Mailinglist Archive: opensuse-es (1440 mails)

< Previous Next >
Re: [opensuse-es] controlador de dominio
  • From: Carlos Lorenzo Matés <clmates@xxxxxxxxxxx>
  • Date: Thu, 6 Nov 2008 21:07:13 +0100
  • Message-id: <200811062107.17667.clmates@xxxxxxxxxxx>
Hola

El Jueves 06 Noviembre 2008, kernel escribió:
Tengo un gran problema de concepto, desconozco las funciones de un
controlador de dominio o (pdc, ¿correcto?, utilizando samba como me
apuntáis ) y un Ldap (he visto OpenLdap)
Nunca he trabajado con dominio, siempre ha sido con grupo de trabajo, ssh ,
vi y a tirar código.

Pues básicamente lo que hace es tener un control de los equipos, los equipos
se tienen que unir al dominio para poder acceder a los recursos compartidos de
una manera transparente = sin tener que introducir cada vez que accedas a una
carpeta compartida el usuario y la contraseña. Y tener una gestión
centralizada de los usuarios y los grupos.

Es decir, el PDC (utilizando samba y LDAP), maneja en la base de datos ldap la
información de los equipos que pertenecen al dominio, de los usuarios y de los
grupos. Además, la de los usuarios y los grupos, es común con la de Linux, de
forma que los clientes linux pueden trabajar de forma transparente con los
mismos archivos como si fueran clientes windows.

En cuanto a la gestión de accesos y permisos, yo te aconsejo que lo manejes
todo desde Linux, es decir, establecer los permisos con acl por grupos de
forma que los usuarios NO puedan establecer permisos, de esta manera te
aseguras un control total, y que siempre funciona bien.


Por ejemplo, yo lo tengo mas o menos así:

Estructura de Carpetas

La estructura es la siguiente:

Ruta
/public/Documentos/
/public/Documentos/Contabilidad
/public/Documentos/Informatica
/public/Documentos/..................

Dentro de la carpeta de cada departamento, este tendrá total autonomía, aunque
nos podrá pedir implementar seguridad por funciones a un nivel inferior. En
este caso, seguiríamos la misma operativa, cambiaríamos los permisos de la
carpeta de nivel superior para que las funciones de mas bajo nivel solo
tuvieran capacidad de recorrido, y el grupo de mayor nivel sea el que puede
crear estructura. Para las subcarpetas por funciones, aplicaríamos el mismo
criterio que aplicamos en las carpetas departamentales.

Permisos de /public

# file: public
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

(permisos por defecto de puntos de montaje en el raiz, y sin uso de acl)

permisos de /public/Aplicaciones

drwxrws--- Aplicaciones (fijaros que tiene el grupo con set group id, herencia
de permisos)

# file: Aplicaciones
# owner: root
# group: admin
user::rwx
group::rwx
other::---

Permisos de /public/Documentos

drwxrws---+ Documentos

# file: Documentos
# owner: nobody
# group: nobody
user::rwx
group::---
group:users:r-x
group:Informatica:rwx
mask::rwx
other::---
default:user::---
default:user:Informatica:rwx
default:group::---
default:mask::rwx
default:other::---

permisos de las Carpetas de Departamentos /public/Documentos/Carpeta

drwxrws---+ Carpeta

# file: Carpeta
# owner: nobody
# group: Departamento
user::rwx
group::rwx
group:users:--x
group:Informatica:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:users:--x
default:group:Informatica:rwx
default:mask::rwx
default:other::---

donde Carpeta es el nombre de la carpeta y departamento es el nombre del
departamento

Para fijar los permisos de las carpetas se procede como sigue:

se crea como administrador la carpeta con el comando mkdir Carpeta
se fijan los propietarios y permisos con los comandos siguientes.

chrown nobody.Departamento Carpeta
chmod u:+rwx Carpeta
chmod g:+rwxs Carpeta
chmod o:-rwx Carpeta
setfacl -m group::rwx Carpeta
setfacl -m default:group::rwx Carpeta
setfacl -m user::rwx Carpeta
setfacl -m default:user::rwx Carpeta
setfacl -m group:users:--x Carpeta
setfacl -m default:group:users:--x Carpeta
setfacl -m group:Informatica:rwx Carpeta
setfacl -m default:group:rwx Informatica Carpeta

Se puede utilizar en todos estos comandos el flag -R patra hacerlo recursivo

PRECAUCIONES:
No usar en la carpeta Documentos directamente, solo en sus subcarpetas, ya que
sino nos cargamos todos los permisos.
No usar en ninguna carpeta fuera de la jerarquía de /public/Documentos

Espero que te sirva de guía


Queremos conseguir la certificación ISO 270001 y esto me exige controlar
los accesos por usuarios a carpetas , impresoras, poder definir políticas
de seguridad, tipos de contraseña, caducidad , etc..

Todo esto lo puedes gestionar con Samba y LDAP.

Ahora, para tenerlo mas fácil, te recomiendo instalar una SLES 10, ya que
viene todo eso muy fácil de poner en marcha desde YaST y poder gestionar
políticas de contraseñas, etc.

También se puede conseguir todo eso con la OpenSuSE, pero si de el buen
funcionamiento depende la certificación, te recomiendo que tengas un soporte
detrás.




--
Un Saludo.

Carlos Lorenzo Matés.

clmates AT mundo-r.com
< Previous Next >