Barrapunto

Hay un mito, respecto al active directory, y es que lo reduces a todo a la autentificación

Efectivamente dicho mito existe. Muy pocas personas lo tienen (La mayoría de los que instalan activedirectory a diestro y siniestro no saben ni porque lo hacen ni muchísimo menos se preguntan si puede hacer otra cosa aparte de autentificar sesión) pero no deja de ser un mito. Por otra parte también existe el mito que con herramientas como openldap o samba solamente se puede hacer autentificación de sesión. Tanto samba como openldap pueden hacer mucho más que eso. Por ejemplo con samba tambien se pueden implementar políticas de usuario y de maquina y personalizar el netlogon [pcc-services.com]. Openldap es mucho más que una simple herramienta de autentificación, en realidad oficialmente es todo un servicio de directorio [mundopc.net] en cuya base de datos se puede almacenar mucha información sobre maquinas y usuarios, no solo contraseñas. Pero ya se sabe, los mitos son poderosos y a veces se los creen incluso los mas antiguos usuarios de barrapunto.

Si fuera así, Samba habría barrido a Windows de las empresas hace muchos años

Si samba no ha barrido a activedirectory (que si se barre a winbugs no hace falta usar samba para nada) no tiene nada que ver con las capacidades o carencias del propio samba. Tiene en cambio bastante que ver con defectos muy humanos como el gregarismo ("a mi ponme lo que tiene mi cuñao"), el miedo a lo desconocido ("¿samba? ¿eso no es lo que bailan en Brasil?"), el conformismo ("si funciona no lo toques") y sobre todo la irracional resistencia al cambio ("mas vale malo conocido que bueno por conocer"). Hay que añadir también el hecho de que el poder de M$ consigue cambiar legislaciones, acapara "magicamente" contratos con administraciones públicas y extiende sus productos gracias a ello no solo a nivel oficial sino a nivel de empresa privada. Además su influencia hace que incluso a nivel educativo se utilicen los productos de M$ como si fueran estándares (nada mas lejos de la realidad, M$ siempre ha odiado y boicoteado los estándares) de la industria del software cuyo uso se enseña en desde escuelas y academias hasta en universidades. Estos factores combinados con el hecho de que los productos de M$ partían de base en un escenario donde M$ ya dominaba el 95% del mercado y los productos de software libre sobre GNU/LInux partían del cero absoluto es lo que hace que activedirectory no sea barrido como merecería.

coste en licencia cero, sólo pagar costes de soporte

El coste de la licencia no es un factor que le importe prácticamente nada a un empresario porque es un coste único y puntual y a ellos les encantan ese tipo de "inversiones", la falsa idea de que pagando un desembolso inicial van a obtener un servicio que de otra forma supondría pagar un sueldo más (o varios) de un técnico informático. Nada mas lejos de la realidad. Una vez han pagado se encuentran que lo que han comprado requiere igualmente una compleja y costosa implantación inicial (la estructura de recursos compartidos no se genera del aire, las políticas no se definen ni se aplican solas, los usuarios y permisos no crecen por generación espontánea) siempre y cuando se quiera hacer una implantación que realmente aproveche, si no al máximo, por lo menos en gran medida las capacidades del producto del que han pagado una licencia. Pero en la inmensa mayoría de los casos donde se instala un servidor con activedirectory dicha implantación exaustiva y ciertamente costosa no se lleva a cabo. Resulta que activedirectory se instala porque al chaval que han enviado desde la empresa de servicios informáticos/cárnica de turno le han dicho que haga eso (instalar activedirectory) y además es prácticamente lo único que le enseñaron a hacer en el cursillo de informática o modulo de FP que hizo. Dicho "tesnico cuaslificado" no suele tener repajolera idea de lo que es GNU/Linux, ni el software libre ni por supuesto tiene la mas remota noticia de que existan servicios de directorio ofrecidos por otras herramientas que no son de M$ como por ejemplo Fedora Directory Server [fedoraproject.org] o Sun Directory Services [sun.com] o ApacheDS [apache.org] o OpenDS [java.net] o Oracle Internet Directory [oracle.com] etc... "El tesnico" no alcanza a comprender que los servicios de directorio no es algo que M$ ha inventado, que existe un estándar para la base de los servicios de directorio llamado ldap, que activedirectory solo es una de las aplicaciones de directorio que existe y no precisamente la mas ligera ni la mas estable, que hay múltiples otras aplicaciones de directorio con potentes herramientas de gestión tanto gráficas como de consola que no tienen nada que envidiar a las de activedirectory. Si "el tesnico" de turno que va a dar servicio a una empresa normalita ignora todo esto, si incluso uno de los mas antiguos usuarios de barrapunto lo ignora ¿que se puede esperar del inocente empresario que paga por ese servicio y cuyo conocimiento de informática no va mas allá de saber que los ordenadores van enchufados a la luz? La elección de pequeños y medianos empresarios, gente sin repajolera idea del tema asesorados a su vez por otra gente con una tremenda estrechez de miras y nula perspectiva del conjunto de alternativas que hay en el mercado. ¿son una forma fiable de evaluar la capacidad y calidad de un producto de software?. Yo creo que no.

Samba sigue evolucionando y trabajando duro a toda marcha para tener el sopote de Active Directory, en especial de las políticas y las GPO

Te voy a dar una vieja noticia, samba hace años que soporta las políticas de usuario, de grupo y de maquina. Te sugiero actualices tus conocimientos al respecto. El desarrollo de samba últimamente se centra casi exclusivamente en hacerlo compatible con los cambios que M$ introduce en cada nueva versión de activedirectory que acompaña a cada nueva versión de winbugs server, en la denodada carrera que mantienen por hacer activedirectory incompatible con samba.

Que aplicaciones puedes ejecutar, que no, que configuración de escritorios, que unidades se tienen acceso, quien se puede loguear en qué máquinas

Nada que no se pueda hacer con las aplicaciones que he mencionado anteriormente, si, incluso en winbugs también, ¿puede hacer lo mismo activedirectory con maquinas *nix como cliente? es una pregunta retorica. Obviamente la respuesta es NO

Todo lo anterior lo puedes hacer en Unix a golpe de chgrp / chown / chmod y ACL's

Y también con herramientas gráficas [apache.org] como las que llevan las aplicaciones que he mencionado anteriormente, por si lo que te molesta son los comandos.

evalúa el tiempo que puedes tardar en diseñar esa jerarquía de grupos y mantenerla, frente a meter una GPO y asignarla a las OU donde están las máquinas o los usuarios

Pues en diseñar la estructura voy a tardar exactamente lo mismo y en aplicarla voy a tardar quizá menos si los clientes son GNU/Linux. Por si te interesa como hacerlo, un par de pistas:

- cssh
- ficheros /etc/passwd y /etc/group

te aseguro que dan un servicio que quieren las empresas y los usuarios están contentos

Ya he comentado como el uso de activedirectory no es algo que "quieran" las empresas. En la inmensa mayoría de pequeñas y medianas empresas no saben que necesitan y que no, mucho menos saben que opciones existen en el mercado. Viene alguien trajeado y engominado de una consultora, les vende la moto que necesitan lo que la consultora ofrece que es lo que sus "tesnicos" de cursillo del inem saben hacer y chuimpun seacabó. Otra licencia mas de winbugs server a la saca. Seamos sinceros, ¿cuantas pequeñas empresas conoces tu donde se haya hecho una configuración a fondo de activedirectory?. En el 99% de los casos de activedirectorys que se instalan por ahí el chaval que lo pone se limita a crear un dominio, un par de usuarios, meter a los clientes en el dominio y punto, nada más. Ni definición exhaustiva de usuarios y tareas, ni grupos ni maquinas ni perfiles móviles o estáticos ni arboles ni unidades organizativas ni políticas de ningún tipo ni gaitas en vinagre. Es más, en la inmensa mayoría de esos casos todas esas funcionalidades de activedirectory son completamente inútiles porque las empresas pequeñas son demasiado dinámicas, su estructura cambia rápido y no se pueden permitir estar pagando a un técnico (de los de verdad) que cobra una pasta para que les cambie la configuración de activedirecotory cada 2 por 3, total por 6 o 7 ordenadores y usuarios mataos que tienen. ¿Cuantas empresas españolas hay con una red grande que puedan realmente aprovechar las funcionalidades de activedirectory u otro servicio de directorio y les fuera realmente útil y provechoso? Muy poquitas, diría que menos de un centenar. Y lo más gracioso es que en muchas de ellas ya se esta empezando a optar por otras soluciones basadas en servicios web, es decir ERP y CRM. Al fin y al cabo lo que ofrecen los servicios de directorio es básicamente 3 cosas:

1) Acceso a datos a través de red
2) Permisos de usuarios de acceder a esos datos
3) Herramientas para gestionar todo lo anterior

y los ERP/CRM son herramientas que integran esos servicios y muchos más.

Finalmente te voy a contar una anecdota que he tenido muy reciente. Una academia grande, con varias sedes, con unas 10 o 12 aulas de ordenadores en las que se imparten cursos de informática de todo tipo. LLevan 5 o 6 años funcionando con un dominio de activedirectory que les instalaron allí cuando se hizo la instalación inicial de la red ethernet que posteriormente se amplió. Después de este tiempo los profesores de los cursos han reinstalado varias veces los winbugs de los ordenadores de las aulas y el resultado es que ahora prácticamente ningún ordenador que no sea los de administración se loguea en el dominio, Como tienen acceso a internet igualmente nadie se ha dado cuenta porque en realidad el dominio no lo usaban para nada. Pueden compartir recursos en red fuera del domino usando los habituales "grupos de trabajo" pero la pura realidad es que casi nadie sabe que la red sirva para otra cosa que no sea conectarse a internet. Si algún profesor le quiere pasar algo a sus alumnos les graba un cd o les deja un pendrive para que se lo vayan pasando de 1 en 1. Esto lo hacen incluso los profesores de cursos de "tesnicos" que posteriormente acabarán trabajando en alguna cárnica instalando activedirectorys ellos mismos. Pues bien, hace una semana se dan cuenta que el servidor no arranca (seguramente llevaba meses sin arrancar) y me llaman a mi. Tenían toda la academia paralizada y no se atrevían siquiera a intentar descargar e-mail o arrancar los ordenadores de las aulas por si rompían algo del "superservidor". Cuando les dije que realmente el "superservidor" no hacía nada y que si no querían no hacía falta "arreglarlo" no se lo podían creer. Tuve que abrirles una web y descargarles el correo para demostrárselo. Les cobraron en su momento 300.000 pesetazas por el servidor, la licencia de winbugs server y la "instalación inicial" sin mantenimiento. Que viva la estafa... digo... el negocio del software. Así se forjan grandes imperios económicos.

Puedes implementar políticas con poledit, pero no con directorio activo. No compares la funcionalidadfque ofrece la segunda opción respecto a las clásicas de NT. Compara poledit con esto [microsoft.com] y me cuentas. A ver quien tiene más flexibilidad, tardas menos en configurar y da más funcionalidad para implementar la política de sistemas que necesita el negocio.

Pero ya se sabe, los mitos son poderosos y a veces se los creen incluso los mas antiguos usuarios de barrapunto.

Perdonda: Lo que es capaz de hacer un LDAP lo sé de sobra. Ahora, ¿cuanto tiempo tardas en hacer un DIT completo (clases, estructura) de configuración de programas, almacenado en el LDAP y que todos los programas vayan a buscar al mismo dicha configuración?. Cambiame KDE, Mozilla y GNOME para que consulte el LDAP para traerse la configuración que deba de tener el usuario. Básicamente eso lo tengo gratis con el Dirctorio Activo, mientras que tú tienes un proceso de diseño, pruebas e implementación. En definitiva, horas a tanto el consultor.

Estos factores combinados con el hecho de que los productos de M$ partían de base en un escenario donde M$ ya dominaba el 95% del mercado y los productos de software libre sobre GNU/LInux partían del cero absoluto es lo que hace que activedirectory no sea barrido como merecería.

Mira, como soy ya un viejo por estos lares, esta excusa la llevon oyendo desde el año 98. El mantra en este caso es este va a ser el año del escritorio de Linux. La culpa de que Linux no se use más es de factores externos. Ahora resulta que llega Apple y pasa por encima del escritorio de Linux. Alguno va a tener que plantearse algunas cosas si quiere a Linux en el escritorio.

El coste de la licencia no es un factor que le importe prácticamente nada a un empresario porque es un coste único y puntual y a ellos les encantan ese tipo de "inversiones",

Claro, la gente le encanta gastar los miles de euros que valen las licencias de Exchange (más TAM y soporte anual), cuando lo pueden reducir, si pueden implementarlo con un sendmail, Cyrus-IMAP y un directorio integrado en LDAP.

La elección de pequeños y medianos empresarios, gente sin repajolera idea del tema asesorados a su vez por otra gente con una tremenda estrechez de miras y nula perspectiva del conjunto de alternativas que hay en el mercado. ¿son una forma fiable de evaluar la capacidad y calidad de un producto de software?. Yo creo que no.

Lo que no te das cuenta que la PYME lo que quiere es vender su producto, no tener el sistema tecnológico de última generación, con código fuente. El cliente le importa poco que sea Linux o Windows. Lo que quiere es que la infraestructura le sirva para vender coches en el concesionario, vender pan en la panadería industrial, vender ladrillos en la fábrica. El resto es pura ficción y paja mental. Y si resulta que le vendes una moto de 1000cc cuando la que necesita una de 125cc, ten por seguro que se la vendes una vez.

Te voy a dar una vieja noticia, samba hace años que soporta las políticas de usuario, de grupo y de maquina.

Te sugiero que los actualices tú. Cógete la documentación de Samba 4 [samba.org] (aún en desarrollo) y leete la información:

• support of the 'Active Directory' logon and administration protocols
• new 'full coverage' testsuites
• full NTFS semantics for sharing backends
• Internal LDAP server, with AD semantics
• Internal Kerberos server, including PAC support
• fully asynchronous internals