Pregunta OpenLdap si es offtopic lo lamento, largo de leer.

Horst H. von Brand vonbrand en inf.utfsm.cl
Vie Ene 11 18:54:50 CLST 2008


Rodrigo Fuentealba <darkprox en gmail.com> wrote:
> El 11/01/08, Juan Andres Ramirez <jandresaedo en gmail.com> escribió:

[...]

> > 1-Si se exportan los usuarios del sistema para ingresarlos a ldap y
> > para que ldap autentifique se cambia la autentificacion del system
> > para que ldap autentifique??

> Sip, en PAM.

Nope. PAM es Pluggable Authentication Modules, es un sistema flexible
mediante el cual (via configuracion) aplicaciones pueden elegir que sistema
de autenticacion usar. O sea, si man~ana se hace popular leer el iris (para
ver si el usuario esta con demasiada resaca para trabajar hoy? ;-), puedes
constuir un modulito que permita autenticar por esa via, y sin mas,
/automagicamente/ todas las aplicaciones que lo deseen (PAM-ificadas, claro
esta) pueden autenticar ahora por esa via.

> > 2-No se trata de que ldap administre de alguna manera los usuario que
> > estan en el sistema??

> Correcto, PAM en vez de buscar al usuario en /etc/passwd y
> /etc/shadow, lo hace conectándose con pam_ldap.so o algo así (lo estoy
> diciendo de memoria), y lo que recibe es el resultado de un puntero a
> función en C que devuelve los mismos valores pero por distintos
> métodos, por lo que el procedimiento es casi el mismo.

Lo que hace PAM es invocar una coleccion de modulos (uno por mecanismo, en
cierto orden; y combina los resultados). O sea, podrias exigir lector del
dedo indice + tarjeta inteligente + password (o cualquier combinacion de las
anteriores) para ingresar a la cuenta.

> > 3-Si despues de hacer la importacion de usuarios del sistema, elimino
> > los usuarios que estan en el sistema, da lo mismo porque ahora ldap
> > los tiene??

> Sí, pero ten cuidado. ¿qué pasa si alguna vez te echas la conexión con
> ldap? Deberías por lo menos dejar las cuentas por default.

No "las cuents por default", sino las cuentas del sistema. Cosas como root,
bin, etc. Generalmente tienen UID/GID en el rango 0 a 499, aunque varia con
la distro... usa las herramientas de tu sistema para migrar (no "el script
paltoso que Perico de los Mismos Palotes publico en su blog sobre Linux
from Scratch hace 6 an~os"!), esas debieran encargarse de la limpieza
posterior.

[...]

> Piensa en LDAP como una base de datos, la gran diferencia es que no es
> relacional.

Humm... es mas bien como relaciones de una RDBMS, con herencia (OOP esta de
moda!) y extensos mecanismos para polimorfismo (datos "por omision", datos
que pueden estar o no, ...).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513


Más información sobre la lista de distribución Linux