Windows 10: Utilidades de directorio activo

Para poder usar las utilidades de exploración del directorio activo en windows 7 y windows 10, es necesario activar RSAT ( Remote Server Administration Tools) a través de Programas y características.

rsat_windows_dominio_01

Panel de control > Programas > Programas y características > Activar o desactivar las características de windows.

rsat_windows_dominio_02Habilitamos Remote Server Administration Tools > Feature Administration Tools > AD DS and AD LDS Tools > AD DS Tools

rsat_windows_dominio_03

A través de la consola mmc (mmc.exe) añadimos el complemento de Usuarios y equipos de active directory.

rsat_windows_dominio_04

 

Windows: Configurar un cluster con quorum en unidad compartida de red.

Al trabajar con cluster de microsoft en máquinas virutales, es imposible crear un disco de quorum compartido entre 2 máquinas sin que haya dependencia del host. Renunciar a los movimientos de máquinas virtuales entre hosts, hace imposible el mantenimiento. Por ello, es mejor configurar las máquinas windows en cluster con el disco de quorum en una unidad de red.

Creación del cluster

Cada una de las máquinas tendrá sus discos de datos, configurados como discos normales.

  • win1

  • win2

Se crea un cluster de conmutación por error, con los dos nuevos nodos windows.

Cuando ya lo tenemos, tenemos que crear su nuevo disco de quorum.

Seleccionar el testigo de quorum.

ms.quorum.error018

Configurar un testigo de recurso compartido de archivos.

ms.quorum.error023

Configuramos la ruta de red compartida.

ms.quorum.error024

En este punto, nos puede dar un error de permisos de quorum.ms.quorum.error025

El problema radica en que en windows, es la cuenta del sistema local quien está ejecutando el servicio de cluster. Esta cuenta local (distinta para cada nodo del cluster) no tiene permisos sobre la carpeta compartida del quorum.

Forzando el servicio de cluster a ejecutar con una cuenta de dominio que tenga permisos sobre la unidad de red, ya no hay problema en configurar el quorum.

También se puede optar por otra opción, que es dar permisos a los usuarios de máquina local que ejecutarán el servicio, sobre el almacenamiento en red, de forma que tengan acceso de lectura y escritura sobre los archivos del quorum.

Autenticación en máquinas linux mediante kerberos

https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory

Instalación y configuración de libpam-krb5

[logging]
        Default = FILE:/var/log/krb5.log
[libdefaults]
        default_realm =  DOMINIO.COM
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true
[realms]
        DOMINIO.COM = {
                kdc = server1.dominio.com
                kdc = server2.dominio.com
                admin_server = server1.dominio.com:88
                default_domain = dominio.com
        }
[domain_realm]
        .DOMINIO.COM = DOMINIO.COM
        DOMINIO.COM = DOMINIO.COM
[login]
        krb4_convert = true
        krb4_get_tickets = false

Prueba con kinit

Probamos nuestro usuario de pruebas contra el dominio:

kinit  usuario@dominio.com

Revisión de archivos de PAM

Por defecto, se crean las líneas de pam para aceptar krb5:

http://www.debian-administration.org/article/570/MIT_Kerberos_installation_on_Debian#PAM_configuration

Prueba con login

login usuario

en el log se debe ver algo como

tail -f /var/log/auth.log
Mar 17 13:15:14 puppettest login[20778]: pam_krb5(login:auth): user usuario authenticated as usuario@dominio.com

Pasos a seguir

Crear localmente los usuarios que van a usar su autenticación mediante kerberos.

Ladrones de nombres

El principal activo de una startup tecnológica es su dominio web. Nombres como apple.com, google.com o facebook.com nos son muy familiares a todos. Sin embargo, el camino hasta dar con el dominio perfecto para la empresa no es nada fácil. Hace años, cuando Internet no era más que cuatro nodos gestionados por entidades académicas, conseguir un dominio era mucho más fácil.

