· Servidor de Autenticación Centralizada, la base de datos de usuarios, contraseñas y grupos estará almacenada en un directorio LDAP remoto lo cual permite centralizar y simplificar la administración de cuentas de que normalmente esta almacenada en los archivos
/etc/passwd, /etc/shadow y /etc/group en redes con sistemas Unix o GNU/Linux.· Este tipo de implementación permite reemplazar dominios NIS para antenticación centralizada tanto para sistemas Unix y Linux.
· En los equpos clientes no se crearan cuentas locales, ya que estan en el servidor LDAP, la resolución de nombres de usuarios (UID->Usernames), grupos (GID->Grupos) será manejada por las herramientas NSS_LDAP, NSS_LDAP buscará los usuarios y grupos en el servidor LDAP central.
· La autorización a los diferentes servicios locales (login, KDM, su, sudo, ssh, samba, cron, cups) será manejada por los modulos de autenticación PAM_LDAP, mediante estos modulos PAM decidirá si se autoriza el acceso al usuario de acuerdo a sus credenciales, si son validas se le autoriza el servicio, si no, entonces se deniega el servicio.
· La pertenencía a grupos para manejar los permisos y accesos se hará centralizado en el servidor LDAP. Mediante PAM se podrá otorgar privilegios a algunos servicios de acuerdo al grupo que pertenece el usuario, estos permisos se reflejaran de forma transparente para los usuarios locales.
· La misma base de usuarios centralizada podrá servico para autenticar otro tipo de aplicaciones: Squid, Apache, Correo Electronico, Mensajería Instantanea, etc.
· Soporte para netgroups de NIS, mediante netgroups usted podrá crear diferentes restricciones de acceso sobre los equipos, basados en dirección IP, usuario, grupo.
· Facíl integración con servicios de compartición de archivos como NFS y/o Samba para centralizar el amacenamiento de los directorios
$HOME de los usuarios.· Se usará un mismo usuario y grupo para autenticarse a los diferente servicios de red y no se tendrán que tener cuentas repetidas en varios servidores, esto conlleva a una administración centralizada.
· Soporte para replicación de la base de datos de usuarios mediante replicación LDAP, se pueden poner más de un servidor esclavo en la red para balancear las cargas y tener alta disponibilidad.
Además del soporte para centralizar la administración de cuentas de usuarios y grupos en un directorio LDAP como OpenLDAP y el soporte de autenticación/autorización de NSS_LDAP y PAM_LDAP y administraciión de permisos de acceso a recursos de red para entornos Unix/Linux, es posible agregar soporte para cuentas de usuarios y grupos de redes Windows, en especifico cuentas de dominio tipo NT4. Esta integración permitirá acceder a los recursos de la red desde sitemas con diferentes sistemas operativos.Esta característica permite que cada que vez que un usuario inicie sesión en el Dominio pueda ejecutar un scripts de inicio (.bat, .vbs) donde se pueden hacer varias tareas, entre ellas:
o Sincronizar el reloj del sistema con el reloj del servidor de dominio (net time)
o Mapear unidades de red automaticamente
· Restricción por usuario o grupo a carpetas compartidas en red.
o Con esta funcionalidad se pueden crear listas de control de acceso (ACL por sus siglas en Ingés) para permitir ó no el acceso a ciertas carpetas compartidas en red, esta restricción se puede aplicar por usuario o por grupo, así, por ejemplo, solo los usuarios del grupo Contabilidad y la directora podrán entrar a la carpeta compartida "contabilidad" y podrán: crear, modificar, borrar archivos o directorios dentro de dicha carpeta compartida.
o Además se pueden tener permisos más granulares en cuanto a los accesos de los archivos y directorios dentro de las carpetas compartidas, por medio de ACLs.
· Soporte para Perfiles Móviles (Roaming Profiles) para clientes Windows.
Con esta caracterisitca se puede almacenar el perfil del usuario en un servidor de red, y así, cada vez que un usuario de dominio inicia sesión en un equpo podrá tener sincronizado su perfil disponible en cualquier equpo en el que inicie sesión.
· Soporte para tener más de un servidor Controlador de Dominio de Respaldo (BDC) por lo obtendrá replicación de la SAM y alta disponibilidad. En caso de que el servidor PDC no este disponible el servidor BDC se encargará de las tareas de autenticación y compartición de archivos.
Antes de continuar es importante recordar que la información de cuentas de usuario y grupos tanto para cuentas Unix/Linux o Windows se almacenarán en un directorio LDAP en una estructura de arbol especifica, en la siguiente sección veremos la estructura de arbol del directorio LDAP
No hay comentarios:
Publicar un comentario