[equinux] migracion de active directory con estaciones xp a servidor GNU con estaciones GNU

Jue Feb 26 10:06:07 EST 2009

Saludos,

On Mon, Feb 23, 2009 at 6:28 PM, Quiliro Ordóñez <quiliro en gmail.com> wrote:

> Estimados amigos.
>
> He investigado bastante sobre el tema de migracion de Active Directory
> Services sobre Windows Server hacia una plataforma libre inclusive en
> las estaciones de trabajo. No encuentro mas que el reemplazar el ADS
> con LDAP + Samba pero yo no necesito Samba. Lo que ne3cesito es que
> mis usuarios puedan tener políticas que establezca que pueden y no
> pueden hacer en sus estaciones GNU. como pueden concluir, nada que ver
> con SMB. ¿Alguien conoce una solución que me pueda ayudar en migrar a
> software libre?

Lo que dices es correcto, si lo que quieres es migrar completamente no
necesitas el samba para nada.

Hay 2 soluciones y media (ya explicaré el porqué):

1.- opción de pago (que tengo claro que es lo que estás tratando de evitar)
que te permite integrar el active directory con permisos y restricciones de
usuario manejadas desde políticas del directorio.  Puede sonar raro, pero no
es una mala idea, Windows no es de mi agrado, pero el Active Directory sin
duda es una buena herramienta y si se lo integra con las estaciones Linux da
un buen resultado y te facilita el mantenimiento. (
http://www.likewise.com/products/likewise_enterprise/)

1.5.- Esta es la "media" solución que es utilizar la herramientra libre
"likewise open" (es de la misma empresa) con lo que podemos manejar la
autenticación de los usuarios al directorio en menos de 5 minutos, pero no
maneja nada de permisos ni asignaciones.

2.- La solución totalmente libre (eso es lo bueno del SL, siempre hay una
opción), es la de migrar todo el directorio activo a LDAP, cambiar el
sistema de login para que se autentifique contra el LDAP mediante kerberos y
utilizar Pessulus para definir los perfiles de los usuarios en el escritorio
(asumamos esto como las "políticas de usuario").

El único inconveniente con esta solución es el "bloqueo" de las opciones
para los usuarios, como por ejemplo si quisieramos que no puedan cambiar el
fondo de pantalla o que le salgan iconos específicos dependiendo del
usuario, links en el firefox dependiendo del usuario, etc... ¿Cómo
solucionar esto?  Una combinación de Pessulus, Sabayon y un Script que
sincronice cada cierto tiempo los perfiles (asumiendo que estemos en un
ambiente Gnome).  Simplemente se especifican los "Perfiles" en Sabayon, se
activan los bloqueos con Pessulus y el script de bash(o el lenguaje de su
preferencia) se encuentren definidos en un lugar de lectura para todos...
Esto puede ser una tarea cron sin problemas.

Una alternativa para también aplicar permisos antes de todo esto es crear un
script que reemplace la sesión predeterminada del sistema, que lea el
perfil, es decir que busque en el LDAP cual es el perfil del usuario y lo
copie o lo descargue de manera automática,que aplique los permisos por
usuario y que finalmente arranque el manejador de ventanas, en mi caso
Gnome.  De esta forma nos podemos aseguar que inclusive luego de haber hecho
un cambio el usuario pueda tener siempre sus permisos bien puestos de
acuerdo a lo que nosotros hayamos definido y algunas otras acciones (montar
unidades de red por ejemplo).

Suena un poco raro, pero es lo único que se me ocurre para simular algo así
como los perfiles y políticas utilizando un ambiente 100% libre y que
funcione.  La opción del LTSP es mucho más fácil de implementar, pero
dependemos del servidor central, en el mejor de los casos habría que ver la
opción de utilizar "Fat Clients", pero eso aún es experimental.

Algunos links de referencia:

Para migrar usuarios de Active Directory a LDAP:
http://www.fatofthelan.com/articles/articles.php?pid=13

Para autenticar los usuarios contra el active directory:
http://anothersysadmin.wordpress.com/2008/04/06/howto-active-directory-authentication-in-ubuntu-804/

Página oficial de Sabayon:
http://projects.gnome.org/sabayon/

Cómo configurar Sabayon para que lea los perfiles desde LDAP:
http://projects.gnome.org/sabayon/ldap.html

Lock Down con Pessulus:
http://www.linux.com/feature/62060

-- 
Atte.

IIG Iván G. Campaña N.
         Amauta
   593-9-830-1093
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://nuevared.org/pipermail/equinux_nuevared.org/attachments/20090226/89ae66fb/attachment.html>