[CentOS-es] Dilema sobre sustitución del ADS por FDS y estaciones Linux

Hardy Beltran Monasterios hbm en hardy.com.bo
Jue Jul 3 16:48:04 UTC 2008 

El jue, 03-07-2008 a las 15:18 +0000, BlackHand escribió:
> On Thu, 2008-07-03 at 09:25 -0400, Héctor Suárez Planas wrote:
> 
> > Ayer entre un amigo mío y yo instalamos un servidor de directorio FDS y lo
> > integramos con un Samba como PDC.
> 
> uhm, yo he encontrado un problema horroroso con FDS y RHDS, q por mas q
> he preguntado a los expertos no sacan nada adelante y es el siguiente.
> 
> Haz logrado q te cambien transparentemente el password de un usuario,
> desde la consola del Windows, con lo cual te cambia el password de
> windows y tambien el password del LDAP ? con OpenLDAP eso nunca me ha
> dado problemas con FDS/RHDS7 siempre se planta con un error diciendo q
> no pudo realizar el cambio, pero sin embargo si lo ha realizado. El log
> del FDS/RHDS dice algo sobre un atributo desconocido (userPassword) pero
> su log de error dice "change attribute success" y tengo una ventanita en
> el cliente windows diciendo q fallo el cambio (sin embargo este si se
> produjo)

Yo nunca he ocupado FDS/RHDS7 pero ese userPassword es un atributo del
directorio LDAP que mantiene la información de las cuentas de usuario.

Deberías revisar la definición del esquema que estás usando en tu LDAP.

> 
> > Es sabido que un ADS no puede ser sustituido un 100% en Linux, solamente se
> > puede configurar al Samba como PDC, un LDAP como almacén central de
> > usuarios, equipos, grupos y demás, y Kerberos 5 (si se tiene estaciones
> > Windows). Ahora bien, en el caso de Ubuntu se puede configurar el PAM para
> > que se tire contra el LDAP, pero entonces el Samba se me queda fuera. Estuve
> > buscando en Internet cómo configurar el PAM para que se tire contra un Samba
> > PDC, pero nada, sólo veo los manuales que usan mucho el Winbind. Con otras
> > distros he visto que es mucho más manejable que con Ubuntu.
> > 
> > Si alguien ha estado en este dilema, ¿me pudiese dar una luz?
> 
> Justo por eso te comentaba lo q esta lineas mas arriba. Al usar LDAP
> como mi almacen central de users y configuraciones, tb he querido
> integrar estaciones de trabajo Linux en la ensalada. Las dos maneras son
> las que tu comentas, usando Winbind, q vale si te vas a unir contra un
> Samba, un NT o un AD2000/2003, o LDAP q sirve cuando lo que tienes atras
> es un LDAP o un AD2000/2003 (condimentado con Services For Unix)

Una cosa importante en esta ensalada es que los esquemas LDAP tienen que
servir para almacenar información de ambos mundos: Linux y Windows. Hay
esquemas para cada uno de ellos que deben ser incluidos en el LDAP.
Almenos en OpenLDAP se hace así. Hay utilitarios para migrar
passwd/shadow a LDAP.

> si usas winbind lo unico q este te proveera sera del user y password.
> Todos los demas atributos (uid, gid, home dir por citar los mas
> importantes) te los vas a tener q inventar desde la configuracion del
> smb.conf, para q el winbind los entregue a todos los usuarios por igual.
> 

Precisamente para no inventar es que se deben tener los esquemas
adecuados.

> si usas LDAP sea contra OpenLDAP/FDS/RHDS o AD2000/2003 con las
> extensiones para Unix, el LDAP te proveera todos los parametros para los
> usuarios Linux. 

Justo lo que hablo más arriba.


Saludos



-- 
Hardy Beltran Monasterios
Consultor e Instructor GNU/Linux
LPI Certified (LPIC-1) / RedHat Certified (RHCE)
http://www.hardy.com.bo

Más información sobre la lista de distribución CentOS-es