[ubuntu-ar] homes centralizados, nfs, nis y samba...

[Guillermo Lisi]

Mariano Absatz wrote:
> 2009/3/4 Guillermo Lisi <unimix at fibertel.com.ar>:
>> Mariano Absatz wrote:
>>> Guy Fawkes escribió el 24/02/09 23:25:
>>>> 2009/2/24 Guy Fawkes <guy.fawkes.arg at gmail.com
>>>> <mailto:guy.fawkes.arg at gmail.com>>
>>>>
>>>>     Hola Mariano,
>>>>
>>>>     Lamentablemente no te puedo ayudar.
>>>>
>>>>     Mi pregunta (y por ahi te ayuda) es saber si realmente es
>>>>     necesario que los usuarios sean administradores de la maquina.
>>>>
>>>>     Yo fui administrador muchos años en muchas empresas y jamas tuve
>>>>     la necesidad de negocio de darles permisos. Si, reconozco que es
>>>>     una carga administrativa que molesta, pero la verdad es que me
>>>>     ahorro MUCHISIMOS
>>>>
>>>>
>>>> Perdon, primero porque me equivoque de teclas y se mando incompleto y
>>>> segundo por el top posting.
>>>>
>>>> Continuo por donde deje....
>>>> Yo fui administrador muchos años en muchas empresas y jamas tuve la
>>>> "necesidad de negocio" de darles permisos. Si, reconozco que es una
>>>> carga administrativa que molesta, pero la verdad es que me ahorro
>>>> MUCHISIMOS dolores de cabeza de cosas como por ejemplo no saber porque
>>>> de repente una aplicación dejaba de funcionar, etc.
>>>>
>>>> Sacando eso, mucho no te puedo ayudar.
>>>>
>>>> En windows AD (que es lo que conozco) por perfiles moviles toda la
>>>> seguridad se maneja de manera centralizada. Esto quiere decir que los
>>>> usuarios "no deberían" loguearse localmente en el equipo.
>>>>
>>>> No podes hacer que la seguridad sea centralizada ? aca en un momento
>>>> pregunté por el homonimo de AD y me dijeron IMAP + Kerberos. De esa
>>>> manera (si entendi bien) se solucionaría el tema.
>>>>
>>> Juan,
>>>
>>> el problema más grande que tenemos es que, pese a ser una veintena de
>>> personas, NO TENEMOS SYSADMIN... es decir, entre otro pibe y yo nos
>>> ocupamos de que no se vaya todo al diablo, pero esa no es la tarea
>>> primordial ni suya ni mía, con lo cual, nosotros nos ocupamos de las
>>> máquinas de la gente que no sabe nada, y los programadores se ocupan de
>>> las suyas propias (con la premisa "el que rompe, arregla"). De todos
>>> modos, ni programadores ni el resto tiene permisos de administración en
>>> el server.
>>>
>>> Sospecho que el homónimo de AD no es IMAP+Kerberos si no
>>> LDAP+Kerberos... el tema es que Kerberos es un bodoque y, si bien LDAP
>>> no es trivial, al menos tengo mucha experiencia al respecto.
>>>
>>> Si tuviera tiempo, habría algún esquema centralizado de administración y
>>> single-sign-on con LDAP, el tema es que no lo tengo.
>>>
>>>
>>>
>>> De todos modos, aunque no les diera permiso de "sudo" local a los
>>> usuarios, el mismo problema lo tendría yo como sysadmin... en este caso,
>>> tampoco me sentiría cómodo poniendo "no_root_squash" en el export del
>>> nfs, ya que no sería difícil que un programa, aun no siendo root (o
>>> admin en windows), pueda mentirle al servidor nfs diciéndole que sí lo
>>> es, y el servidor le daría acceso alegremente a todo lo que está
>>> exportado...
>>>
>>>
>>> Así que, podría reescribir mi pregunta orientándola sólo a nfs+nis:
>>> "¿cómo puedo proteger los home de los usuarios de otros usuarios y
>>> permitir que un "sudo" funcione cuando todo está en un filesystem
>>> exportado via nfs con "root_squash"?
>>>
>> Me parece que queres hacer una tortilla de papas sin ponerle huevos :)
> Y ahora, agarra lisi y me dice "trolo" :-P
> 
>> Cuando necesitas hacer jugar restricciones en un sistema vas a tener que
>> pagar ciertos costos funcionales en pos de la seguridad o complicarte la
>> vida con soluciones sofisticadas y tareas adicionales de implementacion
>> y mantenimiento, que inevitablemente consumiran recursos, en pos de la
>> funcionalidad a nivel usuario.
>>
>> Me parece que el camino viene por el lado de LDAP .... o reorganizar la
>> cosa para que algunos asuman la funcion de sysadmin.
> Sí, pero...
> 
> e'cir, estoy de acuerdo con vos en que una solución razonable de largo
> plazo va a incluir LDAP... no me asusta, tengo que juntar los huevos
> (que me faltan) para ponerme a hacerlo, pero me parece que mi problema
> es paralelo a eso...
> 
> Olvidemos el tema de los permisos de administración a usuarios... yo
> mismo tengo problemas con mi home montado via nfs desde el server, ya
> que mi "sudo" me convierte en "root" en mi workstation, pero en
> "nobody" en el server, con lo cual, no puedo ver "tocar" mi propio
> home en medio de algo hecho via "sudo"...
> 
> 

Recuerdo que en Unix, cuando habilitas UUCP, entra en juego un archivo
que se llama user.equiv (o algo similar que podria diferenciarse en que
en lugar de un punto sea un guion).

En ese archivo se establecen las equivalencias de usuarios para cuando
se realiza un login remoto entre un equipo y otro de forma tal que el
usuario mabsatz (por ej.) se arrogue privilegios de otro usuario, por
ejemplo glisi, en el equipo al cual se conecta. De esta forma no
necesita que el primer usuario este definido en el segundo equipo.

Habra algo asi para Linux sin necesidad de recurrir a UUCP/rlogin o
equivalente ?

No se si la combinacion de Samba + LDAP resuelve este problema que
comentas. Permitiria validar usuario pero como resolveria el tema de
permisos arrogandose los de root via sudo o sencillamente al conectar el
recurso remoto para solamente tu home directory ?

-- 
Guillermo Lisi
http://ubuntu-ar.org