Hola a todos.
El tema va de redes.
Planteando una infraestructura como sigue:
5 Estaciones de trabajo
2 Servidores, uno de archivos otro de backup
1 Impresora en red
Todo con linux.
Mas o menos le encuentro la solución pero usando cosas no integradas.
Por ejemplo, si comparto archivos con un NAS y autentico usuarios en cada maquina linux, a la larga con las altas y bajas de usuarios se pierde la sincronizacion de usuarios, es decir que el el NAS habrá dados de alta en el sistema unos usuarios y en las estaciones de trabajo otros.

Ademas si un usuario quiere usar un día un ordenador y luego otro ¿Como se hace para que su escritorio este en red para que, no importando donde este, su escritorio sea el mismo?
Y si es una laptop y el usuario la lleva de viaje como se cambia a una autenticación "local"
Bueno, si bien tengo una idea de que cosas se manejan, no tengo un manual práctico de que pasos seguir para lograr administrar eficientemente una red.

Los temas que se me ocurren son:
 * Autenticar en red
 * Compartir archivos en red.
 * Actualización del software del parque informático
 * Gestión de correo
 * Backups
 * Etc.

Paso a paso como seria lo de:
 * Dominio
 * Kerberos
 * LDAP
 * CIFS (SAMBA)
 * ETC.

Cualquier información o consejos de por donde comenzar seria de gran ayuda para mi.

Un saludo.

El tema es complejo y depende de lo que te propongas. Yo he montado una estructura en la empresa que tiene:

-1 Servidor dedicado en internet para páginas web, bases de datos y servidor de ficheros, Repositorio de aplicaciones, etc. Las bases de datos incluyen webs estándar, plataforma moodle, sistema de votaciones, compartición de documentos, servidores de correo, etc.

-1 Servidor de backup y un servidor de backup del servidor de backup  

-5 Servidores provinciales (en realidad son cuatro porque el servidor de backup 1 también hace esa función) que hacen de servidores de ficheros, básicamente, y de "puerta de entrada" para los administradores a las distintas sedes. La compartición de ficheros se hace vía nfs, nunca smb, que me parece harto inseguro y engorroso de configurar y coordinar (salvo que exista algún software que desconozco, pero que seguro que existe, específico para hacer esa tarea).

-60, más o menos, máquinas clientes.

La administración y coordinación la hago con programas de gambas que se actualizan vía repositorio propio.
Los Escritorios son propios de cada usuario, por lo que el usuario se identifica, en principio, ante su propia máquina.
Después hay un programa que también pide login (No quise coordinarlo con el login de la máquina por lo descuidados que son los usuarios en ese tema) y que, entre otras cosas, informa del sistema y su conexión, y facilita los accesos de aquello a lo que tenga derecho el usuario.
Luego hay varios programas en gambas, según el sector y el trabajo de cada usuario, que incorporan en sí mismos la compartición de los archivos necesarios para su función vía ftp integrado.
Para las comunicaciones tenemos un servidor de correos y un programa de notas de escritorio hecho en gambas.
Finalmente hay un sistema de control de todo que se apoya en ftp, ssh, y vnc para que los administradores controlen y auxilien a los usuarios.

Todo desarrollado en gambas.

Como ves es un enfoque que no se parece demasiado a lo que planteas (dominios, escritorios compartidos, etc.) pero que, de momento, suple todas las necesidades de mi empresa.
Si algo de todo esto te interesa, me tienes a tu disposición.

Saludos.

===================
No podemos regresar

shordi escribió: [Ver mensaje]

El tema es complejo y depende de lo que te propongas.

Si, el tema redes es un tema que no tiene fin. Pero intentare centrarme en lo mas básico.
Compartir archivos
Copias de respaldo de archivos
Email empresarial.

Citar:

...La compartición de ficheros se hace vía nfs, nunca smb, que me parece harto inseguro y engorroso de configurar y coordinar (salvo que exista algún software que desconozco, pero que seguro que existe, específico para hacer esa tarea).

Si hace unos años nfs era mas inseguro pero creo recordar que ahora es mas seguro. Existe también un protocolo llamado sshfs que al parecer es lo mas seguro de todo ya que todos los datos viajan encriptados por la red.
¿Como haces para montar los directorios de red en cada computadora?
¿Usas autofs?
¿Editas el archivo /etc/fstab?
¿Montas en el directorio /media o en el home del usuario?

