General

Escenarios de uso de Likewise Open

Hace ya algún tiempo escribí sobre el uso de libpam-ccreds y libnss-db para conseguir la implementación de un servicio de caché de credenciales. Sin embargo, hace casi un año revisité el producto Likewise Open, en un proyecto grande de autenticación de Linux contra un Active Directory de Microsoft, o contra un dominio Windows desarrollado con Samba.

En realidad Likewise Open elimina la incertidumbre de un setup artesanal de caché de credenciales, siempre y cuando el equipo se esté loggeando contra un dominio Windows.

Si usted tiene la necesidad de integrar una distribución de Linux modea (una versión reciente de Debian, Ubuntu, Fedora, por ejemplo) con un dominio Windows servidor por un Active Directory o por Samba, mi recomendación es que use Likewise Open. Likewise es libre, abierto y gratuito, y viene en los repositorios de muchas distribuciones, o se baja de la página Web de Likewise.

Tiene dos versiones (paquetes), likewise-open-gui y likewise-open; el primero instala el segundo y ofrece una interfaz gráfica sencilla para unir el equipo al dominio. Solo se requiere el nombre del dominio, el nombre del equipo (se toma de hostname) y el usuario y la clave de un usuario que pueda agregar equipos al dominio.

Como siempre, la resolución del dominio se hace consultando al DNS provisto en la configuración de red (u otorgado por el DHCP) por ciertos registros SRV, para obtener la IP de uno de los controladores de dominio, y luego ciertas conexiones a algunos puertos del controlador de dominio. Por lo tanto es importante que, si va a probar este escenario en una máquina virtual, la conexión esté en modo puente con la red en la que se encuentra el controlador de dominio.

Una vez que el equipo se une al dominio, se crea la cuenta de máquina en el controlador de dominio, y al cerrar la sesión, ya pueden ingresar a Linux los usuarios del dominio, usando la sintaxis DOMINIO.ADusuario o DOMINIOusuario (formas largas y cortas) y la contraseña del dominio. Las políticas de inicio de sesión y contraseñas serán respetadas.

También se puede usar domainjoin-cli para unirse por CLI.

Obviamente, Likewise ya ofrece el servicio de caché de credenciales y de caché de usuarios y grupos (importa los grupos del dominio) y lo hace de forma transparente.

Por ello, en muchos casos yo recomendaría que si tienes un OpenLDAP y quieres hacer caché con pam-ccreds y nss-db, haz un “upgrade” de OpenLDAP a un dominio usando Samba y usa Likewise. Ahorra muchos dolores de cabeza.

En Likewise Open no hay soporte para GPOs. En ningún caso funcionarán las GPO que se hacen para Windows, pero en versiones pagadas de Likewise hay una función que añade nuevas GPO para GNOME y otras aplicaciones. No he probado estas funcionalidades.

Standard

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s