PDF de programación - Replicación de PDC's y SLAPD

Replicacin de PDC’s y SLAPD

Sergio GonzÆlez GonzÆlez

Instituto PolitØcnico de Bragrana, Portugal

[email protected]

Jonatan Grandmontagne Garca
Instituto PolitØcnico de Bragrana, Portugal

[email protected]

Breve explicacin sobre como se hace la replicacin en los servidores PDC de MS Windows y Samba
(http://www.samba.org/), as como en openLDAP (http://www.openldap.org/).

1. Introduccin

Antes de proceder a la explicacin de las partes que componen este documento, vamos a dar una serie de
deniciones previas:

PDC (Primary Domain Controller): un PDC es un servidor capaz de responder a las peticiones de

autenticacin de las mÆquinas pertenecientes a un dominio determinado.

BDC (Backup Domain Controller): un BDC es un servidor secundario.

Un BDC es recomendable en los siguientes casos:

En redes donde exista un PDC y este normalmente estØ muy ocupado. El BDC en este caso recibirÆ algunas

peticiones de autenticacin, quitando de esta forma trabajo al PDC.

En redes remotas la existencia de un BDC es deseable para reducir el trÆco y aæadir estabilidad a las

operaciones.

2. Replicacin de BDCs bajo MS Windows

En esta seccin vamos a ver la sincronizacin de la base de datos de un Dominio de MS Windows por los
distintos controladores de dominio, as como la replicacin de los datos importantes.

1

Replicacin de PDC’s y SLAPD

El servicio de replicacin proporciona los mecanismos para copiar dicha informacin a cada BDC de la red.

Peridicamente, el servidor PDC de MS Windows sincroniza la base de datos de cuentas de dominio con cada
BDC de la red. Este slo enva aquellos datos que han cambiado, reduciendo as el trÆco de red. La
sincronizacin es necesaria para mantener la base de datos de las cuentas de dominio consistente, esto permite a
cada BDC validar las peticiones de autenticacin de los usuarios.

Existe un tiempo de espera hasta que las modicaciones realizadas en la base de datos de las cuentas del dominio
se propaguen a los servidores BDC, por lo tanto, si un usuario intenta autenticarse antes de que los cambios se
hayan actualizado en el BDC, dicho usuario no tiene garantizados todos sus derechos y privilegios, debido a que
el BDC estÆ utilizando una base de datos no actualizada.

2.1. Como se realiza la replicacin

El servidor NetLogon comprueba el estado de la base de datos y enva un pulso, o una noticacin de cambio, a
los BDCs cuando se ha producido un cambio. El intervalo de comprobacin se conoce como intervalo de
replicacin

Nota: Si el intervalo de replicacin es muy alto, implicarÆ que el PDC incremente su carga, pero si este es
demasiado bajo, el trÆco de red serÆ muy elevado entre los servidores. Para controlar este hecho, muchos
BDCs son actualizados simultÆneamente.

La conguracin del pulso se realiza de la siguiente forma en el registro de MS Windows:

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Type: REG_DWORD
Name: PulseCurrency
Value: # of BDCs to simultaneously update
Default=10 BDCs, min=1, max=500

Cuando el tiempo del pulso se ha agotado, todas las bases de datos SAM son actualizadas. No se enva ningœn
pulso a aquellos BDCs que estÆn actualizados.

Perodo de espera del PDC antes de enviar un pulso de actualizacin:

HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Type: REG_DWORD
Name: Pulse
Value: value in seconds
min=60 ; default= 300 (5 min) ; max=172,800 (48hrs)

Envo de un pulso, tanto si la base de datos SAM de los BDCs estÆn actualizadas como si no:

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Type: REG_DWORD

2

Replicacin de PDC’s y SLAPD

Name: PulseMaximum
Value: value in seconds
min=60 ; default=7200 ; max=86400

Tiempo de espera del PDC a que responda el BDC al pulso. Si el BDC no responde, este se considerarÆ
controlador sin respuesta.

