[ubuntu-ar] homes centralizados, nfs, nis y samba...

Wed Feb 25 13:01:51 GMT 2009

Guy Fawkes escribió el 24/02/09 23:25:
> 2009/2/24 Guy Fawkes <guy.fawkes.arg at gmail.com 
> <mailto:guy.fawkes.arg at gmail.com>>
>
>     Hola Mariano,
>
>     Lamentablemente no te puedo ayudar.
>
>     Mi pregunta (y por ahi te ayuda) es saber si realmente es
>     necesario que los usuarios sean administradores de la maquina.
>
>     Yo fui administrador muchos años en muchas empresas y jamas tuve
>     la necesidad de negocio de darles permisos. Si, reconozco que es
>     una carga administrativa que molesta, pero la verdad es que me
>     ahorro MUCHISIMOS
>
>
> Perdon, primero porque me equivoque de teclas y se mando incompleto y 
> segundo por el top posting.
>
> Continuo por donde deje....
> Yo fui administrador muchos años en muchas empresas y jamas tuve la 
> "necesidad de negocio" de darles permisos. Si, reconozco que es una 
> carga administrativa que molesta, pero la verdad es que me ahorro 
> MUCHISIMOS dolores de cabeza de cosas como por ejemplo no saber porque 
> de repente una aplicación dejaba de funcionar, etc.
>
> Sacando eso, mucho no te puedo ayudar.
>
> En windows AD (que es lo que conozco) por perfiles moviles toda la 
> seguridad se maneja de manera centralizada. Esto quiere decir que los 
> usuarios "no deberían" loguearse localmente en el equipo.
>
> No podes hacer que la seguridad sea centralizada ? aca en un momento 
> pregunté por el homonimo de AD y me dijeron IMAP + Kerberos. De esa 
> manera (si entendi bien) se solucionaría el tema.
>
Juan,

el problema más grande que tenemos es que, pese a ser una veintena de 
personas, NO TENEMOS SYSADMIN... es decir, entre otro pibe y yo nos 
ocupamos de que no se vaya todo al diablo, pero esa no es la tarea 
primordial ni suya ni mía, con lo cual, nosotros nos ocupamos de las 
máquinas de la gente que no sabe nada, y los programadores se ocupan de 
las suyas propias (con la premisa "el que rompe, arregla"). De todos 
modos, ni programadores ni el resto tiene permisos de administración en 
el server.

Sospecho que el homónimo de AD no es IMAP+Kerberos si no 
LDAP+Kerberos... el tema es que Kerberos es un bodoque y, si bien LDAP 
no es trivial, al menos tengo mucha experiencia al respecto.

Si tuviera tiempo, habría algún esquema centralizado de administración y 
single-sign-on con LDAP, el tema es que no lo tengo.

De todos modos, aunque no les diera permiso de "sudo" local a los 
usuarios, el mismo problema lo tendría yo como sysadmin... en este caso, 
tampoco me sentiría cómodo poniendo "no_root_squash" en el export del 
nfs, ya que no sería difícil que un programa, aun no siendo root (o 
admin en windows), pueda mentirle al servidor nfs diciéndole que sí lo 
es, y el servidor le daría acceso alegremente a todo lo que está 
exportado...

Así que, podría reescribir mi pregunta orientándola sólo a nfs+nis: 
"¿cómo puedo proteger los home de los usuarios de otros usuarios y 
permitir que un "sudo" funcione cuando todo está en un filesystem 
exportado via nfs con "root_squash"?

-- 
Mariano Absatz - "El Baby"
el.baby at gmail.com
www.clueless.com.ar

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
"A system admin's life is a sorry one. The only
advantage he has over Emergency Room doctors is that
malpractice suits are rare. On the other hand, ER
doctors never have to deal with patients installing new
versions of their own innards!"
           -- Michael O'Brien
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
* TagZilla 0.066 * http://tagzilla.mozdev.org