Estaciones Linux unidas a un Controlador de dominio

[ruben64]

Hola a todos
Ya logré montar mi controlador de dominio en Debian con el Samba, a donde se me autentifican todas mis estaciones Windows de la red y ya tengo todo bajo control (usuarios, contraseñas, políticas, permisos, etc)
Pero se supone que al final de la migración, todas las estaciones de trabajo deban estar en Linux y ahí empieza mi ignorancia: ¿Cómo unir una pc con Linux a un controlador de dominio Samba?
Me han hablado del paquete Likewise-open, pero a ciencia cierta no tengo la menor idea de qué hacer.

[hugo]

El tema es que aunque la autentificación no debe ser un problema, creo que Linux no está concebido para establecer los permisos de los usuarios desde algo equivalente a un directorio activo.

Por cierto, por que no pones aqui el procedimiento que utilizaste para lograr montar todo en samba? Asi luego lo podemos pasar a la Wiki y podrán beneficiarse de tu experiencia muchos administradores que aun mantienen un servidor con Windows solamente para tener el directorio activo.

[ruben64]

Bueno, lo de montar el Controlador de dominio con Samba es sencillo, no más entrar a nuestra Wiki y buscar "samba como pdc"
Después escoger el artículo "montar_un_pdc_con_samba_sin_ldap" y ahí está todo para crear el dominio y unir las estaciones Windows, así como crear los usuarios.
Ya la parte de administrar el tiempo de vida de las contraseñas, su historial, la longitud mínima que pueden tener, y muchas otas políticas más se logra con el comando "pdbedit" que forma parte de la suite Samba, y que te permite muchísimas opciones para administrar el PDC. Claro, todo es en modo texto, pero está muy bien explicado en el man, con un poco de dominio del inglés, por supuesto.
Volviendo al punto de partida, me gustaría poder entender entonces cómo está concebida una red Linux en cuanto al control de los usuarios, contraseñas, etc. ¿Qué sustituye al Active Directory en una red totalmente Linux, o sea, con servidores y estaciones de trabajo en Linux?

[hugo]

Si, me refería mas bien a la parte de las políticas y los permisos. Quiere decir que con la utilidad pbedit que mencionas, se podrían establecer políticas de los clientes de Windows mas allá de los parametros de la autenticación y los permisos básicos de los archivos que conforman el perfil?

[ruben64]

Lamentablemente no.
Cdo me refería a políticas hablaba de la parte relacionada con la autenticación, las cuentas de usuarios y derechos de acceso a los recursos de la red.
El Active Directory es un gran logro de Windows que todavía no se como sustituir en Linux. De ahí el origen de este debate. Yo quiero hacer en linux lo mismo que hacía en Windows, por ejemplo, que cuando el usuario despierte en su estación de trabajo y se loguee ya el servidor le diga la configuración del proxy de la red y no tenga yo que ir máquina por máquina configurándolo manualmente. Y volvemos a la pregunta inicial: ¿Como concibe Linux la relación cliente servidor en una red con un Controlador de Dominio?
Y si el concepto de Controlador de Dominio no existe en Linux ¿Cómo se concibe entonces el control centralizado de una red?

[hugo]

Me temo que aun no se ha estandarizado nada equivalente al directorio activo para establecer políticas de seguridad sobre estaciones de trabajo que corran Linux; los administradores suelen utilizar una combinción de ssh, scripts y los comandos y herramientas existentes en los repositorios, pero hasta donde se no existe una herramienta unificada.

El problema suele ser justamente la diversidad del software libre; muchas distribuciones de Linux tienen su propia manera de hacer las cosas, y utilizan diferentes sistemas de inicialización, de paquetería, de motores de ventanas, diferentes estructuras de directorio, etc.

Además, hay programadores que prefieren usar para la configuración de sus aplicaciones el formato ini, otros prefieren xml, otros berkeleydb, otros utilizan archivos de configuración que mas bien parecen scripts, y hay herramientas que de hecho compilan la configuración en binario para una mayor optimización, etc.

Francamente, veo extraordinariamente difícil hacer una herramienta que pudiese gestionar eficientemente todo esto.

[brainofkwolf]

¿y entonces? ¿Que hacer?
Bien , es un tema de filosofía. Me dispongo al cambio... estoy trabajando en a migración por indicaciones precisas y sin pausa de mi MInisterio.... Tengo todas las PC con Linux en mi centro de trabajo...
No es Active Directory, ok; Me uno a la pregunta del colega...
¿QUÉ HAGO?
Esto realmente es un gran problema, al menos para nosotros los semianalfabetos en Linux y analfabetos funcionales en Administración de Redes (De cosas pequeñitas, por ejemplo una LAN con 15 PCs que se conectan a través de un router a INFOMED (con el firewall físico de 2 tarjetas de red por medio, proxy , etc)
Gracias de antemano.

[hugo]

Todo depende de lo que se necesite hacer. Lograr una autentificación centralizada para los diferentes servicios es algo realizable. Ahora, implementar políticas de restricciones de software a nivel de cliente ya es algo más complejo. Por suerte, para asegurar Linux no suele ser necesario tocar tantas cosas como en Windows, de manera que tampoco es que haya una necesidad crítica de un equivalente al directorio activo.

[ruben64]

A ver si entiendo:

Yo he logrado que en mi red Linux-Linux por llamarlo de alguna forma, que las Estaciones de Trabajo obtengan el servicio DHCP, DNS, Proxy y Correo.
Pero hasta ahí llego. La base de datos de los usuarios no la puedo tener centralizada, o tener una carpeta para cada usuario en el servidor, que le aparezca como un disco más cuando se loguea como hacía en Windows-Wndows o como hago en Windows-Samba.
La seguridad la tengo que tener a nivel de Estación de trabajo, no a nivel de red.

No me quiero meter ya en la parte complicada de las Políticas de configuración, solo quiero tener en mi red Linux-Linux, como dije antes, una base centralizada de los usuarios de la red, donde yo pueda manipular sus cuentas, contraseñas y permisos como hago actualmente en mi red Windows-Samba.

[elav]

A ver si entiendo:

Yo he logrado que en mi red Linux-Linux por llamarlo de alguna forma, que las Estaciones de Trabajo obtengan el servicio DHCP, DNS, Proxy y Correo.
Pero hasta ahí llego. La base de datos de los usuarios no la puedo tener centralizada, o tener una carpeta para cada usuario en el servidor, que le aparezca como un disco más cuando se loguea como hacía en Windows-Wndows o como hago en Windows-Samba.
La seguridad la tengo que tener a nivel de Estación de trabajo, no a nivel de red.

No me quiero meter ya en la parte complicada de las Políticas de configuración, solo quiero tener en mi red Linux-Linux, como dije antes, una base centralizada de los usuarios de la red, donde yo pueda manipular sus cuentas, contraseñas y permisos como hago actualmente en mi red Windows-Samba.

Lo que necesitas es integrar todos esos servicios contra un openLDAP. Hay muchas formas de hacerlo, no obstante, si quieres un método rápido, bueno, bonito y barato, prueba Ebox/Zentyal.