Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5
Marcel Rodolfo Sanchez Gongora escribió: Hola gente: Hola Marcel (...) ...tenemos una red con más de 5000 PCs, todas conectadas a un único DOMINIO, todas se unen y salen del mismo cuando lo deseen... Esto es simplemente porque el o los administradores de redes determinaron que todas las cuentas podrían hacerlo así. Siento llegar tarde a una discusión que parece algo caliente, pero intentaré aportar un punto de vista sin ánimo de ofender a nadie. Si bien es perfectamente posible que todos los usuarios unan y saquen máquinas de un dominio windows no es en general nada recomendable. Quizá en algún sitio muy específico se encuentren ventajas (no se me ocurre ninguno), pero en general no es recomendable. Para encontrar el porqué tendríamos que preguntarnos primero para qué queremos un dominio. Básicamente se usan para validar usuarios y máquinas y gestionar políticas de seguridad y permisos en torno a ellos. Por ejemplo (muy simplificado), en una escuela puede interesarme que los usuarios del grupo informaticos sea el único con permisos de instalación, el grupo administrativo acceda a determinados programas de contabilidad y admon, el grupo profesores acceda a otros programas distintos de aprendizaje y además pueda leer todas las carpetas de los trabajos de los alumnos y el grupo alumnos tenga acceso a los mismos programas que los profesores pero no puedan leer las carpetas de los compañeros para no copiarse las prácticas. Además podría filtrar la salida a internet, los protocolos permitidos, las impresoras que cada grupo puede utilizar, podría establecer cuotas y horarios de uso, etc. Si cualquiera puede unir y sacar máquinas del dominio y, por tanto, modificar políticas de seguridad y acceso en cada máquina se pierde ese control y básicamente (con lo poco que conozco de tu caso) me da la sensación de que los administradores no tienen nada claro qué es lo que quieren ni para qué usar el dominio. Otro ejemplo sencillo: en algunos sitios donde colaboro, tienen muchas subredes interconectadas, solo pueden conectar con otras redes y salir a internet los usuarios del dominio desde máquinas validadas en el dominio. Por tanto si alguien viene con un disco a reinstalar todo el sistema en una máquina poco vigilada: 1.- No podrá unirse al dominio (solo los admins pueden) 2.- No podrá salir de su subred -- El daño que puede causar es relativamente pequeño Si cualquiera puede unir y sacar máquinas, cualquiera puede: 1.- Reinstalar un sistema y hacerse administrador de la máquina 2.- Unir la máquina al dominio manteniéndose como administrador local de la máquina 3.- Empezar a causar daño Así que resumiendo: - No parece una política lógica crear un dominio donde 5000 PCs (y seguramente más de 5000 usuarios) puede entrar y salir como les viene en gana (¿para qué usan el dominio? ¿es un dominio lo que más les interesa? ¿tienen claro qué es lo que desean hacer?) - En buena práctica, antes de hacer uno o varios dominios conviene plantearse ¿qué deseo hacer con él? - En buena práctica los permisos deben darse por perfiles y asignarlos solo a gente que realmente los necesita (¿los +5000 usuarios saben unir y quitar máquinas del dominio? ¿lo hacen los +5000? ¿saben lo que significa? ¿les sirve para algo a los +5000?) Saludos Güimi http://guimi.net -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5
El sáb, 21-10-2006 a las 18:48 -0300, Angel Claudio Alvarez escribió: El sáb, 21-10-2006 a las 15:13 -0400, Marcel Rodolfo Sanchez Gongora escribió: El sáb, 21-10-2006 a las 11:15 -0300, Angel Claudio Alvarez escribió: El vie, 20-10-2006 a las 23:49 -0400, Marcel Rodolfo Sanchez Gongora escribió: No soy ni he sido administrador de red, pero te pongo el ejemplo particular; tenemos una red con más de 5000 PCs, todas conectadas a un único DOMINIO, todas se unen y salen del mismo cuando lo deseen y nunca ha existido problema alguno. Podrías ayudarme en mi ignorancia y explicarme por qué comentas que es una locura, quizás le sirva de ayuda a alguien más que no lo sabe como yo. Me parece que no tenes en claro el tema de union a un dominio Me parece que en el correo anterior aclaré: No soy, ni he sido administrador de red..., ...Podrías ayudarme en mi ignorancia... Unir una maquina a un dominio significa que el controlador de dominio le asigna un SID a la maquina (que es unico para ese dominio) y para eso es necesario que el administrador del dominio o alguien delegado por el él lo hagan explicitamente En qué momento te discutí esto, simplemente te dije que pueden salir o entrar cuando lo deseen porque ese alguien delegado del que hablas son todos los usuarios del dominio. Vos me estas tomando el pelo??? http://lists.debian.org/debian-user-spanish/2006/10/msg00926.html Por favor, antes de opinar documentate, tu refutacion ( completamente errada) queda como solucion a disposicion de quien la encuentre Una cosa es unir (join) una maquina a un dominio y OTRA MUY DISTINTA es iniciar sesion ( login) en un dominio Muchas gracias por la respuesta. EOT Hola gente: Respecto a la solución que intenté dar sobre este hecho voy hacer algunas aclaraciones que HE DEMOSTRADO YA pues gracias a que dicha solución no la había creado yo y a los insistentes correos del SEÑOR admin de redes Angel Claudio Alvarez refutándome lo que había enviado yo, me dispuse a probarla en las condiciones específicas que tenemos aquí. No lo envié diciendo que funcionaria en todas las redes, simplemente dije y repito: ...tenemos una red con más