El día 31 de julio de 2013 17:28, Angel Claudio Alvarez <an...@angel-alvarez.com.ar> escribió: > El Tue, 30 Jul 2013 17:09:11 -0500 > Hector Garcia <hectorogar...@gmail.com> escribió: ... >> Hola. >> ...
>> Siempre he tenido la duda: ¿para que querría alguien tener su >> estación de trabajo linux como miembro de un dominio AD, si, por >> definición no va a aplicar las políticas (gpo), atributos -o incluso >> actualizaciones de Windows Update- que le dicte el propio controlador >> del Active Directory?. >> > Simple : SSO > Si yo administro usuarios prefiero tener esa administracion centralizada, > Si tengo varios linux (de hecho tenemos cientos y miles de windows) no voy a > llevar la administracion de los usuarios en 2 repositorios diferentes (ldap y > AD) pudiendo tener todo en uno solo. Determino la politica de claves en un > solo lugar ( largo, complejidad, vencimiento, etc). Si ademas de linux tengo > otros *n*x lo mismo. estaba pensan > Hay varios productos que hacen esto, yo utilizo likewiseopen de > beyondtrust.com porque me resuelve el login desde cualquier plataforma ( > tenemos aix, solaris, linux y windows) > ... Hola Angel. Interesante. Fijate que, mientras leía tu post pensaba: "tiene mucha lógica, considerando que AD es mejor para administrar cuentas de usuario windows que..." ¡Zaz! me vino a la cabeza: las herramientas de las que mencionas aplican a cuentas de usuario, no de equipos!! Por lo tanto, se me escurren al teclado las siguientes ideas: * En cuestión de equipos, la mayor integración entre *nix y Active Directory que ve histo - y no necesariamente que sea lo único que exista- ha sido solo en recursos compartidos; y allí el único papel que cumple AD sería, que objeto AD tiene acceso a que recursos. * He visto implementaciones donde se asocia un usuario con un grupo de uno o mas equipos, y a partir de esa asociación se pueden definir políticas. Jamás he visto que esa asociación sea estricta entre el SID del equipo y el SID del usuario, siempre han sido del tipo: el usuario con tal SID puede administrar o usar -o cualquier verbo aplicable- el equipo con SID cual. * Si existen productos como likewiseopen, ¿existirá algún mecanismo eficaz para que un sistema *nix, lea y aplique GPO's desde un AD Windows? ¿Valdrá la pena?. Digo, GPO es, según mi apreciación, una de las más poderosas herramientas con que cuenta un sysadmin detrás de un entorno cuasi corporativo Windows. Simplemente creo que, en cierta medida, se pueden hacer más logros de seguridad u operatibilidad en un *nix, con diferentes niveles de acceso a configuraciones y recursos que, al final, podrán definir políticas muy complejas... Como que se me hace muy punto y aparte... Volviendo al tema, considerando que tienes una buena base de conocimiento instalada, posiblemente sería interesante compartir tu experiencia, aterrizando a la duda del OP ¿Si reinstalas un equipo *nix en tu entorno actual? ¿Pierdes el SID que le asigne el controlador del dominio Windows? ¿Te genera eso algún problema con las relaciones de confianza y políticas definidas para ése equipo, una vez que regresa al dominio? Esto es como un partido de póker en la tele: se pone interesante, aunque no le entienda ni jota a lo que pasa. Saludos -- Hector -- El Pic no pudo Iniciar correctamente. Inserte el disco de arranque y presione cualquier pin para continuar... Linux Registered User #467500 https://linuxcounter.net/user/467500.html -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACzWLTLH7jAENh2XVab7Pws0-GkChsK6qw6-VVaFWh_d=ow...@mail.gmail.com
