Barrapunto

Hay un mito, respecto al active directory, y es que lo reduces a todo a la autentificación. Si fuera así, Samba habría barrido a Windows de las empresas hace muchos años: coste en licencia cero, sólo pagar costes de soporte: se pueden mantener los clientes Windows que autentifican contra Samba que a su vez usa un backend LDAP. Las máquinas Unix las enganchas al LDAP a través del nss y todo solucionado.

Sin embargo, esto no ha ocurrido. Y Samba sigue evolucionando y trabajando duro a toda marcha para tener el sopote de Active Directory, en especial de las políticas y las GPO (que no son más que valores del registro en una máquina Windows).

La posibilidad de configuración de una máquina Windows a través de una interfaz más o menos coherente, permitiendo restriciones en función de los grupos o la posición en el DIT que ocupe son herramientas muy potentes en manos de un administrador de sistemas: Que aplicaciones puedes ejecutar, que no, que configuración de escritorios, que unidades se tienen acceso, quien se puede loguear en qué máquinas, etc.

Todo lo anterior lo puedes hacer en Unix a golpe de chgrp / chown / chmod y ACL's. Ahora evalúa el tiempo que puedes tardar en diseñar esa jerarquía de grupos y mantenerla, frente a meter una GPO y asignarla a las OU donde están las máquinas o los usuarios.

No sé si serán felices o no, pero te aseguro que dan un servicio que quieren las empresas y los usuarios están contentos.

Hay un mito, respecto al active directory, y es que lo reduces a todo a la autentificación

Efectivamente dicho mito existe. Muy pocas personas lo tienen (La mayoría de los que instalan activedirectory a diestro y siniestro no saben ni porque lo hacen ni muchísimo menos se preguntan si puede hacer otra cosa aparte de autentificar sesión) pero no deja de ser un mito. Por otra parte también existe el mito que con herramientas como openldap o samba solamente se puede hacer autentificación de sesión. Tanto samba como openldap pueden hacer mucho más que eso. Por ejemplo con samba tambien se pueden implementar políticas de usuario y de maquina y personalizar el netlogon [pcc-services.com]. Openldap es mucho más que una simple herramienta de autentificación, en realidad oficialmente es todo un servicio de directorio [mundopc.net] en cuya base de datos se puede almacenar mucha información sobre maquinas y usuarios, no solo contraseñas. Pero ya se sabe, los mitos son poderosos y a veces se los creen incluso los mas antiguos usuarios de barrapunto.

Si fuera así, Samba habría barrido a Windows de las empresas hace muchos años

Si samba no ha barrido a activedirectory (que si se barre a winbugs no hace falta usar samba para nada) no tiene nada que ver con las capacidades o carencias del propio samba. Tiene en cambio bastante que ver con defectos muy humanos como el gregarismo ("a mi ponme lo que tiene mi cuñao"), el miedo a lo desconocido ("¿samba? ¿eso no es lo que bailan en Brasil?"), el conformismo ("si funciona no lo toques") y sobre todo la irracional resistencia al cambio ("mas vale malo conocido que bueno por conocer"). Hay que añadir también el hecho de que el poder de M$ consigue cambiar legislaciones, acapara "magicamente" contratos con administraciones públicas y extiende sus productos gracias a ello no solo a nivel oficial sino a nivel de empresa privada. Además su influencia hace que incluso a nivel educativo se utilicen los productos de M$ como si fueran estándares (nada mas lejos de la realidad, M$ siempre ha odiado y boicoteado los estándares) de la industria del software cuyo uso se enseña en desde escuelas y academias hasta en universidades. Estos factores combinados con el hecho de que los productos de M$ partían de base en un escenario donde M$ ya dominaba el 95% del mercado y los productos de software libre sobre GNU/LInux partían del cero absoluto es lo que hace que activedirectory no sea barrido como merecería.

coste en licencia cero, sólo pagar costes de soporte

El coste de la licencia no es un factor que le importe prácticamente nada a un empresario porque es un coste único y puntual y a ellos les encantan ese tipo de "inversiones", la falsa idea de que pagando un desembolso inicial van a obtener un servicio que de otra forma supondría pagar un sueldo más (o varios) de un técnico informático. Nada mas lejos de la realidad. Una vez han pagado se encuentran que lo que han comprado requiere igualmente una compleja y costosa implantación inicial (la estructura de recursos compartidos no se genera del aire, las políticas no se definen ni se aplican solas, los usuarios y permisos no crecen por generación espontánea) siempre y cuando se quiera hacer una implantación que realmente aproveche, si no al máximo, por lo menos en gran medida las capacidades del producto del que han pagado una licencia. Pero en la inmensa mayoría de los casos donde se instala un servidor con activedirectory dicha implantación exaustiva y ciertamente costosa no se lleva a cabo. Resulta que activedirectory se instala porque al chaval que han enviado desde la empresa de servicios informáticos/cárnica d

Diseñame un árbol de LDAP. Implementalo con la MMC del directorio activo o con archivos ldiff para después enchufárselos al OpenLDAP y dime con qué tardas más, que es más propenso a errores. Pero como no todo es ldapadd o ldapmodify, siempre nos queda instalar todo lo necesario (Apache, PHP, módulos de PHP) para usar LAM [sourceforge.net], frente a ejecutar la consola de administación del MMC de directorio activo (y eso sin entrar en lo cómodo de ciertas aplicaciones web).

Y eso, cuando no te encuentras el regalo de un sistema Unix configurado manualmente a golpe de scripts y sin una documentación por parte del administrador anterior, que se ha marchado de la empresa, entonces es cuando de verdad empiezan los problemas.