[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Sobre usuarios y grupos en LDAP

Hola.

Imaginemos que tenemos un servidor Debian con OpenLDAP para
administración centralizada de usuarios y grupos, y por otra parte
varias estaciones de trabajo con Debian, Ubuntus e incluso otras
distribuciones que se autentican con libpam-ldap y tal.

Mi pregunta es sobre los grupos de sistema, ¿tendría alguna lógica
meter los grupos como "audio", "video", "admin", "adm", "lpadmin", etc
en el LDAP en vez de existir grupos locales en cada máquina?

Entiendo que no puesto que cada distro usa sus propios grupos y sería
un caos, pero en el caso de querer que un usuario se pueda loguear en
varias máquinas, ¿cómo hacer elegantemente que pertenezca a los grupos
imprescindibles como "audio", "video", "plugdev", etc...? porque
claro, tener que ingresar en cada máquina como root y añadir usuarios
LDAP a los grupos locales como que puede ser infernal y tedioso (no
quiero ni imaginarlo en redes con muchos equipos).

En este punto pregunto también cómo se hace esto en las redes de
Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios
pertenecer a tantos grupos como en Linux para funcionar mínimamente en
las estaciones de trabajo? ¿están esos grupos en el dominio o en cada
máquina?

Supongo que también se puede hacer la "ñapa" de crear en cada Linux
primero el usuario local y en la propia instalación se añade a grupos
de sistema, y luego configurar libpam-ldap para que busque primero en
LDAP y encuentre el usuario y lo "sustituya" y así los grupos locales
siguen incluyendo a ese usuario (aunque esté en el LDAP).


Por último, ¿no os parece que el hecho de que un usuario o grupo en
Linux esté determinado por un uid (o gid) y a la vez también por su
nombre es poco eficiente? porque claro, hay sitios en los que hay que
referirse (o es posible) al grupo por nombre (ej: adduser pepito
grupo_usuarios) pero otros sitios en los que hay que poner el gid (en
/etc/group por ejemplo). Vamos, que sería como una clave compuesta en
la que ninguno de sus campos (uid y name) pueden ser repetidos.


Saludos.
Reply to: