Barrapunto

Existía un proyecto llamado Linux Registry, actualmente Elektra [sourceforge.net] que intenta desarrollar un registro "a la windows" para la configuración del sistema en Linux.
Desconozco el grado de desarrollo que tendrá ahora mismo, pero la idea parece (desde mi punto de vista que este tema ha generado mucho debate) muy buena.

De todos los proyectos que hay en marcha, el que tiene mejor pinta y de hecho es la opcion que mas se suele montar (yo mismo la he montado en un proyecto bastante grande para la administracion publica) es la combinacion de Samba3 atacando una base de datos de usuarios LDAP ya que es la que mas compatibilidad te da con el AD de M$ y ademas te permite la interconexion con sistemas Unix, Linux, etc ...

Por supuesto que hay funcionalidades similares. Básicamente se trata de combinar un servicio LDAP (podría bastar OpenLDAP, aunque no es la mejor opción), con kerberos y con NIS+ y en todo caso también con Samba. Todo ello es perfectamente factible, realizable y demás.

En todo caso falta hacer un asistente para ignorantes para poder configurarlo y administrarlo a golpe de ratón.

De hecho el ActiveDirectory es básicamente eso: un servicio LDAP integrado con kerberos y el protocolo SMB. Es cierto que permite meter en el ActiveDirectory configuración de las aplicaciones, pero por supuesto solo de aquellas que lo soporten (básicamente Ms-Office).

El principal problema que veo que tiene el OpenLDAP es que el cliente no incluye un modo "caché", con lo que no podría ser usado para portatiles ni en casos de caidas del servidor, cosa que si tiene el Ms-AD.

Las piezas las tienes todas, solo falta que alguien las junte:

openldap
kerberos
nfs
pam
...

Con un poco de paciencia conseguirías una funcionalidad bastante decente.

Pero hay varios problemas, desde el punto de vista del usuario no queda un sistema integrado y con una interfaz estándar.

Para el administrador puede ser una pesadilla, carece de herramientas que integre la gestion de los distintos elementos.

Yo tengo la esperanza que novel integre su NDS con suse.

Alguien ha unido todo, pero no es software libre: XAD [padl.com]
--

No siempre lo disperso es la más desordenado. Porque igual que es más ordenado y seguro que cada usuario tenga su información a parte, es iguamente seguro y ordenado que tenga cada aplicación su información aparte.

Por no decir, que al estar en ficheros separados, pueden tener estructura/formato diferente, formatos que mejor se adapte a la configuración de cada aplicación.

Y sobre claridad. Basta ver el registro de windows para ver que la unificación de contenido no es nada claro.

Y si hablamos de seguridad. Por ejemplo, ¿qué sería de shadow?. ¿Habría permiso de lectura de ese archivo para todos los usuarios?, ¿Y si no lo tienen como leerian algunas aplicaciones la configuración de red, de monitor,...?. ¿Qué pasaría si al grabar en el archivo, este, se corrompiera? ( sería muy normal que si hubiera un apagón cogiera grabando en este fichero, ya que sería el único fichero de configuración )

Ahora hacer scripts para cambiar o leer archivos de configuración es muy fácil. Se puede hacer en cualquier lenguaje ( sobre todo con shell scripts ). Si lo unificas, ¿Qué pasaría?.

Y lo mismo si tratas de monitorizar archivos. ej: /etc/mtab u otros. No quiero ni pensar el jaleo que sería hacerlo, donde estuviera toda la información en un único archivo.

No me llega a convencer. Si de verdad tuviera algunas ventajas importantes..., pero como no la veo( ni importante ni pequeñas ).

Creo que la pregunta crea confusión, ya que el eDirectory también está para linux. Supongo que en realidad lo que se quería preguntar era por alguna solución "gratuita".

En estos momentos me encuentro iniciando el montaje de un sistema de autentificación basado en "Novell SuSE Linux Enterprise 9" (SLE9). Encuentro más asumible el adquirir las licencias de eDirectory que sean necesarias que meterme a implementar una alternativa que fuera viable.

Creo que la pregunta es confusa, ya que el eDirectory también está en linux. Supongo que en realidad lo que se quería preguntar era por alguna solución "gratuita".

En estos momentos me encuentro iniciando el montaje de un sistema de autentificación basado en "Novell SuSE Linux Enterprise 9" (SLE9) para una intranet, y encuentro más asumible adquirir licencias de eDirectory que meterme a implementar una alternativa que fuera viable. Creo que una solución "gratuíta" sólo resultaría atractiva para entornos empresariales si ofrece buena compatibilidad con algunos de los dos grandes sistemas de directorios activos.

aunque más centrado en "user profiles"

http://www.gnome.org/~veillard/sabayon/

Personalmente estuve trabajando bastante con LDAP para hacer mi proyecto de pasantías de la tecnicatura en redes que cursé. Se trataba de un sistema de autenticación centralizado que soportaría correo (IMAP), aplicaciones web con php, FTP, y Samba. Las impresiones que me llevé fueron varias.

