Barrapunto

A modo de respuesta engancharé un comentario que cree para los foros de Kriptopolis, una duda que hace tiempo que me ronda y nadie ha sabido responderme bien hasta el momento:
Des de hace ya mucho tiempo vengo leyendo comentarios sobre "Linux en la empresa" y, lejos de querer criticarlos, tengo una serie de dudas que espero alguien sepa contestar.

Para poneros en antecedentes, llevo como 13 años dedicandome a la administración de sistemas, siempre en sistemas Microsoft (desde NT 3.5 a la actualidad, 2003) y he visto el nacimiento y evolución del Directorio Activo (plagio vil y descarado de la NDS de Novell, pero que funciona a las mil maravillas) y me he dejado las pestañas estructurando OUs, GPOs, etc..

Mi gran duda como administrador de sistemas es la siguiente:
- En una red Linux, ¿como se gestionan los usuarios y grupos? Es decir, me consta que Linux no tiene nada tan potente como el DA o la NDS (si bien podemos implantar Novell sobre Linux o trabajar con Samba para emular un DA) pero de base desconozco si hay algo que me de la facilidad de gestión que me dan ambos. Una estructura en arbol clara de entender y organizar, tanto a efectos de usuarios como de permisos, eso es a lo que me he acostumbrado.

He de reconocer que he trabajado bastante poco en temas de permisos en linux y creo recordar que con chmod no podias mas que tocar los permisos del usuario, grupo y "otros" (lo que no me da mucho juego en una empresa con depto. de explotación, preproducción, postproducción, administración, RRHH y un largo etc..)

Ahora bien, si tu eres capaz de explicarme como tal vez entendamos porqué las empresas siguen necesitando Windows, el motivo es que no hay (o no se conoce) un motor nativo de infraestructura de red como el DA en *Nix

Que te parece e X.500 http://en.wikipedia.org/wiki/X.500 [wikipedia.org] o el LDAP http://en.wikipedia.org/wiki/Lightweight_Directory _Access_Protocol [wikipedia.org] ?

No soy un experto en este tema, pero creo que esto que comentas tiene que ver con que el sistema de ficheros soporte listas de control de acceso (ACL)
Por ejemplo Ext3 las soporta, pudiendo de esta forma dar permiso de lectura/escritura/ejecución a uno o varios usuarios individuales y/o a uno o varios grupos. Supongo que existirán sistemas de ficheros con permisos mas flexibles, pero me sacas de ext3 y reiserfs y ya me pierdo :D

Si luego quieres compartir los recursos en red, en Samba se puede activar el soporte de ACL.

Do not feed the troll... pero no me puedo resistir.

La respuesta obvia es LDAP [debian.org]. Si no te atreves a montarlo por tu cuenta o eres de los que prefieres los productos en su caja, con un nombre de marca en el frontal y su etiqueta de precio, se lo puedes comprar a redhat [redhat.com]. (Probablemente Suse, mandriva y otros tienen cosas similares, pero no las conozco de primera mano)

Solaris/Opensolaris también lo trae de forma nativa.

En cuanto a lo de los permisos, hace ya algunos años que tanto Linux como Solaris tienen ACLs.

Y el motivo por el que las empresas siguen necesitando windows tiene mucho mas que ver con factores como la resistencia al cambio en servidores y la compatibilidad con aplicaciones de escritorio (lease MS Office y engendros a medida programados en VB).

El active directory es en muchas empresas sencillamente insustituible, pues montar un sistema de autenticación, gestión remota de equipos de escritorio equivalente requeriria de administradores de sistemas dedicados exclusivamente a esta tarea. Esto en ciertas empresas muy grandes puede ser posible, pero en pymes o pequeñas oficinas no lo es. Dado que existe una plataforma (AD) que permite que un solo administrador gestione toda la red (y sin dedicar todo su tiempo a ello) es normal que haya mucha gente que se decante por ella. Yo soy muy partidario del software libre y de linux, pero cuando se trata de sacar el trabajo adelante hay que saber elegir la opción que mejor se ajusta a la empresa en la que trabajas, si no puedes dedicarte a una perfecta configuración de seguridad de LDAP+SAMBA+lo que sea te puedes ver con problemas de seguridad en tu red de los que después te tienes que responsabilizar. Así que al igual que yo elegí AD entiendo que en otros muchos lugares también se use.

Claro que lo hay, si bien es cierto que el grado de integración (o al menos conseguir el mismo grado de integración no es fácil).

