Re: Sobre usuarios y grupos en LDAP
Iñaki Baz Castillo wrote: >> modificar el gid de los grupos para que sea común a todas las máquinas. > > > Pero entonces podría ser lo que decía, algo tedioso en entornos grandes. > Bueno, siempre será menos tedioso que ir máquina por máquina añadiendo a los usuarios a los grupos ¿no? Donde estoy ahora los usuarios los maneja un AD de Microsoft y tenemos máquinas GNU/Linux integradas que se tuvieron que modificar para que tomasen los GID del Directorio Activo. Si buscas por kerberos+ldap+linux encontrarás bastantes ejemplos. Las máquinas "kerberizadas" lo que hacen es recoger los datos de usuario desde el Directorio Activo con los grupos a los que están asignados en él. > >> > En este punto pregunto también cómo se hace esto en las redes de >> > Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios >> > pertenecer a tantos grupos como en Linux para funcionar mínimamente en >> > las estaciones de trabajo? ¿están esos grupos en el dominio o en cada >> > máquina? >> >> No entiendo muy bien la pregunta... ¿Te refieres a máquinas GNU/Linux >> integradas en AD? > > > No, me refiero a un Active Directory y equipos Windows. ¿Permisos? ¿Windows? ;-) Por defecto Windows da permiso para todo lo que has comentado antes. Lo que se puede hacer es restringir usos a posteriori mediante el uso de políticas... pero poco más te puedo decir porque yo con los windows no es que me lleve muy bien... :-) > Sí, pero en muchos ficheros de configuración para referirse a un grupo > se usa su nombre y no su gid, por lo que si cambia el nombre o cambia > el gid del grupo tendrías problemas. Las referencias siempre se hacen hacia GID, que en /etc/groups está asociado a un nombre "legible", y es a ese nombre "legible" al que haces referencia en el fichero de configuración. Todo reside en asociar GIDs a nombres en /etc/groups. De hecho, por ejemplo, editando el archivo puedes modificar esas asociaciones de forma que un GID corresponda a otro nombre de grupo distinto de al que correspondía "por defecto". Saludos This e-mail message and any attached files are intended SOLELY for the addressee/s identified herein. It may contain CONFIDENTIAL and/or LEGALLY PRIVILEGED information and may not necessarily represent the opinion of this company. If you receive this message in ERROR, please immediately notify the sender and DELETE it since you ARE NOT AUTHORIZED to use, disclose, distribute, print or copy all or part of the contained information. Thank you. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Sobre usuarios y grupos en LDAP
El 13/04/07, Fermin Manzanedo Guzman <[EMAIL PROTECTED]> escribió: Hola. Iñaki Baz Castillo wrote: > Mi pregunta es sobre los grupos de sistema, ¿tendría alguna lógica > meter los grupos como "audio", "video", "admin", "adm", "lpadmin", etc > en el LDAP en vez de existir grupos locales en cada máquina? > Entiendo que no puesto que cada distro usa sus propios grupos y sería > un caos, pero en el caso de querer que un usuario se pueda loguear en > varias máquinas, ¿cómo hacer elegantemente que pertenezca a los grupos > imprescindibles como "audio", "video", "plugdev", etc...? porque > claro, tener que ingresar en cada máquina como root y añadir usuarios > LDAP a los grupos locales como que puede ser infernal y tedioso (no > quiero ni imaginarlo en redes con muchos equipos). No sé si será algo lógico hacer lo que planteas. Yo sé que para evitar lo que comentas de distintos gid según la distribución se puede modificar el gid de los grupos para que sea común a todas las máquinas. Pero entonces podría ser lo que decía, algo tedioso en entornos grandes. > En este punto pregunto también cómo se hace esto en las redes de > Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios > pertenecer a tantos grupos como en Linux para funcionar mínimamente en > las estaciones de trabajo? ¿están esos grupos en el dominio o en cada > máquina? No entiendo muy bien la pregunta... ¿Te refieres a máquinas GNU/Linux integradas en AD? No, me refiero a un Active Directory y equipos Windows. > Por último, ¿no os parece que el hecho de que un usuario o grupo en > Linux esté determinado por un uid (o gid) y a la vez también por su > nombre es poco eficiente? porque claro, hay sitios en los que hay que > referirse (o es posible) al grupo por nombre (ej: adduser pepito > grupo_usuarios) pero otros sitios en los que hay que poner el gid (en > /etc/group por ejemplo). Vamos, que sería como una clave compuesta en > la que ninguno de sus campos (uid y name) pueden ser repetidos. Yo no le veo ningún problema. De hecho el nombre de grupo no es más que una forma de entender "como humanos" el GID que le pasamos al sistema. Todo nombre de grupo tiene asignado su GID y por tanto no debería ser un problema... pero vamos... que esta es mi opinión :-) Sí, pero en muchos ficheros de configuración para referirse a un grupo se usa su nombre y no su gid, por lo que si cambia el nombre o cambia el gid del grupo tendrías problemas. Saludos
Re: Sobre usuarios y grupos en LDAP
