Carlos E. R. wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2009-12-22 a las 19:56 +0100, carlopmart escribió:
Carlos E. R. wrote:
Pero vamos a ver, lo que yo entiendo que hace es que defines en un servidor centralizado que juan es 1500 en todas partes, pepe es 1501 en todas partes, etc. Y luego con kerberos controlas las contraseñas y accesos también de manera centralizada.
Un apunte: kerberos solo autentica, no controla nada.
Vale.
De este modo, juan es el 1500 en todos los ordenadores de la red, y no tiene problemas de acceso al directorio con uid 1500 en el servidor nfs.
Pero, que yo sepa, no permite que el usuario 1234 llamado juan de un portatil conectado a la red acceda al directorio con uid 1500 del servidor, aún dando la contraseña correcta de juan, porque juan en la red es el 1500, y está entrando con 1234. Si logra acceder, el servidor NFS sólo le daría permiso de lectura a los ficheros grabados con uid 1234, que no existen.
Si lo permite. Basta que el usuario juan del laptop se autentique como el juan de la red. Un ejemplo: kinit juan@ORGANIZACION.ORG. Para ello el juan del laptop tiene que tener configurado su cliente kerberos con los parámetros del realm kerberos. Y todavía puedes llevar el tema más lejos: relaciones de confianza entre realms kerberos, igual que hace el AD.
Ah. ¿Entonces es kerberos quien le cambia el UID a todo lo que entra/sale de la red, todas las peticiones de ficheros y lecturas? Mmmm... no se, podría ser, pero eso tendría que probarlo.
No, no. Eso lo hace LDAP. No sé si me estoy explicando. LDAP es el que se encarga de almacenar la info de usuarios (uids y gids), direcciones de email, etc. Kerberos solo autentica. Saludos. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org