Citar:

...el usuario se identifica, en principio, ante su propia máquina.

Ok, el tema de autenticacion lo dejare para mas adelante.

Finalmente hay un sistema de control de todo que se apoya en ftp, ssh, y vnc para que los administradores controlen y auxilien a los usuarios.

Citar:

Como ves es un enfoque que no se parece demasiado a lo que planteas (dominios, escritorios compartidos, etc.) pero que, de momento, suple todas las necesidades de mi empresa.
Si algo de todo esto te interesa, me tienes a tu disposición.

Perfecto, si te parece focalizamos en la comparación de archivos y en el email.

Saludos.

Los archivos los compartimos de dos maneras: dentro de las redes locales y sobre internet. Para lo primero, dentro de las redes locales, usamos nfs. El servidor tiene una serie de carpetas compartidas según IP de cada máquina. El esquema básico es:

-Una carpeta para cada ordenador

-Una carpeta para cada departamento

-Una carpeta para todos

A los usuarios se les explica que de lo que haya en esas carpetas se hace copia de seguridad todos los días, etc. etc. y de lo que pongan en sus discos locales no hay copias.
Suponiendo que en las sucursales de la empresa tuvieses tres departamentos: administración, ventas y dirección con 10 máquinas cada uno, el tema funcionaría así:

1.-) Eliminas las IP necesarias del rango del servidor DHCP (por ejemplo, que comience a asignar direcciones entre el 128 y 198), de manera que no haya conflicto con los aparatos "oficiales" y su IP única e identificativa. (Si quieres más seguridad, desactiva directamente el DHCP y que todo el que venga con teléfono, tablet y demás pidiendo la contraseña de la wifi, que se joda.     ) Las IP las divides por decenas y el nombre del ordenador es el nombre del departamento más el último dígito de la IP de manera que con ver el nombre ya sabes la IP, etc.


2.-) En el servidor instalas los paquetes nfs-kernel-server y nfs-common. Luego rellenas el fichero /etc/exports con algo parecido a ésto:

# Example for NFSv4:
# /srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
# /srv/nfs4/homes  gss/krb5i(rw,sync,no_subtree_check)
#
/media/Publico 192.168.0.0/24(rw,sync,no_subtree_check)

/media/Ventas 192.168.0.91(rw,sync,no_subtree_check) 192.168.0.92(rw,sync,no_subtree_check) 192.168.0.93(rw,sync,no_subtree_check) 192.168.0.94(rw,sync,no_subtree_check)
/media/maquinas/Ventas1 192.168.0.91(rw,sync,no_subtree_check)  
/media/maquinas/Ventas2 192.168.0.92(rw,sync,no_subtree_check)
/media/maquinas/Ventas3 192.168.0.93(rw,sync,no_subtree_check)
/media/maquinas/Ventas4 192.168.0.94(rw,sync,no_subtree_check)

/media/administracion 192.168.0.70(rw,sync,no_subtree_check) 192.168.0.71(rw,sync,no_subtree_check) 192.168.0.72(rw,sync,no_subtree_check) 192.168.0.73(rw,sync,no_subtree_check) 192.168.0.74(rw,sync,no_subtree_check) 192.168.0.75(rw,sync,no_subtree_check) 192.168.0.76(rw,sync,no_subtree_check) 192.168.0.77(rw,sync,no_subtree_check) 192.168.0.78(rw,sync,no_subtree_check) 192.168.0.79(rw,sync,no_subtree_check)
/media/maquinas/administracion0 192.168.0.70(rw,sync,no_subtree_check)
/media/maquinas/administracion1 192.168.0.71(rw,sync,no_subtree_check)
/media/maquinas/administracion2 192.168.0.72(rw,sync,no_subtree_check)
/media/maquinas/administracion3 192.168.0.73(rw,sync,no_subtree_check)
/media/maquinas/administracion4 192.168.0.74(rw,sync,no_subtree_check)
/media/maquinas/administracion5 192.168.0.75(rw,sync,no_subtree_check)
/media/maquinas/administracion6 192.168.0.76(rw,sync,no_subtree_check)
/media/maquinas/administracion7 192.168.0.77(rw,sync,no_subtree_check)
/media/maquinas/administracion8 192.168.0.78(rw,sync,no_subtree_check)
/media/maquinas/administracion9 192.168.0.79(rw,sync,no_subtree_check)

/media/direccion 192.168.0.80(rw,sync,no_subtree_check) 192.168.0.81(rw,sync,no_subtree_check) 192.168.0.82(rw,sync,no_subtree_check) 192.168.0.83(rw,sync,no_subtree_check) 192.168.0.84(rw,sync,no_subtree_check) 192.168.0.85(rw,sync,no_subtree_check) 192.168.0.86(rw,sync,no_subtree_check) 192.168.0.87(rw,sync,no_subtree_check) 192.168.0.88(rw,sync,no_subtree_check) 192.168.0.89(rw,sync,no_subtree_check)
/media/maquinas/direccion0 192.168.0.80(rw,sync,no_subtree_check)  
/media/maquinas/direccion1 192.168.0.81(rw,sync,no_subtree_check)  
/media/maquinas/direccion2 192.168.0.82(rw,sync,no_subtree_check)  
/media/maquinas/direccion3 192.168.0.83(rw,sync,no_subtree_check)  
/media/maquinas/direccion4 192.168.0.84(rw,sync,no_subtree_check)  
/media/maquinas/direccion5 192.168.0.85(rw,sync,no_subtree_check)  
/media/maquinas/direccion6 192.168.0.86(rw,sync,no_subtree_check)  
/media/maquinas/direccion7 192.168.0.87(rw,sync,no_subtree_check)  
/media/maquinas/direccion8 192.168.0.88(rw,sync,no_subtree_check)  
/media/maquinas/direccion9 192.168.0.89(rw,sync,no_subtree_check)  

Luego activas la compartición con el comando

sudo exportfs -ra

o lo reinicias.

3.-) En las máquinas cliente instalas el paquete nfs-common y creas las carpetas correspondientes (yo uso /media) según el ordenador.
Por ejemplo para la máquina direccion0 de dirección IP 192.168.0.80 creas las carpetas /media/publico, /media/direccion y /media/direccion0
Y añades estas líneas al /etc/fstab:

Servidor:/media/publico /media/publico nfs
Servidor:/media/direccion /media/direccion nfs
Servidor:/media/maquinas/direccion0 /media/direccion0 nfs

(Ni qué decir tiene que "Servidor" es el nombre del servidor incluído en /etc/hosts o, más directo, la dirección IP del servidor.)

Reinicias o ejecutas "sudo mount -a" y ya tienes la máquina con acceso a las carpetas correspondientes.

Se puede escribir el exports con rangos de ip y demás, pero haciéndolo así es más sencillo añadir o quitar una máquina concreta a un recurso concreto.

Para compartir vía Internet usamos FTP (y una página de wordpress para una serie de documentos distintos a los de trabajo... pero eso es otra historia). Tengo incorporado a casi cada aplicación un formulario (que creo recordar que subí aquí... no sé si en su versión más última) que da acceso FTP a cada usuario. La gracia del asunto es que lo hice de manera que el usuario, según la opción de entrada sólo tiene acceso a unas carpetas u otras. De esa manera, puedes ver cosas así (Esta pantalla está sacada de uno de los programas)
 

Las tres opciones del menú llevan a distintas carpetas dentro del mismo usuario FTP de la aplicación. En el ejemplo, pulsando "Documentos Privados", verías esto:

 

Este formulario acepta "drag and drop" para subir los ficheros, por lo que es muy sencillo de uso a los usuarios. En principio desarrollé un formulario dividido, al estilo FileZilla, que mostraba las carpetas locales y demás... pero me planteó más problemas que otra cosa por la manera de usarlo de los usuarios y acabé eliminando la parte local.

===================
No podemos regresar

Para el tema del correo, pues tenemos un servidor de correo en el servidor de internet en el cual gestionamos directamente las cuentas.
Para su uso directo, la peña puede optar por el thunderbird. Luego, dentro de las aplicaciones, tengo implementado un sistema de envío de correos masivos personalizados con éste aspecto:

 

La esencia del mismo ya lo he subido aquí en otras ocasiones.

