facultad informatica y ciencias aplicadas...
TRANSCRIPT
FACULTAD INFORMATICA Y CIENCIAS APLICADAS
TEMA:
TRABAJO DE INVESTIGACION MODULO I Y II
PRESENTADO POR:
RUTH VANESSA AZUCAR VASQUEZ
CARLOS WILFREDO AVELAR FIGUEROA
CARLOS EDGARDO AVELAR FIGUEROA
PARA OPTAR AL GRADO DE:
LICENCIATURA EN INFORMATICA
JULIO, 2012
SAN SALVADOR, EL SALVADOR, CENTRO AMERICA
INDICE
i. Introducción…………………………………………………..………………………1
Capítulo I
Escenarios de Trabajos
1. Escenario (Modulo 1-2)………………………………………………………..2
1.1 Situación Problemática………………………………………………..2
1.2 Objetivo…………………………………………………………………7
1.3 Justificación…………………………………………………………….8
2. Escenario (Modulo 3-4)……………………………………………………..13
2.1 Situación Problemática……………………………………………...13
2.2 Objetivo……………………………………………………………….18
2.3 Justificación…………………………………………………………..19
Capitulo II
Marco Teórico Conceptual
3. Marco Teórico………………………………………………………………..20
3.1 Tecnologías para redes SAN y NAS – iSCSI y FC……………..20
3.2 Tecnologías para la autenticación centralizada………………….26
3.3 Cuadro de decisiones………………………………………………33
3.3.1 iSCSI vs FC………………………………………….33
3.3.2 Active Directory vs OpenLDA……………………..34
4. Referencias Bibliográfica…………………………………………………..36
Anexos
- Cronograma de actividades………………………………………………37
1
i. INTRODUCCION
En el presente trabajo se trata de dar solución a un escenario establecido
acorde a lo desarrollado en clases, en la problemática se ve involucrada una
empresa llamada Empresa2 que solicita el mejoramientos de sus servicio
actuales donde se plantean distintas problemáticas. Se presentara una
cotización de los servidores que sean requerido para la solución, se analizara
diferentes tecnologías de comunicación que se utilizan en la actualidad, se
investigara y se establecerá la centralización de sus servicios y recursos, así
como la mejor tecnología de autenticación centralizada que mejor rendimiento
otorgue a sus necesidades, además un nueva restructuración de el
almacenamiento, se tratara de proponer las ventajas y desventajas que
presentas las diferentes soluciones y un análisis de cada uno de ellas.
Se tiene como finalidad mejorar las competencias desarrolladas en clase,
así como el análisis y aplicación de tecnologías para la solución de problemas o
mejoras de procesos tipificados en empresa de la región.
2
1. Escenario Modulo (1-2)
2.1 Situación Problemática
DESCRIPCIÓN DEL ESCENARIO
Para el desarrollo de nuestro proyecto estableceremos el escenario en
una mediana empresa (PYME), que tiene un área de informática, en la cual,
mantiene una estructura básica de red y servicios. Se ha concluido que su nivel
de expansión esta creciendo y por ese motivo necesita una restructuración para
poder administrar de una forma más eficiente y segura. Además la compañía
necesita implementar una red NAS por medio de un nuevo servidor y una
estructura de almacenamiento donde se deberá tener en cuenta un presupuesto
como mediana empresa.
DESCRIPCION DE LA EMPRESA
Nombre de la compañía: EMPRESA2 S.A. de S.V
Cantidad de sucursales: 2
Cantidad de empleados: 125
Giro de la empresa: Ventas de partes automotrices.
3
Cantidad de departamentos: 6
Ventas.
Contabilidad.
Administración.
RRHH.
Informática.
Finanzas.
DESCRIPCION DE EL ESTADO ACTUAL
El estado actual de la EMPRESA2 es la siguiente:
La Empresa2 actualmente tiene una red con dos servidores donde
comparte recursos (archivos e impresoras) y administra un sitio web para
dar información a sus clientes.
En la red existe un servidor con Windows Server 2008 R2 y un servidor
Linux.
Los servidor esta configurado como servidor “stand-alone” o
independiente, por lo que para ingresar a los recursos los usuarios deben
registrarse con las credenciales de cada servidor.
Todos los recursos compartidos están en el servidor, de forma que si el
servidor llega a estar no disponible, los recursos tampoco lo estarán.
4
Los clientes en su mayoría son clientes Windows (XP, 7), solamente
existe un 10% de clientes Linux y a excepción de los gerentes que utiliza
Tablet con ANDROID e IPAD.
La empresa ha decidido invertir en tecnología (software y hardware) de
forma que haya alta disponibilidad y alto rendimiento en los servicios.
También ha decidido centralizar su almacenamiento de forma que haya
un manejo sobre la tolerancia a fallos de sus servidores y poder también
manejar una forma más fácil el respaldo de su información.
REQUERIMIENTO DE LA EMPRESA
Para mejorar la seguridad y funcionalidad la empresa requiere lo
siguiente:
FASE I
Configuración o instalación de tecnologías para la autenticación
centralizada de los usuarios que mejor se adecue a la empresa.
Tener a todos los usuarios registrados y autenticados.
Poder establecer políticas de seguridad permitiendo otorgar privilegios y
restricciones basado en el rol del empleado o las necesidades de la
empresa.
5
Permitir el acceso y validación multiplataforma en base a los sistemas
que se manejan en la empresa.
Centralizar el almacenamiento mediante una red SAN.
Establecer recursos para una red NAS de manera que la administración
sea más eficiente.
Crear un sistema que permita mantener disponible los recursos cuando
el servidor principal no este disponible.
FASE II
Establecer una cotización que se ajuste al presupuesto que la empresa
ha dispuesto invertir en la mejora de su tecnología.
Realizar un estudio completo de la implementación.
o Tiempo.
o Beneficios.
o Inconvenientes.
o Cantidad de recursos.
o Estrategia.
Virtualización de servicios para poder disminuir costos a la empresa.
Diseñar y crear una infraestructura que permita una alta disponibilidad.
Disponer de recursos que permitan sustituir servidores virtualizados de
manera eficaz y eficiente.
Aprovechamiento de la red ya existe (iSCSI) para reducir costos.
6
FASE II
Buscar y evaluar tecnologías compatibles con los servidores y clientes.
Establecer rutas redundantes para incrementar la tolerancia a fallos.
Definir políticas de acceso a archivos o recursos que cumplan con las
condiciones que el administrador halla establecido.
Simplificación de la administración y flexibilidad.
INFRAESTRUCTURA ACTUAL
Figura 1: Diagrama de la infraestructura actual que presenta la Empresa2.
SERVIDOR WINDOWS SERVER 2008
SERVIDOR LINUX
EQUIPOS WINDOWS EQUIPOS LINUX
TABLETS ANDROID, IPAD
INTERNET
EQUIPOS MAC OS X
7
1.2 Objetivo
Formulación de objetivos de la investigación
Lograr registrar a todos los usuarios de la red LAN y autenticarlo por
medio de una herramienta LDAP y así centralizar su administración.
Poder centralizar: acceso, recursos y la integridad de los datos.
Crear una red SAN para poder administrar de una forma mas optima el
almacenamiento el la red.
Disponer de una compatibilidad en los sistemas operativos que existan
en la red.
Simplificar la administración.
Propósito Final:
Propósito I:
Al final se pretende de esta forma, que sea posible crear recursos (como
carpetas compartidas, impresoras de red, etc) y conceder acceso a estos
recursos a usuarios, con la ventaja que estando todos estos objetos
memorizados en Active Directory, y siendo esta lista de objetos replicada a
todo el dominio de administración, los eventuales cambios serán visibles en
todo el ámbito. Para decirlo en otras palabras, un servicio de directorio
centralizado en una red distribuida que facilita el control, la administración y la
8
consulta de todos los elementos lógicos de una red (como pueden ser usuarios,
equipos y recursos).
Propósito II:
Proporcionar almacenamiento y un sistema de archivos, aumentar
potencialmente la disponibilidad de los datos mediante el uso de RAID o
agrupación.
1.3 Justificación
Los problemas más destacados en nuestro escenario y que son claves para
mejorar el desempeño de la red y que hemos clasificado como los mas
importantes son los siguientes:
Autenticación no centralizada: no se tiene una tecnología que registre
y autentique a los usuarios que quieran acceder a la red.
Red cliente a cliente: no se tiene una centralización del control: acceso,
recursos e integridad de los datos.
No existe una Red SAN: no existe una red de almacenamiento que
permita mejorar el rendimiento y la integridad de los datos, así como la
escalabilidad que este proporciona.
9
No existe compatibilidad con diferentes sistemas operativos: no se
ha podido definir una integración adecuada con diferentes plataformas
para poder compartir recursos dentro de la red.
Administración difícil: no existen las herramientas que faciliten poder
gestionar a los usuarios, poder aplicarles políticas y permisos
controladas por el administrador.
IDENTIFICACION DEL OBJETO DE INVESTIGACION
Las tecnologías que aplicaremos para la solución de nuestro escenario se
centraran específicamente en las siguientes tecnologías:
a) Autenticación centralizada:
Autenticación se refiere al proceso por medio del cual un usuario de una red
adquiere el derecho a usar una identidad dentro de la dicha red. Hay maneras
de autenticar un usuario, como el uso de claves, Biométricos, smart cards,
certificados digitales. La ventaja es que la identidad del usuario en la red no
necesariamente tiene que ser igual al nombre de la persona. Una misma
persona puede tener muchas identidades virtuales y vise versa.
Existen dos modelos de autenticación uno descentralizado y otro
centralizado. En el modelo descentralizado, cada servicio de la red maneja sus
10
claves de forma independiente, por ejemplo los usuarios de Oracle, los usuarios
de un firewall, los administradores de un sitio Web; cada uno de estas
aplicaciones maneja por separado sus claves y las mimas no son compartidas.
Nosotros trabajaremos la autenticación centralizada los usuarios y sus claves
se ubican en un repositorio central, las diferentes aplicaciones se configuran
para identificar este lugar y hacer la autenticación contra el repositorio. Para
nuestro caso las claves estarán ubicadas dentro de un servidor de directorio
LDAP, pero en general podrían estar almacenadas en un archivo de texto
plano o en una base de datos relacional entre otros métodos de
almacenamiento de información.
b) Red SAN:
Una red de área de almacenamiento se trata de una arquitectura completa
que agrupa los siguientes elementos:
Una red de alta velocidad de canal de fibra o SCSI.
Un equipo de interconexión dedicado (conmutadores, puentes, etc.)
Elementos de almacenamiento de red (discos duros)
11
COTIZACION SERVIDOR
12
COTIZACION DE RED SAN
Cotización total: $17,219.00
13
2. Escenario (Modulo 3-4)
2.1 Situación Problemática
Escenario:
Empresa de Telecomunicaciones
La empresa DIGICEL S.A. de C.V. opera en el país como una empresa
de telecomunicaciones, en donde debe luchar con una fuerte competencia
contra los otros operadores, la empresa ACME cuenta con alrededor de 850
empleados y posee sus oficinas dispersas en gran San Salvador, según detalle
presentado posteriormente. Se ha observado que la falta de rigidez en las
políticas de seguridad en la empresa le permiten a los usuarios que puedan
manipular libremente las configuraciones en las estaciones de trabajo,
igualmente no se ha definido una imagen corporativa que permita que los
empleados se sientan identificados con la misión y visión de la empresa. Lo
anterior ha ocasionado también que se sospeche de fuga de información
estratégica hacia los competidores, por lo que se debe de pensar en cómo
controlar dicha situación.
A nivel de infraestructura la compañía cuenta con 84 servidores Windows y 125
servidores con sistema operativo Solaris, siendo los equipos con Windows los
que alojan las aplicaciones internas del negocio y los Solaris los que poseen las
aplicaciones criticas para uso de los clientes, dentro de ambos ambientes se
14
cuenta con bases de datos SQL Server y Oracle la cuales cuentan con un
sistema de respaldo, no muy eficiente ya que se han dado ocasiones en donde
se ha necesitado restaurar información y no es posible ya que la cinta se
encuentra con el respaldo caducado o sencillamente el respaldo no puede ser
restaurado, por lo que es necesario establecer un proceso formal que
establezca una política de respaldo seria y que garantice la seguridad de la
información. Para algunos sistemas se utiliza una red de almacenamiento SAN,
en la cual la marca utilizada es HP EVA (Enterprise Virtual Array) la cual es una
solución de almacenamiento basada en fibra óptica, en donde siendo una
solución muy cara, por las características que fueron adquiridas no se cuenta
con un nivel de redundancia si esta red de almacenamiento fallara, es decir, no
hay otro sistema que pueda brindar alta disponibilidad a este equipo, además
cada vez que se ingresa un nuevo servidor al sistema de almacenamiento los
costos son altos debido a que se requiere la compra de tarjetas HBA de fibra y
otros accesorios que son requeridos; en este sentido se necesita de una
solución que pueda brindar una opción mas económica para aumentar la
cantidad de servidores conectados a la SAN que permita mantener siempre un
nivel de tolerancia fallos.
Debido a la necesidad de aumentar las medidas de seguridad es necesario que
se pueda crear para todos aquellos usuarios que se conectan de forma remota
por VPN (Virtual Private Network) un mecanismo de autenticación que
15
utilizando certificados digitales aumente el nivel de seguridad actual que ofrecen
los firewalls actuales. (CISCO ASA)
Por otra parte, cada vez que se requiere de la implementación de una nueva
plataforma o producto los costos de implementación son muy altos ya que
siempre se requiere de nueva inversión en hardware, las soluciones de
vitalización no han sido consideradas por la compañía ya que temen que no
ofrezcan un nivel de rendimiento adecuado y estabilidad necesaria para poder
tener en ejecución aplicaciones criticas.
La compañía ha estandarizado el uso del hardware, siendo la marca DELL la
utilizada para los equipos de los usuarios y servidores con Windows, entre los
modelos de los servidores utilizados están Dell PowerEdge 1950, 2950, 6800 ,
R700, R900 y Blade Servers M610. Para las plataformas Solaris los equipos
son SUN Microsystem de forma general y la mayoría de los modelos son de la
serie T. Sin embargo con los equipos basados en Solaris no se tiene tanto
crecimiento como en los DELL, por lo que es necesario buscar una opción que
permita lograr ahorro en nuevas implementaciones de plataformas y
aplicaciones.
