Single Sign On en infraestructuras UNIX mixtas.

Situación

En muchos casos heredar un sistema obsoleto como NIS sobre una gran infraestructura UNIX heterogénea, tiene una solución  muy simple, que se transforma en algo difícil de implementar. Podríamos pensar naturalmente pensar como solución en, LDAP. Pero llevar a producción dicha solución no puede quedarse simplemente en cambiar un sistema obsoleto por uno más moderno. Debemos adcionalmente pensar en una integración con un dominio corporativo por ejemplo para nuestro caso, Active Directory de Windows.

Incluir la granja de servidores de su infraestructura UNIX dentro del sistema que centraliza los perfiles, los usuarios y contraseñas, brindará ventajas operativas de administración, control de integridad, y una significativa disminución de costos, que puede reflejarse en una clara justificación de inversión del caso, dicha evaluación se denomina ROSI.

Para la integración debemos considerar los siguientes puntos:

• Escalabilidad
• Seguridad
• Facilidad de implementación
• Facilidad de administración
• Fácil adaptación a la infraestructura actual
• Factibilidad de migración
• Bajo impacto sobre la red
• Tolerancia a fallos
• Roaming (Usuarios que viajan entre las diferentes sedes)
• Capacidades de monitoreo.

Alternativas

Sin dudas que una de las mejores alternativas en una infraestructura UNIX heterogénea para la gestión centralizada de usuarios es al momento, LDAP; pero obviamente  cuando se tienen más de 20 servidores de distintos sabores que atienden distintas partes de un negocio la migración debería ser  lo suficientemente consiste para que nuestro cálculo ROSI no se invierta. Para esto la mejor alternativa es una solución que nos permita migrar de a grupo de servidores.
Alguna de las ventajas de una solución LDAP comparativamente con NIS:

• Cifrado de canales de transferencia.
• Los algoritmos de “HASH” usados para las contraseñas son mucho más robustos que los utilizados por NIS. Igualmente, hasta tanto se mantengan clientes NIS deberán mantenerse los algoritmos compatibles con este.
• Distribución de partes del directorio en varios equipos o indexarlos para un mayor rendimiento.
• Manejo de “ACLS” para el control de información y acceso de los usuarios finales.
• Rápida integración con Active Directory, sumando al esquema las definiciones del RFC 2307; por ejemplo utilizando Services for Unix.
• Muchas variantes de implementaciones de servidores LDAP y herramientas de administración.

Caso de laboratorio

Al momento del análisis encontramos al menos 2 o 3 soluciones que proveen una alternativa mixta para que permita atender en la red local peticiones de servidores utilizando el protocolo NIS o LDAP indistintamente. El Gateway que interpreta ambos protocolos posee un árbol de directorios que puede alimentarse directamente del árbol Active Directory o integrarse en forma directa con la solución de Microsoft Services for Unix, para este último caso son necesarios cambios considerables en el SCHEMA de Active Directory. Las pruebas de laboratorio con las plataformas, RedHat Linux en sus versiones Workstation y Enterprise, AIX 4.x y 5.x, de Sun Os 5.6 a Solaris 9; no presentaron problemas excepto por la familia de AIX 4.x, donde la integración del agente LDAP no puede realizarse en forma limpia. De todas formas se han probado y evaluado distintas soluciones que actúan sin problema como agentes LDAP en distintos servidores.

Conclusión

Realizando un meticuloso análisis de la infraestructura interna y las integraciones que tenga con otras sedes podrá implementar una solución mixta de autenticación que pueda seguir respondiendo las peticiones actuales de su infraestructura (NIS) y que paulatinamente permita migrar los servidores a una solución LDAP integrada con el dominio corporativa existente (Windows – Active Directory – LDAP). De esta forma logra sacar una solución obsoleta EOL de su infraestructura, y cumplir con la definición de un único usuario con una única identificación y una única contraseña de acceso, para el acceso a los recursos informáticos de la compañía. Reemplazando la doble gestión de 2 mundos en una única administración centralizada y bajo el marco de los procesos de Alta-Baja-Modificación existentes. La puesta en marcha de la implementación tiene un impacto funcional esperable y controlable sobre los diferentes sistemas y recursos humanos de la empresa, y para llevar a cabo una implementación ordenada y sin detenciones operativas alcanza con, un análisis sobre las identificaciones de los usuarios, los sistemas informáticos involucrados, la segregación de los perfiles definidos y la definición y asignación de los privilegios correspondientes para una correcta implementación.