-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-12-22 a las 19:56 +0100, carlopmart escribió:
Carlos E. R. wrote:
Pero vamos a ver, lo que yo entiendo que hace es que defines en un servidor centralizado que juan es 1500 en todas partes, pepe es 1501 en todas partes, etc. Y luego con kerberos controlas las contraseñas y accesos también de manera centralizada.
Un apunte: kerberos solo autentica, no controla nada.
Vale.
De este modo, juan es el 1500 en todos los ordenadores de la red, y no tiene problemas de acceso al directorio con uid 1500 en el servidor nfs.
Pero, que yo sepa, no permite que el usuario 1234 llamado juan de un portatil conectado a la red acceda al directorio con uid 1500 del servidor, aún dando la contraseña correcta de juan, porque juan en la red es el 1500, y está entrando con 1234. Si logra acceder, el servidor NFS sólo le daría permiso de lectura a los ficheros grabados con uid 1234, que no existen.
Si lo permite. Basta que el usuario juan del laptop se autentique como el juan de la red. Un ejemplo: kinit juan@ORGANIZACION.ORG. Para ello el juan del laptop tiene que tener configurado su cliente kerberos con los parámetros del realm kerberos. Y todavía puedes llevar el tema más lejos: relaciones de confianza entre realms kerberos, igual que hace el AD.
Ah. ¿Entonces es kerberos quien le cambia el UID a todo lo que entra/sale de la red, todas las peticiones de ficheros y lecturas? Mmmm... no se, podría ser, pero eso tendría que probarlo. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAksxGPMACgkQtTMYHG2NR9WzHACfYrfyRSgX5v5+4wkSsb5vmLQy qrIAnReQ/hCiGomqyJBkJZw0sBe0MnyW =uQ/y -----END PGP SIGNATURE-----