Autenticacion LDAP-Directorio Activo en ambos sentidos

Sebastian Abate sebastianabate en gmail.com
Vie Jun 6 01:12:29 BST 2008 

Alexander y Lista, por enésima vez mandé el mensaje al privado de
alguien. Mis (ya repetitivas) disculpas.

Reenvío a la lista para que quede en el archivo.


---------- Forwarded message ----------
From: Sebastian Abate <sebastianabate en gmail.com>
Date: 2008/6/5
Subject: Re: Autenticacion LDAP-Directorio Activo en ambos sentidos
To: Alexander Fernández Castro <alexanderfc en uci.cu>


2008/6/5 Alexander Fernández Castro <alexanderfc en uci.cu>:
> Muchas gracias amigo, me has dado un buen punto de partida...
>
>
> ________________________________
>
> Lic: Alexander Fernández Castro. Linux Registered User: #418402
> Teléfono: (07) 835 8059. Correo Electrónico: alexanderfc en uci.cu
> Direccion: Edificio: # 113. Apartamento: # 112. Teléfono: (07) 837 2698
>
> "Se dice que las mujeres son vanidosas por naturaleza; es cierto,
>  ...pero les queda bien y por eso exactamente me agradan más.
>
>
> -----Original Message-----
> From: ubuntu-es-bounces en lists.ubuntu.com [mailto:ubuntu-es-bounces en lists.ubuntu.com] On Behalf Of Sebastian Abate
> Sent: Thursday, June 05, 2008 7:51 PM
> To: ubuntu-es en lists.ubuntu.com
> Subject: Re: Autenticacion LDAP-Directorio Activo en ambos sentidos
>
> 2008/6/5 Alexander Fernández Castro <alexanderfc en uci.cu>:
>> Colegas listeros:
>>
>>        Es un aspecto complicado y posiblemente muchos se lleven las manos a la cabeza con la pregunta...Me arriesgare...
>>
>> El entorno: Un dominio con Windows, su Directorio Activo y sus usuarios con sus respectivas estaciones en Windows. Otro dominio con Linux, su directorio LDAP y los usuarios con estaciones en Linux. Ambos dominios tienen sus aplicaciones en sus respectivas plataformas...
>>
>> ¿Qué necesito?
>>
>> Lograr de alguna manera que las aplicaciones de un dominio autentiquen usuarios del otro...Es decir...Una aplicación en el dominio Windows que necesite autenticación, también funcione con usuarios del dominio Linux y viceversa. Esa es la idea general. ¿Qué mecanismo me permitiría eso?
>>
>> Saludos...
>>
>> _______________________________________________________________________
>> Lic: Alexander Fernández Castro. Linux Registered User: #418402
>> Teléfono: (07) 835 8059. Correo Electrónico: alexanderfc en uci.cu
>> Direccion: Edificio: # 113. Apartamento: # 112. Teléfono: (07) 837 2698
>>
>> "Se dice que las mujeres son vanidosas por naturaleza; es cierto,
>>  ...pero les queda bien y por eso exactamente me agradan más.
>>
>> --
>> ubuntu-es mailing list
>> ubuntu-es en lists.ubuntu.com
>> https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
>>
>
>
> Mirá, te hablo desde mis conocimientos teóricos porque nunca
> implementé algo como lo que planteás, pero me parece que las opciones
> que tenés son dos, y ambas usan winbind (parte del paquete SAMBA):
>
> 1) Usar únicamente el ACTIVE DIRECTORY del dominio Windows que ya
> tenés corriendo para manejar todos los usuarios (tanto de Windows como
> de Linux); esto lo lográs configurando PAM, NSS y WINBIND en tus
> estaciones Linux para que todo tipo de autenticación se dirija al
> ACTIVE DIRECTORY, y dando de alta todos tus usuarios Linux en el
> dominio Windows.
>
> 2) Instalás SAMBA en en el servidor LDAP, y lo configurás (al SAMBA)
> para que use como "backend" al LDAP ya instalado; después generás una
> RELACIÓN DE CONFIANZA (TRUTH RELATIONSHIP) entre el dominio SAMBA y el
> dominio Windows; y después configurás en tus estaciones Linux a PAM
> para que use el dominio SAMBA como repositorio de autenticación (esto
> se logra usando WINBIND y NSS). Esta configuración difiere de la
> anterior en que los usuarios los tenés separados en dos dominios
> distintos, pero con la RELACIÓN DE CONFIANZA lográs que el dominio
> SAMBA pase los pedidos de autenticación que no puede resolver al
> dominio Windows.
>
> Ya sé que esto que te digo es muy genérico, y lamento no poder
> ayudarte mucho más, pero si hacés búsquedas en Google con las palabras
> clave que están en MAYÚSCULAS en este texto vas a encontrar mucha
> información que te va a poner en camino a una solución.
>
> Espero haberte sido de ayuda.
>
> --
> Sebastián Abate
> Quattro-D
> 15-3589-7730
> abates en quattrod.com.ar
>
> --
> ubuntu-es mailing list
> ubuntu-es en lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-es
>


De nada.

Y como si todo esto fuera poco...!!! [0] también podés agregar a la
lista de palabras clave en tu búsqueda a IDMAP, que es la utilidad de
SAMBA que te permite asociar cuentas de usuario y grupos de Linux con
roles especiales de Windows (tipo Administrators, Print Operator,
etc). De esta forma si inicias sesión en una terminal Windows con un
usuario Linux que está mapeado al grupo Perint Operators, vas a poder
administrar las impresoras sin problema.

PD: Disculpá el uso de nombres de grupos en inglés, pero todos los
servidores Windows que administro están en ese idioma, y prefiero
ponerlos en inglés que traducirlos mal.


[0] Frase que suelen usar los vendedores ambulantes acá en Argentina
para resaltar que siempre te dan más de lo que estás pagando, haciendo
notar que la oferta es imperdible. ;-)


--
Sebastián Abate
Quattro-D
15-3589-7730
abates en quattrod.com.ar



-- 
Sebastián Abate
Quattro-D
15-3589-7730
abates en quattrod.com.ar

Más información sobre la lista de distribución ubuntu-es