Re: [OT] Centralización de usuarios
On Mon, Nov 07, 2016 at 05:14:34PM -0300, Luis Enrique Araneda wrote: > Pablo Jimenez! > que gran aporte, de verdad muchas gracias, ahora apelando a su basta > experiencia, me recomiendan el uso de este tipo de autenticación?, o > prefieren el local? ¿Preguntas si recomiendo el uso de LDAP? Sí. ¿O preguntas si recomiendo el uso de sudo por LDAP v/s el uso de sudo local? Eso va a depender de ti. Obviamente, si vas a emplear LDAP para la autenticación, el agregar el schema para sudo no debiera ser costoso (será un mero extra en la instalación de LDAP) y podrás definir los atributos de los perfiles en un solo lugar (el servidor LDAP), en lugar de tener que modificar /etc/sudoers en cada servidor. Ahora bien, ya que estás trabajando con CentOS, quizás puedas remediar la inconveniencia de modificar el /etc/sudoers local si usas Ansible (o Chef, cfengine, Puppet, etc.), pero eso dependerá de cómo pretendas trabajar. Por lo menos a mí, me resulta más atractiva la solución de tener la configuración de sudo en LDAP, pero quizás eso no resulte adecuado para tus servidores. Otro punto al que debes prestar atención es a la configuración de la política de contraseñas y al uso de SSS. Si vas a emplear SSS, la política de contraseñas *debe* ser definida en LDAP y no en PAM: https://www.centos.org/forums/viewtopic.php?t=59000 https://www.centos.org/docs/5/html/CDS/ag/8.0/User_Account_Management-Managing_the_Password_Policy.html http://people.skolelinux.org/pere/blog/Caching_password__user_and_group_on_a_roaming_Debian_laptop.html https://fedorahosted.org/sssd/ Además de lo anterior, te dejo el enlace al libro online de Zytrax dedicado a LDAP, te servirá como referencia para empezar: http://www.zytrax.com/books/ldap/ Préstale especial atención al capítulo 5, en la sección «Securing the Directory», pues suele ser un punto que se pasa por alto habitualmente al instalar LDAP desde cero. Saludos. -- Pablo Jiménez
Re: [OT] Centralización de usuarios
Pablo Jimenez! que gran aporte, de verdad muchas gracias, ahora apelando a su basta experiencia, me recomiendan el uso de este tipo de autenticación?, o prefieren el local? El 7 de noviembre de 2016, 16:30, Pablo JIMÉNEZ escribió: > On Mon, Nov 07, 2016 at 03:37:51PM -0300, Luis Enrique Araneda wrote: > > Estimados, > > faltó aquel dato, efectivamente tengo servidores con Centos, ninguno > > con debian, supongo que puedo compatibilizar un LDAP montado en debian > > con clientes Centos. > > Ok. Debian emplea OpenLDAP y CentOS tiene 389ds. Tendrás que revisar la > documentación de 389ds, pero si no me falla la memoria, el código tuvo > su paso por Netscape (iPlanet Directory Server) y Sun (Sun ONE Directory > Server) antes de ser comprado y liberado por Red Hat. En algun época, me > tocó trabajar con la versión paga de 389ds y no tengo quejas al > respecto. > > > consulta, es posible que estos clientes que crearé en ldap puedan > ingresar > > a un servidor X, y si requiere ejecutar un comando de administrador lo > haga > > con sudo?, se que a nivel local con visudo puedo crear las reglas, pero > > estas reglas las ocuparian los usuarios de Ldap? > > sudo puede ser usado con LDAP. Puedes darle una mirada a: > > http://www.sudo.ws/man/1.8.17/sudoers.ldap.man.html > > Si todos tus servidores serán CentOS, resultará conveniente te valgas de > esta alternativa. Si tuvieses distintas distribuciones, tendrías que > leer la documentación de cada una respecto a los "user id" y "group id" > que se emplean, para que no corras riesgo de afectar a una u otra. > > En la wiki de CentOS tienen un howto al respecto: > > https://wiki.centos.org/AdrianHall/CentralizedLDAPAuth > > Saludos. > > -- > Pablo Jiménez > > -- Luis Enrique Araneda Ingeniero en sistemas
Re: [OT] Centralización de usuarios
On Mon, Nov 07, 2016 at 03:37:51PM -0300, Luis Enrique Araneda wrote: > Estimados, > faltó aquel dato, efectivamente tengo servidores con Centos, ninguno > con debian, supongo que puedo compatibilizar un LDAP montado en debian > con clientes Centos. Ok. Debian emplea OpenLDAP y CentOS tiene 389ds. Tendrás que revisar la documentación de 389ds, pero si no me falla la memoria, el código tuvo su paso por Netscape (iPlanet Directory Server) y Sun (Sun ONE Directory Server) antes de ser comprado y liberado por Red Hat. En algun época, me tocó trabajar con la versión paga de 389ds y no tengo quejas al respecto. > consulta, es posible que estos clientes que crearé en ldap puedan ingresar > a un servidor X, y si requiere ejecutar un comando de administrador lo haga > con sudo?, se que a nivel local con visudo puedo crear las reglas, pero > estas reglas las ocuparian los usuarios de Ldap? sudo puede ser usado con LDAP. Puedes darle una mirada a: http://www.sudo.ws/man/1.8.17/sudoers.ldap.man.html Si todos tus servidores serán CentOS, resultará conveniente te valgas de esta alternativa. Si tuvieses distintas distribuciones, tendrías que leer la documentación de cada una respecto a los "user id" y "group id" que se emplean, para que no corras riesgo de afectar a una u otra. En la wiki de CentOS tienen un howto al respecto: https://wiki.centos.org/AdrianHall/CentralizedLDAPAuth Saludos. -- Pablo Jiménez
Re: [OT] Centralización de usuarios
El 7 de noviembre de 2016, 15:37, Luis Enrique Araneda escribió: > Estimados, > faltó aquel dato, efectivamente tengo servidores con Centos, ninguno con > debian, supongo que puedo compatibilizar un LDAP montado en debian con > clientes Centos. > > consulta, es posible que estos clientes que crearé en ldap puedan ingresar > a un servidor X, y si requiere ejecutar un comando de administrador lo haga > con sudo?, se que a nivel local con visudo puedo crear las reglas, pero > estas reglas las ocuparian los usuarios de Ldap? > > El 7 de noviembre de 2016, 15:25, Pablo JIMÉNEZ > escribió: > >> On Mon, Nov 07, 2016 at 03:07:41PM -0300, Luis Enrique Araneda wrote: >> > Amigos, >> > cual es la forma de centralizar los usuarios que tengo hoy en día sobre >> mi >> > sistema? >> > Tengo 5 servidores y 9 usuarios, no quiero crearles un home en cada >> server, >> > lo ideal sería que accedan similar a un active directory o Radius. >> > >> > Siento que debe ser un poco engorro o tal vez no? >> > les agradecería su ayuda. >> >> ¿Centralizar los usuarios? Con la necesidad que tienes y sin mencionar >> el entorno (no indicas si los cinco servidores son todos con Debian u >> otra distribución, quizás tu infraestructura es más heterogénea), la >> opción que puede resultar para lo que necesitas es un sistema basado en: >> >> + Kerberos (si requieres autorización) >> + LDAP (si requieres autenticación) >> + Un servidor de archivos con una solución conocida (NFSv4, OpenAFS, >> etc.) >> >> Quizás lo más básico sería LDAP + NFS con automount. Ejemplos para ambas >> tecnologías están disponibles en la wiki de Debian: >> >> https://wiki.debian.org/NFSServerSetup >> https://wiki.debian.org/LDAP >> https://wiki.debian.org/LDAP/AutoFSSetup >> >> Saludos. >> >> -- >> Pablo Jiménez >> >> > > > -- > Luis Enrique Araneda > Ingeniero en sistemas > LDAP alimenta datos a pam y este a su vez a cada servicio que necesite autenticancíon -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos,
Re: [OT] Centralización de usuarios
Estimados, faltó aquel dato, efectivamente tengo servidores con Centos, ninguno con debian, supongo que puedo compatibilizar un LDAP montado en debian con clientes Centos. consulta, es posible que estos clientes que crearé en ldap puedan ingresar a un servidor X, y si requiere ejecutar un comando de administrador lo haga con sudo?, se que a nivel local con visudo puedo crear las reglas, pero estas reglas las ocuparian los usuarios de Ldap? El 7 de noviembre de 2016, 15:25, Pablo JIMÉNEZ escribió: > On Mon, Nov 07, 2016 at 03:07:41PM -0300, Luis Enrique Araneda wrote: > > Amigos, > > cual es la forma de centralizar los usuarios que tengo hoy en día sobre > mi > > sistema? > > Tengo 5 servidores y 9 usuarios, no quiero crearles un home en cada > server, > > lo ideal sería que accedan similar a un active directory o Radius. > > > > Siento que debe ser un poco engorro o tal vez no? > > les agradecería su ayuda. > > ¿Centralizar los usuarios? Con la necesidad que tienes y sin mencionar > el entorno (no indicas si los cinco servidores son todos con Debian u > otra distribución, quizás tu infraestructura es más heterogénea), la > opción que puede resultar para lo que necesitas es un sistema basado en: > > + Kerberos (si requieres autorización) > + LDAP (si requieres autenticación) > + Un servidor de archivos con una solución conocida (NFSv4, OpenAFS, > etc.) > > Quizás lo más básico sería LDAP + NFS con automount. Ejemplos para ambas > tecnologías están disponibles en la wiki de Debian: > > https://wiki.debian.org/NFSServerSetup > https://wiki.debian.org/LDAP > https://wiki.debian.org/LDAP/AutoFSSetup > > Saludos. > > -- > Pablo Jiménez > > -- Luis Enrique Araneda Ingeniero en sistemas
Re: [OT] Centralización de usuarios
On Mon, Nov 07, 2016 at 03:07:41PM -0300, Luis Enrique Araneda wrote: > Amigos, > cual es la forma de centralizar los usuarios que tengo hoy en día sobre mi > sistema? > Tengo 5 servidores y 9 usuarios, no quiero crearles un home en cada server, > lo ideal sería que accedan similar a un active directory o Radius. > > Siento que debe ser un poco engorro o tal vez no? > les agradecería su ayuda. ¿Centralizar los usuarios? Con la necesidad que tienes y sin mencionar el entorno (no indicas si los cinco servidores son todos con Debian u otra distribución, quizás tu infraestructura es más heterogénea), la opción que puede resultar para lo que necesitas es un sistema basado en: + Kerberos (si requieres autorización) + LDAP (si requieres autenticación) + Un servidor de archivos con una solución conocida (NFSv4, OpenAFS, etc.) Quizás lo más básico sería LDAP + NFS con automount. Ejemplos para ambas tecnologías están disponibles en la wiki de Debian: https://wiki.debian.org/NFSServerSetup https://wiki.debian.org/LDAP https://wiki.debian.org/LDAP/AutoFSSetup Saludos. -- Pablo Jiménez
[OT] Centralización de usuarios
Amigos, cual es la forma de centralizar los usuarios que tengo hoy en día sobre mi sistema? Tengo 5 servidores y 9 usuarios, no quiero crearles un home en cada server, lo ideal sería que accedan similar a un active directory o Radius. Siento que debe ser un poco engorro o tal vez no? les agradecería su ayuda. -- Luis Enrique Araneda