Creaci

1
Creación de aplicaciones habilitadas para
servicios de directorioRicardo Rentería FSE
Manager Microsoft México
2
Agenda

• Aplicaciones habilitadas para directorio y
  Active Directory
• Capacidad de ampliación del esquema de Active
  Directory
• Publicación de servicios en Active Directory

3
Aplicaciones habilitadas para servicios de
directorio

• Utilice el directorio para
• Fuente de información del usuario
• Sección blanca/amarilla, correo de voz,
  aplicaciones LOB
• Unión a servicios
• Conectarse a la impresora más cercana, unirse a
  la base de datos de recursos humanos
• Almacenar información de configuración
• DEN, Políticas, Intercambio

4
Componentes de las aplicaciones habilitadas para
servicios de directorio
Tecnología Microsoft
Componente
Instalación
MSI
Implementación de aplicaciones
ZAW
Directorio rico
Active Directory
Herramientas de administración ampliables
MMC, Active Directory, snap-ins de MMC 
Herramienta de desarrollo de aplicaciones
ADSI
5
Por qué utilizar Active Directory?
Beneficio
Función
Escalable, alta disponibilidad, administración
distribuida eficiente
Duplicación multi-master
Topología de duplicación flexible
Soporte para WAN
Acceso y seguridad al directorio estándar
LDAP v3, Kerberos
Fácil administración
Jerárquico
Delegar administración, puede ser una fuente de
información confidencial
Seguridad bien definida
Consistencia e integ. de la informac.
Bien representado
Integrado con Win2000 server
Ya está disponible fácilmente
6
Active Directory es

• Un almacén de datos especializado
• Bien representado
• Jerárquico (no relacional)
• Optimizado para alta frecuencia de lectura
• Duplicado
• Pierde consistencia con la convergencia
• Sin administración de seguro distribuida
• Multi-master

7
Active Directory no es

• Una base de datos relacional
• Una aplicación de administración de red
• Estado rápidamente cambiante a partir de los
  dispositivos
• Un sistema de archivo
• Un substituto para almacenamiento local
• Un reemplazo para el registro

8
Tipos de datos

• Estático - Cambia más lentamente que la
  frecuencia de duplicación de DS
• Dinámico - baja latencia o transitorio
• Baja latencia - Cambia más rápido que la
  frecuencia de duplicación de DS y debe duplicarse
  a otros nodos más rápido
• Transitorio - Cambia mucho más rápido que la
  frecuencia de duplicación de DS que no está
  sujeta a duplicación

9
Tipos de datos para almacenar en Active Directory

• Datosestáticos de tamaño razonable
• Los requerimientos del ancho de banda de
  duplicación son un factor determinante
• 500K datos cambian diariamente de manera
  satisfactoria, tal vez los cambios no sean por
  hora
• Puede almacenar vínculos para datos que cambian
  rápidamente en el directorio
• Datos que se requieren globalmente
• Los datos utilizados por menos del 30 de los
  usuarios en la red
• Datos que requieren administración distribuida

10
Capacidades LDAPv3 Aspectos para recordar

• Un objeto es una lista plana de atributos
• Sin subestructuras
• Sin nidos
• Los atributos pueden ser valores múltiples,
  pero...
• Los multi-valores son conjuntos, no vectores
• Las expresiones de consulta pueden ser
  arbitrariamente complejas, pero
• Operaciones ligeramente limitadas (relación
  ampliable)
• Sin evaluación de expresión en expresiones de
  consulta
• Sin uniones LDAP no expone un DS como un  RDBMS

11
Implementación de la aplicación habilitada para
directorio

• Esquema
• Publicación del servicio

12
Características del directorioAspectos para
recordar

• Los directorios se duplican
• La duplicación toma tiempo
• Tiempo significa latencia
• Latencia significa que algunas réplicas pueden
  retener información fuera de tiempo
• Las aplicaciones y servicios habilitados para
  directorio necesitan acomodar esto
• Asista al curso I-413 para
• aprender cómo

13
Esquema de Active Directory

• Proporciona integridad y consistencia a la
  información
• Define reglas para la información estructurada
• Relación entre clases de objetos
• Atributos de cada clase de objetos
• Restricciones de atributos
• Sintaxis de atributos
• Consiste en objetos de esquema de atributo y de
  esquema de clase

14
Propiedades del esquema de atributo

• Sintaxis
• Integer, String, DN
• Nombre
• ldapDisplayName, commonName, OID
• Valor individual o múltiple
• Restricciones
• Valores máximos y mínimos
• Banderas
• Duplicar a GC, indexado, utilizado en ANR

15
Propiedades del esquema de clase

• Tipo de clase
• Auxiliar, estructural, abstracta
• Nombre
• ldapDisplayName, commonName, OID
• PossibleSuperiors
• mayContain
• mustContain

16
Capacidad de ampliación del esquemaIdentificadore
s del objeto (OIDs)

• Valores numéricos únicos
• Con base en una estructura de árbol
• Publicado por varias autoridades de publicación
• Por ejemplo, ISO y ANSI
• Identifica partes de aplicaciones distribuidas
• Por ejemplo, elementos y sintaxis de información
• Active Directory utiliza OIDs para clases y
  atributos (como lo define LDAP)
• Por ejemplo, 1.2.840.113556.1.5.4

17
Cambios del esquema

• Ampliar el esquema sólo si no hay clase o
  atributo que satisfaga sus necesidades
• Revisar el esquema de la base Windows 2000
• Los cambios de esquema son globales
• Cambios ClassSquema soportados
• possSuperiors, mayContain, ldapDisplayName,
  isDefunct
• Cambios attributeSchema soportados
• rangeLower, rangeUpper, duplicado a GC,
  isDefunct, ldapDisplayName

18
Métodos de capacidad de ampliación de clase

• Ampliar una clase existente
• Agregar atributos y/o agregar posibles padres
• Los atributos agregados proporcionan más
  información en la clase
• Centro de costos para un objeto de usuario
• Crear una nueva clase
• Tratar de representar un nuevo tipo de objeto
• NetworkCard, base de datos
• Agregar cualesquiera atributos adicionales
• Por lo menos dividir en subclases desde arriba

19
Capacidad de ampliación del esquemaSe recomienda
la convención de nombramiento

• Nombre común
• Utiliza un prefijo específico de la compañía (por
  ejemplo MS)
• Se combina con un prefijo específico de producto
  (por ejemplo, Exch, MQ, SQL)
• Se combina con el nombre de atributo o clase
• Insertar un - entre cada componente
• Por ejemplo
• MS-Exch-connection-agreement
• MS-MQ-enterprise-settings

20
Capacidad de ampliación del esquemaFormato de
nombre común
-
-
21
Capacidad de ampliación del esquemaSe recomienda
convención de nombramiento

• Nombre de pantalla LDAP
• Empieza con CN
• El primer carácter debe estar en minúscula
• Cada carácter que esté inmediatamente después de
  - debe estar en mayúscula
• Eliminar todos los - excepto los que estén
  inmediatamente después del prefijo de la compañía
  y del producto
• Por ejemplo
• mS-Exch-ConnectionAgreement
• mS-MQ-EnterpriseSettings

22
Capacidad de ampliación del esquemaFormato del
nombre de pantalla LDAP
-
-
23
Capacidad de ampliación del esquemaInstalación

• Proporcionar opción de instalación de esquema
  durante la instalación
• Por ejemplo, setup.exe /schema
• Se debe preparar para la instalación del esquema
• Adquiera el esquema FSMO, establezca la clave de
  registro
• Puede ampliar el esquema utilizando
• scripts LDIFDE o CSVDE
• Programación
• Actualizar la memoria caché del esquema después
  de la ampliación

24
Publicación de servicio
25
Publicación de servicio

• Qué es un servicio?
• Una aplicación que es accesible para los clientes
  de red
• Qué es publicación de servicio?
• Es el acto de crear y mantener información sobre
  un servicio dado
• Cambia nuestra visión de la red desde una
  máquina hasta un centro de servicio
• Así
• Dónde y qué debo publicar?

26
Dónde publicar?

• Publique información como un objeto hijo del
  objeto de la computadora
• Para obtener un DN autorelativo utilice
• GetComputerObjectName()

27
Qué publicar?

• Punto de conexión de servicio
• Clase de objeto base para utilizarla en los
  servicios de publicación
• Se utiliza para publicar uniones del cliente
• El cliente debe conocer con anterioridad cómo
  interpretar las uniones

28
Qué publicar?Atributos importantes

• Contraseñas
• Con valor múltiple, uniones (Unicode)
• ServiceDNSName
• Valor individual, unión (Unicode)
• ServiceDNSNameType
• ServiceBindingInformation
• Valor múltiple, unión (Unicode)
• Pares de valor de nombre, valores separados (por
  ejemplo Puerto512)

29
Punto de conexión de servicioPaso por paso

• Instalación del servicio
• Generar SCP para servicio
• Leer objectGUID y caché en registro
• Inicio del servicio
• Caché GUID recuperada del registro
• Recuperar SCP utilizando objectGUID
• Inicio del cliente
• Catálogo global de consulta para SCPs
• Seleccionar SCP y unir al servicio

30
Consideraciones de seguridad

• Crear cuentas específicas de servicio
• LocalSystem contra cuenta de dominio Windows 2000
• No ejecutarlo bajo LocalSystem en un controlador
  de dominio
• La cuenta se debe crear con anterioridad
• El servicio puede crear una cuenta
• Ponga atención al realizar cambios de contraseña
  de la cuenta

31
Nombres principales del servicio

• Se utilizan en autenticación mutua
• Se asocian con el contexto de seguridad en el que
  se ejecuta el servicio
• Elementos SPN
• Nombre de clase del servicio (por ejemplo
  SQLServer)
• Nombre del servicio (DN de SCP)
• Nombre de instancia del servicio (nombre de host
  DNS)
• Puerto de instancia del servicio
• (puerto TCP)

32
Nombres principales del servicioPaso por paso

• Instalación del servicio
• Crear un conjunto de SPNs para el servicio con
  DsGetSpn
• Registrar los SPNs en el principal de seguridad
  para el servicio con DsWriteAccountSpn
• Inicio del servicio
• No se requiere ninguna acción
• Inicio del cliente
• Conformar un SPN para el servicio con DsMakeSpn
• Presentar el SPN cuando se solicite autenticación
  mutua

33
Ejemplo del código

• Publicación del servicio uno Registrar SPN

34
Ejemplo del código

• Publicación del servicio dos Crear SCP

35
Ejemplo del código

• Publicación del servicio tres Unión de cliente

36
Para mayores informes

• Http//msdn.microsoft.com/developer/windowsnt5
• Http//www.microsoft.com/windows/server

37
Preguntas
38
(No Transcript)