Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - kamaxeon

Pages: [1]
1
Spanish / Zentyal como gestor de identidades
« on: November 28, 2012, 04:34:30 pm »
Buenos días,

Antes que nada agradecer al equipo de Zentyal por todo el trabajo que ha hecho para simplificar las tareas de administración, y sobre todo haciéndolo con los productos de siempre de una manera abierta a la comunidad.

El motivo de este hilo es para comunicar de una deficiencia que le veo al producto y le podría aportar bastante valor añadido. Tiene que ver con la gestión y origen de identidades. La idea de Zentyal es funcionar como SMB y lo hace de forma análoga a MS para la creación de las mismas y bajo mi punto de vista es correcto pero cojea un poco.

En la mayoría de las empresas con más de 15 personas suelen tener ya una persona encargada de los recursos humanos de la empresa y puede que ya tenga algunas herramientas informáticas para su productividad. El origen de la identidad parte desde el momento que el usuario recibe el alta en recursos humanos, y el proceso puede ser darle de alta en alguna aplicación de contabilidad, y luego darle de alta en el AD o ldap de turno, y acto seguido ponerle la autorización en las herramientas informáticas de la empresa.

Si analizamos esto, tenemos bastante duplicidad en los procedimientos, y cualquier cambio nos obliga a cambiar las cosas en varios sitios (por ejemplo, un simple cambio de nombre al estar mal escrito por ejemplo). Y no cuento nada con las bajas ....

Por todo esto es donde veo la necesidad de gestionar la identidad de forma unificada, sería ideal que al darle de alta en la herramienta de administración el usuario automáticamente ya tuviera el alta básica y la autorización a los recursos mínimos de la empresa.

Zentyal sólo cuenta con una parte de sincronización de AD u otro Zentyal (no otro ldap). He usado otros proyectos en donde se pueden definir otros orígenes de la identidad (que puede ser un AD, ldap fijando atributos, una tabla de un motor SQL ....) y a partir de ahí genera el usuario e inclusive con algo más de configuración (mínima) puede dar de alta en grupos, y herramienta de terceros, de esta manera si un usuario se da de baja desde su origen automáticamente se puede dar de baja al usuario o inhabilitarlo. Por supuesto esto no quita a que podamos dar de alta usuarios de forma tradicional y no se ven afectados por otros orígenes de identidad.

Como para muestra vale un botón, expondré un caso que tuve que resolver con Zentyal hace más de 1 año. Por hacer un favor a una escuela universitaria donde trabaja un familiar le instalé Zentyal para que pueda gestionar de forma más eficiente los servicios que tenía de samba y a su vez pasar los usuarios a LDAP.

El origen de la identidad era otro LDAP que no era un zentyal con una estructura propia con campos personalizados en donde podía extraer la información de la matriculación del alumno, y centros asociados a un profesor o PDI.

Tenía el Zentyal preparado para funcionar sin problemas pero había forma humana de estar al día de las matriculaciones de alumno, cambios de profesores ......

Pues bien la solución que opte consistió en crear una pequeña clase en python (lo siento pero no me siento cómodo con perl), crear unos simples script usando esa clase y ponerlos en un cron. La parte de creación de usuario y grupos usa la API de Zentyal en perl. Con esto he conseguido no tener que modificar nada de Zentyal y que funcione la integración. Ahora mismo el sistema les funciona sin problemas.

Bueno esta es un reflexión que tenía pensado escribir hace más de un año y no lo había realizado :-(

P.D.: He intentado que paguen el soporte de Zentyal, pero la verdad las arcas universitarias están rotas ....

2
Hola,


Antes que nada dar las gracias al equipo de Zentyal por el trabajo que están haciendo, creando un producto de calidad.

Se ha instalado Zentyal 2.2 y por ahora todo me va bien, pero ahora tengo que integrar los usuarios de un directorio activo, que sólo tengo usuario de lectura, con el de Zentyal y ahí vienen mis duras.

1.- Importación de usuarios.

He visto en la documentación (http://doc.zentyal.org/es/develop.html) como importar usuario con un simple script de perl, pero son usuarios de máquina, y necesitaría también el tema de los grupos, atributos, cuota, he estado mirando un hilo que ahora no encuentro que decía que buscara la función _addUser dentro del módulo de samba, lo he encontrado dentro de /usr/share/perl5/EBox/SambaLdapUser.pm pero hay cosas que se me escapan un poco, alguien ha hecho algo parecido, lo digo para saber lo que tengo que pasarle a la función y hacer una pequeña en perl.


2.- Cambio de cifrado en samba

Al importar los usuarios, los saco de un ldap al que sólo tengo acceso de lectura, tengo la posibilidad de ver su campo userPassword pero está en ssha2 y quería cambiar el comportamiento de samba para no usara CLEARTEXT, esto lo he sacado de

root@zentyal:~# grep hash_encrypt /etc/smbldap-tools/smbldap.conf
hash_encrypt="CLEARTEXT"

De esta manera podría sincronizar también el atributo sambaNTPassword, sambaLMPassword, directamente desde un script, para siempre mantener las clases entre los árboles ldap sincronizadas.

Muchas gracias y perdón por el ladrillo.

3
Spanish / Alta disponibilidad
« on: October 18, 2010, 09:45:52 pm »
Hola

Antetodo agradecer a la gente de zentyal (antes ebox) el esfuerzo tan grande que han realizado con este producto y su nivel de calidad.

Estaba pensando implementarlo para una solución donde hace falta alta disponibilidad en firewall con múltiples ip en dos circuitos de datos.

He estado mirando los casos de éxito y parece que han implementado en sabeco-simply una solución de alta disponibilidad. Se ha publicado o se va a publicar el como se hizo. Lo digo porque es estado buscando en la web y no lo encuentro.

Muchas gracias.

Pages: [1]