Hola. Iñaki Baz Castillo wrote: > Mi pregunta es sobre los grupos de sistema, ¿tendría alguna lógica > meter los grupos como "audio", "video", "admin", "adm", "lpadmin", etc > en el LDAP en vez de existir grupos locales en cada máquina? > Entiendo que no puesto que cada distro usa sus propios grupos y sería > un caos, pero en el caso de querer que un usuario se pueda loguear en > varias máquinas, ¿cómo hacer elegantemente que pertenezca a los grupos > imprescindibles como "audio", "video", "plugdev", etc...? porque > claro, tener que ingresar en cada máquina como root y añadir usuarios > LDAP a los grupos locales como que puede ser infernal y tedioso (no > quiero ni imaginarlo en redes con muchos equipos). No sé si será algo lógico hacer lo que planteas. Yo sé que para evitar lo que comentas de distintos gid según la distribución se puede modificar el gid de los grupos para que sea común a todas las máquinas. > > En este punto pregunto también cómo se hace esto en las redes de > Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios > pertenecer a tantos grupos como en Linux para funcionar mínimamente en > las estaciones de trabajo? ¿están esos grupos en el dominio o en cada > máquina? No entiendo muy bien la pregunta... ¿Te refieres a máquinas GNU/Linux integradas en AD? > > Supongo que también se puede hacer la "ñapa" de crear en cada Linux > primero el usuario local y en la propia instalación se añade a grupos > de sistema, y luego configurar libpam-ldap para que busque primero en > LDAP y encuentre el usuario y lo "sustituya" y así los grupos locales > siguen incluyendo a ese usuario (aunque esté en el LDAP). El problema de esto es lo que ya has comentado: En lugares con muchas estaciones de trabajo puede ser algo muy tedioso o casi inalcanzable... > > > Por último, ¿no os parece que el hecho de que un usuario o grupo en > Linux esté determinado por un uid (o gid) y a la vez también por su > nombre es poco eficiente? porque claro, hay sitios en los que hay que > referirse (o es posible) al grupo por nombre (ej: adduser pepito > grupo_usuarios) pero otros sitios en los que hay que poner el gid (en > /etc/group por ejemplo). Vamos, que sería como una clave compuesta en > la que ninguno de sus campos (uid y name) pueden ser repetidos. Yo no le veo ningún problema. De hecho el nombre de grupo no es más que una forma de entender "como humanos" el GID que le pasamos al sistema. Todo nombre de grupo tiene asignado su GID y por tanto no debería ser un problema... pero vamos... que esta es mi opinión :-) Saludos This e-mail message and any attached files are intended SOLELY for the addressee/s identified herein. It may contain CONFIDENTIAL and/or LEGALLY PRIVILEGED information and may not necessarily represent the opinion of this company. If you receive this message in ERROR, please immediately notify the sender and DELETE it since you ARE NOT AUTHORIZED to use, disclose, distribute, print or copy all or part of the contained information. Thank you. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Sobre usuarios y grupos en LDAP
Hola. Imaginemos que tenemos un servidor Debian con OpenLDAP para administración centralizada de usuarios y grupos, y por otra parte varias estaciones de trabajo con Debian, Ubuntus e incluso otras distribuciones que se autentican con libpam-ldap y tal. Mi pregunta es sobre los grupos de sistema, ¿tendría alguna lógica meter los grupos como "audio", "video", "admin", "adm", "lpadmin", etc en el LDAP en vez de existir grupos locales en cada máquina? Entiendo que no puesto que cada distro usa sus propios grupos y sería un caos, pero en el caso de querer que un usuario se pueda loguear en varias máquinas, ¿cómo hacer elegantemente que pertenezca a los grupos imprescindibles como "audio", "video", "plugdev", etc...? porque claro, tener que ingresar en cada máquina como root y añadir usuarios LDAP a los grupos locales como que puede ser infernal y tedioso (no quiero ni imaginarlo en redes con muchos equipos). En este punto pregunto también cómo se hace esto en las redes de Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios pertenecer a tantos grupos como en Linux para funcionar mínimamente en las estaciones de trabajo? ¿están esos grupos en el dominio o en cada máquina? Supongo que también se puede hacer la "ñapa" de crear en cada Linux primero el usuario local y en la propia instalación se añade a grupos de sistema, y luego configurar libpam-ldap para que busque primero en LDAP y encuentre el usuario y lo "sustituya" y así los grupos locales siguen incluyendo a ese usuario (aunque esté en el LDAP). Por último, ¿no os parece que el hecho de que un usuario o grupo en Linux esté determinado por un uid (o gid) y a la vez también por su nombre es poco eficiente? porque claro, hay sitios en los que hay que referirse (o es posible) al grupo por nombre (ej: adduser pepito grupo_usuarios) pero otros sitios en los que hay que poner el gid (en /etc/group por ejemplo). Vamos, que sería como una clave compuesta en la que ninguno de sus campos (uid y name) pueden ser repetidos. Saludos.
