On Mon, Nov 07, 2016 at 05:14:34PM -0300, Luis Enrique Araneda wrote: > Pablo Jimenez! > que gran aporte, de verdad muchas gracias, ahora apelando a su basta > experiencia, me recomiendan el uso de este tipo de autenticación?, o > prefieren el local?
¿Preguntas si recomiendo el uso de LDAP? Sí. ¿O preguntas si recomiendo el uso de sudo por LDAP v/s el uso de sudo local? Eso va a depender de ti. Obviamente, si vas a emplear LDAP para la autenticación, el agregar el schema para sudo no debiera ser costoso (será un mero extra en la instalación de LDAP) y podrás definir los atributos de los perfiles en un solo lugar (el servidor LDAP), en lugar de tener que modificar /etc/sudoers en cada servidor. Ahora bien, ya que estás trabajando con CentOS, quizás puedas remediar la inconveniencia de modificar el /etc/sudoers local si usas Ansible (o Chef, cfengine, Puppet, etc.), pero eso dependerá de cómo pretendas trabajar. Por lo menos a mí, me resulta más atractiva la solución de tener la configuración de sudo en LDAP, pero quizás eso no resulte adecuado para tus servidores. Otro punto al que debes prestar atención es a la configuración de la política de contraseñas y al uso de SSS. Si vas a emplear SSS, la política de contraseñas *debe* ser definida en LDAP y no en PAM: https://www.centos.org/forums/viewtopic.php?t=59000 https://www.centos.org/docs/5/html/CDS/ag/8.0/User_Account_Management-Managing_the_Password_Policy.html http://people.skolelinux.org/pere/blog/Caching_password__user_and_group_on_a_roaming_Debian_laptop.html https://fedorahosted.org/sssd/ Además de lo anterior, te dejo el enlace al libro online de Zytrax dedicado a LDAP, te servirá como referencia para empezar: http://www.zytrax.com/books/ldap/ Préstale especial atención al capítulo 5, en la sección «Securing the Directory», pues suele ser un punto que se pasa por alto habitualmente al instalar LDAP desde cero. Saludos. -- Pablo Jiménez
