Re: [OT] Centralización de usuarios

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] Centralización de usuarios
From: Pablo JIMÉNEZ <pjimenez.cl@gmail.com>
Date: Mon, 7 Nov 2016 18:19:43 -0300
Message-id: <[🔎] 20161107211943.GC22720@emblema.mistral.lan.com>
Reply-to: Pablo JIMENEZ <pjimenez.cl@gmail.com>
In-reply-to: <[🔎] CA+dKmgFn3vBZF6hDnGZJxLOCX2stqHKcK6Xiss5M6pjgKuW6Cg@mail.gmail.com>
References: <[🔎] CA+dKmgHNk04m0RxFpdKv-j4Q3sjiPrvhezkF2S8z_OSUbLmU6g@mail.gmail.com> <[🔎] 20161107182558.GA22720@emblema.mistral.lan.com> <[🔎] CA+dKmgFy32f_MDDjp2WVugZmL914L2oP794t+nyyqvEyK1uVqA@mail.gmail.com> <[🔎] 20161107193008.GB22720@emblema.mistral.lan.com> <[🔎] CA+dKmgFn3vBZF6hDnGZJxLOCX2stqHKcK6Xiss5M6pjgKuW6Cg@mail.gmail.com>

On Mon, Nov 07, 2016 at 05:14:34PM -0300, Luis Enrique Araneda wrote:
> Pablo Jimenez!
> que gran aporte, de verdad muchas gracias, ahora apelando a su basta
> experiencia, me recomiendan el uso de este tipo de autenticación?, o
> prefieren el local?

¿Preguntas si recomiendo el uso de LDAP? Sí.

¿O preguntas si recomiendo el uso de sudo por LDAP v/s el uso de sudo 
local? Eso va a depender de ti. Obviamente, si vas a emplear LDAP para 
la autenticación, el agregar el schema para sudo no debiera ser costoso 
(será un mero extra en la instalación de LDAP) y podrás definir los 
atributos de los perfiles en un solo lugar (el servidor LDAP), en lugar 
de tener que modificar /etc/sudoers en cada servidor.

Ahora bien, ya que estás trabajando con CentOS, quizás puedas remediar 
la inconveniencia de modificar el /etc/sudoers local si usas Ansible (o 
Chef, cfengine, Puppet, etc.), pero eso dependerá de cómo pretendas 
trabajar. Por lo menos a mí, me resulta más atractiva la solución de 
tener la configuración de sudo en LDAP, pero quizás eso no resulte 
adecuado para tus servidores.

Otro punto al que debes prestar atención es a la configuración de la 
política de contraseñas y al uso de SSS. Si vas a emplear SSS, la 
política de contraseñas *debe* ser definida en LDAP y no en PAM:

https://www.centos.org/forums/viewtopic.php?t=59000
https://www.centos.org/docs/5/html/CDS/ag/8.0/User_Account_Management-Managing_the_Password_Policy.html
http://people.skolelinux.org/pere/blog/Caching_password__user_and_group_on_a_roaming_Debian_laptop.html
https://fedorahosted.org/sssd/

Además de lo anterior, te dejo el enlace al libro online de Zytrax 
dedicado a LDAP, te servirá como referencia para empezar:

http://www.zytrax.com/books/ldap/

Préstale especial atención al capítulo 5, en la sección «Securing the 
Directory», pues suele ser un punto que se pasa por alto habitualmente 
al instalar LDAP desde cero.

Saludos.

-- 
Pablo Jiménez

Reply to:

References:
- [OT] Centralización de usuarios
  - From: Luis Enrique Araneda <leacbass@gmail.com>
- Re: [OT] Centralización de usuarios
  - From: Pablo JIMÉNEZ <pjimenez.cl@gmail.com>
- Re: [OT] Centralización de usuarios
  - From: Luis Enrique Araneda <leacbass@gmail.com>
- Re: [OT] Centralización de usuarios
  - From: Pablo JIMÉNEZ <pjimenez.cl@gmail.com>
- Re: [OT] Centralización de usuarios
  - From: Luis Enrique Araneda <leacbass@gmail.com>

Prev by Date: Re: [OT] Centralización de usuarios
Next by Date: KDD Debian Sevilla 18 Nov [recordatorio]
Previous by thread: Re: [OT] Centralización de usuarios
Next by thread: KDD Debian Sevilla 18 Nov [recordatorio]
Index(es):
- Date
- Thread