Carlos E. R. wrote:
No, no. Eso lo hace LDAP. No sé si me estoy explicando. LDAP es el que se encarga de almacenar la info de usuarios (uids y gids), direcciones de email, etc. Kerberos solo autentica.
ya decia yo que kerberos estaba haciendo maravillas...
Kerberos es un mecanismo muy refinado para autenticar.. punto pelota... pero para hacer lo mismo con ldap - nss/pam.. suficiente.
Vamos a ver, es que entonces estamos en las mismas. Entres como entres, ldap, kerberos, nis... los ficheros que en el servidor tienen UID 1500 se exportan siempre con UID 1500, por lo que sólo el usuario que entre con UID 1500 podrá acceder, con los permisos de escritura y lectura que tengan el directorio para ese UID.
Si un usuario nuevo tiene el UID 1600, no podrá leer esos ficheros, entre como entre. Podrá autentificarse en el servidor con kerberos o lo que sea, de acuerdo. Pero tiene el UID 1600...
La única manera de que acceda a los ficheros del 1500 es que "algo" intercepte todas las peticiones del 1600 y diga que las hace el 1500.
Y el LDAP desde luego no hace eso. Lo que hace es decir que el 1500 se llama en esta red juan y tiene tal contraseña. Y el kerberos mira esos datos en ldap, y le deja entrar o no. Nada más.
A todo ok, pero es que aquí perdeis de vista algo que és importantísimo. En las infraestructuras donde se realizan despliegues de este nivel (yo llevo unos 12 a mis espaldas, la mitad de los cuales los he tenido que hacer contra AD y con cluster filesystems por debajo como GFS2 y GlusterFS, para complicarlo más), el tipo de "problema" que estáis discutiendo no se dá (yo no me lo he encontrado nunca y podría aparecer pero tal vez podemos hablar de un caso de cada 100 o más) porque es tán secillo como que TODO el mundo tiene que tener user en LDAP y pass en kerberos (o en un Active Directory) o directamente no entra. Es así de sencillo. Este tipo de problemática es mas habitual en empresa pequeña y alguna mediana a lo mejor y para eso está samba (un despliegue de este tipo como dijo Jaime es matar moscas a cañonazos, a menos que hablemos de empresas con datos muy muy sensibles, aunque sean pequeñas, que las hay). Pero no en el resto, ya que los casos que planteais en principio no se pueden dar: un usuario con un laptop que no sea de la organización no va a conectarse a recursos como NFS o CIFS o SMB.
ahora me pregunto si NFS soporta ACL's y si el mecanismo de acl's sera mejor que lo que intenta carlos y de pronto si que agarramos un cañon pa aplastar moscas
Se supone que sí, lo soporta. A partir de la versión 3, dice el manual.
Yo con acl no tengo experiencia, pero entonces el truco sería all_squash, y dar permisos con acl en vez de uids.
Pero yo no intento nada, sólo explico lo que sé del nfs :-)
NFS implanta acls bastante potentes, pero recomiendo leer la doc. Saludos. -- CL Martinez carlopmart {at} gmail {d0t} com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org