Hoy es muy complicado encontrar un dominio que, por un lado esté acorde con el nombre de la empresa, y por otro esté libre y sea fácil de pronunciar, deletrear y recordar. Para cualquier startup que se precie, este proceso es de obligado cumplimiento y muchas veces muy crítico. Es por ello que cuando todavía no se tiene un dominio, el emprendedor tiende a evitar comentar el nombre de su empresa por si alguien se lo roba.

Debido a ésto, el proceso de registrar un dominio debe mantenerse en secreto y realizarse con mucho cuidado. ¿Por qué digo esto? Pues porque últimamente hay informes de que existen ciertas filtraciones en el proceso de registrado de dominios y algunas empresas se están beneficiando de ello. El marco es el siguiente, el interesado realiza una búsqueda de un dominio, comprueba que no existe, pero cuando al día siguiente va a registrarlo descubre, para su desgracia, que otra empresa ya lo ha registrado a las pocas horas de su consulta el día anterior.

¿Cómo ha sucedido esto? Esto se puede deber a muchas circunstancias que expondremos a continuación. ICANN, el máximo organismo de gestión de Internet, ha emitido una nota (pdf) de aviso sobre estos problemas, que ellos llaman Domain name front running.

Existen varias posibles razones para que nuestra consulta haya sido interceptada, almacenada y vendida a terceros. Entre las más comunes son las siguientes:

  • Usar la barra de direcciones del navegador para comprobar si un dominio existe. Muchos usuarios consideran que si al teclear el dominio en el navegador, sale una página web es que el dominio no está libre. Nada más alejado de la realidad y sobre todo peligroso. Cuando realizamos esta operación, nuestro ordenador está preguntando al servidor DNS de nuestro proveedor si existe el dominio. Algunos proveedores de Internet (ISPs) almacenan estos datos y venden la información de aquellos dominios que se han buscado pero que no existían. De esta forma, en cuestión de horas, estas terceras empresas registran los dominios, con la esperanza de que si realmente te interesa, les pagarás bastante dinero por el. A parte de esto comentar que, el hecho de que no salga una página web no significa que el dominio esté libre.
  • Usar buscadores de tercera división para comprobar si un dominio existe. Por buscadores de tercera me refiero a cualquier buscador que no sea Google, Yahoo o similares (ask.com por ejemplo). Esto es debido a que estas empresas tienen unas políticas de privacidad muy importantes y, en teoría, no van a vender esta información a terceros. Por el contrario, si usamos buscadores dudosos o muy poco conocidos, tenemos muchas probabilidades de que nuestras búsquedas se almacenen y vendan a empresas que se dedican a buscar nuevos dominios.
  • Usar plugins para el navegador o programas gratuitos o de shareware. Existen infinidad de programas que podemos descargarnos y que proporcionan herramientas para gestionar y/o consultar dominios. Mucho cuidado con ellas ya que algunas almacenan la información para luego venderla.
  • Usar portales de entidades no oficiales para consultar los dominios. Un claro ejemplo de este comportamiento es el de Network Solutions y su “mecanismo de protección“. Parece ser que si realizas una búsqueda a través de su portal en Internet, el dominio se registrará automáticamente por ellos durante 4 días.

El gran problema con el protocolo DNS es que se envía en claro por el cable. Cuando digo en claro me refiero a que se transmite la información de la consulta sin cifrar, permitiendo su interceptación y almacenamiento. Si tenemos en cuenta que esa consulta pasa por numerosos routers y servidores hasta llegar a su destino, tenemos un escenario muy peligroso. Lo ideal sería que las consultas whois estuvieran cifradas, sin embargo, el costo computacional de tener que cifrar todas las peticiones dns hace de esta solución algo prohibitivo.

En conclusión, mucho cuidado con que sistema usáis para consultar los dominios y cuidado con los proveedores que venden vuestros datos. Espero que este pequeño articulo les evite a muchos (yo me incluyo) el perder nombres de dominio (con lo que encima cuesta pensarlos) por una tontería.