----- Mensaje original ----
De: Camaleón
Para: opensuse-es@opensuse.org Enviado: mar,22 diciembre, 2009 16:56 Asunto: [opensuse-es] Re: Montar directorio compartido con NFS. El Tue, 22 Dec 2009 21:41:03 +0100, carlopmart escribió:
Carlos E. R. wrote:
(...)
La única manera de que acceda a los ficheros del 1500 es que "algo" intercepte todas las peticiones del 1600 y diga que las hace el 1500.
Y el LDAP desde luego no hace eso. Lo que hace es decir que el 1500 se llama en esta red juan y tiene tal contraseña. Y el kerberos mira esos datos en ldap, y le deja entrar o no. Nada más.
A todo ok, pero es que aquí perdeis de vista algo que és importantísimo. En las infraestructuras donde se realizan despliegues de este nivel (yo llevo unos 12 a mis espaldas, la mitad de los cuales los he tenido que hacer contra AD y con cluster filesystems por debajo como GFS2 y GlusterFS, para complicarlo más), el tipo de "problema" que estáis discutiendo no se dá (yo no me lo he encontrado nunca y podría aparecer pero tal vez podemos hablar de un caso de cada 100 o más) porque es tán secillo como que TODO el mundo tiene que tener user en LDAP y pass en kerberos (o en un Active Directory) o directamente no entra. Es así de sencillo. Este tipo de problemática es mas habitual en empresa pequeña y alguna mediana a lo mejor y para eso está samba (un despliegue de este tipo como dijo Jaime es matar moscas a cañonazos, a menos que hablemos de empresas con datos muy muy sensibles, aunque sean pequeñas, que las hay). Pero no en el resto, ya que los casos que planteais en principio no se pueden dar: un usuario con un laptop que no sea de la organización no va a conectarse a recursos como NFS o CIFS o SMB.
No es eso.
El tamaño de una empresa es indiferente.
Yo puedo tener 5 usuarios pero dependiendo del tipo de sector en el que me encuentre (agencia gubernamental, por ejemplo) me pueden exigir el uso de una tecnología u otra.
O puedo tener 250 usuarios y necesitar samba/cifs para compartir las impresoras en entornos mixtos. Si necesito seguridad, puedo aplicar igualmente el uso de kerberos y de ldap como servidor de directorios.
Es decir, visto desde fuera, con samba obtienes lo mejor de los dos mundos: la flexibilidad de una configuración potente (sin necesidad de recurrir a elementos externos) y la seguridad de kerberos junto con el uso de directorios activos.
Y mira que samba me da tirria :-)
A lo que voy es a las *capacidades intrínsecas* de cada sistema:
- Samba parece más flexible en cuanto a que permite mayor control sobre los accesos y los permisos de los recursos (y no necesitas implementar kerberos ni ldap para gestionarlo).
kerberos y ldap no tienen que ver con permisos y recursos ldap es solo un contenedorde usuarios y grupos..como tblsam o smbpasswd o mysql cuando guardas los usuarios en estos contendores (de samba)
- En cambio NFS parece más simplón y limitado, y necesitas utilizar recursos externos (kerberos y ldap) para darle cierta flexibilidad en cuanto a qué usuarios pueden acceder a qué recursos y tener mayor control y seguridad.
claro nfs es mas unix..mas principio KISS
Y tener que implementar kerberos y ldap no siempre es factible ni deseable (porque te puede traer más problemas de los que te soluciona).
ni facil..kerberos es un mierd....ero
Luego... ¿cuál es la ventaja "efectiva" (real) de NFS sobre samba/cifs? ¿Rendimiento? :-?
ademas de ser mas cool nfs va esta que se convierte en estandar..lo lei hoy
ahora me pregunto si NFS soporta ACL's y si el mecanismo de acl's sera mejor que lo que intenta carlos y de pronto si que agarramos un cañon pa aplastar moscas
Se supone que sí, lo soporta. A partir de la versión 3, dice el manual.
Yo con acl no tengo experiencia, pero entonces el truco sería all_squash, y dar permisos con acl en vez de uids.
Pero yo no intento nada, sólo explico lo que sé del nfs :-)
NFS implanta acls bastante potentes, pero recomiendo leer la doc.
*** man nfs
acl / noacl Selects whether to use the NFSACL sideband protocol on this mount point. The NFSACL sideband protocol is a proprietary protocol implemented in Solaris that manages Access Control Lists. NFSACL was never made a standard part of the NFS protocol specification.
If neither acl nor noacl option is specified, the NFS client negotiates with the server to see if the NFSACL protocol is supported, and uses it if the server supports it. Disabling the NFSACL sideband protocol may be necessary if the negotiation causes problems on the client or server. Refer to the SECURITY CONSIDERATIONS section for more details.
...
NFS Access Control Lists Solaris allows NFS version 3 clients direct access to POSIX Access Control Lists stored in its local file systems. This proprietary sideband protocol,known as NFSACL, provides richer access control than mode bits. Linux implements this protocol for compatibility with the Solaris NFS implementation. The NFSACL protocol never became a standard part of the NFS version 3 specification, however.
The NFS version 4 specification mandates a new version of Access Control Lists that are semantically richer than POSIX ACLs. NFS version 4 ACLs are not fully compatible with POSIX ACLs; as such, some translation between the two is required in an environment that mixes POSIX ACLs and NFS version 4. ***
Ya empezamos con las incompatilidades...
¡NFS parece más "protocolario" que samba! :-P
Saludos,
Jaime V -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org