[ubuntu-ar] homes centralizados, nfs, nis y samba...

Sebastian Abate sebastianabate at gmail.com
Thu Mar 5 08:17:31 GMT 2009 

2009/3/4 Guillermo Lisi <unimix en fibertel.com.ar>:
> Mariano Absatz wrote:
>> Guy Fawkes escribió el 24/02/09 23:25:
>>> 2009/2/24 Guy Fawkes <guy.fawkes.arg en gmail.com
>>> <mailto:guy.fawkes.arg en gmail.com>>
>>>
>>>     Hola Mariano,
>>>
>>>     Lamentablemente no te puedo ayudar.
>>>
>>>     Mi pregunta (y por ahi te ayuda) es saber si realmente es
>>>     necesario que los usuarios sean administradores de la maquina.
>>>
>>>     Yo fui administrador muchos años en muchas empresas y jamas tuve
>>>     la necesidad de negocio de darles permisos. Si, reconozco que es
>>>     una carga administrativa que molesta, pero la verdad es que me
>>>     ahorro MUCHISIMOS
>>>
>>>
>>> Perdon, primero porque me equivoque de teclas y se mando incompleto y
>>> segundo por el top posting.
>>>
>>> Continuo por donde deje....
>>> Yo fui administrador muchos años en muchas empresas y jamas tuve la
>>> "necesidad de negocio" de darles permisos. Si, reconozco que es una
>>> carga administrativa que molesta, pero la verdad es que me ahorro
>>> MUCHISIMOS dolores de cabeza de cosas como por ejemplo no saber porque
>>> de repente una aplicación dejaba de funcionar, etc.
>>>
>>> Sacando eso, mucho no te puedo ayudar.
>>>
>>> En windows AD (que es lo que conozco) por perfiles moviles toda la
>>> seguridad se maneja de manera centralizada. Esto quiere decir que los
>>> usuarios "no deberían" loguearse localmente en el equipo.
>>>
>>> No podes hacer que la seguridad sea centralizada ? aca en un momento
>>> pregunté por el homonimo de AD y me dijeron IMAP + Kerberos. De esa
>>> manera (si entendi bien) se solucionaría el tema.
>>>
>> Juan,
>>
>> el problema más grande que tenemos es que, pese a ser una veintena de
>> personas, NO TENEMOS SYSADMIN... es decir, entre otro pibe y yo nos
>> ocupamos de que no se vaya todo al diablo, pero esa no es la tarea
>> primordial ni suya ni mía, con lo cual, nosotros nos ocupamos de las
>> máquinas de la gente que no sabe nada, y los programadores se ocupan de
>> las suyas propias (con la premisa "el que rompe, arregla"). De todos
>> modos, ni programadores ni el resto tiene permisos de administración en
>> el server.
>>
>> Sospecho que el homónimo de AD no es IMAP+Kerberos si no
>> LDAP+Kerberos... el tema es que Kerberos es un bodoque y, si bien LDAP
>> no es trivial, al menos tengo mucha experiencia al respecto.
>>
>> Si tuviera tiempo, habría algún esquema centralizado de administración y
>> single-sign-on con LDAP, el tema es que no lo tengo.
>>
>>
>>
>> De todos modos, aunque no les diera permiso de "sudo" local a los
>> usuarios, el mismo problema lo tendría yo como sysadmin... en este caso,
>> tampoco me sentiría cómodo poniendo "no_root_squash" en el export del
>> nfs, ya que no sería difícil que un programa, aun no siendo root (o
>> admin en windows), pueda mentirle al servidor nfs diciéndole que sí lo
>> es, y el servidor le daría acceso alegremente a todo lo que está
>> exportado...
>>
>>
>> Así que, podría reescribir mi pregunta orientándola sólo a nfs+nis:
>> "¿cómo puedo proteger los home de los usuarios de otros usuarios y
>> permitir que un "sudo" funcione cuando todo está en un filesystem
>> exportado via nfs con "root_squash"?
>>
>
> Me parece que queres hacer una tortilla de papas sin ponerle huevos :)
>
> Cuando necesitas hacer jugar restricciones en un sistema vas a tener que
> pagar ciertos costos funcionales en pos de la seguridad o complicarte la
> vida con soluciones sofisticadas y tareas adicionales de implementacion
> y mantenimiento, que inevitablemente consumiran recursos, en pos de la
> funcionalidad a nivel usuario.
>
> Me parece que el camino viene por el lado de LDAP .... o reorganizar la
> cosa para que algunos asuman la funcion de sysadmin.
>
>
> --
> Guillermo Lisi
> http://ubuntu-ar.org
>
> --
> Ubuntu-ar lista de correo
> Ubuntu-ar en lists.ubuntu.com
> Modifica tus opciones o desuscribite en: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
> Siempre leer, comprender y aplicar nuestra etiqueta: https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML
>
>


Y si en vez de usar NFS usás SAMBA para todos los HOME (tanto de
usuarios Windows como Linux)?
A mi entender SAMBA es mucho más flexible a la hora de configurar
permisos de acceso que NFS, y si los combinás con ACL's en el
filesystem tenés suficiente control granular como para solucionar tu
problema.
Inclusive podés configurar los Linux para que autentifiquen a los
usuarios contra el PDC SAMBA, y de esa forma tenés todo el control de
usuarios centralizado en un solo lugar.

-- 
Sebastián Abate
Quattro-D
15-3589-7730
abates en quattrod.com.ar

More information about the Ubuntu-ar mailing list