GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

SIDHistory, SID Filtering, SQL Server, y las Migraciones de Directorio Activo


Una problemática que antes o después nos encontraremos es la Migración del Directorio Activo, ya sea debida a un proyecto de segregación, de consolidación, o simplemente por una renovación tecnológica de la infraestructura. Sin embargo, aunque este tipo de proyectos parece a priori que sólo afecta a Directorio Activo, la realidad es que afecta a TODO, incluyendo a SQL Server. En este artículo, vamos a presentar este tipo de escenarios de migración relacionados con Directorio Activo, el SIDHistory, y SQL Server.

Es cuestión de tiempo. Antes o después, alguien comprará, venderá, fusionará o segregará la empresa para la que trabajas. Muchos de estos proyectos implican la creación de una nueva infraestructura de Directorio Activo, al cual se migrarán todas (o parte de) las cuentas de usuario y grupos del dominio o dominios existentes (para posteriormente migrar los recursos, como Shares, Bases de Datos, y demás historias), para lo que se suele utilizar el SIDHistory, una ñapa o solución temporal que ayuda a hacer de las migraciones una experiencia más agradable.

¿Qué es el SID, el SIDHistory, y el filtrado de SID (SID filtering)? ¿Cómo nos afecta en los Proyectos de Migración de Directorio Activo?

Para quién no lo conozca, intentaré introducir brevemente que es el SID: cada usuario y cada grupo en Directorio Activo tiene un ID asociado al que se denomina SID, de tal modo, que al conceder permisos a un usuario o grupo sobre un recurso (ej: una carpeta compartida), se guarda en una lista de seguridad (creo que lo llaman ACL o algo así), el SID del usuario o grupo junto con la definición del nivel de permisos correspondiente (ej: Sólo Lectura, Control Total, lo que sea). El tema es que cada objeto en Directorio Activo sólo puede tener un SID. Entonces, los señores de Microsoft, para ayudarnos en las Migraciones, se inventaron que los objetos en Directorio Activo puedan tener un atributo en el que podamos añadir algún SID adicional, y así pueda utilizarse en las Migraciones de Directorio Activo. Es decir, nos creamos un nuevo usuario en el nuevo Directorio Activo como una copia del usuario existente en el dominio actual, el cual tendrá un nuevo SID, pero guardamos en el atributo SIDHistory el SID del usuario original, para así no perder los derechos que tenemos concedidos hasta el momento.

Ojito con el SIDHistory, ya que no todas las aplicaciones lo soportan, sea el caso del Bluecoat (quién lo use como Proxy, una razón para migrar a ISA Server, TMG, o algún otro producto bueno-bueno de verdad).

Ahora llegamos a una de las partes que más mola, la Seguridad: si cualquier usuario con permisos elevados, pudiese añadirse a su SIDHistory el SID de cualquier otro usuario, lo tendría fácil-fácil para acceder fraudulentamente a los recursos de nuestra empresa. Es decir, que estaríamos francamente jodidos. Por ello, el funcionamiento del SIDHistory se basa en dos pilares fundamentales (entre otras cosas):

  • La existencia de una Relación de Confianza. Es decir, sólo podremos utilizar aquellos SIDs que además de estar almacenados en el atributo SIDHistory, pertenezcan a dominios con los que mantenemos una relación de confianza, por motivos evidentes de seguridad.
  • El filtrado de SID (SID filtering) debe estar deshabilitado. Téngase en cuenta que por defecto, por motivos de seguridad, el filtrado de SID (SID filtering) está habilitado al crear una relación de confianza, lo cual, implica que no se podrán utilizar SIDs del dominio de confianza con el SIDHistory. Es decir, además de crear la Relación de Confianza, será necesario deshabilitar el filtrado de SID (SID filtering) con un comando NETDOM TRUST, algo que deberemos realizar de forma explícita con un usuarios con permisos elevados en Directorio Activo.

Y de aquí podemos sacar una conclusión muy importante: Una vez eliminada la Relación de Confianza (ej: al finalizar la migración) el SIDHistory dejará de tener efecto (hostias, como La Cenicienta !). Es decir, el SIDHistory es una solución temporal (ñapa, o en inglés Workaround) para facilitar la realización de Proyectos de Migración de Directorio Activo, pero no es ni de lejos una solución definitiva. Estaremos obligados a volver a configurar los permisos en las ACLs (o como quieras llamarlo) para los nuevos usuarios/grupos del nuevo Dominio, para seguidamente eliminar la Relación de Confianza y dejar de utilizar SIDHistory. Lo haremos utilizando herramientas de terceros, manualmente, o de la forma que sea, pero es lo que deberíamos hacer, y además, cuanto antes mejor.