16
Ubicación de oficinas:
Figura 2: esquema que muestra la ubicación de las oficinas de Digicel.
Metrocentro Zona Industrial Santa Elena
Edificio por Salvador del Mundo
Cantidad de equipos:
- Metrocentro: 275 equipos (instalación donde se cuenta con la operación
del Call Center donde existe rotación de personal por turnos)
- Zona Industrial Santa Elena: Instalación de operaciones técnicas donde
se encuentra el Data Center con todos los servidores y red de
almacenamiento y con 150 usuarios.
- Edificio por Salvador del Mundo: oficinas administrativas donde se
encuentran únicamente 5 servidores con las aplicaciones financieras y
325 usuarios.
17
Detalles técnicos de los equipos:
- La compañía solo cuenta con 1 controlador de dominio ubicado en las
instalaciones Santa Elena, por lo que se requerirá tener un segundo controlador
para poder balancear el tráfico de autenticación de los usuarios y brindar alta
disponibilidad para el servicio de Active Directory.
- Se han identificado 4 aplicaciones entre aplicaciones Web y Cliente Servidor
que se encuentran corriendo en servido res independientes y los recursos que
se encuentran utilizando están bien holgados por lo que se desearía integrar
estas aplicaciones en un solo equipo o virtualizar dichos servidores para
aprovechar mejor los recursos físicos actuales. A continuación se detalla el
consumo de recursos que actualmente estas aplicaciones están teniendo.
Aplicación / Servidor Utilización de CPU
Utilización de Memoria
Utilización de Disco
2 Aplicaciones Web Servidor: Dell 1950 Dos procesadores Dual Core 1.86Ghz 4GB de Memoria RAM 2 discos de 300GB en RAID 1
25% 35% 40%
Aplicación Cliente Servidor con Base de Datos Servidor: Dell R900 Dos procesadores Quad Core 1.96Ghz 16GB de Memoria RAM 2 discos de 300GB en RAID 1 (Disco 1) 4 discos de 500GB en RAID 5 (Disco 2)
20% 30% 30% ( disco 1) 50% (disco 2)
2 Web Servers Servidor Dell 2950 Dos procesadores Dual Core 1.86Ghz 4 GB de Memoria RAM 2 discos de 300GB en RAID 1
19% 25% 35%
18
2.2 Objetivos
2.2.1 Objetivo General
- Presentar una alternativa, en la cual se cree una infraestructura mas
flexible, que permita ahorrar en la inversión de hardware y energía, que
facilite la gestión de los servidores de una manera mas segura y agil para
poder responder de una manera mas rápida a los cambios y
oportunidades de mercado.
2.2.2 Objetivos específicos
- Aplicar el conocimiento adquirido en clases referente a las herramientas
y ventajas de la virtualización que se encuentran actualmente en el
mercado y de esa manera dar una mejor solución a la problemática
presentada.
- Identificar los recursos que no se están aprovechando su completo
potencial y almacenamiento, permitiendo la implementación de nuevos
servicios con menor costo.
- Establecer una infraestructura con mayor flexibilidad antes la
recuperación de desastres de los servidores.
19
2.3 Justificación
La virtualización está pasando a formar parte importante de la estrategia
tecnológica y el método de trabajo de las empresas y es por esto que son mas
las empresas que optan por esta tecnología que tiene muchos beneficios
empresariales como ambientales.En el siguiente escenario se pretende
presentar una alternativa de ahorro en inversión de hardware, energía y agilizar
las operaciones de administración y aprovisionamiento de servidores mediante
tecnología de virtualización, una tecnología que viene ganando terreno en
nuestro país por su gran potencial y que ha venido evolucionando en
herramientas que nos permiten ahorrarnos mucho tiempo, dinero y nos facilita
la administración de los servicios que queramos establecer.
El presente escenario esta basada en las experiencias adquiridas en el
ámbito laboral por el Ing. Walter Navarrate, proporcionándonos un panorama
real de las empresas de nuestro país y sus problemáticas en torno a las
ventajas que presenta la transición de servidores tradicionales a un ambiente
totalmente virtualizado. Esto nos permitirá adquirir conocimientos mas apegado
a nuestra realidad y poder dar solución a estos mismos.
20
3. Marco Teórico
3.1 TECNOLOGIA PARA REDES SAN Y NAS
¿Cuál es mejor iSCSI o FC?
iSCSI1 (Internet Small Computer System Interface)
iSCSI (Internet SCSI) es un estándar que permite el uso del protocolo SCSI
sobre redes TCP/IP. iSCSI es un protocolo de la capa de transporte definido en
las especificaciones SCSI-3. Otros protocolos en la capa de transporte son
SCSI Parallel Interface y canal de fibra.
