[ubuntu-ar] homes centralizados, nfs, nis y samba...

adri adribuntu at gmail.com
Wed Mar 4 22:02:23 GMT 2009 

test



----- Original Message ----- 
From: "Guillermo Lisi" <unimix en fibertel.com.ar>
To: "Ubuntu User Group Argentina" <>
Sent: Wednesday, March 04, 2009 7:20 PM
Subject: Re: [ubuntu-ar] homes centralizados, nfs, nis y samba...


Mariano Absatz wrote:
> Guy Fawkes escribió el 24/02/09 23:25:
>> 2009/2/24 Guy Fawkes <guy.fawkes.arg en gmail.com
>> <mailto:guy.fawkes.arg en gmail.com>>
>>
>>     Hola Mariano,
>>
>>     Lamentablemente no te puedo ayudar.
>>
>>     Mi pregunta (y por ahi te ayuda) es saber si realmente es
>>     necesario que los usuarios sean administradores de la maquina.
>>
>>     Yo fui administrador muchos años en muchas empresas y jamas tuve
>>     la necesidad de negocio de darles permisos. Si, reconozco que es
>>     una carga administrativa que molesta, pero la verdad es que me
>>     ahorro MUCHISIMOS
>>
>>
>> Perdon, primero porque me equivoque de teclas y se mando incompleto y
>> segundo por el top posting.
>>
>> Continuo por donde deje....
>> Yo fui administrador muchos años en muchas empresas y jamas tuve la
>> "necesidad de negocio" de darles permisos. Si, reconozco que es una
>> carga administrativa que molesta, pero la verdad es que me ahorro
>> MUCHISIMOS dolores de cabeza de cosas como por ejemplo no saber porque
>> de repente una aplicación dejaba de funcionar, etc.
>>
>> Sacando eso, mucho no te puedo ayudar.
>>
>> En windows AD (que es lo que conozco) por perfiles moviles toda la
>> seguridad se maneja de manera centralizada. Esto quiere decir que los
>> usuarios "no deberían" loguearse localmente en el equipo.
>>
>> No podes hacer que la seguridad sea centralizada ? aca en un momento
>> pregunté por el homonimo de AD y me dijeron IMAP + Kerberos. De esa
>> manera (si entendi bien) se solucionaría el tema.
>>
> Juan,
>
> el problema más grande que tenemos es que, pese a ser una veintena de
> personas, NO TENEMOS SYSADMIN... es decir, entre otro pibe y yo nos
> ocupamos de que no se vaya todo al diablo, pero esa no es la tarea
> primordial ni suya ni mía, con lo cual, nosotros nos ocupamos de las
> máquinas de la gente que no sabe nada, y los programadores se ocupan de
> las suyas propias (con la premisa "el que rompe, arregla"). De todos
> modos, ni programadores ni el resto tiene permisos de administración en
> el server.
>
> Sospecho que el homónimo de AD no es IMAP+Kerberos si no
> LDAP+Kerberos... el tema es que Kerberos es un bodoque y, si bien LDAP
> no es trivial, al menos tengo mucha experiencia al respecto.
>
> Si tuviera tiempo, habría algún esquema centralizado de administración y
> single-sign-on con LDAP, el tema es que no lo tengo.
>
>
>
> De todos modos, aunque no les diera permiso de "sudo" local a los
> usuarios, el mismo problema lo tendría yo como sysadmin... en este caso,
> tampoco me sentiría cómodo poniendo "no_root_squash" en el export del
> nfs, ya que no sería difícil que un programa, aun no siendo root (o
> admin en windows), pueda mentirle al servidor nfs diciéndole que sí lo
> es, y el servidor le daría acceso alegremente a todo lo que está
> exportado...
>
>
> Así que, podría reescribir mi pregunta orientándola sólo a nfs+nis:
> "¿cómo puedo proteger los home de los usuarios de otros usuarios y
> permitir que un "sudo" funcione cuando todo está en un filesystem
> exportado via nfs con "root_squash"?
>

Me parece que queres hacer una tortilla de papas sin ponerle huevos :)

Cuando necesitas hacer jugar restricciones en un sistema vas a tener que
pagar ciertos costos funcionales en pos de la seguridad o complicarte la
vida con soluciones sofisticadas y tareas adicionales de implementacion
y mantenimiento, que inevitablemente consumiran recursos, en pos de la
funcionalidad a nivel usuario.

Me parece que el camino viene por el lado de LDAP .... o reorganizar la
cosa para que algunos asuman la funcion de sysadmin.


-- 
Guillermo Lisi
http://ubuntu-ar.org

-- 
Ubuntu-ar lista de correo
Ubuntu-ar en lists.ubuntu.com
Modifica tus opciones o desuscribite en: 
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ar
Siempre leer, comprender y aplicar nuestra etiqueta: 
https://wiki.ubuntu.com/ArgentinaTeam/EtiquetaML

More information about the Ubuntu-ar mailing list