[ubuntu-ar] centralizar recursos y autenticacion (ldap + nfs + samba) [II]

Mariano Absatz el.baby at gmail.com
Thu Oct 29 07:13:44 GMT 2009 

2009/10/28 Jorge Hequera <jorgehequera at gmail.com>:
> El día 27 de octubre de 2009 08:02, Guillermo Lisi
> <unimix at fibertel.com.ar> escribió:
>> Jorge Hequera wrote:
>
>
> Gracias por tus comentarios, estuve indagando un poco mas el tema,
> sigo sin poder resolver el tema, comento lo que he logrado hasta
> ahora, tal ves sea de ayuda, aca va:
>
> En este momento, estoy teniendo un problema para entender el
> mecanismo de autenticacion que esta implementado en la lan,
> tuve que leer alguna documentacion por ser temas en los que no tengo
> experiencia y entiendo que para compartir recursos por nfs, es
> necesario que los usuarios sean autenticados mediante algun metodo,
> lei acerca de nfs + nis, pero me recorri el /etc y no vi nada
> asociado, ademas de verificar la inexistencia del software asociado,
> nsswitch.conf tiene una entrada asi:
>
> "netgroup:       nis"
>
> pero es la sintaxis por defecto,
>
> tambien veo esto:
>
>
> passwd:         compat  ldap
> group:          compat  ldap
> shadow:         compat  ldap
>
> Esto es asi, ya que los usuarios del dominio se autenticar contra el ldap.
>
> Estos son tambien los tres archivos que deberia copiar en los hosts y en
> el server nfs, segun entendi como el segundo de los metodos , ademas
> de añadir los hostnames en /etc/hosts + host,allow y host.deny. Pero
> no es el caso segun verifique en estos los archivos. Tambien al
> revisar estos files queda claro que no se usa nis, por lo que lei en
> la doc, ya que ademas de tener el servicio corriendo, se deben
> modificar estos archivos quitando entradas y agregando caracteres
> ..::::::que entiendo que son parseados por algun servicio o script.
>
> Pero desde mi mas pleno desconocimiento de ldap, tambien lei que nfs +
> ldap  es otra posibilidad, luego, veo que el grupo del share "general" es
> users, en lugar de nogroup como veo que es el estandar segun la
> documentacion, conservando nobody como user segun el estandar. Este
> grupo (que veo tambien en /etc/group) ademas es una ou de ldap, asi
> que estoy orientandome para este lado, ya que no veo otro camino,
> segun lo que logre comprender hasta ahora.
>
> He hecho pruebas diversas, creando shares con diferentes opciones de
> montaje ya sea desde /etc/exports y desde el fstab o a mano desde los
> clientes, pero sin mayores resultados.
>
> algunas cosas que estuve revisando:
>
> /etc
> /pam.d/
> /pam.conf
> /portmap
> /hosts.allow
> /hosts.deny
> /nsswitch.conf
>
> No veo nada que me aclare el panorama. :(
>
> O sea el problema con el que me encuentro es no entender como se
> centralizo oportunamente la autenticacion necesaria para establecer
> los shares, me arriesgo por ldap, pero no entiendo aun, por lo menos
> desde phpldapadmin, ( cero consola por ahora ) como esta definido
> esto.
>
>
> Alguna pista?
>

Jorge... pistas es lo único que puedo darte... lamentablemente no
soluciones... ni la tengo tan clara ni tengo tiempo :-(

El tema es así... nfs es para compartir discos por la red... no se
ocupa de autenticación... el tema "seguridad" en nfs es complicado en
parte porque nfs "le cree" al sistema operativo...
hosts.allow/hosts.deny son un llamado a los problemas de seguridad...
cualquiera (desde un equipo remoto) puede "mentir" acerca de cuál es
su username...

Yo tuve (tengo) varios problemas no resueltos en un setup con nfs+nis
al respecto.

Para colmo nfs+nis (en particular nis) son bastante ignorados por la
comunidad ubuntu... NIS se lleva muy mal con Network Manager y nadie
se ocupa...

botón de muestra:
https://bugs.launchpad.net/ubuntu/+source/nis/+bug/50430 bug de más de
3 años con un "workaround" de más de 2 años... la solución final es
compleja, pero el workaround lleva un ratito... y sigue sin aplicarse
en el paquete nis.

Lo que descubrí hace poco para otro laburo en el que necesito hacer
andar samba+ldap es que puedo autenticar el usuario linux contra el
ldap sin usar NIS usando nss_ldap [0] y pam_ldap [1].

En el machete que me hice en mi wiki anoté algo al respecto [2].

En el /etc/nsswitch el "compat" me parece que hace lío... el mío es así:

############################################
passwd:         files ldap [NOTFOUND=return] db
group:          files ldap [NOTFOUND=return] db
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
############################################

Como no estoy usando NIS, NO TENGO las entradas "+:::..." ni en el
passwd ni en el groups ni en el shadow...

La verdad es que yo ni siquiera lo tengo del todo solucionado, pero
sospecho que estoy levemente encaminado... espero haberte servido de
algo.

Suerte.

[0]: http://www.padl.com/OSS/nss_ldap.html
[1]: http://www.padl.com/OSS/pam_ldap.html
[2]: http://wiki.clueless.com.ar/SambaLdap (ver "Configurar
autenticación ldap en linux")



-- 
Mariano Absatz - El Baby
www.clueless.com.ar

More information about the Ubuntu-ar mailing list