[equinux] Duda sobre seguridad de un PDC en Debian Lenny

Raydel Hernández Martínez administrador1 en pri.jovenclub.cu
Jue Feb 25 11:50:12 EST 2010 

Hola listeros, mis saludos ante todo, les escribo porque desde hace un 
tiempo en mi trabajo usamos como controlador de dominio Samba, este 
actualmente lo tenemos integrado de la siguiente manera, Debian 
Lenny+Samba+LDAP+LAM, hasta ahora todo funciona de maravillas, en cuanto 
a la configuración, pero les explico algunos detalles, en nuestra red 
tenemos varios usuarios en el dominio, pero de estos X usuarios, tenemos 
un usuario que se llama estudiante, para el cual necesitamos un perfil 
mandatorio (es decir, que no guarde los cambios al cerrar la sesión y 
cargue una configuración establecida por la entidad), el cual hemos 
probado y funciona, pero que sucede, si declaramos en el samba las 
lineas para el home y el profile de los usuarios, en este caso tenemos 
estas líneas:

logon home = \\%L\%U\.profile
logon path = \\%L\profiles\%U

Entonces todos los usuarios del dominio copian para el servidor sus 
perfiles móviles, y esto nos causaría problemas en cuanto al consumo de 
espacio en disco duro en el server, la idea es tener solamente un perfil 
mandatorio y móvil a la vez para el user estudiante, y los demás 
usuarios con perfiles locales en sus maquinas, que no se copien para el 
servidor. Si comentamos esas lineas, el usuario estudiante, puede 
cambiar su configuración en los clientes windows, y entonces no cargaria 
la configuración que por defecto y políticas de la entidad deberían tener.

Esa es una de mis dudas, la otra se debe a la seguridad del PDC en el 
dominio, me refiero, a que en los PDC con controladores Windows Server, 
en las políticas de seguridad del dominio, se le puede especificar al 
dominio en general, que las claves de los usuarios del dominio caduquen 
cada un cierto periodo de tiempo, (ejemplo cada 45 días, que es lo que 
especifica el Plan de Seguridad Informática de la entidad), que las 
claves sean mayores a 8 caracteres, que la clave nueva al ponerla se 
diferencia de la que tuvieron anteriormente, etc, he visto que en las 
opciones del LAM (Front-End para administrar ldap) se encuentran estas 
opciones, pero las habilito, y nada, no me surten efecto de ninguna 
manera, ni al reiniciar los servicios. *Kerberos me sirve para lograr 
estas cosas ??*. En estos momentos estoy usando lo mismo en un server de 
test, y en ves de usar LAM para administrar, estoy usando Gosa, hasta 
ahora todo funciona de maravillas, las maquinas en el dominio, 
autenticación de usuarios, y todo, pero veo que hay un apartado que se 
refiere a Kerberos, y quisiera saber si con este se puede gestionar y 
aumentar un poco más la seguridad.

Mis saludos, y gracias de antemano.

-- 
   Raydel Hernández Martínez
**Administrador Nodo Joven Club**
      **Pinar del Río**
E-mail:  administrador1 en pri.jovenclub.cu
Jabber:  administrador1 en jabber.pri.jovenclub.cu
Web-Site: http://www.pri.jovenclub.cu
Teléfonos: 0148-755805&  752311---ext-120
Linux_User: # 466430
  ____                 _      _
|  _ \ __ _ _   _  __| | ___| |
| |_) / _` | | | |/ _` |/ _ \ |
|  _<  (_| | |_| | (_| |  __/ |
|_| \_\__,_|\__, |\__,_|\___|_|
                  |
             |___/
<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://nuevared.org/pipermail/equinux_nuevared.org/attachments/20100225/764a395a/attachment.html>

Más información sobre la lista de distribución equinux