En el mundo de la administración de bases de datos, el conocimiento técnico es la base para cualquier DBA y cuanto mayor conocimiento sobre el SGBD con el que trabajamos mejor podremos desempeñar nuestro trabajo. Pero, ¿qué pasa con los sistemas y servicios que interactúan directamente con nuestras bases de datos? Aquí es donde entra en juego, por ejemplo, el Active Directory (AD), una pieza clave en la infraestructura de cualquier organización y que si utilizamos SQL Server tendremos que integrar en nuestro dia a dia. Comprender cómo AD y los sistemas operativos se entrelazan con SQL Server no solo es deseable, sino esencial para un desempeño experto y seguro.
¿Qué es AD y por qué es importante para los DBAs?
Active Directory (AD) es un directorio de servicios centralizado que gestiona las identidades y las relaciones de seguridad dentro de una red. Por identidades nos referimos a los objetos de nuestra organización, desde cuentas de usuario y servicios hasta máquinas cliente y servidores. Estas entidades se organizan en base a su pertenencia a grupos de seguridad y entidades organizativas sobre las que, posteriormente, podremos gestionar los permisos.
Para un DBA, entender los principios de AD es crucial, ya que SQL Server se integra completamente con este servicio para la autenticación y autorización de usuarios. Un dominio de AD bien configurado garantiza que solo los usuarios autorizados tengan acceso a los datos sensibles, manteniendo la integridad y la seguridad de la información. Además el hecho de poder gestionar grupos de seguridad nos va simplificar mucho la tarea de asignar permisos a los usuarios y su posterior mantenimiento.
Conceptos básicos de AD para DBAs
Aunque como DBAs no es parte de nuestras responsabilidades administrar el directorio activo (AD), es importante que estemos familiarizados con sus conceptos ya que, como hemos visto, están directamente relacionados con la gestión de la seguridad de nuestras bases de datos.
Dominios de AD
Un dominio es una unidad lógica de organización en un Directorio Activo. Cada dominio tiene una base de datos de seguridad que almacena información de seguridad sobre objetos como usuarios, grupos y equipos. Como ya hemos visto, que nuestro SQL Server sea parte del dominio nos facilita una administración centralita de usuarios y políticas de seguridad.
Controladores de Dominio (DC)
Un Controlador de Dominio (DC) es un servidor que responde a solicitudes de autenticación y mantiene el directorio de dominio. Los DC son responsables de permitir el acceso a los recursos de red y de aplicar las políticas de seguridad del dominio. SQL Server puede delegar en el controlador de dominio la gestión de usuarios mejorando la seguridad y facilitandonos la administración.
Unidades Organizativas (OU)
Las Unidades Organizativas (OU) son contenedores dentro de un dominio que pueden contener usuarios, grupos, equipos y otras OU. Las OU se utilizan para organizar y administrar objetos dentro de un dominio. Por nuestra parte, tenemos que saber que podemos agrupar servidores y/o usuarios en OU para centralizar ciertas tareas de administración.
Protocolos de Autenticación (Kerberos y NTLM)
Kerberos y NTLM son protocolos de autenticación utilizados por los DC para verificar la identidad de los usuarios. Kerberos es un protocolo basado en tickets, mientras que NTLM utiliza un desafío-respuesta. SQL Server está preparado para trabajar con ambos protocolos garantizando un acceso seguro a los datos.
Usuarios y Grupos de AD
Los usuarios son cuentas que representan a individuos o servicios en la red. Los grupos son colecciones de usuarios que comparten los mismos derechos de acceso a los recursos. Como ya hemos comentado, SQL Server se aprovecha de esta capacidad para la autenticación y autorización de usuarios. Gracias a los grupos, podremos gestionar accesos de varios usuarios a recursos de manera simultánea.
Nombre Principal de Servicio (SPN)
El Nombre Principal de Servicio (SPN) es un identificador único asignado a cada servicio que se ejecuta en un servidor. Los SPN se utilizan en la autenticación Kerberos para asociar un servicio con una cuenta de servicio. Para que SQL funcione con Kerberos deberemos registrar el SPN para la cuenta de servicio de SQL Server.
Políticas de Seguridad (GPO)
Las Políticas de Grupo (GPO) son reglas que se pueden aplicar a usuarios o equipos dentro de un dominio. Las GPO se utilizan para controlar el entorno de trabajo de los usuarios y los equipos. Es muy común que SQL Server se beneficie de las GPO de longitud y complejidad de contraseñas, por ejemplo.
Confianzas
Las confianzas son relaciones que permiten a los usuarios de un dominio acceder a recursos en otro dominio. Como DBAs esto nos va a ahorrar mucho trabajo al no necesitar duplicar usuarios.
Catálogo Global de AD
El Catálogo Global es una base de datos distribuida que contiene una copia parcial de todas las bases de datos de dominio en un bosque. Se utiliza para acelerar las consultas dentro del bosque. Tenemos que saber que tanto nuestros servidores como los usuarios pertenecen a este catálogo global.
Bosque
Un bosque es una colección de uno o más dominios de Directorio Activo que comparten un esquema común. Esto nos va a permitir gestionar varios SQL Server de diferentes dominios bajo una configuración global.
Esquema
El esquema es la definición de todos los objetos y atributos que se pueden crear en el Directorio Activo. Nuestros SQL Server serán capaces de gestionar las extensiones de los esquemas y nos permitirán llevar a cabo configuraciones especializadas o cuando necesitemos cumplir con ciertos requisitos de integración.
Protocolo Ligero de Acceso a Directorios (LDAP)
LDAP es un protocolo de red utilizado para acceder y gestionar el Directorio Activo. LDAP permite a los clientes buscar y manipular entradas en el directorio. SQL Server utiliza LDAP para acceder en modo consulta a la información de AD y así validar las credenciales de usuarios o la pertenencia a grupos.
Conclusión
En este post hemos podido adentrarnos en los conceptos básicos de AD, sin embargo os recomiendo profundizar y probar. Para muchas cosas necesitaréis la ayuda del administrador de directorio activo de vuestra organización pero a la larga lo vais a agradecer. Ser un DBA de SQL Server con conocimientos avanzados en AD y sistemas no solo mejora la seguridad y la eficiencia de nuestros servidores, sino que también elevará nuestro valor profesional en el mercado. La integración de estos conocimientos permite enfrentar desafíos complejos y asegurar que las bases de datos sean confiables, seguras y tengan un buen desempeño. Nosotros, como expertos en la materia, debemos estar siempre al tanto de las últimas tendencias y mejores prácticas para garantizar la excelencia operativa en un entorno de alta criticidad.
Espero que este artículo te haya sido útil y que te ayude a tener mayor control sobre tus servidores SQL Server. Te animo a investigar más y definir nuevas alertas que puedan resultarte interesantes. Una vez hecho, puedes dejarlo en los comentarios y, entre todos, seguro que aprendemos algo nuevo. Si tenéis alguna duda o sugerencia, podéis dejarla en Twitter, por mail o dejarnos un mensaje en los comentarios. Y recuerda que también tenemos un grupo de LinkedIn y un canal de YouTube a los que te puede unir. ¡Hasta la próxima!
