subject:"Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5"

Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5

2006-10-27 Por tema Guimi


Marcel Rodolfo Sanchez Gongora escribió:
Hola gente: 


Hola Marcel


(...)
...tenemos una red con más de 5000 PCs, todas conectadas a un único
DOMINIO, todas se unen y salen del mismo cuando lo deseen... 
Esto es simplemente porque el o los administradores de redes
determinaron que todas las cuentas podrían hacerlo así. 


Siento llegar tarde a una discusión que parece algo caliente, pero 
intentaré aportar un punto de vista sin ánimo de ofender a nadie.


Si bien es perfectamente posible que todos los usuarios unan y saquen 
máquinas de un dominio windows no es en general nada recomendable.
Quizá en algún sitio muy específico se encuentren ventajas (no se me 
ocurre ninguno), pero en general no es recomendable.


Para encontrar el porqué tendríamos que preguntarnos primero para qué 
queremos un dominio.
Básicamente se usan para validar usuarios y máquinas y gestionar políticas 
de seguridad y permisos en torno a ellos.
Por ejemplo (muy simplificado), en una escuela puede interesarme que los 
usuarios del grupo informaticos sea el único con permisos de 
instalación, el grupo administrativo acceda a determinados programas de 
contabilidad y admon, el grupo profesores acceda a otros programas 
distintos de aprendizaje y además pueda leer todas las carpetas de los 
trabajos de los alumnos y el grupo alumnos tenga acceso a los mismos 
programas que los profesores pero no puedan leer las carpetas de los 
compañeros para no copiarse las prácticas.
Además podría filtrar la salida a internet, los protocolos permitidos, las 
impresoras que cada grupo puede utilizar, podría establecer cuotas y 
horarios de uso, etc.


Si cualquiera puede unir y sacar máquinas del dominio y, por tanto, 
modificar políticas de seguridad y acceso en cada máquina se pierde ese 
control y básicamente (con lo poco que conozco de tu caso) me da la 
sensación de que los administradores no tienen nada claro qué es lo que 
quieren ni para qué usar el dominio.


Otro ejemplo sencillo: en algunos sitios donde colaboro, tienen muchas 
subredes interconectadas, solo pueden conectar con otras redes y salir a 
internet los usuarios del dominio desde máquinas validadas en el dominio. 
Por tanto si alguien viene con un disco a reinstalar todo el sistema en 
una máquina poco vigilada:

1.- No podrá unirse al dominio (solo los admins pueden)
2.- No podrá salir de su subred
-- El daño que puede causar es relativamente pequeño

Si cualquiera puede unir y sacar máquinas, cualquiera puede:
1.- Reinstalar un sistema y hacerse administrador de la máquina
2.- Unir la máquina al dominio manteniéndose como administrador local de 
la máquina

3.- Empezar a causar daño

Así que resumiendo:
- No parece una política lógica crear un dominio donde 5000 PCs (y 
seguramente más de 5000 usuarios) puede entrar y salir como les viene en 
gana (¿para qué usan el dominio? ¿es un dominio lo que más les interesa? 
¿tienen claro qué es lo que desean hacer?)
- En buena práctica, antes de hacer uno o varios dominios conviene 
plantearse ¿qué deseo hacer con él?
- En buena práctica los permisos deben darse por perfiles y asignarlos 
solo a gente que realmente los necesita (¿los +5000 usuarios saben unir y 
quitar máquinas del dominio? ¿lo hacen los +5000? ¿saben lo que significa? 
¿les sirve para algo a los +5000?)


Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]

Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5

2006-10-26 Por tema Marcel Rodolfo Sanchez Gongora

El sáb, 21-10-2006 a las 18:48 -0300, Angel Claudio Alvarez escribió: 
 El sáb, 21-10-2006 a las 15:13 -0400, Marcel Rodolfo Sanchez Gongora
 escribió:
  El sáb, 21-10-2006 a las 11:15 -0300, Angel Claudio Alvarez escribió:
   El vie, 20-10-2006 a las 23:49 -0400, Marcel Rodolfo Sanchez Gongora
   escribió:
No soy ni he sido administrador de red, pero te pongo el ejemplo
particular; tenemos una red con más de 5000 PCs, todas conectadas a un
único DOMINIO, todas se unen y salen del mismo cuando lo deseen y nunca
     
ha existido problema alguno. Podrías ayudarme en mi ignorancia y
explicarme por qué comentas que es una locura, quizás le sirva de ayuda
a alguien más que no lo sabe como yo.

   Me parece que no tenes en claro el tema de union a un dominio
  Me parece que en el correo anterior aclaré: No soy, ni he sido
  administrador de red..., ...Podrías ayudarme en mi ignorancia...
  
 
   Unir una maquina a un dominio significa que el controlador de dominio le
   asigna un SID a la maquina (que es unico para ese dominio) y para eso es
   necesario que el administrador del dominio o alguien delegado por el él
   lo hagan explicitamente
  En qué momento te discutí esto, simplemente te dije que pueden salir
  o entrar cuando lo deseen porque ese alguien delegado del que hablas son
  todos los usuarios del dominio.
  
 Vos me estas tomando el pelo???
 http://lists.debian.org/debian-user-spanish/2006/10/msg00926.html
 
 Por favor, antes de opinar documentate, tu refutacion ( completamente
 errada) queda como solucion a disposicion de quien la encuentre
 
 Una cosa es unir (join) una maquina a un dominio y OTRA MUY DISTINTA es
 iniciar sesion ( login) en un dominio
  
  Muchas gracias por la respuesta.
 
 EOT
 
Hola gente: 
Respecto a la solución que intenté dar sobre este hecho voy hacer
algunas aclaraciones que HE DEMOSTRADO YA pues gracias a que dicha
solución no la había creado yo y a los insistentes correos del SEÑOR
admin de redes Angel Claudio Alvarez refutándome lo que había enviado
yo, me dispuse a probarla en las condiciones específicas que tenemos
aquí. No lo envié diciendo que funcionaria en todas las redes,
simplemente dije y repito: 
...tenemos una red con más de 5000 PCs, todas conectadas a un único
DOMINIO, todas se unen y salen del mismo cuando lo deseen... 
Esto es simplemente porque el o los administradores de redes
determinaron que todas las cuentas podrían hacerlo así. 

Demostración que será la aclaración práctica:

[EMAIL PROTECTED] net ads join --debuglevel=10 -U mrsanchez
bla, bla,
bla, bla, bla,
bla
Joined 'JAVAPROM' to realm 'MIDOMINIO.CU'
[2006/10/26 09:24:41, 2] utils/net.c:main(878)
  return code = 0
[EMAIL PROTECTED] net rpc testjoin -S MIPDC
Join to 'MIDOMINIO' is OK
[EMAIL PROTECTED]
[EMAIL PROTECTED] wbinfo -u |grep javaprom
[EMAIL PROTECTED]
[EMAIL PROTECTED]

Saludos

No quedando más que decir creo que ahora si 
[EOT]
-- 
Marcel Sánchez Góngora 
Debian Etch GNU/Linux 
Linux User #382151 
Est. III año 
Universidad de las Ciencias Informáticas 
Lo esencial es invisible para los ojos... 


signature.asc
Description: Esta parte del mensaje está firmada	digitalmente

Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5

2006-10-26 Por tema Javier Debian - BBca - AR


Estimado Marcel:
De todo lo que he estado leyendo en el hilo por mí generado, creo que eres 
la persona que me podría llegar a dar una punta del ovillo que estoy 
tratando de desenmarañar.
Sigo sin poder unirme al Directorio Activo del maldito Windows NT2003, pero 
sí me he podido unir al dominio.

Paso a detallar las salidas de consola que tengo.
Espero que si tienen tiempo de analizarla, me des una ayuda para hacerle 
entender a los administradores de la red qué es lo que tienen que hacer en 
qué utilitario de NT2003 para que yo pueda sumarme al dominio, y no tener 
los problemas de acceso a algunos recursos que actualmente tengo.
No puedo acceder a los recursos de máquinas con NT2000, NT2003 y XP; con las 
Win98 y WinMe no hay problemas. Esto asumo es porque las primeras utilizan 
ADS en forma intensiva, mientras que las segundas sólo pertenecen al 
dominio.

Desde ya, muchas gracias.

--
Mi máquina es BBCAWS91 (Bahía Blanca Work Station 91)
Mi usuario es BBCAU5 (Bahía Blanca User 5).
Mi dominio Windows es NET.
Mi reino Active Directory es EGSML.NET (EGSML es la sigla de la empresa).
El kdc local es EGSMLSV7 (Server 7).
El admin_server (a 700 km de distancia) es EGSMLSV1 (Server 1).

--
Obtengo mi ticket kerberos en forma perfecta y sin inconvenientes:

BBCAWS91:~# kinit -A bbcau5
Password for [EMAIL PROTECTED]:
BBCAWS91:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [EMAIL PROTECTED]

Valid starting ExpiresService principal
10/26/06 15:24:54  10/27/06 01:24:59  krbtgt/[EMAIL PROTECTED]
   renew until 10/27/06 15:24:54


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

--
Pruebo mi pertenencia al dominio NT:

BBCAWS91:~# net rpc testjoin
Join to 'NET' is OK

--
Intento infructuosamente unirme al reino NT2003:

BBCAWS91:~# net ads join --debuglevel=10 -U bbcau5
[2006/10/26 15:26:32, 5] lib/debug.c:debug_dump_status(368)
 INFO: Current debug levels:
   all: True/10
   tdb: False/0
   printdrivers: False/0
   lanman: False/0
   smb: False/0
   rpc_parse: False/0
   rpc_srv: False/0
   rpc_cli: False/0
   passdb: False/0
   sam: False/0
   auth: False/0
   winbind: False/0
   vfs: False/0
   idmap: False/0
   quota: False/0
   acls: False/0
   locking: False/0
   msdfs: False/0
[2006/10/26 15:26:32, 3] param/loadparm.c:lp_load(4207)
 lp_load: refreshing parameters
[2006/10/26 15:26:32, 3] param/loadparm.c:init_globals(1393)
 Initialising global parameters
[2006/10/26 15:26:32, 3] param/params.c:pm_process(574)
 params.c:pm_process() - Processing configuration file 
/etc/samba/smb.conf

[2006/10/26 15:26:32, 3] param/loadparm.c:do_section(3662)
 Processing section [global]
 doing parameter workgroup = NET
 doing parameter realm = EGSML.NET
 doing parameter server string = %h Debian Linux (etch) (Samba %v)
 doing parameter security = ADS
 doing parameter update encrypted = Yes
 doing parameter obey pam restrictions = Yes
 doing parameter password server = 10.115.1.201 10.1.0.231
 doing parameter passdb backend = tdbsam
 doing parameter passwd program = /usr/bin/passwd %u
 doing parameter passwd chat = *Enter\snew\sUNIX\spassword:* %n\n 
*Retype\snew\sUNIX\spassword:* %n\n  *password\supdated\ssuccessfully* .

 doing parameter use kerberos keytab = Yes
 doing parameter syslog = 0
 doing parameter log file = /var/log/samba/log.%m
 doing parameter max log size = 1000
 doing parameter announce as = NT Workstation
 doing parameter server signing = auto
 doing parameter domain logons = Yes
 doing parameter os level = 0
 doing parameter preferred master = No
 doing parameter local master = No
 doing parameter domain master = No
 doing parameter dns proxy = No
 doing parameter wins server = 10.1.0.203, 10.1.12.201
 doing parameter ldap ssl = no
 doing parameter panic action = /usr/share/samba/panic-action %d
 doing parameter winbind separator = +
 doing parameter invalid users = root
[2006/10/26 15:26:32, 4] param/loadparm.c:lp_load(4238)
 pm_process() returned Yes
[2006/10/26 15:26:32, 7] param/loadparm.c:lp_servicenumber(4351)
 lp_servicenumber: couldn't find homes
[2006/10/26 15:26:32, 10] param/loadparm.c:set_server_role(4171)
 set_server_role: role = ROLE_DOMAIN_PDC
[2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(103)
 Attempting to register new charset UCS-2LE
[2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(111)
 Registered charset UCS-2LE
[2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(103)
 Attempting to register new charset UTF-16LE
[2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(111)
 Registered charset UTF-16LE
[2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(103)
 Attempting to register new charset UCS-2BE
[2006/10/26 15:26:32, 5] lib/iconv.c:smb_register_charset(111)
 Registered charset UCS-2BE

Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5

Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5

Re: Unir terminal linux Debian etch aDirectorioActivodeWindowsNT2003 con Kerberos 5

3 matches

Site Navigation

Mail list logo

Footer information