La adopción del iSCSI en entornos de producción corporativos se ha acelerado
en estos momentos gracias al aumento del Gigabit Ethernet. La fabricación de
almacenamientos basados en iSCSI (red de área de almacenamiento) es
menos costosa y está resultando una alternativa a las soluciones SAN basadas
en Canal de fibra.
Funcionalidad:
El protocolo iSCSI utiliza TCP/IP para sus transferencias de datos. Al
contrario que otros protocolos de red diseñados para almacenamiento, como
por ejemplo el canal de fibra (que es la base de la mayor parte de las redes de
áreas de almacenamiento), solamente requiere una simple y sencilla interfaz
1 Información tomado de Wikipedia
21
Ethernet (o cualquier otra red compatible TCP/IP) para funcionar. Esto permite
una solución de almacenamiento centralizada de bajo coste sin la necesidad de
realizar inversiones costosas ni sufrir las habituales incompatibilidades
asociadas a las soluciones canal de fibra para redes de área de
almacenamiento.
Los críticos de iSCSI argumentan que este protocolo tiene un peor
rendimiento que el canal de fibra ya que se ve afectado por la sobrecarga que
generan las transmisiones TCP/IP (cabeceras de paquetes, por ejemplo). Sin
embargo las pruebas que se han realizado muestran un excelente rendimiento
de las soluciones iSCSI SANs, cuando se utilizan enlaces Gigabit Ethernet.
Dispositivos de almacenamiento
En el contexto de almacenamiento, iSCSI permite a un ordenador utilizar
un iniciador iSCSI (initiator) para conectar a un dispositivo SCSI (target) como
puede ser un disco duro o una cabina de cintas en una red IP para acceder a
los mismos a nivel de bloque. Desde el punto de vista de los drivers y las
aplicaciones de software, los dispositivos parecen estar conectados realmente
como dispositivos SCSI locales. Los entornos más complejos, consistentes en
múltiples hosts y/o dispositivos son llamados redes de área de almacenamiento.
Los dispositivos iSCSI no deben ser confundidos con los dispositivos
Network-Attached Storage (NAS), los cuales incluyen software en el servidor
para controlar las peticiones de acceso simultáneo desde los diferentes hosts.
22
Permitir que múltiples hosts tengan acceso simultáneo a un dispositivo único es
una tarea difícil pero muy común en los dispositivos SCSI. Sin comunicación
host-a-host, cada uno de los hosts desconoce cuáles son las intenciones del
resto de los hosts en la red.
El acceso a los datos2
Comparado con NFS o Samba, el acceso a los datos en iSCSI es
diferente; obviamente debido a su naturaleza. En teoría, iSCSI no soporta
múltiples conexiones a la vez. Por ejemplo, dos equipos no podrían utilizar el
mismo disco iSCSI para escribir en él. Eso sería como tener un disco rígido
conectado a dos máquinas a la vez. Lo más probable es que surgieran
inconsistencias en los datos o problemas en los accesos de lectura y escritura
de la información.
Aun así, existen alternativas para que ISCSI pueda soportar múltiples
usuarios. Por ejemplo, el global filesystem (GFS) de RedHat, es un filesystem
especialmente diseñado para permitir concurrencia de usuarios en dispositivos
que normalmente no lo permiten, como iSCSI.
2 Información tomada del blog “federicosayd.wordpress.com”
23
La arquitectura iSCSI:
Figura 3: Se muestra la arquitectura de iSCSI
Nota: Como se puede ver en el diagrama, iSCSI tiene una arquitectura tipo
cliente servidor.
FC (Fiber Channel)
Fiber Channel (FC), una tecnología de red Gigabit utilizada principalmente
para redes de almacenamiento SAN y para la conexión de Cabinas de Discos
DAS, capaz de funcionar sobre cables de fibra óptica (fiber-optic cables) y sobre
cables de cobre (twisted pair, copper wire), aunque en la práctica suele ser
cableado de fibra óptica (multi-modo o mono-modo). Posibles topologías Fiber
24
Channel (punto a punto ó FC-P2P, bucle arbitrado o FC-AL, y red conmutado ó
FC-SW) y las capas de Fiber Channel.
Protocolo Fiber Channel Protocol (FCP).
Fiber Channel Protocol (FCP) es un protocolo de transporte para la
transmisión de comandos SCSI sobre redes Fiber Channel. Muy utilizado y
extendido.
Ahora, ya sabemos que estamos hablando de redes de almacenamiento
basadas en conexiones de fibra óptica, sobre las que circula información a
través del protocolo FCP (Fiber Channel Protocol), principalmente intercambio
de comandos SCSI entre los dispositivos conectados a dicha red de fibra. Ahora
bien, ¿Qué posibles topologías o formas de conexión existen con Fiber
Channel?
La tecnología Fiber Channel (FC) ofrece tres posibles topologías:
Conexión punto a punto (FC-P2P, Point-to-Point). Se utiliza en
soluciones de almacenamiento DAS, en las cuales, se conecta una
cabina de almacenamiento directamente a las tarjetas HBA del servidor
(o servidores, véase el caso de un Cluster). Bueno, puede ser una cabina
de almacenamiento, un robot de cintas, etc.
25
Bucle arbitrado (FC-AL). Permite conectar hasta 126 dispositivos en
anillo, compartiendo el ancho de banda, de forma análoga a las redes
Token Ring. Que yo sepa, no tiene mucho uso.
Red conmutada (FC-SW, Switch Fabric). Aprovecha la utilización de
conmutadores o switches Fiber Channel (FC) para la conexión de
múltiples dispositivos, sin compartir el ancho de banda (siempre que el
switch tenga suficiente capacidad de conmutación, claro), soportando
hasta 15,5 millones de nodos, y manteniendo todo el ancho de banda. Se
utiliza habitualmente en arquitecturas de almacenamiento SAN,
utilizándose el término de Switch Fabric, por la capacidad de este tipo de
redes de renviar los paquetes entre switches, desde el origen al destino,
por el puerto apropiado.
Fiber Channel es un Protocolo Multicapa, formado por las siguientes cinco
capas:
FC0, la capa física (physical layer). Cables, conectores, etc.
FC1, la capa de enlace (data link layer). Realiza la codificación y
decodificación 8b/10b.
FC2, la capa de red (network layer). Es el corazón de Fiber Channel.
Define los principales protocolos de Fiber Channel.
26
FC3, la capa de servicios comunes (common services layer). Puede
implementar funcionalidades como encriptación y RAID.
FC4, la capa de mapeo de protocolos (protocol mapping layer). Es la
capa, en la que otros protocolos (como es el caso de SCSI) son
encapsulados para su entrega a FC2.
3.2 Tecnologías para la autenticación centralizada
Identificación de las tecnologías que nos permitan la autenticación
centralizada, existen diferentes y para la solución de nuestro escenario
analizaremos los siguientes:
OPENLDAP 3
OpenLDAP es una implementación libre y de código abierto del protocolo
Lightweight Directory Access Protocol (LDAP) desarrollada por el proyecto
OpenLDAP.
Está liberada bajo su propia licencia OpenLDAP Public License. LDAP es un
protocolo de comunicación independiente de la plataforma.
Muchas distribuciones GNU/Linux incluyen el software OpenLDAP para el
soporte LDAP. Este software también corre en plataformas BSD, AIX, HP-UX,
3 Informacion tomada de Wikipedia
27
Mac OS X, Solaris, Microsoft Windows (NT y derivados, incluyendo 2000, XP,
Vista), y z/OS.
Historia
El proyecto OpenLDAP se inició en 1998 por Kurt Zeilenga. El proyecto
comenzó como un clon de la implementación LDAP de la Universidad de
Michigan, entidad donde se desarrolló originalmente el protocolo LDAP y que
también actualmente trabaja en la evolución del mismo.
En abril de 2006, el proyecto OpenLDAP incorpora tres miembros principales:
Howard Chu (Arquitecto jefe), Pierangelo Masarati, y Kurt Zeilenga. Hay otros
importantes y activos contribuyentes incluyendo Luke Howard, Hallvard
Furuseth, Quanah Gibson-Mount, y Gavin Henry.
Componentes
Básicamente, OpenLDAP posee tres componentes principales:
slapd - Dominio de servidor y herramientas
Bibliotecas que implementan el protocolo LDAP
Programas cliente: ldapsearch, ldapadd, ldapdelete, entre otros.
28
Los principales lanzamientos funcionales de OpenLDAP incluyen:
OpenLDAP versión 1 fue una limpieza general de la última versión del
proyecto de la Universidad de Michigan (lanzamiento 3.3), y
consolidación de cambios adicionales.
OpenLDAP versión 2.0, lanzada en agosto de 2000, incluyó mejoras
importantes incluyendo soporte para LDAP versión 3 (LDAPv3), soporte
para Internet Protocol versión 6 (IPv6), y numerosas otras mejoras.
OpenLDAP versión 2.1, lanzada en junio de 2002, incluyó en backend la
base de datos transaccional basada en Berkeley Database o BDB,
soporte para Simple Authentication and Security Layer (SASL), y
backends experimentales Meta, Monitor, and Virtual.
OpenLDAP versión 2.2, lanzada en diciembre de 2003, incluyó el motor
de "sincronización" LDAP "sync" con soporte de replicación (syncrepl), la
interfaz de presentación, y numerosas mejoras funcionales a nivel de
base de datos y relacionadas con RFC.
OpenLDAP versión 2.3, lanzada en junio de 2005, incluyó Configuration
Backend (para configuración dinámica), interfaces adicionales incluyendo
y numerosas mejoras adicionales.
OpenLDAP versión 2.4, lanzada en octubre de 2007, introdujo la
replicación en N-vías MultiMaster, Stand-by master.
29
PROYECTO 389
389 Directory Server es la nueva encarnación de lo que fue el Fedora
Directory Server, que en mayo de 2009 cambia su nombre a 389 para que el
nombre del proyecto sea neutral con respecto al proveedor, y así facilitar su
ejecución en otros Sistemas Operativos o sabores de Linux, pese a su novedad
este proyecto es de los más longevos dentro del software libre, comienza con el
proyecto original de slapd en la Universidad de Michigan; en 1996 los
desarrolladores son contratados por Netscape y el proyecto pasa a ser
conocido como NDS (NetScape Directory Server). Después de la adquisición de
Netscape, AOL vende parte de la propiedad a Sun, pero se queda con algunos
derechos que luego vende a Red Hat en 2005, comenzando así la andadura de
este proyecto hasta nuestros días.
El Servidor de Directorio 389 (previamente servidor Fedora Directory
Server) es un servidor LDAP (Lightweight Directory Access Protocol servidor)
desarrollado por Red Hat, como parte de la comunidad con apoyo de Red Hat
Fedora Project. 389 Directory Server es idéntica a la Red Hat Directory Server,
simplemente renombrado. El nombre 389 se deriva del número de puerto para
LDAP.
Mientras que 389 Directory Server es de libre distribución bajo los términos
de la GPL, Red Hat también ofrece una versión con apoyo oficial, Red Hat
Directory Server, pero con una licencia diferente conocida como licencia pública
30
abierta. La suscripción de pago se incluye características adicionales como
certificados versiones estables, servicio al cliente y soporte técnico, aunque la
versión de pago sólo está disponible en determinados mercados.
389 Directory Server se está construyendo en la parte superior de Fedora,
pero es compatible con muchos sistemas operativos, incluyendo Red Hat
Enterprise Linux 3 y posteriores, Debian, Solaris 8 y versiones posteriores
Características especiales:
MMR (Replicación multimaster): la opción de escribir en dos o más
maestros al mismo tiempo, con resolución automática de conflictos,
proporciona solución a uno de los puntos críticos de OpenLdap, el no
tener alta disponibilidad en las escrituras, (aunque creo que lo han
solucionado en la última versión).
Sincronización con Microsoft Windows: usuarios, grupos y contraseñas
pueden ser sincronizados con los controladores de dominio Windows
2003/2000 y NT4.
Mecanismos de Control de Accceso (ACLs). Ahora las ACLs se
encuentran dentro de los propios datos,frente a la gestión de ACLs del
lado del servidor de OpenLdap.
Disponibilidad 24×7: la administración y configuración (backup,
modificación de esquemas y control de acceso) se puede realizar online
sin necesidad de parar el servicio.
31
ACTIVE DIRECTORY
Active Directory (AD) es el término que usa Microsoft para referirse a su
implementación de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP,
Kerberos entre otros).
Su estructura jerárquica permite mantener una serie de objetos relacionados
con componentes de una red, como usuarios, grupos de usuarios, permisos y
asignación de recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel
de empresa, desplegar programas en muchos ordenadores y aplicar
actualizaciones críticas a una organización entera. Un Active Directory
almacena información de una organización en una base de datos central,
organizada y accesible. Pueden encontrarse desde directorios con cientos de
objetos para una red pequeña hasta directorios con millones de objetos.
Estructura
Active Directory está basado en una serie de estándares llamados
X.500, aquí se encuentra una definición lógica a modo jerárquico.
Dominios y subdominios se identifican utilizando la misma notación de las
zonas DNS, razón por la cual Active Directory requiere uno o más servidores
DNS que permitan el direccionamiento de los elementos pertenecientes a la
32
red, como por ejemplo el listado de equipos conectados; y los componentes
lógicos de la red, como el listado de usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un
usuario pertenece a un dominio, será reconocido en todo el árbol generado a
partir de ese dominio, sin necesidad de pertenecer a cada uno de los
subdominios.
A su vez, los árboles pueden integrarse en un espacio común
denominado bosque (que por lo tanto no comparten el mismo nombre de zona
DNS entre ellos) y establecer una relación de «trust» o confianza entre ellos. De
este modo los usuarios y recursos de los distintos árboles serán visibles entre
ellos, manteniendo cada estructura de árbol el propio Active Directory.
Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight
Directory Access Protocol), ya que este protocolo viene implementado de forma
similar a una base de datos, la cual almacena en forma centralizada toda la
información relativa a un dominio de autenticación. La ventaja que presenta
esto es la sincronización presente entre los distintos servidores de autenticación
de todo el dominio.
