Raydel Hernández Martínez escribió:
Hola listeros, mis saludos ante todo, les escribo porque desde hace un
tiempo en mi trabajo usamos como controlador de dominio Samba, este
actualmente lo tenemos integrado de la siguiente manera, Debian
Lenny+Samba+LDAP+LAM, hasta ahora todo funciona de maravillas, en
cuanto a la configuración, pero les explico algunos detalles, en
nuestra red tenemos varios usuarios en el dominio, pero de estos X
usuarios, tenemos un usuario que se llama estudiante, para el cual
necesitamos un perfil mandatorio (es decir, que no guarde los cambios
al cerrar la sesión y cargue una configuración establecida por la
entidad), el cual hemos probado y funciona, pero que sucede, si
declaramos en el samba las lineas para el home y el profile de los
usuarios, en este caso tenemos estas líneas:
logon home = \\%L\%U\.profile
logon path = \\%L\profiles\%U
Entonces todos los usuarios del dominio copian para el servidor sus
perfiles móviles, y esto nos causaría problemas en cuanto al consumo
de espacio en disco duro en el server, la idea es tener solamente un
perfil mandatorio y móvil a la vez para el user estudiante, y los
demás usuarios con perfiles locales en sus maquinas, que no se copien
para el servidor. Si comentamos esas lineas, el usuario estudiante,
puede cambiar su configuración en los clientes windows, y entonces no
cargaria la configuración que por defecto y políticas de la entidad
deberían tener.
Para eso tienes ldap! Pones una configuración por defecto en tu smb.conf
y luego con el lam o con la herramienta que quieras del ldap modificas
el valor de sambaLogonPath y sambaLogonPath (Creo que son esos ahora no
me acuerdo :-P) solo para el usuario que debe tener el perfil móvil.
Samba tomará con precedencia los valores de ldap.
Esa es una de mis dudas, la otra se debe a la seguridad del PDC en el
dominio, me refiero, a que en los PDC con controladores Windows
Server, en las políticas de seguridad del dominio, se le puede
especificar al dominio en general, que las claves de los usuarios del
dominio caduquen cada un cierto periodo de tiempo, (ejemplo cada 45
días, que es lo que especifica el Plan de Seguridad Informática de la
entidad), que las claves sean mayores a 8 caracteres, que la clave
nueva al ponerla se diferencia de la que tuvieron anteriormente, etc,
he visto que en las opciones del LAM (Front-End para administrar ldap)
se encuentran estas opciones, pero las habilito, y nada, no me surten
efecto de ninguna manera, ni al reiniciar los servicios. *Kerberos me
sirve para lograr estas cosas ??*. En estos momentos estoy usando lo
mismo en un server de test, y en ves de usar LAM para administrar,
estoy usando Gosa, hasta ahora todo funciona de maravillas, las
maquinas en el dominio, autenticación de usuarios, y todo, pero veo
que hay un apartado que se refiere a Kerberos, y quisiera saber si con
este se puede gestionar y aumentar un poco más la seguridad.
Mis saludos, y gracias de antemano.
--
Algunos valores con respecto a la clave la puedes setear si no me
equivoco desde el valor de sambaAcctFlags desde la entrada de LDAP. Por
ejemplo si la cuenta está desactivada o si debe cambiar la contraseña en
el proximo inicio de sesión. Por otra parte estos valores de ldap,
controlan cuando se cambió por última vez la clave y cuando debe
cambiarse nuevamente.
sambaPwdLastSet
sambaPwdMustChange
Ten en cuenta que seguramente quien cambia la contraseña de tu
instalación es smbldap-tools (no lo especificas pero es lo más
estandar). Por otra parte en Linux existe cracklib que es una biblioteca
que se encarga de comprobar la fortaleza de las contraseñas y varios
aspectos de seguridad más, sé que está integrado con pam, pero cuando
samba utiliza ldap como backend no usa pam.
Raydel Hernández Martínez
**Administrador Nodo Joven Club**
**Pinar del Río**
E-mail: administrad...@pri.jovenclub.cu
Jabber: administrad...@jabber.pri.jovenclub.cu
Web-Site: http://www.pri.jovenclub.cu
Teléfonos: 0148-755805 & 752311---ext-120
Linux_User: # 466430
____ _ _
| _ \ __ _ _ _ __| | ___| |
| |_) / _` | | | |/ _` |/ _ \ |
| _ < (_| | |_| | (_| | __/ |
|_| \_\__,_|\__, |\__,_|\___|_|
|
|___/
<<<<<<<<<<<<<<<<<<<<>>>>>>>>>>>>>>>>>>>>
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4b87c5e0.5010...@uncu.edu.ar
