[CentOS-es] Conectarse a un recurso compartido en

Héctor Suárez Planas bolodia en medired.scu.sld.cu
Sab Sep 20 15:27:17 UTC 2008


...

> > tenemos instalado un sistema de autenticación (Fedora Directory Server)
> > y manejamos el control de acceso a esos recursos a través de ACL'S,

> ¿ACLs de quien? ¿De Samba?

> ACL', es un paquete que instalas (yum install acl), de manera sencilla
> este paquete permite colocar a un recurso de un servidor de archivos
>  samba, la gestion de permisos de los sistemas Linux-Unix. (debes 
> instalarlo en el servidor de archivos, y este debe tener creados los 
> perfiles de cada usuario.) te recomiendo que instales en el servidor de 
> archivos el fedora directory server y tienes las dos cosas en el mismo 
> lado, de lo contrario te tocara crear todos los perfiles tambien en el 
> servidor de archivos.

Bien, eso me gusta, pero lo que necesitamos es separar el servidor de
perfiles del FDS, ya que ahí queremos poner otras cosas, además de que el
espacio en disco no nos acompaña.

En otras palabras, seguir por la variante larga que explicas en esta parte.

> > A esos
> > recursos  acceden  diariamente unos 1500 usuarios aproximadamente de 
> > forma recurrente. Solo acceden aquellos usuarios que tienen permisos
> > asignados (de lectura, o de lectura y escritura sobre carpetas o
> > archivos previamente autorizados por los jefes de sección).

> Hum... son un montón de accesos. :O

> > Nuestras estaciones de trabajo son en un 95 % Linux y el resto windows.
> > Para el caso de los windows les creamos un acceso al recurso y este
> > valida el usuario con el cual se va a autenticar, si este tiene permisos
> > (a traves de las acl's) de ingresar a la carpeta que desee. si no tiene
> > permisos no le permite ingresar.

> > Para el caso de Linux con la herramienta que te mensione nos simplifica
> > mas el trabajo, ya que solo le configuramos el recurso que requiere, le
> > validamos la clave una sola vez (Tambien es posible configurarlo para
> > que cada vez que ingrese le pida la clave, pero los usuarios prefieren
> > que no se las pida) y esta se mostrara en el escritorio como una carpeta
> > mas  de su estacion de trabajo.

> Con el Lineightborhood resuelves ese problema, ¿no? Claro que yes, de  esa
>  forma tienes lo que necesitas, es decir el recurso visto en el pc del
>  usuario como si fuera local de su maquina.

> > La aplicacion tiene pestañas en las cuales configurar el sitio donde
> > quieras que el usuario visualice su carpeta del servidor de archivos
> > como si fuera local de su estacion de trabajo, tambien tiene opciones
> > para que memorice el punto de montaje, el navegador de archivos a
> > utilizas (usamos nautilus).

> > finalmente configuramos que cada vez que la maquina se reinicie o se
> > apague y vuelva a subir tenga disponible la carpeta y la información
> > contenida en ella, haciendo que la aplicacion linneighborhood corra en
> > segundo plano   (/usr/bin/linneighborhood -m ) esto lo puedes hacer por
> > el ambiente grafico en la siguiente ruta: inicio-sistemas-preferencias-
> > secciones   ... alli agregas la aplicacion con el parametro -m para que
> > suba en segundo plano.

> > Como veras tenemos autenticación, disponibilidad de los archivos, y
> > control de acceso a los mismos (ya sea de solo lectura, de lectura y
> > escritura o restriccion a los mismos para usuarios no autorizados).

> Sí, me has dejado sorprendido. A juzgar por todo lo que han hecho en tu
> empresa, ahora es que estamos empezando.

> > Espero te sirva la forma como lo solucionamos en la empresa para la que
> > trabajo.

> > Está bastante interesante. ¿Podrías darme algunas luces para yo portar
> > esa solución?

> Dime en que tienes dudas y las vamos trabajando...

OK, mira lo que queremos es lo siguiente:

- Un servidor Fedora Directory Server + PDC para los usuarios Windows (los
de Linux autenticarán directo con el LDAP mediante SSL/TLS).
- Un servidor de Perfiles de Usuarios.
- Un servidor de archivos para lo demás (documentación, instaladores de
Windows, herramientas, música, etc.)

De ahí, las estaciones de trabajo que tenemos son un 98% Windows y un 2%
Linux y queremos migrar al segundo, pero primero queremos asegurar la
infraestructura de servidores y servicios con Linux como SO, de los cuales
actualmente sólo tenemos el primero de los tres que te mencioné, o sea, el
servidor con el FDS+PDC.

> > PD. la solucion de nfs es otra alternativa, pero no es la mejor practica
> > para un servidor de archivos (cambia el esquema de servidor de archivos
> > a servidor NFS). Para controlar la parte de que un usuario no modifique
> > los archivos de otro o "esculque" informacion no autorizada es bueno que
> > contemples la implementacion de las ACL'S (Listas de control de acceso),
> > es bastante simple de implementar y hay mucha documentación en la web
> > para el tema.

> Mira, yo no soy muy amante del NFS, realmente lo veo un poco "seco"
> comparado con SAMBA, que está más terminado por la parte de los permisos a
> recursos y demás.

> Totalmente de acuerdo, chistosamente tambien a nfs (network file system) 
> se le conoce como "sistema de archivos no seguro" ;-), para lo que tienes
> lo mejor es el samba.

Exacto. Entonces estamos de acuerdo en este punto.

> > Háblame un poco más sobre las ACLs.

> > Basicamente es un paquete que permite  incorporar  el poderio de los > >
> > privilegios a traves de permisos a un recurso (directorio, archivo,
> > etc), de forma mas puntual ( no solamente con los  que ya conoces; 
> > propietario, grupo y otros, por el contrario los coloca sobre un usuario
> > o perfil en particular.

Bien, googlearé un poco para buscar eso. Aunque si tienes alguna URL ya
guardada, te agradecería que me la facilitaras.

Saludos.



---------------------------------------
    Red Telematica de Salud - Cuba
    	  CNICM - Infomed


Más información sobre la lista de distribución CentOS-es