[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Regresar a Debian básico

El día 31 de julio de 2013 17:28, Angel Claudio Alvarez
<angel@angel-alvarez.com.ar> escribió:
> El Tue, 30 Jul 2013 17:09:11 -0500
> Hector Garcia <hectorogarcia@gmail.com> escribió:
...
>> Hola.
>>
...

>> Siempre he tenido la duda: ¿para que querría alguien tener  su
>> estación de trabajo linux como miembro de un  dominio AD, si, por
>> definición no va a aplicar las políticas (gpo), atributos -o incluso
>> actualizaciones de Windows Update- que le dicte el propio controlador
>> del Active Directory?.
>>
> Simple : SSO
> Si yo administro usuarios prefiero tener esa administracion centralizada,
> Si tengo varios linux (de hecho tenemos cientos y miles de windows) no voy a llevar la administracion de los usuarios en 2 repositorios diferentes (ldap y AD) pudiendo tener todo en uno solo. Determino la politica de claves en un solo lugar ( largo, complejidad, vencimiento, etc). Si ademas de linux tengo otros *n*x lo mismo. estaba pensan
> Hay varios productos que hacen esto, yo utilizo likewiseopen de beyondtrust.com porque me resuelve el login desde cualquier plataforma ( tenemos aix, solaris, linux y windows)
>
...
Hola Angel.
Interesante.

Fijate que, mientras leía tu post pensaba: "tiene mucha lógica,
considerando que AD es mejor para administrar cuentas de usuario
windows que..."
¡Zaz! me vino a la cabeza: las herramientas de las que mencionas
aplican a cuentas de usuario, no de equipos!!

Por lo tanto, se me escurren al teclado las siguientes ideas:
* En cuestión de equipos, la mayor integración entre *nix y Active
Directory que ve histo - y no necesariamente que sea lo único que
exista- ha sido solo en recursos compartidos; y allí el único papel
que cumple AD sería, que objeto AD tiene acceso a que recursos.

* He visto implementaciones donde se asocia un usuario con un grupo de
uno o mas equipos, y a partir de esa asociación se pueden definir
políticas. Jamás he visto que esa asociación sea estricta entre el SID
del equipo y el SID del usuario, siempre han sido del tipo: el usuario
con tal SID puede administrar o usar -o cualquier verbo aplicable- el
equipo con SID cual.

* Si existen productos como likewiseopen, ¿existirá algún mecanismo
eficaz para que un sistema *nix, lea y aplique GPO's desde un AD
Windows? ¿Valdrá la pena?. Digo, GPO es, según mi apreciación, una de
las más poderosas herramientas con que cuenta un sysadmin detrás de un
entorno cuasi corporativo Windows. Simplemente creo que, en cierta
medida, se pueden hacer más logros de seguridad u operatibilidad en un
*nix, con diferentes niveles de acceso a configuraciones y recursos
que, al final, podrán definir políticas muy complejas... Como que se
me hace muy punto y aparte...

Volviendo al tema, considerando que tienes una buena base de
conocimiento instalada, posiblemente sería interesante compartir tu
experiencia, aterrizando a la duda del OP ¿Si reinstalas un equipo
*nix en tu entorno actual? ¿Pierdes el SID que le asigne el
controlador del dominio Windows? ¿Te genera eso algún problema con las
relaciones de confianza y políticas definidas para ése equipo, una vez
que regresa al dominio?

Esto es como un partido de póker en la tele: se pone interesante,
aunque no le entienda ni jota a lo que pasa.

Saludos

-- 
Hector
--
El Pic no pudo Iniciar correctamente.
Inserte el disco de arranque y presione cualquier pin para continuar...

Linux Registered User #467500
https://linuxcounter.net/user/467500.html
Reply to: