[ubuntu-ar] homes centralizados, nfs, nis y samba...
Guillermo Lisi
unimix at fibertel.com.ar
Wed Mar 4 21:20:49 GMT 2009
Mariano Absatz wrote:
> Guy Fawkes escribió el 24/02/09 23:25:
>> 2009/2/24 Guy Fawkes <guy.fawkes.arg at gmail.com
>> <mailto:guy.fawkes.arg at gmail.com>>
>>
>> Hola Mariano,
>>
>> Lamentablemente no te puedo ayudar.
>>
>> Mi pregunta (y por ahi te ayuda) es saber si realmente es
>> necesario que los usuarios sean administradores de la maquina.
>>
>> Yo fui administrador muchos años en muchas empresas y jamas tuve
>> la necesidad de negocio de darles permisos. Si, reconozco que es
>> una carga administrativa que molesta, pero la verdad es que me
>> ahorro MUCHISIMOS
>>
>>
>> Perdon, primero porque me equivoque de teclas y se mando incompleto y
>> segundo por el top posting.
>>
>> Continuo por donde deje....
>> Yo fui administrador muchos años en muchas empresas y jamas tuve la
>> "necesidad de negocio" de darles permisos. Si, reconozco que es una
>> carga administrativa que molesta, pero la verdad es que me ahorro
>> MUCHISIMOS dolores de cabeza de cosas como por ejemplo no saber porque
>> de repente una aplicación dejaba de funcionar, etc.
>>
>> Sacando eso, mucho no te puedo ayudar.
>>
>> En windows AD (que es lo que conozco) por perfiles moviles toda la
>> seguridad se maneja de manera centralizada. Esto quiere decir que los
>> usuarios "no deberían" loguearse localmente en el equipo.
>>
>> No podes hacer que la seguridad sea centralizada ? aca en un momento
>> pregunté por el homonimo de AD y me dijeron IMAP + Kerberos. De esa
>> manera (si entendi bien) se solucionaría el tema.
>>
> Juan,
>
> el problema más grande que tenemos es que, pese a ser una veintena de
> personas, NO TENEMOS SYSADMIN... es decir, entre otro pibe y yo nos
> ocupamos de que no se vaya todo al diablo, pero esa no es la tarea
> primordial ni suya ni mía, con lo cual, nosotros nos ocupamos de las
> máquinas de la gente que no sabe nada, y los programadores se ocupan de
> las suyas propias (con la premisa "el que rompe, arregla"). De todos
> modos, ni programadores ni el resto tiene permisos de administración en
> el server.
>
> Sospecho que el homónimo de AD no es IMAP+Kerberos si no
> LDAP+Kerberos... el tema es que Kerberos es un bodoque y, si bien LDAP
> no es trivial, al menos tengo mucha experiencia al respecto.
>
> Si tuviera tiempo, habría algún esquema centralizado de administración y
> single-sign-on con LDAP, el tema es que no lo tengo.
>
>
>
> De todos modos, aunque no les diera permiso de "sudo" local a los
> usuarios, el mismo problema lo tendría yo como sysadmin... en este caso,
> tampoco me sentiría cómodo poniendo "no_root_squash" en el export del
> nfs, ya que no sería difícil que un programa, aun no siendo root (o
> admin en windows), pueda mentirle al servidor nfs diciéndole que sí lo
> es, y el servidor le daría acceso alegremente a todo lo que está
> exportado...
>
>
> Así que, podría reescribir mi pregunta orientándola sólo a nfs+nis:
> "¿cómo puedo proteger los home de los usuarios de otros usuarios y
> permitir que un "sudo" funcione cuando todo está en un filesystem
> exportado via nfs con "root_squash"?
>
Me parece que queres hacer una tortilla de papas sin ponerle huevos :)
Cuando necesitas hacer jugar restricciones en un sistema vas a tener que
pagar ciertos costos funcionales en pos de la seguridad o complicarte la
vida con soluciones sofisticadas y tareas adicionales de implementacion
y mantenimiento, que inevitablemente consumiran recursos, en pos de la
funcionalidad a nivel usuario.
Me parece que el camino viene por el lado de LDAP .... o reorganizar la
cosa para que algunos asuman la funcion de sysadmin.
--
Guillermo Lisi
http://ubuntu-ar.org
More information about the Ubuntu-ar
mailing list