[ Publicado el 15 de abril de 2015]
Fuentes : Experiencia personal
Nota.- ** No está totakmente revisada la gramática aún **
¿Qué es Active Directory ?
Active Directory, o Directorio Activo en castellano, ha sido y es una herramienta de administración y gestión fundamental para entornos corporativos y de oficinas de un tamaño medio o grande basados sobre todo en Microsoft Windows.
AD ( Active Directory de aquí en adelante ) es un servicio de directorio que nos brinda una serie de cualidades de vital importancia cuando nos enfrentamos a inventarios de activos considerables o despliegues mas o menos complejos. Aunque no se podría definir una cantidad, ya que depende del profesional que estima las necesidades de la implantación de AD, quizas estableceríamos un número mínimo de uso de entre10-20 equipos, almenos dos sistemas de información diferente y un número de usuarios que por cantidad y diferencias requieren varios perfiles de seguridad.
¿Qúe es un servicio de directorio?
Actualmente un servicio de directorio tiene como principal misión ayudar a gestionar un inventario de equipos distribuidos a lo largo de una red telemática así como una seríe de recursos y otros aspectos de funcionalidad y seguridad.
Es una iniciativa que tiene ya más de una treintena de años con el primer objetivo de ofrecer una infraestrutura lógica para consulta de objetos y recursos a modo de "guía telefónica". Con ella se quizo además con el paso de los años no solo facilitar la gestión de inventarios de equipos e informacion de recursos distribuidos sino además permitir la interoperatibilidad multivendedor de sistemas interconectados que por aquellos años empezaba a florecer.
Active Directory es la evolución del mítico "dominio NT" y es otra implementación basada en estándares ya maduros como X.500 y posteriormente LDAP.
Existen otras implementaciones de otros fabricantes para otros entornos dentro del sector de los sistemas de informacion como eDirectory o Red Hat Directory Server.
Vale, ¿Pero qué es exactamente un servicio de directorio?
En el nucleo de un servicio de directorio nos encontraremos con una estructura organizada de la información de nuestro entorno en forma de base de datos. Por tanto, es este el objeto principal del servicio de directorio, la información.
Sobre esta bd se implantan los protocolos y aplicaciones a diferentes niveles que permitirán via consultas de lectura y/o escritura a la base de datos del servicio de directorio entregar una serie de servicios informatizados. Por ejemplo, la validación del acceso a una sesión interactiva de escritorio de windows necesita verificar la cuenta con la que se esta realizando el logon.
La información en directorio activo es flexible, por ejemplo una cuenta de acceso a dominio no solo puede contener los datos de validación como nombre y contraseña sino que ademas puede albergar datos de la persona física a la que está asignada una cuenta de acceso que permitirá a otros protocolos y servicios como Kerberos o Microsoft Exhange distribuir un mecanismo seguro ( encriptado ) para la gestión de la seguridad a recursos distribuidos o entregar servicio de correo.
¿Para qué nos sirve AD?
AD nos permitiría centralizar aspectos claves como :
- Seguridad,
* Control de accesos a sesiones interactivas y validaciones de accesos a recursos distribuidos.
* Gestión basada en distribución de politicas seguridad para el estableciemiento de las medidas de seguridad asi como otras características controlables de forma centralizada.
* Uso de perfiles basados en políticas de seguridad.
* Recolección de auditorias
- Entrega de servicios básicos como distribución de direcciones IP (DHCP), resolucion de nombres ( DNS ), validación de accesos ( Kerberos ), impresión, recursos de disco compartidos, etc.
- Gestión de inventarios
- Cualquier funcionalidad nueva que cubra necesidades de negocio o tecnicas de las compañias y que aprovechen la ventaja fundamental de un servicio de directorio.
Muy bien, ¿ Y para que quiero yo AD en mi fábrica ?
Obviando que ya pudiese existir una instalacion y uso de AD en el entorno de oficinas de una fábrica, la instalación ( o ampliación ) y uso de AD para cubrir el inventario de activos informaticos de proceso basicamente nos permitirá llevar a cabo las tareas comentadas en el apartado anterior, en una palabra, organizar el posible caos.
El primer objetivo es el relacionado con la seguridad, a estas alturas ya no hay area de proceso de la industria que no esté conectada con internet aunque sea solo para que el fabricante italiano de soporte remoto, y evidentemente, se reduzca el coste de un contrato de soporte ( todos sabemos lo que cuesta que venga un técnico italiano o peor aún, alemán ).
Es necesario tambien poner orden en el acceso a los terminales de operador y SCADAs, limitar la responsabilidad de los usuarios de esa terminal tambien puede llegar a ser muy importante para la disciplina en operaciones y mantenimiento.
Esta implantación de seguridad centralizada de AD nos permitirá administrar remotamente los equipos sin tener que desplazarnos.
El segundo objetivo es desplegar servicios auxiliares que serán inestimables pilares de apoyo a aquellas industrias que cuenten con un numero de equipos grande. Por ejemplo el acceso a recursos compartidos como pueden ser unidades de red o impresoras.
El tercero es gestionar el inventario de equipos asi como he mencionado antes, administrarlos. AD no deja de ser una base de datos que nos permitirá por ejemplo almacenar o recuperar inestimable información para el dia que tengamos que hacer valoraciones contables o migraciones de tecnología.
El ultimo objetivo puede ser dotar a las areas de ventajas adicionales con servicios extras como puede ser el correo o cualquier servicio que pudiese hacer uso de la bd de AD, quizas un GMAO.
Ya he decidido que necesito AD en mi area de procesos de la fabrica... ¿ Y ahora ?
Bueno, no es tan sencillo implantar o administrar AD de la noche a la mañana. Lo primero es evidentemente comprender lo que he comentado en los apartados anteriores.
Lo siguiente es hacer un analisis concienzudo de lo que se tiene, de los objetivos a alcanzar, de los pros y los contras, la inversión necesaria o el coste total incluyendo el coste asociado a la administración, mantenimiento, o en definitiva, del ciclo de vida.
El entorno de proceso requiere de pericia a la hora de establecer politicas distribuidas de seguridad, es un entorno muy sensible a restricciones y cambios en productivo.
En general AD es una inestimable herramienta como digo en el título, pero tambien puede llegar a convertirse en un monstruo, un Godzilla descontrolado que convierta nuestros sistemas de información y nuestra vida profesional en una pesadilla.
Los españolitos de nuestra España estamos acostumbrados a montar bonitos proyectos que despues de algunos contratiempos y penurias de ingenieria conseguimos echar a andar, pero claro, sin la documentación pertinente y los procedimientos de manteniemiento pensados, porque todo nuestro afán ( o mejor dicho, el de nuestros clientes y jefes ) ha sido entregar cuanto antes el proyecto debido a las presiones que recibimos.
Tanto un proyecto de AD nuevo como de migración requiere una verdadera y auténtica gestion de proyecto, llámese Prince, PMBok o Rita la cantaora v4. INSISTO, AUTENTICA GESTIÓN DE PROYECTO.
Y sobre todo, una verdadera alineación de la gerencia o negocio con el area de ingeniería, pero lo que se dice una verdadera alineación, en los dos sentidos.
Si no es así lo que aseguro es que se verán llegar nubarrones de incidencias y tormentas de problemas.
¿ Que problemas podemos encontrarnos con la administración de AD ?
Por un lado técnicos, y por otro lado ineherntes a nosotros los implantadores, administradores o usuarios.
AD es una tecnología muy madura y muy fiable, pero aún así no podremos evitar que esta tecnología evolucione y nos encontremos con un proyecto de migración. En este caso si no tenemos los deberes hechos y nos preparamos para el exámen final entonces suspenderemos.
AD es una tecnología compleja que necesita personal cualificado, y esto significa, cualificación con todas sus letras, no un aficionado que sabe montar tarjetas PCIs e instalar Windows XP.
Aparte de necesitar técnicos cualificados ( no tienen porqué tener veinte mil certificaciones rimbobantes ) se necesita almenos uno o dos ingenieros con dos dedos de frente que sean capaces de pensar con claridad, conducir por circunstancias complicadas o por ejemplo algo tan complicado como diagnosticar incidencias y problemas.
Finalmente, y como digo en el primer parrafo de este apartado, no hay que olvidarse del usuario, desde el operador de maquina hasta el jefe de seccion, desde los demasiado torpes a los demasiado listos, desde los demasiado colaboradores hasta los demasiado excentricos, críticos o saboteadores...
En resumen...
AD es una magnífica herramienta sobre todo para grandes compañías con grandes y complejos inventarios de sistemas de información pero que requiere como todo en esta vida la adecuada dedicación y disciplina si en definitiva queremos obtener beneficios y desarrollar los procesos y negocios.
Javier G. Sáenz
Consultor Senior de sistemas industriales ICS/SCADA
Arquitecto/programador especialista de sistemas ICS/SCADA
Consultor Senior IT
Experto en ciberseguridad industrial, ISA S-99
Analista Programador Senior Siemens Simatic
Ingeniero de Software Senior proyectos de control de procesos
Especialidades:En general :
Ingenieria del Software Senior, metodos formales y ágiles
Ingniero de Sistemas Windows Senior
Programador multidisciplinar y multiplataformas, desktop, servidores e industrial
DBA Junior, specialidad Microsoft MS SQL
Operador de red Junior
Comprometido con ISO9001 , ISO27001, ITIL V2, COBIT, TOGAF, PMBOK
No hay comentarios:
Publicar un comentario