Re: [CentOS-es] Dilema sobre sustitución del ADS por FDS y estaciones Linux
On Thu, 2008-07-03 at 12:48 -0400, Hardy Beltran Monasterios wrote: Yo nunca he ocupado FDS/RHDS7 pero ese userPassword es un atributo del directorio LDAP que mantiene la información de las cuentas de usuario. Deberías revisar la definición del esquema que estás usando en tu LDAP. UserPassword es el atributo normal donde deberia almacenarse el password del usuario. Todos los servidores con soporte LDAP (excepto nuestro amiguito Active Directory, ahi hay una version marciana de atributos kerberos q en teoria son standar, en la practica.) aceptan este atributo y soportan todos los algoritmos de encriptacion en el (bueno, con diferencias pero salvables) Cuando usas Samba, este no usa este atributo sino dos atributos para guardar el password, LMPassword y NTPassword, siendo el primero la version encriptada para login desde estaciones de trabajo 95/98/Me y la segunda la version encriptada para login desde estaciones de trabajo NT/2000/XP/2003. Esto hace q samba deba mantener sincronizados ambos y el famoso smbldap-tools tambien los mantiene sincronizados. Eso implica q nativamente cuando cambio el password desde los mecanismos q Windows me brinda, solo me cambia esos dos atributos y el atributo userPassword no es ni tocado. Para paliar eso, generalmente configuras samba para q sincronize los 3 atributos (LMPassword, NTPassword y userPassword) en cada cambio que se de del mismo a trabes del Samba. El overlay smbkb5 para openldap intenta hacer lo contrario (pero solo sirve para unas pocas situaciones lamentablemente). Es en ese modo de configuracion donde FDS/RHDS7 falla. Para samba el FDS/RHDS7 anuncia q no pudo cambiar el atributo userPassword con un codigo de error, pero el mensaje de error es desconcertante (ya q dice q el cambio fue exitoso) Para todo esto, convierto el samba.schema q viene en Samba a una version q sea cargado por el FDS/RHDS con los scripts q este mismo provee. Si quito las opciones de samba para sincronizar los tres atributos todo funciona, pero los servicios q ate al directorio q no sean samba, no usaran el password q fue cambiado via windows sino el q se mantiene en el atributo userPassword. Si hago la configuracion con OpenLDAP, todo funciona de perillas. y no, ni el soporte oficial de redhat ni la info q encuentro en web me ha dado mayor luz hasta ahora sobre este problema. -- Black Hand powered by GNU/Linux and lots of GNU/Force ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Dilema sobre sustitución del ADS por FDS y estaciones Linux
On Thu, 2008-07-03 at 09:25 -0400, Héctor Suárez Planas wrote: Ayer entre un amigo mío y yo instalamos un servidor de directorio FDS y lo integramos con un Samba como PDC. uhm, yo he encontrado un problema horroroso con FDS y RHDS, q por mas q he preguntado a los expertos no sacan nada adelante y es el siguiente. Haz logrado q te cambien transparentemente el password de un usuario, desde la consola del Windows, con lo cual te cambia el password de windows y tambien el password del LDAP ? con OpenLDAP eso nunca me ha dado problemas con FDS/RHDS7 siempre se planta con un error diciendo q no pudo realizar el cambio, pero sin embargo si lo ha realizado. El log del FDS/RHDS dice algo sobre un atributo desconocido (userPassword) pero su log de error dice change attribute success y tengo una ventanita en el cliente windows diciendo q fallo el cambio (sin embargo este si se produjo) Es sabido que un ADS no puede ser sustituido un 100% en Linux, solamente se puede configurar al Samba como PDC, un LDAP como almacén central de usuarios, equipos, grupos y demás, y Kerberos 5 (si se tiene estaciones Windows). Ahora bien, en el caso de Ubuntu se puede configurar el PAM para que se tire contra el LDAP, pero entonces el Samba se me queda fuera. Estuve buscando en Internet cómo configurar el PAM para que se tire contra un Samba PDC, pero nada, sólo veo los manuales que usan mucho el Winbind. Con otras distros he visto que es mucho más manejable que con Ubuntu. Si alguien ha estado en este dilema, ¿me pudiese dar una luz? Justo por eso te comentaba lo q esta lineas mas arriba. Al usar LDAP como mi almacen central de users y configuraciones, tb he querido integrar estaciones de trabajo Linux en la ensalada. Las dos maneras son las que tu comentas, usando Winbind, q vale si te vas a unir contra un Samba, un NT o un AD2000/2003, o LDAP q sirve cuando lo que tienes atras es un LDAP o un AD2000/2003 (condimentado con Services For Unix) si usas winbind lo unico q este te proveera sera del user y password. Todos los demas atributos (uid, gid, home dir por citar los mas importantes) te los vas a tener q inventar desde la configuracion del smb.conf, para q el winbind los entregue a todos los usuarios por igual. si usas LDAP sea contra OpenLDAP/FDS/RHDS o AD2000/2003 con las extensiones para Unix, el LDAP te proveera todos los parametros para los usuarios Linux. Si lo que quieres lograr es por ejemplo montar automaticamente unidades via samba cuando te logueas, no veo q sea tan complicado con un poco de scripting de tu parte. Pero seria mejor si en vez de hacer eso, usas NFS y las capacidades de automount ligadas a tu LDAP mas bien, de esta manerja los mismos shares en samba para los windows se exportarian como NFS para los linux y con automount y ldap de por medio tener esos parametros seteados por cada usuario y lograr el montaje de manera transparente al loguearse el usuario. Manejo como los permisos o perfiles de usuario dependeran mas de las opciones q KDE y Gnome te brinden para manejar perfiles y via scripting nuevamente cargarlas. -- BlackHand powered by GNU/Linux and lots of GNU Force too. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Dilema sobre sustitución del ADS por FDS y estaciones Linux