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Type: REG_DWORD
Name: PulseTimeout1
Value: value in seconds
min=1 ; default=5 ; max=120

Tiempo de espera del PDC a que el BDC complete la sincronizacin parcial. Si el BDC no responde se
considerarÆ como servidor sin respuesta:

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Type: REG_DWORD
Name: PulseTimeout2
Value: value in seconds
min=60 ; default=300 ; max=3600

% de 128K de un paquete estÆndar utilizado para la sincronizacin del dominio:

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\NetLogon\Parameters
Type: REG_DWORD
Name: ReplicationGovernor
Value: % bandwidth
min=0 Default=100%

3. Replicacin de un dominio con Samba (BDC)

La replicacin de la base de datos SAM de Samba es controlable manualmente, siendo automatizable gracias al
demonio cron. Para esto, samba ha de congurarse primeramente como un BDC, un ejemplo de conguracin
puede ser:

[global]
workgroup = NTDOMAIN
password server = pdcname
; because the pdc is the
; domain master!
domain master = no
domain logons = yes
security = user
encrypt passwords = yes
server schannel = yes
client schannel = yes

3

Replicacin de PDC’s y SLAPD

[netlogon]
; stores login scripts
read only = yes
path = /usr/local/samba/netlogon

Una vez realizado lo anterior y Samba se ha unido al dominio, ya estamos en disposicin de replicar la base de
datos SAM, en caso de ser necesario.

Actualmente, los protocolos de replicacin de la base de datos SAM de MS Windows no han sido
completamente implementados en Samba, por lo que no es posible hacer una replicacin a partir de un servidor
MS Windows. Es decir, un servidor BDC de Samba, slo puede funcionar con un servidor PDC de Samba.

El archivo smbpasswd ha de ser replicado siempre que este cambie, lo que implica actualizar dicho archivo muy
a menudo. Hay muchas posibles formas de replicacin, siendo una de ellas la utilizacin de la herramienta rsync.
Como los datos almacenados en el archivo smbpasswd estÆn en texto plano, es mÆs que recomendable hacer uso
de encriptacin para transmitirlos por la red. Esto se soluciona haciendo uso de ssh, ya que rsync soporta la
transferencia de datos por este protocolo.

Nota: El mØtodo arriba expuesto no es el mejor ni el mÆs able, pero muestra la forma en la que se ha de
replicar la base de datos SAM. Una forma mÆs elegante de replicar dicha base de datos, es haciendo uso
de LDAP.

4. Replication with slurpd

El acrnimo slurpd signica: Standalone LDAP Update Replication Daemon y su misin es propagar los
cambios de una base de datos slapd hacia otra. Si slapd estÆ congurado para producir logs de replicacin, slurpd
los lee y enva los cambios a las instancias slapd esclavas a travØs del protocolo LDAP. slurpd se arranca,
normalmente, en el arranque del sistema.

Una vez arrancado, slurpd normalmente hace un fork de si mismo y se independiza de la tty que lo ha llamado,
luego lee el log de replicacin (dado bien por la directiva replogle del archivo de conguracin de slapd, bien
por la opcin -r de la lnea de comandos). Si el archivo log de replicacin no existe o estÆ vaco, slurpd se
duerme. DespuØs, cada cierto tiempo, se despierta y verica si hay cambios que propagar.

Cuando slurpd encuentra cambios a propagar hacia las instancias slapd esclavas, bloquea el log de replicacin,
hace una copia privada del mismo, libera el bloqueo anteriormente puesto y crea un fork de si mismo para
rØplica de slapd que ha de ser actualizada. Cada proceso hijo se asocia con el demonio slapd esclavo, y enva los
cambios.

Un ejemplo de replicacin podra ser:

El cliente LDAP enva una modicacin LDAP al slapd esclavo.
El slapd esclavo devuelve una remisin hacia el cliente LDAP, referenciandolo hacia el servidor slapd

maestro.

4

Replicacin de PDC’s y SLAPD

El cliente LDAP enva la operacin de modicacin LDAP hacia el slapd maestro.
El slapd maestro realiza la operacin de modicacin, escribe los cambios en su archivo log de replicacin y

devuelve un cdigo de Øxito hacia el cliente.

El proceso slurpd verica que se ha aæadido una nueva entrada al archivo log de replicacin, lee la entrada del

log de replicacin y enva el cambio hacia el servidor slapd esclavo va LDAP.

El servidor slapd esclavo realiza la operacin de modicacin y un cdigo de Øxito hacia el proceso slurpd.

5. Sobre este documento

Se otorga permiso para copiar, distribuir y/o modicar este documento bajo los tØrminos de la Licencia de
Documentacin Libre GNU, versin 1.1 o cualquier versin posterior publicada por la Free Software
Foundation. Puedes consultar una copia de la licencia en http://www.gnu.org/copyleft/fdl.html
(http://www.gnu.org/copyleft/fdl.html)

Bibliografa

Documentacin
[Account management (http://www.pinoy7.com/winnt/pt6_5.htm)]

[ Windows NT Domain Controller Synchronization and Replication Parameters

(http://is-it-true.org/nt/registry/rtips97.shtml)]

[Samba Project Documentation (http://www.samba.org/)] Jelmer R. Vernooij, John H. Terpstra, y Gerald Carter.

[Samba and Windows N