Muchos piensan que el DA es un gran invento, como si hubiera sido de Microsoft. Y otros, como tú, llegan a admitir que se trata de una copia de NDS de Novell. Pero las cosas no son así. DA no hace sino integrar una serie de tecnologías estándar modificadas para garantizar la incompatibilidad con las tecnologías originales.

Para empezar DA está montado sobre LDAP. Y es indudable que existen LDAP en Linux donde almacenar toda la información sobre la red de la organización. DA utilizar una especie de kerberos modificado para la autenticación de los usuarios. Y es indudable que existen servidores y clientes de kerberos en Linux para centralizar la autenticación.

Como bien has dicho samba se puede combinar con ambos para montar servidores de archivo y de impresión. Lo más complejo es encontrar otros servicios ldapizables (hay dns, pero el dhcp, al menos hasta hacer unos años, es bastante más complejo). Una vez montando todo sólo hace falta tener una buena interfaz para gestionarlo, para lo cual hay varias.

Es tan fácil como DA. pues no. Requiere su trabajo porque no hay el mismo grado de integración al ser todos los componentes proyectos diferentes. Pero montarlo es factible.

Aunque te habran respondido la solucion no es trivial.

Autentificacion: Kerberos
Perfil Usuario (configuracion correo, perfil, cuentas ftp, etc): Ldap
GPO: Si son configuraciones de windows solo con samba4, si quieres hacer lo mismo con maquinas linux existen configuraciones como kiosk para kde.

Con samba4 tambien tienes los cinco roles de un AD de windows server 2003. Lo que te permite tener arboles de AD.

¿El problema? Samba4 es aun no estable, aunque desde luego si es probable.

Sobre NTFS y su plaga de permisos, aunque linux tenga posix acl, se queda muy corto para "mimetizar" el comportamiento del primero, samba4 lo hace de forma transparente al guardar los permisos de forma "virtual".

Si de verdad lo buscas descubriras que no hay nada que haga windows que no se haga fuera. Aunque te voy a decir la verdad, es mucho mas comodo instalar un windows que montar samba4+kerberos+ldap y que funcione bien todo.

Un LDAP que se salta todos los estándares, como han sufrido muchos en mi empresa, y como quizá me toque sufrir a mí. Al más puro estilo Microsoft, por otra parte.

Hay un mito, respecto al active directory, y es que lo reduces a todo a la autentificación. Si fuera así, Samba habría barrido a Windows de las empresas hace muchos años: coste en licencia cero, sólo pagar costes de soporte: se pueden mantener los clientes Windows que autentifican contra Samba que a su vez usa un backend LDAP. Las máquinas Unix las enganchas al LDAP a través del nss y todo solucionado.

Sin embargo, esto no ha ocurrido. Y Samba sigue evolucionando y trabajando duro a toda marcha para tener el sopote de Active Directory, en especial de las políticas y las GPO (que no son más que valores del registro en una máquina Windows).

La posibilidad de configuración de una máquina Windows a través de una interfaz más o menos coherente, permitiendo restriciones en función de los grupos o la posición en el DIT que ocupe son herramientas muy potentes en manos de un administrador de sistemas: Que aplicaciones puedes ejecutar, que no, que configuración de escritorios, que unidades se tienen acceso, quien se puede loguear en qué máquinas, etc.

Todo lo anterior lo puedes hacer en Unix a golpe de chgrp / chown / chmod y ACL's. Ahora evalúa el tiempo que puedes tardar en diseñar esa jerarquía de grupos y mantenerla, frente a meter una GPO y asignarla a las OU donde están las máquinas o los usuarios.

No sé si serán felices o no, pero te aseguro que dan un servicio que quieren las empresas y los usuarios están contentos.

Ya que estamos con el tema, que alguien me aclare como se hace en Linux para: -Perfiles moviles -Politicas de dominio (GPO)

Los perfiles móviles se pueden implementar de manera sencilla con NFS y con el automounter, que es la manera "nativa" de Unix de compartir directorios. Era muy habitual hace años usarlo en la Universidad, usando autentificación contra NIS (ni de coña) o NIS+ (al menos más seguro). A día de hoy supongo que ambas tecnologías muertas, siendo lo más razonable LDAP para la autentificación de los usuarios y grupos.

En cuando a GPO lo veo más complicado. Sólo se me ocurre algún chiriguito con ssh + rsync de los directorios de configuración, aunque recuerdo hace bastante tiempo cfengine [cfengine.org]

Para mi, sin embargo, lo ideal sería poder usar un LDAP como repositorio de toda la configuración (usarios, máquinas) y que el sistema tirara de él. Harto complicado en el caso de las máquinas.