De esta forma, es posible crear recursos (como carpetas compartidas,
impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la
33
ventaja que estando todos estos objetos memorizados en Active Directory, y
siendo esta lista de objetos replicada a todo el dominio de administración, los
eventuales cambios serán visibles en todo el ámbito. Para decirlo en otras
palabras, Active Directory es una implementación de servicio de directorio
centralizado en una red distribuida que facilita el control, la administración y la
consulta de todos los elementos lógicos de una red (como pueden ser usuarios,
equipos y recursos).
3.3 Cuadro de desiciones
3.3.1 iSCSI vs FC
Figura 4: En la imagen se establece la comparación entre iSCSI y FC
Los dos protocolos de red mas utilizados en una SAN son Fibre Channel
e iSCSI. Una red de canal de fibra es muy rápida y no está agobiada por el
34
tráfico de la red LAN de la empresa. Sin embargo, es muy cara. Las tarjetas de
canal de fibra óptica cuestan mucho dinero cada una. También requieren
conmutadores especiales de canal de fibra. iSCSI es una nueva tecnología que
envía comandos SCSI sobre una red TCP / IP. Este método no es tan rápido
como una red Fibre Channel, pero ahorra costes, ya que utiliza un hardware de
red menos costoso.
Para la solución de nuestro escenario escogeremos la tecnología de
iSCSI porque se adapta de mejor manera ha nuestras necesidades y costos.
También existe una mejor compresión de esta tecnología ya que es la que se
desarrolla en los laboratorios de prácticas de la UTEC
3.3.2 Active Directory vs OpenLDA
OPENLDAP:
Ventajas: Hay una serie de ventajas respecto a otros sistemas de directorio
que hacen que OpenLDAP sea el sistema más flexible y escalable como por
ejemplo: está optimizado en lectura de registros, la posibilidad de múltiples
directorios independientes, la mayoría de aplicaciones y sistemas operativos
disponen de soporte para LDAP, realizar criterios de búsqueda complejos,
permitir la réplica de la base de datos a otro servidor.
35
Desventajas: El lado negativo es que si desea utilizar LDAP, debe usar un
cliente LDAP-enabled o bien pasar a través de un gateway LDAP. Como ya
hemos mencionado anteriormente, la presencia de LDAP crecerá en el futuro,
pero por ahora, no hay muchas aplicaciones de las que disfrutar. Además, si
bien LDAP soporta algunos controles en el acceso, no soporta todos los
aspectos de la seguridad incluidos en X.500.
ACTIVE DIRECTORY
La seguridad está integrada en Active Directory mediante la autenticación del
inicio de sesión y el control de accesos a los objetos del directorio. Con un único
inicio de sesión en la red, los administradores pueden administrar datos del
directorio y de la organización en cualquier punto de la red, y los usuarios
autorizados de la red pueden tener acceso a recursos en cualquier lugar de la
red. La administración basada en directivas facilita la tarea del administrador
incluso en las redes más complejas.
Conclusión:
Para la solución de nuestro escenario seleccionamos el uso de Active Directory
como almacén central se puede aprovechar la comodidad de la administración
de autenticación de usuario y objetos de Active Directory existentes. Por
ejemplo, puede aplicarse una configuración de usuario específica a cualquier
nivel de un dominio (al dominio en su totalidad, a una unidad organizativa, a un
grupo o a usuarios concretos).
36
4. Referencia Bibliográfica.
iSCSI (2012), Wikipedia. Revisado el 06-junio-2012 en
http://es.wikipedia.org/wiki/ISCSI
Conociendo iSCSI, federicosayd.wordpress.com. Revisado el 22-mayo-2008
en http://federicosayd.wordpress.com/2007/09/11/conciendo-iscsi
Guillermo, Roldán (2009). Fiber Channel (FC), Introducción. GuilleSQL
Almacenamiento DAS, NAS y SAN. Revisado el 7-junio-2012 en
http://www.guillesql.es/Articulos/Almacenamiento_Fiber_Channel.aspx
OpenLDAP (2012), Wikipedia, Revisado el 10-junio-2012.
http://es.wikipedia.org/wiki/OpenLDAP
Activy Directory (2009) Wikipedia, Revisado el 12-junio-2012.
http://es.wikipedia.org/wiki/AD
37
Cronograma de Actividades
semanas
actividades 1
2
3
4 5
6 7 8 9 10 11 12
21/03
al
24/03
26/03
al
31/03
02/04
al
07/04
09/04
al
14/04
16/04
al
21/04
23/04
al
28/04
30/04 al
05/05
07/05 al
12/05
14/05
al
19/05
21/05
al
26/05
28/05
al
02/06
04/06
al
12/06
Creación de el escenario de la empresa
Planteamiento de el estado actual de la
empresa
Analizar la solución de la problemáticas
Creación de propuesta
Investigación de las tecnologías actuales y
comparación de estas mismas
Cotización de los equipos y dispositivos
Implementación de las soluciones
Conclusiones sobre lo establecido