[ubuntu-ar] centralizar recursos y autenticacion (ldap + nfs + samba) [II]
Jorge Hequera
jorgehequera at gmail.com
Thu Nov 5 16:28:32 GMT 2009
El día 29 de octubre de 2009 04:13, Mariano Absatz <el.baby en gmail.com> escribió:
> 2009/10/28 Jorge Hequera <jorgehequera en gmail.com>:
>> El día 27 de octubre de 2009 08:02, Guillermo Lisi
>> <unimix en fibertel.com.ar> escribió:
>>> Jorge Hequera wrote:
>>
>> Alguna pista?
>>
>
> Jorge... pistas es lo único que puedo darte... lamentablemente no
> soluciones... ni la tengo tan clara ni tengo tiempo :-(
>
> El tema es así... nfs es para compartir discos por la red... no se
> ocupa de autenticación... el tema "seguridad" en nfs es complicado en
> parte porque nfs "le cree" al sistema operativo...
> hosts.allow/hosts.deny son un llamado a los problemas de seguridad...
> cualquiera (desde un equipo remoto) puede "mentir" acerca de cuál es
> su username...
>
> Yo tuve (tengo) varios problemas no resueltos en un setup con nfs+nis
> al respecto.
>
> Para colmo nfs+nis (en particular nis) son bastante ignorados por la
> comunidad ubuntu... NIS se lleva muy mal con Network Manager y nadie
> se ocupa...
>
> botón de muestra:
> https://bugs.launchpad.net/ubuntu/+source/nis/+bug/50430 bug de más de
> 3 años con un "workaround" de más de 2 años... la solución final es
> compleja, pero el workaround lleva un ratito... y sigue sin aplicarse
> en el paquete nis.
>
> Lo que descubrí hace poco para otro laburo en el que necesito hacer
> andar samba+ldap es que puedo autenticar el usuario linux contra el
> ldap sin usar NIS usando nss_ldap [0] y pam_ldap [1].
>
> En el machete que me hice en mi wiki anoté algo al respecto [2].
>
> En el /etc/nsswitch el "compat" me parece que hace lío... el mío es así:
>
> ############################################
> passwd: files ldap [NOTFOUND=return] db
> group: files ldap [NOTFOUND=return] db
> shadow: files ldap
>
> hosts: files dns
> networks: files
>
> protocols: db files
> services: db files
> ethers: db files
> rpc: db files
>
> netgroup: nis
> ############################################
>
> Como no estoy usando NIS, NO TENGO las entradas "+:::..." ni en el
> passwd ni en el groups ni en el shadow...
>
> La verdad es que yo ni siquiera lo tengo del todo solucionado, pero
> sospecho que estoy levemente encaminado... espero haberte servido de
> algo.
>
> Suerte.
>
> [0]: http://www.padl.com/OSS/nss_ldap.html
> [1]: http://www.padl.com/OSS/pam_ldap.html
> [2]: http://wiki.clueless.com.ar/SambaLdap (ver "Configurar
> autenticación ldap en linux")
>
>
>
> --
> Mariano Absatz - El Baby
> www.clueless.com.ar
Gracias mariano por tus comentarios, si bien no fueron la solucion, me
permitieron despejar algunas dudas, el tema casi lo tengo resuelto, de
la mano de openldap, a proposito, durante las pruebas estuve viendo la
viavilidad de implementar FDS(0), si bien es nativo de RH/Fedora, se
puede debianizar con alien(1) y estoy a medio camino con esto, alguna
experiencia que compartir?
(0) http://directory.fedoraproject.org/wiki/Documentation#Howtos
http://directory.fedoraproject.org/wiki/Howto:DebianUbuntu
(1) http://wiki.debian.org/Alien
Gracias y saludos.
More information about the Ubuntu-ar
mailing list