El 22/12/09 14:15, carlopmart escribió:
Carlos E. R. wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2009-12-22 a las 19:56 +0100, carlopmart escribió:
Carlos E. R. wrote:
Pero vamos a ver, lo que yo entiendo que hace es que defines en un servidor centralizado que juan es 1500 en todas partes, pepe es 1501 en todas partes, etc. Y luego con kerberos controlas las contraseñas y accesos también de manera centralizada.
Un apunte: kerberos solo autentica, no controla nada.
Vale.
De este modo, juan es el 1500 en todos los ordenadores de la red, y no tiene problemas de acceso al directorio con uid 1500 en el servidor nfs.
Pero, que yo sepa, no permite que el usuario 1234 llamado juan de un portatil conectado a la red acceda al directorio con uid 1500 del servidor, aún dando la contraseña correcta de juan, porque juan en la red es el 1500, y está entrando con 1234. Si logra acceder, el servidor NFS sólo le daría permiso de lectura a los ficheros grabados con uid 1234, que no existen.
Si lo permite. Basta que el usuario juan del laptop se autentique como el juan de la red. Un ejemplo: kinit juan@ORGANIZACION.ORG. Para ello el juan del laptop tiene que tener configurado su cliente kerberos con los parámetros del realm kerberos. Y todavía puedes llevar el tema más lejos: relaciones de confianza entre realms kerberos, igual que hace el AD.
Ah. ¿Entonces es kerberos quien le cambia el UID a todo lo que entra/sale de la red, todas las peticiones de ficheros y lecturas? Mmmm... no se, podría ser, pero eso tendría que probarlo.
No, no. Eso lo hace LDAP. No sé si me estoy explicando. LDAP es el que se encarga de almacenar la info de usuarios (uids y gids), direcciones de email, etc. Kerberos solo autentica. ya decia yo que kerberos estaba haciendo maravillas...
Kerberos es un mecanismo muy refinado para autenticar.. punto pelota... pero para hacer lo mismo con ldap - nss/pam.. suficiente. ahora me pregunto si NFS soporta ACL's y si el mecanismo de acl's sera mejor que lo que intenta carlos y de pronto si que agarramos un cañon pa aplastar moscas Jaime V. p.d.. es que me meti tarde en la discusión y la verdad ya ni se que se esta discutiendo.. y me da una pereza navideña ponerme a leer los correos anteriores -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org