Lo más concreto de todo es que las implementaciones de LDAP en linux están demasiado "verdes" todavía. Encontré poca documentación en español en comparación con otros protocolos (Es que LDAP es bastante reciente). El sistema de autenticación lo resuelven muchas aplicaciones, pero de maneras muy diferentes, y eso quizás es el problema. Falta algo de estandarización en lo que respecta a las implementaciones. LDAP se maneja con esquemas orientados a objetos que son escalables, o sea que uno puede crear sus propios "archivos" (más precisamente objetos) de configuración y almacenarlos en el servicio de directorio.

Pongo un ejemplo: LDAP permite almacenar libretas de direcciones, Mozilla, Outlook, Evolution y varios más tienen soporte para esta funcionalidad, pero la forma en que guardan los datos cada aplicación cliente en el directorio LDAP es bastante distinta, no hay un estándar que facilite las cosas y eso es un problema. Y eso que solo se trata de una libreta de direcciones.

Otro ejemplo: Samba utiliza todo un esquema diferente para almacenar los datos de usuarios, ni siquiera el password está codificado con el mismo sistema de encriptación. (Bueno esto se debe a Windows). Y la lista sigue. Un profesor que había implementado un servicio similar en su lugar de trabajo me dijo que había vuelto al sistema de autenticación descentralizado, justamente por eso, porque las configuraciones seguían dispersas, pero dentro del directorio LDAP.

Personalmente creo que se puede implementar. En ultima instancia eDirectory y NDS, son servicios de directorio y ActiveDirectory también lo es, lo único es que estos sistemas trabajan sobre plataformas propietarias que han "estandarizado" la implementación, o sea el problema surge del lado del cliente, no del servidor (o léase aquí el protocolo).

No se cual serán los planes de Novell, pero por lo que yo se Novell estuvo colaborando por mucho tiempo con OpenLdap. Quizás algún día Novell que sabe tanto de servicios de directorio haga libre alguna implementación que luego se estandarice.

Esta claro que active directory es una solucion para entornos, no solo es LDAP, Kerberos y una estructura.

Es mucho (mucho mas completo), es una solucion global para administracion, servicios y autentificacion.

NDS es un idem, mucho mas completo y en mi opinion mas potente.

¿Soluciones Libres?
Muchas, se necesita bastante currillo y conocimientos de servicios. Por ejemplo el proyecto GOsa (https://alioth.debian.org/projects/gosa/) que es el que mejor conozco, no es active directory, pero permite un gran control de usuarios (posix, samba, correo, ftp, etc.), grupos, servicios(dhcp, dns), aplicaciones, etc.

Tiene integracion con LDAP y Kerberos, los servicios (samba, dhcp, dns, postfix o qmail,etc), tienen que configurarse para que usen la estructura LDAP creada y que se autentifiquen contra LDAP o Kerberos.

Claro que en windows eso noes un problemas ya que todos los servicios vienen integrados de fabrica.

Bueno como esta aplicacion hay numerosas que hacen cosas parecidas, sobre LDAP, Mysql, etc.

¿Que hecho de menos?
Un estandar.

Si claro, es lo que falta, un estandar de autentificacion y sesiones. Algo asi como obligar a todos los servicios a que usen libpam para la autentificacion, que sea la unica manera, que libpam no solo sirva para autentificacion sino para un control puro y duro de la sesion, ademas de que fuera mas manejable y un soporte LDAP mas potente.

De esta manera se podrian hacer aplicaciones de mantenimiento mas completas y desde luego active directory no seria algo tan alejado. No entiendo como diferentes aplicaciones tienen formas diferentes de autentificacion y sesiones.

Un comentario en Slashdot venía a decir que la gente empieza implementando cosas de estas por partes e intenta luego conectarlas. Al final acaban reinventando X.400, pero "nadie usa X.400". El comentario seguía diciendo que hay un sistema X.400 con licencia BSD desde el 92 o algo así.

Tengo experiencia montando un sistema parecido al de Active Directory con soft libre "linux (debian)"+OpenLDAP+Samba+KDE.

Lo que se ha conseguido ha sido un sitema de perfiles móviles con políticas de usuarios y grupos.

Lo malo es que no hay un standard, cuesta bastante poner todo a punto, pero se puede hacer a la medida y sin ser gurú, solo hace falta google y un poco de imaginación. Hay esquemas de LDAP para todos los gustos, están las smbldaptools y un montón de utildades para hacerte la vida mas fácil.

La ventaja es, que ahora que está montado se puede personalizar hasta donde tú quieras echando horas de trabajo.

un saludo