[ubuntu-ar] homes centralizados, nfs, nis y samba...
Mariano Absatz
el.baby at gmail.com
Sat Mar 7 16:25:39 GMT 2009
2009/3/4 Guillermo Lisi <unimix at fibertel.com.ar>:
> Mariano Absatz wrote:
>> Guy Fawkes escribió el 24/02/09 23:25:
>>> 2009/2/24 Guy Fawkes <guy.fawkes.arg at gmail.com
>>> <mailto:guy.fawkes.arg at gmail.com>>
>>>
>>> Hola Mariano,
>>>
>>> Lamentablemente no te puedo ayudar.
>>>
>>> Mi pregunta (y por ahi te ayuda) es saber si realmente es
>>> necesario que los usuarios sean administradores de la maquina.
>>>
>>> Yo fui administrador muchos años en muchas empresas y jamas tuve
>>> la necesidad de negocio de darles permisos. Si, reconozco que es
>>> una carga administrativa que molesta, pero la verdad es que me
>>> ahorro MUCHISIMOS
>>>
>>>
>>> Perdon, primero porque me equivoque de teclas y se mando incompleto y
>>> segundo por el top posting.
>>>
>>> Continuo por donde deje....
>>> Yo fui administrador muchos años en muchas empresas y jamas tuve la
>>> "necesidad de negocio" de darles permisos. Si, reconozco que es una
>>> carga administrativa que molesta, pero la verdad es que me ahorro
>>> MUCHISIMOS dolores de cabeza de cosas como por ejemplo no saber porque
>>> de repente una aplicación dejaba de funcionar, etc.
>>>
>>> Sacando eso, mucho no te puedo ayudar.
>>>
>>> En windows AD (que es lo que conozco) por perfiles moviles toda la
>>> seguridad se maneja de manera centralizada. Esto quiere decir que los
>>> usuarios "no deberían" loguearse localmente en el equipo.
>>>
>>> No podes hacer que la seguridad sea centralizada ? aca en un momento
>>> pregunté por el homonimo de AD y me dijeron IMAP + Kerberos. De esa
>>> manera (si entendi bien) se solucionaría el tema.
>>>
>> Juan,
>>
>> el problema más grande que tenemos es que, pese a ser una veintena de
>> personas, NO TENEMOS SYSADMIN... es decir, entre otro pibe y yo nos
>> ocupamos de que no se vaya todo al diablo, pero esa no es la tarea
>> primordial ni suya ni mía, con lo cual, nosotros nos ocupamos de las
>> máquinas de la gente que no sabe nada, y los programadores se ocupan de
>> las suyas propias (con la premisa "el que rompe, arregla"). De todos
>> modos, ni programadores ni el resto tiene permisos de administración en
>> el server.
>>
>> Sospecho que el homónimo de AD no es IMAP+Kerberos si no
>> LDAP+Kerberos... el tema es que Kerberos es un bodoque y, si bien LDAP
>> no es trivial, al menos tengo mucha experiencia al respecto.
>>
>> Si tuviera tiempo, habría algún esquema centralizado de administración y
>> single-sign-on con LDAP, el tema es que no lo tengo.
>>
>>
>>
>> De todos modos, aunque no les diera permiso de "sudo" local a los
>> usuarios, el mismo problema lo tendría yo como sysadmin... en este caso,
>> tampoco me sentiría cómodo poniendo "no_root_squash" en el export del
>> nfs, ya que no sería difícil que un programa, aun no siendo root (o
>> admin en windows), pueda mentirle al servidor nfs diciéndole que sí lo
>> es, y el servidor le daría acceso alegremente a todo lo que está
>> exportado...
>>
>>
>> Así que, podría reescribir mi pregunta orientándola sólo a nfs+nis:
>> "¿cómo puedo proteger los home de los usuarios de otros usuarios y
>> permitir que un "sudo" funcione cuando todo está en un filesystem
>> exportado via nfs con "root_squash"?
>>
>
> Me parece que queres hacer una tortilla de papas sin ponerle huevos :)
Y ahora, agarra lisi y me dice "trolo" :-P
>
> Cuando necesitas hacer jugar restricciones en un sistema vas a tener que
> pagar ciertos costos funcionales en pos de la seguridad o complicarte la
> vida con soluciones sofisticadas y tareas adicionales de implementacion
> y mantenimiento, que inevitablemente consumiran recursos, en pos de la
> funcionalidad a nivel usuario.
>
> Me parece que el camino viene por el lado de LDAP .... o reorganizar la
> cosa para que algunos asuman la funcion de sysadmin.
Sí, pero...
e'cir, estoy de acuerdo con vos en que una solución razonable de largo
plazo va a incluir LDAP... no me asusta, tengo que juntar los huevos
(que me faltan) para ponerme a hacerlo, pero me parece que mi problema
es paralelo a eso...
Olvidemos el tema de los permisos de administración a usuarios... yo
mismo tengo problemas con mi home montado via nfs desde el server, ya
que mi "sudo" me convierte en "root" en mi workstation, pero en
"nobody" en el server, con lo cual, no puedo ver "tocar" mi propio
home en medio de algo hecho via "sudo"...
--
Mariano Absatz - El Baby
www.clueless.com.ar
#########################
"You know you are getting old when the candles cost more than the
cake." - Bob Hope
More information about the Ubuntu-ar
mailing list