de 5000 PCs, todas conectadas a un único DOMINIO, todas se unen y salen del mismo cuando lo deseen... Esto es simplemente porque el o los administradores de redes determinaron que todas las cuentas podrían hacerlo así. Demostración que será la aclaración práctica: [EMAIL PROTECTED] net ads join --debuglevel=10 -U mrsanchez bla, bla, bla, bla, bla, bla Joined 'JAVAPROM' to realm 'MIDOMINIO.CU' [2006/10/26 09:24:41, 2] utils/net.c:main(878) return code = 0 [EMAIL PROTECTED] net rpc testjoin -S MIPDC Join to 'MIDOMINIO' is OK [EMAIL PROTECTED] [EMAIL PROTECTED] wbinfo -u |grep javaprom [EMAIL PROTECTED] [EMAIL PROTECTED] Saludos No quedando más que decir creo que ahora si [EOT] -- Marcel Sánchez Góngora Debian Etch GNU/Linux Linux User #382151 Est. III año Universidad de las Ciencias Informáticas Lo esencial es invisible para los ojos... signature.asc Description: Esta parte del mensaje está firmada digitalmente
Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5
Estimado Marcel: De todo lo que he estado leyendo en el hilo por mí generado, creo que eres la persona que me podría llegar a dar una punta del ovillo que estoy tratando de desenmarañar. Sigo sin poder unirme al Directorio Activo del maldito Windows NT2003, pero sí me he podido unir al dominio. Paso a detallar las salidas de consola que tengo. Espero que si tienen tiempo de analizarla, me des una ayuda para hacerle entender a los administradores de la red qué es lo que tienen que hacer en qué utilitario de NT2003 para que yo pueda sumarme al dominio, y no tener los problemas de acceso a algunos recursos que actualmente tengo. No puedo acceder a los recursos de máquinas con NT2000, NT2003 y XP; con las Win98 y WinMe no hay problemas. Esto asumo es porque las primeras utilizan ADS en forma intensiva, mientras que las segundas sólo pertenecen al dominio. Desde ya, muchas gracias. -- Mi máquina es BBCAWS91 (Bahía Blanca Work Station 91) Mi usuario es BBCAU5 (Bahía Blanca User 5). Mi dominio Windows es NET. Mi reino Active Directory es EGSML.NET (EGSML es la sigla de la empresa). El kdc local es EGSMLSV7 (Server 7). El admin_server (a 700 km de distancia) es EGSMLSV1 (Server 1). -- Obtengo mi ticket kerberos en forma perfecta y sin inconvenientes: BBCAWS91:~# kinit -A bbcau5 Password for [EMAIL PROTECTED]: BBCAWS91:~# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [EMAIL PROTECTED] Valid starting ExpiresService principal 10/26/06 15:24:54 10/27/06 01:24:59 krbtgt/[EMAIL PROTECTED] renew until 10/27/06 15:24:54 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached -- Pruebo mi pertenencia al dominio NT: BBCAWS91:~# net rpc testjoin Join to 'NET' is OK -- Intento infructuosamente unirme al reino NT2003: BBCAWS91:~# net ads join --debuglevel=10 -U bbcau5 [2006/10/26 15:26:32, 5] lib/debug.c:debug_dump_status(368) INFO: Current debug levels: all: True/10 tdb: False/0 printdrivers: False/0 lanman: False/0 smb: False/0 rpc_parse: False/0 rpc_srv: False/0 rpc_cli: False/0 passdb: False/0 sam: False/0 auth: False/0 winbind: False/0 vfs: False/0 idmap: False/0 quota: False/0 acls: False/0 locking: False/0 msdfs: False/0 [2006/10/26 15:26:32, 3] param/loadparm.c:lp_load(4207) lp_load: refreshing parameters [2006/10/26 15:26:32, 3] param/loadparm.c:init_globals(1393) Initialising global parameters [2006/10/26 15:26:32, 3] param/params.c:pm_process(574) params.c:pm_process() - Processing configuration file /etc/samba/smb.conf [2006/10/26 15:26:32, 3] param/loadparm.c:do_section(3662) Processing section [global] doing parameter workgroup = NET doing parameter realm = EGSML.NET doing parameter server string = %h Debian Linux (etch) (Samba %v) doing parameter security = ADS doing parameter update encrypted = Yes doing parameter obey pam restrictions = Yes doing parameter password server = 10.115.1.201 10.1.0.231 doing parameter passdb backend = tdbsam doing parameter passwd program = /usr/bin/passwd %u doing parameter passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* . doing parameter use kerberos keytab = Yes doing parameter syslog = 0 doing parameter log file = /var/log/samba/log.%m doing parameter max log size = 1000 doing parameter announce as = NT Workstation doing parameter server signing = auto doing parameter domain logons = Yes doing parameter os level = 0 doing parameter preferred master = No doing parameter local master = No doing parameter domain master = No doing parameter dns proxy = No doing parameter wins server = 10.1.0.203, 10.1.12.201 doing parameter ldap ssl = no doing parameter panic action = /usr/share/samba/panic-action %d doing parameter winbind separator = + doing parameter invalid users = root [2006/10/26 15:26:32, 4] param/loadparm.c:lp_load(4238) pm_process() returned Yes [2006/10/26 15:26:32, 7] param/loadparm.c:lp_servicenumber(4351) lp_servicenumber: couldn't find homes [2006/10/26 15:26:32, 10] param/loadparm.c:set_server_role(4171) set_server_role: role = ROLE_DOMAIN_PDC [2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(103) Attempting to register new charset UCS-2LE [2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(111) Registered charset UCS-2LE [2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(103) Attempting to register new charset UTF-16LE [2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(111) Registered charset UTF-16LE [2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(103) Attempting to register new charset UCS-2BE [2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(111) Registered charset UCS-2BE