El jue, 03-07-2008 a las 09:25 -0400, Héctor Suárez Planas escribió: Saludos hermanos. Ayer entre un amigo mío y yo instalamos un servidor de directorio FDS y lo integramos con un Samba como PDC. Después de terminar aquello a las 8 de la noche, camino a mi casa me saltó una duda y me gustaría saber sus opiniones. Es sabido que un ADS no puede ser sustituido un 100% en Linux, solamente se puede configurar al Samba como PDC, un LDAP como almacén central de usuarios, equipos, grupos y demás, y Kerberos 5 (si se tiene estaciones Windows). Ahora bien, en el caso de Ubuntu se puede configurar el PAM para que se tire contra el LDAP, pero entonces el Samba se me queda fuera. Estuve buscando en Internet cómo configurar el PAM para que se tire contra un Samba PDC, pero nada, sólo veo los manuales que usan mucho el Winbind. Con otras distros he visto que es mucho más manejable que con Ubuntu. Si alguien ha estado en este dilema, ¿me pudiese dar una luz? Hola Creo que estás preguntando como se hace en Ubuntu...mal lugar para tu pregunta. Mejor ve a una lista de Ubuntu donde seguro hallarás mucha más experiencia. Y estás de cosas totalmente distintas para necesidades diferentes. Samba es necesario para hablar idioma Windows contra PCs que corren ese sistema, ese idioma son muchas cosas, las mas usuales: compartir archivos, compartir impresoras y autentificación. PAM es el sistema de autenticación que se usa en Linux, en realidad. Existen módulos PAM que se autentican contra/usando diferentes cosas por ejemplo: /etc/passwd/shadow, NIS, LDAP, Kerberos, Samba, Winbind (a su vez este pide a un servidor ADS). Deberías buscar por pam_smb para que la autenticación de Linux mediante PAM se haga contra un servidor Samba (SMB). Espero haber entendido tu pregunta -- Hardy Beltran Monasterios Consultor e Instructor GNU/Linux LPI Certified (LPIC-1) / RedHat Certified (RHCE) http://www.hardy.com.bo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Dilema sobre sustitución del ADS por FDS y estaciones Linux
El jue, 03-07-2008 a las 15:18 +, BlackHand escribió: On Thu, 2008-07-03 at 09:25 -0400, Héctor Suárez Planas wrote: Ayer entre un amigo mío y yo instalamos un servidor de directorio FDS y lo integramos con un Samba como PDC. uhm, yo he encontrado un problema horroroso con FDS y RHDS, q por mas q he preguntado a los expertos no sacan nada adelante y es el siguiente. Haz logrado q te cambien transparentemente el password de un usuario, desde la consola del Windows, con lo cual te cambia el password de windows y tambien el password del LDAP ? con OpenLDAP eso nunca me ha dado problemas con FDS/RHDS7 siempre se planta con un error diciendo q no pudo realizar el cambio, pero sin embargo si lo ha realizado. El log del FDS/RHDS dice algo sobre un atributo desconocido (userPassword) pero su log de error dice change attribute success y tengo una ventanita en el cliente windows diciendo q fallo el cambio (sin embargo este si se produjo) Yo nunca he ocupado FDS/RHDS7 pero ese userPassword es un atributo del directorio LDAP que mantiene la información de las cuentas de usuario. Deberías revisar la definición del esquema que estás usando en tu LDAP. Es sabido que un ADS no puede ser sustituido un 100% en Linux, solamente se puede configurar al Samba como PDC, un LDAP como almacén central de usuarios, equipos, grupos y demás, y Kerberos 5 (si se tiene estaciones Windows). Ahora bien, en el caso de Ubuntu se puede configurar el PAM para que se tire contra el LDAP, pero entonces el Samba se me queda fuera. Estuve buscando en Internet cómo configurar el PAM para que se tire contra un Samba PDC, pero nada, sólo veo los manuales que usan mucho el Winbind. Con otras distros he visto que es mucho más manejable que con Ubuntu. Si alguien ha estado en este dilema, ¿me pudiese dar una luz? Justo por eso te comentaba lo q esta lineas mas arriba. Al usar LDAP como mi almacen central de users y configuraciones, tb he querido integrar estaciones de trabajo Linux en la ensalada. Las dos maneras son las que tu comentas, usando Winbind, q vale si te vas a unir contra un Samba, un NT o un AD2000/2003, o LDAP q sirve cuando lo que tienes atras es un LDAP o un AD2000/2003 (condimentado con Services For Unix) Una cosa importante en esta ensalada es que los esquemas LDAP tienen que servir para almacenar información de ambos mundos: Linux y Windows. Hay esquemas para cada uno de ellos que deben ser incluidos en el LDAP. Almenos en OpenLDAP se hace así. Hay utilitarios para migrar passwd/shadow a LDAP. si usas winbind lo unico q este te proveera sera del user y password. Todos los demas atributos (uid, gid, home dir por citar los mas importantes) te los vas a tener q inventar desde la configuracion del smb.conf, para q el winbind los entregue a todos los usuarios por igual. Precisamente para no inventar es que se deben tener los esquemas adecuados. si usas LDAP sea contra OpenLDAP/FDS/RHDS o AD2000/2003 con las extensiones para Unix, el LDAP te proveera todos los parametros para los usuarios Linux. Justo lo que hablo más arriba. Saludos -- Hardy Beltran Monasterios Consultor e Instructor GNU/Linux LPI Certified (LPIC-1) / RedHat Certified (RHCE) http://www.hardy.com.bo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es