-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Content-ID: <alpine.LSU.2.00.0912222125430.10135@nimrodel.valinor> El 2009-12-22 a las 14:34 -0500, jaime velez escribió:
El 22/12/09 14:15, carlopmart escribió:
Carlos E. R. wrote:
Si lo permite. Basta que el usuario juan del laptop se autentique como el juan de la red. Un ejemplo: kinit juan@ORGANIZACION.ORG. Para ello el juan del laptop tiene que tener configurado su cliente kerberos con los parámetros del realm kerberos. Y todavía puedes llevar el tema más lejos: relaciones de confianza entre realms kerberos, igual que hace el AD.
Ah. ¿Entonces es kerberos quien le cambia el UID a todo lo que entra/sale de la red, todas las peticiones de ficheros y lecturas? Mmmm... no se, podría ser, pero eso tendría que probarlo.
No, no. Eso lo hace LDAP. No sé si me estoy explicando. LDAP es el que se encarga de almacenar la info de usuarios (uids y gids), direcciones de email, etc. Kerberos solo autentica. ya decia yo que kerberos estaba haciendo maravillas...
Kerberos es un mecanismo muy refinado para autenticar.. punto pelota... pero para hacer lo mismo con ldap - nss/pam.. suficiente.
Vamos a ver, es que entonces estamos en las mismas. Entres como entres, ldap, kerberos, nis... los ficheros que en el servidor tienen UID 1500 se exportan siempre con UID 1500, por lo que sólo el usuario que entre con UID 1500 podrá acceder, con los permisos de escritura y lectura que tengan el directorio para ese UID. Si un usuario nuevo tiene el UID 1600, no podrá leer esos ficheros, entre como entre. Podrá autentificarse en el servidor con kerberos o lo que sea, de acuerdo. Pero tiene el UID 1600... La única manera de que acceda a los ficheros del 1500 es que "algo" intercepte todas las peticiones del 1600 y diga que las hace el 1500. Y el LDAP desde luego no hace eso. Lo que hace es decir que el 1500 se llama en esta red juan y tiene tal contraseña. Y el kerberos mira esos datos en ldap, y le deja entrar o no. Nada más.
ahora me pregunto si NFS soporta ACL's y si el mecanismo de acl's sera mejor que lo que intenta carlos y de pronto si que agarramos un cañon pa aplastar moscas
Se supone que sí, lo soporta. A partir de la versión 3, dice el manual. Yo con acl no tengo experiencia, pero entonces el truco sería all_squash, y dar permisos con acl en vez de uids. Pero yo no intento nada, sólo explico lo que sé del nfs :-) - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAksxK1AACgkQtTMYHG2NR9X1egCcDvj2zBIDndU3MB2KGgONUB4K bv0An3oWGCuoa8yND0K74GH0PJnNkwm+ =gcLU -----END PGP SIGNATURE-----