Mailinglist Archive: opensuse-es (1152 mails)
| < Previous | Next > |
Re: [opensuse-es] Montar directorio compartido con NFS.
- From: jaime velez <javobqcol@xxxxxxxx>
- Date: Tue, 22 Dec 2009 14:34:11 -0500
- Message-id: <4B311F33.4080007@xxxxxxxx>
El 22/12/09 14:15, carlopmart escribió:
Kerberos es un mecanismo muy refinado para autenticar.. punto pelota...
pero para hacer lo mismo con ldap - nss/pam.. suficiente.
ahora me pregunto si NFS soporta ACL's y si el mecanismo de acl's sera
mejor que lo que intenta carlos y de pronto si que agarramos un cañon pa
aplastar moscas
Jaime V.
p.d.. es que me meti tarde en la discusión y la verdad ya ni se que se
esta discutiendo.. y me da una pereza navideña ponerme a leer los
correos anteriores
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
Carlos E. R. wrote:ya decia yo que kerberos estaba haciendo maravillas...
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
El 2009-12-22 a las 19:56 +0100, carlopmart escribió:
Carlos E. R. wrote:
Pero vamos a ver, lo que yo entiendo que hace es que defines en un
servidor centralizado que juan es 1500 en todas partes, pepe es
1501 en
todas partes, etc. Y luego con kerberos controlas las contraseñas y
accesos también de manera centralizada.
Un apunte: kerberos solo autentica, no controla nada.
Vale.
De este modo, juan es el 1500 en todos los ordenadores de la red,
y no
tiene problemas de acceso al directorio con uid 1500 en el
servidor nfs.
Pero, que yo sepa, no permite que el usuario 1234 llamado juan de un
portatil conectado a la red acceda al directorio con uid 1500 del
servidor, aún dando la contraseña correcta de juan, porque juan en
la red
es el 1500, y está entrando con 1234. Si logra acceder, el
servidor NFS
sólo le daría permiso de lectura a los ficheros grabados con uid
1234, que
no existen.
Si lo permite. Basta que el usuario juan del laptop se autentique
como el juan de la red. Un ejemplo: kinit juan@xxxxxxxxxxxxxxxxx
Para ello el juan del laptop tiene que tener configurado su cliente
kerberos con los parámetros del realm kerberos. Y todavía puedes
llevar el tema más lejos: relaciones de confianza entre realms
kerberos, igual que hace el AD.
Ah. ¿Entonces es kerberos quien le cambia el UID a todo lo que
entra/sale de la red, todas las peticiones de ficheros y lecturas?
Mmmm... no se, podría ser, pero eso tendría que probarlo.
No, no. Eso lo hace LDAP. No sé si me estoy explicando. LDAP es el que
se encarga de almacenar la info de usuarios (uids y gids), direcciones
de email, etc. Kerberos solo autentica.
Kerberos es un mecanismo muy refinado para autenticar.. punto pelota...
pero para hacer lo mismo con ldap - nss/pam.. suficiente.
ahora me pregunto si NFS soporta ACL's y si el mecanismo de acl's sera
mejor que lo que intenta carlos y de pronto si que agarramos un cañon pa
aplastar moscas
Jaime V.
p.d.. es que me meti tarde en la discusión y la verdad ya ni se que se
esta discutiendo.. y me da una pereza navideña ponerme a leer los
correos anteriores
--
Para dar de baja la suscripción, mande un mensaje a:
opensuse-es+unsubscribe@xxxxxxxxxxxx
Para obtener el resto de direcciones-comando, mande
un mensaje a:
opensuse-es+help@xxxxxxxxxxxx
| < Previous | Next > |