Dadas las limitaciones que para el correo imponen algunos servidores, algunos no admiten más de 500 correos a la hora, otros no admiten más de no sé cuántas direcciones, etc. Implementé un sistema de fraccionamiento de los envíos que, a veces, es imprescindible. Su aspecto es éste:

 

===================
No podemos regresar

Para controlar y acceder a las máquinas clientes, lo hago de tres maneras, o bien directamente por ssh a través del servidor de la sucursal, o montando su sistema de ficheros también a través del servidor (el router no permite ninguna otra vía de entrada), o accediendo a su escritorio vía VNC también a través del servidor.
Otro día te lo cuento, es un tema complejo y esta tarde ya me he cansado de escribir...      

Saludos

===================
No podemos regresar

Shordi: ok, me pondré a probar estos temas que comentas y cometo como va.
Gracias por la explicación.
Un saludo.

Bueno el experimento va funcionando.
Estoy usando SSH directamente y no NFS, ya que me parece el mas seguro y ademas estoy mas familiarzado con SSH que con NFS.
La cosa para compartir por dicho protocolo:
 
Lado SERVIDOR
> Tiene que estar instalado y funcionando un servodor SSH
> Tienen que existir los usuarios en el servidor para poder acceder por SSH
> Si se quiere usar claves púbicas, para no tener que escribir la clave a cada rato, ademas los usuarios tienen que disponer de directorio HOME. No encontré una forma de subir las claves públicas para usuarios que no tienen HOME, pero seria interesante saber si se puede hacer.

Las ventajas es que el usuario puede acceder desde cualquier maquina (siempre que exista también en esta) esto lo hago así porque mas adelante quiero implementar un sistema de autenticación centralizado.

Es algo engorroso hacerlo a mano para cada usuario, pero seguramente se me ocurra un script o hacer algo con gambas.

Preguntas.
¿Como puedo correr un script al hacer login y otor al  hacer logout?
Intente poner la lineas en  ~/bash_profile  para el login pero solo funcona para login en terminal, no para login gráfico.
Lo mismo para ~/bash_logout para las salida

¿Como se hace el jail del usuario que entra por SSH?

Saludos.

tincho escribió: [Ver mensaje]

Bueno el experimento va funcionando.
Estoy usando SSH directamente y no NFS, ya que me parece el mas seguro y ademas estoy mas familiarzado con SSH que con NFS.

sshfs lo utilizamos en el programa de administración para montar los ficheros del cliente cuando surgen problemas, etc. No es muy rápido, pero si lo que prima es la seguridad... ok.
Como sistema de compartición lo desechamos por engorroso de configurar, tal como explicas más abajo.

Citar:

Lado SERVIDOR
> Tiene que estar instalado y funcionando un servodor SSH
> Tienen que existir los usuarios en el servidor para poder acceder por SSH
> Si se quiere usar claves púbicas, para no tener que escribir la clave a cada rato, ademas los usuarios tienen que disponer de directorio HOME. No encontré una forma de subir las claves públicas para usuarios que no tienen HOME, pero seria interesante saber si se puede hacer.

Las ventajas es que el usuario puede acceder desde cualquier maquina (siempre que exista también en esta) esto lo hago así porque mas adelante quiero implementar un sistema de autenticación centralizado.

Es algo engorroso hacerlo a mano para cada usuario, pero seguramente se me ocurra un script o hacer algo con gambas.

Según la cantidad de usuarios que tengas, y la distancia entre ellos y tú, toda esa configuración puede ser un lío enorme... pero si encuentras un sistema de automatizar y facilitar el tema, me interesa.

Citar:

Preguntas.
¿Como puedo correr un script al hacer login y otor al  hacer logout?
Intente poner la lineas en  ~/bash_profile  para el login pero solo funcona para login en terminal, no para login gráfico.
Lo mismo para ~/bash_logout para las salida

¿Como se hace el jail del usuario que entra por SSH?

Saludos.

El script lo tienes que añadir en el /home/usuario/.profile ese se ejecuta en el login del usuario, sea o no gráfico.
Si hablas de aplicaciones gráficas de gambas, lo que yo hago es:
Creo un acceso directo al programa "miprograma.desktop" y lo guardo compilado en la propia aplicación de la que se trate. Luego en el formulario de configuración/preferencias del programa o automáticamente en la primera ejecución si es que no quiero dar opciones al usuario, utilizo éste código:

donde launchatBegin es un control tipo checkbox del formulario de opciones.

===================
No podemos regresar

Lo de ejecutar algo al cerrar la sesión no lo he probado nunca. Hay mucha información por ahí, si lo consigues, cuenta, que me interesa.

===================
No podemos regresar