9 de diciembre de 2007

Likewise libera software de autenticación AD para Linux

Resulta que una empresa llamada Likewise ha liberado el código de un producto que permite a un cliente linux autenticarse en un servidor Active Directory de Microsoft. Parece ser que todos los distribuidores de Linux están agitados ante este anuncio cual adolescentes en un concierto de Bisbal, con la diferencia de que lo de Bisbal tiene delito, y esto no. En realidad, ya existe cierto soporte en Samba & friends para autenticarse en AD, pero esto parece ser más completo.

Por ejemplo, este sistema parece "mapear" los parámetros que el administrador suele configurar para sistemas windows, pero a linux. Es decir, permite hacer cosas como poner un fondo de escritorio común a todos los equipos administrador. Permite aplicar políticas AD para firefox y Evolution. En otras palabras, integra el cliente en entornos AD pero de verdad, no se queda simplemente en una autenticación.

Lo tragicómico de este software es que gracias a él, el sistema operativo más apropiado y práctico para administrar un conjunto de equipos de escritorio Linux es....¡Windows Server! Y no tiene nada de exageración, porque -al menos que alguien me confirme lo contrario- simplemente no existe una funcionalidad equivalente en los servidores Linux (si, a mi tambien se me ocurren guarrerías para imitarlo: kiosk, ssh, sabayon...pero no dejan de ser piezas incompletas).



No es que no tengamos servidores de directorio para competir con el AD de Microsoft, los tenemos: El servidor de directorio de Red Hat, comprado a Netscape por muchos minolles, bastante bueno en su terreno según dicen. Desde luego, más que suficiente para competir. Tambien está el servidor de directorio propietario de nada más y menos que Novell, quien de servidores de directorio sabe un rato largo. Pero el problema no está tanto en el servidor de directorio. El problema está en el cliente, es decir, en el escritorio Linux: El problema de directorios como el de Red Hat y demás familia, es que suelen utilizarlo más que nada para autenticación y cosas así. En el ecosistema AD <-> Windows, el AD se utiliza para configurar el entorno del usuario: El mencionado fondo de pantalla de la empresa, deshabilitar menús y funciones varias del IE, del escritorio, de aplicaciones varias, se configura la aplicación....

El mecanismo funciona porque el escritorio Windows está diseñado para obedecer políticas AD cuando éstas existen. Esta diseñado para que cuando un usuario se autentifique y el servidor AD le diga que tiene una serie de configuraciones que tiene que aplicar, las aplique. Porque solo un software de cliente diseñado para obedecer esas órdenes puede obedecerlas: el servidor no puede hacer mágicamente que un menú o una funcionalidad cualquiera del IE no esté disponible, no es omnipotente: Es el software el que tiene que estar diseñado para obedecer al AD e imponer las restricciones y configuraciones al usuario. Ese nivel de integración es algo que "no se ve", que no se suele destacar ni valorar cuando se habla de la plataforma windows, pero que está ahí.

Ahora miren Linux. Empezemos diciendo que, efectivamente, existen métodos para configurar GNOME y KDE para deshabilitar tal o cual cosa de la interfaz. Pero continuemos diciendo que cada uno tiene su sistema. Y sigamos con que no existe integración en ninguno con los conceptos de "servidor de directorio". Es más, gconf tuvo en el pasado un "intento de" backend LDAP....pero parece que hoy no queda nada de aquello. A día de hoy, por lo que he encontrado en Google, lo que hacen algunos administradores es montar los archivos de configuración necesarios de /etc a través de NFS. Que no es una mala idea, por cierto, pero es que puestos a comparar en integración, el sistema de actualización de Microsoft, que funciona mediante AD, no es superior a APT...y sin embargo Microsoft consigue con su integración que sea más util. Eso es lo mismo que les pasa a Gnome y KDE: No es que no se pueden hacer cosas con ellos, pero les falta esa pieza de integración que hace que muchas organizaciones simplemente pasen de Linux.

Hasta hoy, claro. Porque gracias a este software liberado construye, por lo visto, ese puente necesario que a Linux le hace falta. Software que por cierto, ha sido liberado bajo la GPL3, y el propietario de la empresa que lo ha liberado es nada más y nada menos que de un importante contribuidor de SAMBA, lo cual da algunas garantias. De momento, se sabe que Ubuntu, Red Hat, Suse....todas ellas están ansiosas por integrar este juguete. Uno se pregunta por qué durante años no han invertido en construirlo ellos. Sospecho que como el negocio Linux viene fundamentalmente de servidores, nadie puso demasiado empeño.

3 comentarios:

  1. Es así como dices, nadie le puso demasiado empeño.
    Lo mas útil de AD no es el perfil móvil, son las políticas de seguridad. Esas restricciones que evitan que un oficinista happy clicker de windows te rompa todo el sistema con virus, wares y demás yerbas. En cambio el usuario linux es normalmente un geek de la computación, con sus anteojos, su joroba, acné y demás, que sabe mejor que nadie como configurar su escritorio. Tal vez por eso nadie le prestó atención a agregarle estas funcionalidades a linux.
    Pero bueno, los tiempos cambiaron y hoy en día linux está más cerca de ser una plataforma para usuarios "normales". KDE y Gnome ya se han puesto de acuerdo en otras cosas, es cuestión de que alguien defina la interfaz, y que cada desktop haga su cliente con las librerías que mas le guste.

    ResponderEliminar
  2. Ya existia algun apaño (creo qeu se llamaba AD4UNIX) que permitia configurar clientes Linux para usar Active Directory como autenticacion (pero nada mas). El poder manejar clientes Linux directamente desde Active Directory es algo muy bueno, pero debe ser transitorio. No se puede desplegar una red de puestos Linux y depender de una infraestructura propietaria y cerrada (al menos hasta ahora) como la de MS.

    Sinceramente, a dia de hoy creo que la mejor manera de administrar autenticacion y permisos en una red mixta o no mista es usando OpenDirectory, la solución de Apple en MacOSX Server, que integra samba y OpenLDAP para manejar clientes Windows y Linux y MacOSX. Vamos, que yo a tu frase de

    «o tragicómico de este software es que gracias a él, el sistema operativo más apropiado y práctico para administrar un conjunto de equipos de escritorio Linux es....¡Windows Server!»

    Yo digo "MacOSX Server".

    ResponderEliminar
  3. con tener una cuenta de usuario con todo bien montado y replicarla entre los clientes con cualquiera de los sistemas de replicación y sincronización que hay en los entornos unix, esto se podía hacer ya desde hace bastante tiempo, así que la novedad es que el rollo esté lo suficientemente bien hecho como para poder usar las infraestructuras de windows para hacerlo a la manera de windows.

    ResponderEliminar