Hay más cosas que tener en cuenta, cómo veremos a continuación.

Ejemplos prácticos y pantallazos: una imagen vale más que 1000 bytes !

A continuación aprovecho para mostrar algunos ejemplos de casos de uso del SIDHistory, para lo cual, he utilizado una instancia de SQL Server 2008 R2 y alguna cuenta de usuario migrada con ADMT.

Lo primero que quería mostrar es un ejemplo de un usuario migrado con ADMT y SIDHistory. En particular, tenemos un usuario origen (GUILLESQL\groldan) que hemos migrado utilizando ADMT, de tal modo que el usuario destino (YOLINET\groldan) tiene su propio SID y además guarda en un SIDHistory el SID del usuario origen (GUILLESQL\groldan). Por supuesto, tenemos una relación de confianza bidireccional entre ambos Dominios con el filtrado de SID (SID filtering) deshabilitado, y hablamos de dos dominios Windows Server 2003 en modo nativo.

¿Qué ocurre? El usuario migrado puede acceder a SQL Server sin tener permisos, aprovechándose de las bondades del SIDHistory. Darle vueltas a este tema. Vale que mola para facilitar el Proyecto de Migración de Directorio Activo, pero ojito.

¿Qué ocurre? El usuario migrado puede acceder a SQL Server sin tener permisos, aprovechándose de las bondades del SIDHistory. Darle vueltas a este tema. Vale que mola para facilitar el Proyecto de Migración de Directorio Activo, pero ojito.

Por supuesto, si volvemos a habilitar el filtrado de SID (SID Filtering), al intentar acceder a SQL Server, nos quedaremos con las ganas: Login failed.

Por supuesto, si volvemos a habilitar el filtrado de SID (SID Filtering), al intentar acceder a SQL Server, nos quedaremos con las ganas: Login failed.

Y obviamente, si eliminamos la relación de confianza, el SIDHistory dejará de tomar efecto, por lo que perderemos los derechos o permisos que teníamos. Es decir, o se nos ha dado permisos explícitos a nuestra nueva cuenta de usuario, o no podremos conectarnos a SQL Server: Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.

Y obviamente, si eliminamos la relación de confianza, el SIDHistory dejará de tomar efecto, por lo que perderemos los derechos o permisos que teníamos. Es decir, o se nos ha dado permisos explícitos a nuestra nueva cuenta de usuario, o no podremos conectarnos a SQL Server: Login failed. The login is from an untrusted domain and cannot be used with Windows authentication.

Para lo bueno y para lo malo, podremos utilizar el usuario original y el migrado simultáneamente, mientras exista la relación de confianza y el filtrado de SID (SID filtering) permanezca deshabilitado.

Para lo bueno y para lo malo, podremos utilizar el usuario original y el migrado simultáneamente, mientras exista la relación de confianza y el filtrado de SID (SID filtering) permanezca deshabilitado.

Además, aunque eliminemos el usuario original de Directorio Activo, mientras no eliminemos el Login del usuario original de nuestra base de datos MASTER, seguirá existiendo una entrada en sys.syslogins, por lo que el usuario migrado podrá seguir accediendo a SQL Server utilizando el SIDHistory.

Además, aunque eliminemos el usuario original de Directorio Activo, mientras no eliminemos el Login del usuario original de nuestra base de datos MASTER, seguirá existiendo una entrada en sys.syslogins, por lo que el usuario migrado podrá seguir accediendo a SQL Server utilizando el SIDHistory.

Despedida y cierre

Como hemos podido ver, el rollito este del SIDHistory mola mucho para facilitarse la vida en los Proyectos de Migración de Directorio Activo, pero es igualmente cierto que deberemos de conocerlo algo bien para evitarnos sustos, y pensar en función del estado de nuestra infraestructura, hasta qué punto nos interesa abusar del SIDHistory.

Aunque no soy un experto en Directorio Activo, espero que el presente artículo pueda haber quedado suficientemente claro, al menos como punto de partida.

Poco más por hoy. Como siempre, confío que la lectura resulte de interés.

 


[Fecha del Artículo (UTC): 03/12/2012]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas