Re: Sobre usuarios y grupos en LDAP
Hola.
Iñaki Baz Castillo wrote:
> Mi pregunta es sobre los grupos de sistema, ¿tendría alguna lógica
> meter los grupos como "audio", "video", "admin", "adm", "lpadmin", etc
> en el LDAP en vez de existir grupos locales en cada máquina?
> Entiendo que no puesto que cada distro usa sus propios grupos y sería
> un caos, pero en el caso de querer que un usuario se pueda loguear en
> varias máquinas, ¿cómo hacer elegantemente que pertenezca a los grupos
> imprescindibles como "audio", "video", "plugdev", etc...? porque
> claro, tener que ingresar en cada máquina como root y añadir usuarios
> LDAP a los grupos locales como que puede ser infernal y tedioso (no
> quiero ni imaginarlo en redes con muchos equipos).
No sé si será algo lógico hacer lo que planteas. Yo sé que para evitar
lo que comentas de distintos gid según la distribución se puede
modificar el gid de los grupos para que sea común a todas las máquinas.
>
> En este punto pregunto también cómo se hace esto en las redes de
> Microsoft con ActiveDirectory y tal, ¿necesitan los usuarios
> pertenecer a tantos grupos como en Linux para funcionar mínimamente en
> las estaciones de trabajo? ¿están esos grupos en el dominio o en cada
> máquina?
No entiendo muy bien la pregunta... ¿Te refieres a máquinas GNU/Linux
integradas en AD?
>
> Supongo que también se puede hacer la "ñapa" de crear en cada Linux
> primero el usuario local y en la propia instalación se añade a grupos
> de sistema, y luego configurar libpam-ldap para que busque primero en
> LDAP y encuentre el usuario y lo "sustituya" y así los grupos locales
> siguen incluyendo a ese usuario (aunque esté en el LDAP).
El problema de esto es lo que ya has comentado: En lugares con muchas
estaciones de trabajo puede ser algo muy tedioso o casi inalcanzable...
>
>
> Por último, ¿no os parece que el hecho de que un usuario o grupo en
> Linux esté determinado por un uid (o gid) y a la vez también por su
> nombre es poco eficiente? porque claro, hay sitios en los que hay que
> referirse (o es posible) al grupo por nombre (ej: adduser pepito
> grupo_usuarios) pero otros sitios en los que hay que poner el gid (en
> /etc/group por ejemplo). Vamos, que sería como una clave compuesta en
> la que ninguno de sus campos (uid y name) pueden ser repetidos.
Yo no le veo ningún problema. De hecho el nombre de grupo no es más que
una forma de entender "como humanos" el GID que le pasamos al sistema.
Todo nombre de grupo tiene asignado su GID y por tanto no debería ser un
problema... pero vamos... que esta es mi opinión :-)
Saludos
<DIV><FONT size="1">
============================================================================
This e-mail message and any attached files are intended SOLELY for the addressee/s identified
herein. It may contain CONFIDENTIAL and/or LEGALLY PRIVILEGED information and may not
necessarily represent the opinion of this company. If you receive this message in ERROR,
please immediately notify the sender and DELETE it since you ARE NOT AUTHORIZED to use,
disclose, distribute, print or copy all or part of the contained information. Thank you.
============================================================================
</FONT></DIV>
Reply to: