Autenticación centralizada en entornos GNU/Linux y Microsoft Windows
Como comentamos en el último encuentro, todavía queda bastante por pulir en cuanto a la integración y la interoperabilidad entre GNU/Linux y Microsoft Windows en lo referente a Autenticación Centralizada.
Un entorno de producción GNU/Linux puede contar con sistemas de autenticación centralizada tradicional como NIS, NIS+, Kerberos, o algunos más actuales como OpenLDAP. Incluso es posible autenticarse de manera centralizada contra una base de datos, como MySQL. La clave, como comentamos, está en el sistema NSS (Name Service Switch), que permite al sistema (y a todos los programas a través de la librería estándar de C) utilizar diferentes back-ends de usuarios de forma transparente. Con la librería libnss-mysql todo esto es posible en pocos minutos y de forma cómoda.
El problema de este tipo de soluciones es la escasa o nula interoperabilidad con entornos basados en un Directorio Activo de Microsoft. Para este tipo de soluciones deberíamos optar por Winbind, aunque todavía no se integra al 100% con el AD de Microsoft.
Algunos enlaces interesantes sobre Winbind:
- http://www.hants.lug.org.uk/cgi-bin/wiki.pl?LinuxHints/SambaAuth
- http://groups.northwestern.edu/exec/htmldocs/winbind.html
- http://info.ccone.at/INFO/Samba/winbind.html
- http://mandrake.vmlinuz.ca/bin/view/Main/SambaDomainMember?skin=print
Otras soluciones podrían pasar por instalar un KDC de Kerberos en un DC del Directorio Activo y usar pam_krb5 en los clientes GNU/Linux o intentarlo con los Unix Services for Windows de Microsoft.
5 Comentarios
RSS de los comentarios de esta entrada.
Deje un comentario
Disculpe, los comentarios están cerrados.
Aunque, como ha comentado Pablo, todavía queda mucho camino por recorrer en los temas de interoperabilidad e integración de usuarios GNU/Linux y Windows, si tenemos que usar W2K con los servicios de directorio y Samba 3 (además de winbind) podemos usar un plug-in llamado AD4UNIX que permite manejar atributos extra de una cuenta Unix en el directorio activo y la gestión de usuarios Linux puede hacerse a través de la consola de Microsoft (MMC). :
http://sourceforge.net/projects/ad4unix/
http://www.section6.net/wiki/index.php/Configuring_Unix_to_Active_Directory
Con respecto a Samba, Samba 3 nos permite unir servidores Samba a un arbol del directorio activo como un servidor miembro sin que el AD corra en modo mixto (servidores NT o samba 2.x). Samba 3 puede funcionar de manera simultánea con servidores W2K y 2003, sin embargo, Samba 3 no puede correr en modo nativo 2003 el cual obliga a que todos los servidores sean 2003.
Algunos links más de interés:
http://web.mit.edu/kerberos/www/
http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp
Comment por Iñigo Losada — 17/6/2005 @ 7:54 pm
Parece ser que los de RedHat han liberado bajo el proyecto Fedora un Directorio que sirve como back-end de autenticación y que está bastante bien: http://directory.fedora.redhat.com/wiki/Main_Page.
Comment por Pablo Garaizar Sagarminaga — 20/6/2005 @ 9:05 am
Hola necesito urgentemente saber como funcionan los protocolos de autenticacion en LINUX y cuales son sus debilidades
Comment por miguel — 6/12/2005 @ 7:25 pm
Hola necesito urgentemente saber como funcionan los protocolos de autenticacion en LINUX y cuales son sus debilidades
Comment por miguel — 6/12/2005 @ 8:07 pm
i googled for something completely different, but found your page… and have to say thanks. i like your site.
Comment por Appartments Gersfeld — 10/12/2005 @ 1:44 pm