K.
Seguridad de Active Directory
Cada objeto de Active Directory tiene una Lista de Control de Acceso (ACL) que contiene todos
los permisos de acceso asociados con ese objeto. Los permisos pueden ser explcitamente
permitidos o denegados, granularmente.
Existen dos tipos diferentes de permisos:
1. Permisos asignados Permisos explcitamente otorgados por un usuario autorizado.
2. Permisos heredados Permisos que se aplican a objetos hijos porque fueron
heredados de un objeto padre.
Los permisos pueden asignarse a un usuario individual o a un grupo de usuarios. Windows
2000 permite a los administradores controlar este proceso. Note el recuadro de verificacin en
la parte inferior de la hoja de propiedades de seguridad del objeto en la Figura .
Compatibilidad de Active Directory
Active Directory depende del sistema operativo y se ejecuta slo en servidores Windows 2000.
Puesto que Active Directorio es compatible con LDAP, puede accederse a los servicios y la
informacin o intercambiarse con otros servicios de directorio LDAP. Microsoft tambin
proporciona herramientas para migrar informacin desde otros directorios, como NDS, a Active
Directory.
34
Mdulo 5:
5.3.4
35
Mdulo 5:
38
Mdulo 5:
5.4
5.4.1
Correo
El correo bien podra ser el ms importante proceso de red de todos. El correo proporciona a
los usuarios un mecanismo para enviar y recibir correo electrnico (e-mail). Los servicios de
correo vienen en varias formas. A lo largo de los aos, muchas compaas han desarrollado
mtodos propietarios de intercambiar e-mail. Hoy, virtualmente todos los servicios de correo se
basan en TCP/IP o pueden al menos actuar como gateway entre los servicios de correo
propietarios y TCP/IP. La Figura representa cmo un cliente puede enviar correo a otro a
travs de Internet usando servicios TCP/IP.
Es un error pensar que el correo se enva de la computadora de un usuario directamente a
otra. Aunque este caso es posible, slo puede ocurrir si ambas PCs estn actuando como
servidores de correo. La mayor parte del tiempo, el correo del emisor se enva a un servidor de
correo que pertenece a su ISP o a su empleador, no directamente al destino. El servidor de
correo luego enva el correo (de ser necesario) a un servidor usado por el destinatario.
Por ejemplo, Mara tipea un e-mail a john@foo.com. El programa de correo de Mara enva el
correo a un servidor de correo usado por Mara. Se trata en general de un servidor de correo
ejecutado por el ISP de Mara o su compaa. El servidor de correo intenta entonces enviar el
mensaje a un servidor de correo usado por John. El servidor de correo de Mara usa la
informacin que se encuentra despus del smbolo @ de la direccin de John para determinar
dnde enviar el mensaje. En este caso, el servidor de Mara busca servidores de correo que
manejen correo para foo.com. Una vez que el mensaje llega al servidor de correo de foo.com,
espera ah hasta que el programa de e-mail de John lo recupera.
Los servicios de correo estn compuestos por una combinacin de los siguientes
componentes:
Sendmail es el nombre del MTA ms popular usado en servidores UNIX y Linux. Sendmail se
basa en el Protocolo de Transferencia de Mail Simple (SMTP) para recibir correo de clientes y
enviar correo a otros servidores de correo. SMTP es parte de la suite de protocolos TCP/IP.
Clientes de correo populares (MUAs) incluyen a Microsoft Outlook, Eudora, y Pine. Los MUAs
pueden componer y enviar correo a los MTAs, como Sendmail. Los clientes de correo envan
correo a servidores usando SMTP.
Un MDA es un programa que es responsable de enrutar correo recibido a las bandejas de
correo apropiadas en el servidor de correo. Algunos MDAs incluyen funciones de seguridad y
filtros que pueden evitar la dispersin de virus de e-mail.
El e-mail no se lee usualmente cuando un usuario ha iniciado sesin a una cuenta de shell en
el servidor de correo. En cambio, se usa software para recuperar el correo de una bandeja de
correo, que reside en el servidor. Para recuperar correo de un servidor de correo, los clientes
de correo remotos usan dos protocolos comunes:
39
Mdulo 5:
No es necesario que cada NOS de una red ejecute el servicio de correo. En general, solamente
un servidor de una red es necesario para llevar a cabo deberes relacionados con el e-mail para
todos los usuarios. Este servidor ejecuta el servicio de correo en todo momento, y los usuarios
se conectan al servidor cuando envan y leen e-mail. La Figura es una actividad de arrastrar y
colocar sobre agentes de correo comunes.
40
Mdulo 5:
5.4.2
Impresin
41
Mdulo 5:
de impresin en ocasiones puede ser larga, dependiendo del tamao de los trabajos de
impresin introducidos en la cola antes que l. De esta manera, un servicio de impresin en red
proporcionar a los administradores del sistema las herramientas necesarias para administrar
la gran cantidad de trabajos de impresin que se enrutan a lo largo de toda la red. Esto incluye
la capacidad de priorizar, hacer pausa, e incluso borrar trabajos de impresin que estn
esperando para ser impresos. Los servicios de impresin usualmente se confinan a un entorno
de intranet local por razones de mantenimiento y capacidad administrativa. La Figura muestra
un ejemplo del administrador de trabajos de impresin para Windows 2000.
5.4.3
Archivos compartidos
La capacidad de compartir archivos mediante una red es un importante servicio de red. Existen
muchos protocolos y aplicaciones para compartir archivos en uso hoy. Dentro de una red
corporativa u hogarea, los archivos en general se comparten usando Windows File Sharing o
el protocolo Network File Sharing (NFS). En tales entornos, un usuario final puede ni siquiera
saber si un determinado archivo se encuentra en el disco rgido local o en un servidor remoto.
Windows File Sharing y NFS permiten a los usuarios mover, crear, y borrar archivos fcilmente
en directorios remotos.
En contraste a compartir archivos dentro de una red en el hogar o la oficina, compartir archivos
en Internet se efecta a menudo usando el Protocolo de Transferencia de Archivos (FTP). FTP
es un protocolo cliente-servidor que requiere que los clientes inicien sesin antes de transferir
archivos. Los archivos siempre estn disponibles con Windows File Sharing y NFS pero las
sesiones FTP se efectan solamente en la duracin de la transferencia de archivos. La mayora
de los NOSs con capacidad TCP/IP incluyen servicios FTP, aunque los comandos soportados
por cada NOS pueden variar levemente.
Hoy, muchos usuarios finales comparten archivos usando protocolos peer-to-peer por Internet.
Gnutella es un ejemplo de protocolo de networking peer-to-peer. Los protocolos peer-to-peer
42
Mdulo 5:
funcionan sin un servidor central. Cada host que participa en la red peer-to-peer es
considerado el igual del resto de los hosts. El networking peer-to-peer es popular entre los
usuarios hogareos, pero an tiene que implementarse la tecnologa como solucin de negocio
difundida. Las redes peer-to-peer a menudo se basan en protocolos TCP/IP comunes para
compartir archivos. Por ejemplo, los peers Gnutella usan HTTP para descargar archivos de un
peer a otro. La Figura muestra un ejemplo de un dominio con los directorios y archivos
compartidos a los que puede accederse mediante una conexin peer-to-peer.
5.4.4
43
Mdulo 5:
inactivo se denomina tiempo vencido por inactividad. La longitud de un tiempo vencido por
inactividad FTP vara dependiendo del software.
Las conexiones FTP se establecen mediante programas GUI o usando el siguiente comando
CLI estndar:
ftp nombre_host o direccin_IP
Ejemplos incluyen las siguientes situaciones:
ftp computadora.compaa.com
o
ftp 123.45.67.90
Los servicios FTP en general no son habilitados por defecto en los NOSs. Esto se hace para
evitar que los administradores inadvertidamente hagan disponibles para la descarga archivos
restringidos. Adems, los programas de servidor FTP han sido histricamente un blanco de los
DoS y otros ataques maliciosos. Los atacantes que intentan evitar que usuarios legtimos
obtengan acceso a un servicio, como un servicio FTP, caracterizan un ataque DoS. Ejemplos
incluyen a:
Un administrador de red deber estar preparado para monitorear este tipo de actividad antes
de implementar un servicio FTP de alto perfil. La Figura muestra comandos FTP comunes.
Los Captulos 9 y 10 describirn especficamente cmo configurar servicios FTP en Red Hat
Linux 7 y Windows 2000.
44
Mdulo 5:
5.4.5
Servicios web
45
Mdulo 5:
La World Wide Web es ahora el servicio de red ms visible. En menos de una dcada, la World
Wide Web se ha convertido en una red global de informacin, comercio, educacin y
entretenimiento. La Figura muestra un grfico que representa el crecimiento exponencial de
Internet. Millones de compaas, organizaciones, e individuos mantienen sitios web en Internet.
Los sitios web son colecciones de pginas web almacenadas en un servidor o en un grupo de
servidores.
La World Wide Web se basa en un modelo cliente-servidor. Los clientes intentan establecer
sesiones TCP con servidores web. Una vez establecida una sesin, un cliente puede solicitar
datos al servidor. El Protocolo de Transferencia de Hipertexto (HTTP) gobierna en general las
solicitudes de los clientes y las transferencias de los servidores. Software cliente web incluye
navegadores web GUI, como Netscape Navigator e Internet Explorer. La Figura muestra un
ejemplo del navegador web Windows Explorer. Los clientes web tambin pueden ser
navegadores de texto. Un navegador de texto puede mostrar una red usando caracteres
tipogrficos, pero no grficos. Ejemplos de navegadores de texto incluyen a Lynx (usado en
sistemas UNIX/Linux) y navegadores web inalmbricos (en telfonos celulares).
A principios de los '90, HTTP se usaba para transferir pginas estticas compuestas de texto e
imgenes simples. Estas primeras pginas web estaban escritas casi exclusivamente usando
HyperText Markup Language (HTML). A medida que se desarroll la World Wide Web, el rol de
HTTP se ha expandido. Los sitios web ahora usan HTTP para entregar contenido dinmico y
transferir archivos. Protocolo de Transferencia de Hipertexto Seguro (HTTPS) es una extensin
del protocolo HTTP que se usa para soportar datos enviados seguramente por Internet. HTTPS
est diseado para enviar mensajes individuales con seguridad. Un ejemplo de Aplicacin Web
que podra usar HTTPS es un banco que tiene sitios web para sus clientes que les permite
llevar a cabo transacciones financieras.
Las pginas web se hospedan en computadoras que ejecutan software de servicio web. Los
dos paquetes de software de servidor web ms comunes son Microsoft Internet Information
Services (IIS) y Apache Web Server. Microsoft IIS slo puede ejecutarse en una plataforma
Windows, mientras que Apache Web Server se usa en general en plataformas UNIX y Linux.
Existen docenas de otros programas de servidor web. Existe algn tipo de servicio web
disponibles para virtualmente todos los sistemas operativos actualmente en produccin.
El uso ms obvio de los servicios web es comunicarse usando Internet. Las compaas
publicitan y venden sus productos usando sitios web, las organizaciones hacen disponible
informacin, y las familias colocan fotos y diarios online para compartir con amigos. No
obstante, los servicios web tambin se usan en redes pblicas o privadas para implementar
aplicaciones de computadoras, colaborar en proyectos, y administrar sistemas remotos. Las
siguientes secciones tratan redes World Wide Web privadas, llamadas Intranets, as como la
administracin remota basada en la web. La Figura muestra un ejemplo del navegador web
Netscape Navigator.
46
Mdulo 5:
5.4.6
Intranet
Los servicios web juegan un rol significativo en redes privadas y corporativas. Una organizacin
puede implementar una red World Wide Web privada con una variedad de propsitos:
Los servicios web juegan un rol significativo en redes privadas y corporativas. Una organizacin
puede implementar una red World Wide Web privada con una variedad de propsitos:
Las organizaciones en general no desean que tal informacin y servicios se hagan pblicos en
Internet. En cambio, las organizaciones construyen servidores web para crear una intranet
privada. El prefijo en latn "inter" significa "entre", y as puede considerarse que la palabra
48
Mdulo 5:
Internet significa literalmente "entre redes". Este significado literal tiene sentido, ya que Internet
proporciona una forma de interconectar diferentes redes de computadoras de todo el mundo.
La Figura proporciona un ejemplo de representacin lgica de una Intranet. Existen varias
redes ubicadas en todo el mundo que estn conectadas y usan su propia Intranet para
intercambiar informacin y mostrar pginas web, que es una alternativa mucho ms segura a
mostrarlas en la Internet externa. El prefijo en latn "intra" significa "dentro", por lo tanto una
intranet es una red dentro de alguna frontera o lmite.
Las intranets usan la misma tecnologa usada por Internet, incluyendo HTTP sobre TCP/IP,
servidores web y clientes web. La diferencia entre una intranet e Internet es que las intranets
no permiten el acceso pblico a servidores privados.
Una forma de construir intranets es configurarlas para que slo los usuarios en el sitio puedan
acceder a los servidores de intranet. Esto se logra en general usando un firewall Internet.
No obstante, puesto que muchos empleados trabajan en su casa o de viaje, las organizaciones
han hallado formas de extender las intranets ms all de las fronteras geogrficas del edificio o
campus de la oficina. Este tipo de intranet, que permite a los usuarios de afuera conectarse a
los servidores web privados, a veces se llama Extranet.
Las extranets se configuran para permitir a los empleados y clientes acceder a la red privada
por Internet. Para evitar un acceso no autorizado a la red privada, los diseadores de la
extranet deben usar una tecnologa tal como un networking privado virtual. La Figura
proporciona un ejemplo de representacin lgica de cmo se establece un Tnel Virtual
mediante Internet para proporcionar una conexin remota segura a la red interna de una
compaa. Una red privada virtual (VPN) hace posible para los empleados usar un cliente web
conectado a Internet para acceder a la red privada de manera segura. Las VPNs se basan en
software de cifrado, nombres de usuario, y contraseas para asegurar que la comunicacin
tenga lugar privadamente, y slo entre usuarios autorizados. La Figura ilustra cmo una VPN
tambin puede usarse como un medio seguro de transferir datos de manera segura a otra
sucursal remota usando Internet como medio de transporte.
49
Mdulo 5:
50
Mdulo 5:
5.4.7
Extranet
Las extranets son una tecnologa emergente que muchas de las ms grandes corporaciones
del mundo estn comenzando a construir. Proporcionan un medio de incluir al mundo exterior,
como clientes y proveedores, as como un medio de obtener valiosa investigacin del mercado.
Por ejemplo, una intranet de una compaa puede estar vinculada a su sitio web externo (o
extranet). Esto les puede permitir obtener informacin acerca de un cliente que navega por su
sitio web. La informacin incluira dnde estn mirando en el sitio, qu productos toman como
muestra, qu procesos producen solicitudes de soporte tcnico, o qu repuestos estn
comprando. Las extranets son intranets llevadas al siguiente paso. Una intranet abarca la
compaa, mientras que la extranet puede abarcar el mundo. Las extranets pueden particionar
y separar datos de la compaa contenidos en la intranet de la compaa de los servicios web
ofrecidos al mundo mediante Internet. Unas pocas ventajas de una extranet para una compaa
podra ser el e-mail y los programas compartidos. Puede extender las capacidades de la
compaa para proporcionar soporte al cliente, as como e-commerce y ventas online. Uno de
los peligros obvios de las extranets es la seguridad, no obstante es posible proporcionar
seguridad con firewalls y contraseas cifradas. Esto no garantiza que una extranet sea segura.
La Figura delinea algunos de los diversos tipos de redes que han sido tratados.
51
Mdulo 5:
Escribir un script en Windows 2000 y Linux se tratar en el Captulo 10. La Figura delinea
algunos de los ms importantes lenguajes de programacin que se usan en algunos de los
sistemas operativos ms importantes tratados en este curso.
53
Mdulo 5:
5.4.8
52
Mdulo 5:
El archivo /etc/resolv.conf es usado por clientes DNS (servidores que no ejecutan BIND) para
determinar tanto la ubicacin de su servidor DNS como los dominios a los cuales pertenecen.
En general tiene dos columnas, la primera contiene una palabra clave y la segunda contiene el
o los valor(es) deseado(s) separados por comas. Una lista de las palabras clave se muestra en
la Figura .
La configuracin DNS principal se guarda en el archivo /etc/named.conf que se usa para
decirle a BIND dnde encontrar los archivos de configuracin para cada dominio que posee.
Por lo general hay dos zonas en este archivo:
Definiciones del archivo de la zona hacia delante que enumera los archivos para
mapear dominios a direcciones IP
Definiciones del archivo de la zona en reversa que enumera los archivos para mapear
direcciones IP a dominios
servidor El nombre o direccin IP del servidor de nombre a consultar. sta puede ser
una direccin IPv4 en notacin decimal de punto o una direccin IPv6 en notacin
delimitada por dos puntos. Cuando el argumento del servidor proporcionado es un
nombre de host, dig resuelve ese nombre antes de consultar al servidor de nombre. Si
no se proporciona ningn argumento de servidor, dig consulta /etc/resolv.conf y
consulta los servidores de nombre enumerados ah. La respuesta del servidor de
nombre se muestra.
nombre El nombre del registro de recursos donde hay que buscar.
tipo Indica qu tipo de consulta se requiere - ANY, A, MX, SIG, etc. tipo puede ser
cualquier tipo de consulta vlido. Si no se proporciona ningn argumento tipo, dig
llevar a cabo una bsqueda de un registro A.
56
Mdulo 5:
5.4.10 DHCP
57
Mdulo 5:
58
Mdulo 5:
5.4.11 Dominios
Un dominio es una agrupacin lgica de computadoras en red que comparten un directorio o
base de datos central. El directorio o base de datos se instala en computadoras llamadas
Servidores. Un servidor usualmente administra todas las interacciones entre dominios
relacionadas con la seguridad y con los usuarios. Tambin proporciona un lugar centralizado
desde el cual administrar estos servicios.
El concepto de dominio no incluye simplemente computadoras que estn unas junto a otras, o
en una locacin especfica, o incluso en la misma LAN, aunque puede. Tambin puede incluir
computadoras y servidores ubicados en diferentes locaciones en el mundo que pueden
comunicarse entre s con diversos tipos de conexiones para mantener una base de datos
sincronizada. La idea de dominio no es fsica, sino ms bien una agrupacin lgica de
computadoras y servidores de la compaa (ver Figura ). Los dominios tienen varias ventajas:
59
Mdulo 5:
Resumen
Este captulo trat los servicios de red. Algunos de los conceptos importantes a retener de l
son los siguientes:
Las computadoras con NOS asumen roles especializados para lograr un acceso concurrente a
recursos compartidos. El siguiente captulo trata las caractersticas de los NOSs.
60