configuracion avansada de samba

esta configuracion la e aplicado en fedora 10 ubuntu 9.04 8.10

DEBIAN 5 lenny

Acerca del protocolo SMB.

SMB (acrónimo de Server Message Block) es un protocolo, del Nivel de Presentación del modelo OSI de TCP/IP, creado en 1985 por IBM. Algunas veces es referido también como CIFS (Acrónimo de Common Internet File System, http://samba.org/cifs/) tras ser renombrado por Microsoft en 1998. Entre otras cosas, Microsoft añadió al protocolo soporte para enlaces simbólicos y duros así como también soporte para ficheros de gran tamaño. Por mera coincidencia esto ocurrió por la misma época en que Sun Microsystems hizo el lanzamiento de WebNFS (una versión extendida de NFS, http://www.sun.com/software/webnfs/overview.xml).

SMB fue originalmente diseñado para trabajar a través del protoclo NetBIOS, el cual a su vez travaja sobre NetBEUI (acrónimo de NetBIOS Extended User Interface, que se traduce como Interfaz de Usuario Extendida de NetBIOS), IPX/SPX (acrónimo de Internet Packet Exchange/Sequenced Packet Exchange, que se traduce como Intercambio de paquetes interred/Intercambio de paquetes secuenciales) o NBT, aunque también puede trabajar directamente sobre TCP/IP.

Acerca de Samba.

SAMBA es un conjunto de programas, originalmente creados por Andrew Tridgell y actualmente mantenidos por The SAMBA Team, bajo la Licencia Publica General GNU, y que implementan en sistemas basados sobre UNIX® el protocolo SMB. Sirve como reemplazo total para Windows® NT, Warp®, NFS® o servidores Netware®.

Sustento lógico necesario.

Los procedimientos descritos en este manual han sido probados para poder aplicarse en sistemas con Red Hat™ Enterprise Linux 4, o equivalentes o versiones posteriores, y al menos Samba 3.0.10 o versiones posteriores.

Necesitará tener instalados los siguientes paquetes, que seguramente vienen incluidos en los discos de instalación de su distribución predilecta:

•	samba:	Servidor SMB.
•	samba-client:	Diversos clientes para el protoclo SMB.
•	samba-common:	Ficheros necesarios para cliente y servidor.

Consulte a la base de datos RPM del sistema si se encuentran instalados estos paquetes, utilizando el siguiente mandato:

rpm -q samba samba-client samba-common

Si se utiliza Red Hat™ Enterprise Linux, solo bastará realizar lo siguiente para instalar o actualizar la programática necesaria:

up2date -i samba samba-client

Si utiliza CentOS 4 o White Box Enterprise Linux 4, solo bastará realizar lo siguiente para instalar o actualizar la programática necesaria:

yum -y install samba samba-client

Configuración básica de Samba.

Para la mayoría de los casos la configuración de Samba como servidor de archivos es suficiente.

Alta de cuentas de usuario.

Es importante sincronizar las cuentas entre el servidor Samba y las estaciones Windows®. Es decir, si en una máquina con Windows® ingresamos como el usuario "paco" con clave de acceso "elpatito16", en el servidor Samba deberá existir también dicha cuenta con ese mismo nombre y la misma clave de acceso. Como la mayoría de las cuentas de usuario que se utilizarán para acceder hacia samba no requieren acceso al interprete de mandatos del sistema, no es necesario asignar clave de acceso con el mandato passwd y se deberá definir /sbin/nologin o bien /bin/false como interpete de mandatos para la cuenta de usuario involucrada.

useradd -s /sbin/nologin usuario-windows smbpasswd -a usuario-windows

No hace falta se asigne una clave de acceso en el sistema con el mandato passwd puesto que la cuenta no tendrá acceso al interprete de mandatos.

Si se necesita que las cuentas se puedan utilizar para acceder hacia otros servicios como serían Telnet, SSH, etc, es decir, que se permita acceso al interprete de mandatos, será necesario especificar /bin/bash como interprete de mandatos y además se deberá asignar una clave de acceso en el sistema con el mandato passwd:

useradd -s /bin/bash usuario-windows passwd usuario-windows smbpasswd -a usuario-windows

El fichero lmhosts

Es necesario empezar resolviendo localmente los nombres NetBIOS asociándolos con direcciones IP correspondientes. Para fines prácticos el nombre NetBIOS debe tener un máximo de 11 caracteres. Normalmente tomaremos como referencia el nombre corto del servidor o el nombre corto que se asigno como alias a la interfaz de red. Este lo estableceremos en el fichero /etc/samba/lmhosts, en donde encontraremos lo siguiente:

127.0.0.1 localhost

Debemos añadir entonces el nombre que hayamos elegido asociado a la dirección IP que se tenga dentro de la red local. Opcionalmente podrá añadir también los nombres y dirección IP del resto de las máquinas que conformen la red local. La separación de espacios se hace con un tabulador. Ejemplo:

127.0.0.1 localhost 192.168.1.5 maquinalinux 192.168.1.6 isaac 192.168.1.7 finanzas 192.168.1.8 direccion

Parámetros principales del fichero smb.conf.

Modifique el fichero /etc/samba/smb.conf con cualquier editor de texto. Dentro de este notará que la información que le será de utilidad viene comentada con un símbolo # y los ejemplos con ; (punto y coma), siendo estos últimos los que tomaremos como referencia.

Empezaremos por establecer el grupo de trabajo editando el valor del parámetro workgroup asignando un grupo de trabajo deseado:

workgroup = MIGRUPO

Opcionalmente puede establecer con el parámetro netbios name otro nombre distinto para el servidor si acaso fuese necesario, pero siempre tomando en cuenta que dicho nombre deberá corresponder con el establecido en el fichero /etc/samba/lmhosts:

netbios name = maquinalinux

El parámetro server string es de carácter descriptivo. Puede utilizarse un comentario breve que de una descripción del servidor.

server string = Servidor Samba %v en %L

Parámetros útiles para la seguridad.

La seguridad es importante y esta se puede establecer primeramente estableciendo la lista de control de acceso que definirá que máquinas o redes podrán acceder hacia el servidor. El parámetro hosts allow sirve para determinar esto. Si la red consiste en la máquinas con dirección IP desde 192.168.1.1 hasta 192.168.1.254, el rango de direcciones IP que se definirá en hosts allow será 192.168.1. de modo tal que solo se permitirá el acceso dichas máquinas. Note por favor el punto al final de cada rango. Modifique ésta de manera que quede del siguiente modo:

hosts allow = 192.168.1. 127.

El parámetro interfaces permite establecer desde que interfaces de red del sistema se escucharán peticiones. Samba no responderá a peticiones provenientes desde cualquier interfaz no especificada. Esto es útil cuando Samba se ejecuta en un servidor que sirve también de puerta de enlace para la red local, impidiendo se establezcan conexiones desde fuera de la red local.

interfaces = 192.168.1.254/24

Impresoras en Samba.

Las impresoras se comparten de modo predeterminado, así que solo hay que realizar algunos ajustes. Si se desea que se pueda acceder hacia la impresora como usuario invitado sin clave de acceso, basta con añadir public = Yes en la sección de impresoras del siguiente modo:

[printers] comment = El comentario que guste. path = /var/spool/samba printable = Yes browseable = No writable = no printable = yes public = Yes

Windows NT, 2000 y XP no tendrán problema alguno para acceder e imprimir hacia las impresoras, sin embargo Windows 95, 98 y ME suelen tener problemas para comunicarse con Samba para poder imprimir. Por tanto, si se quiere evitar problemas de conectividad con dichos sistemas operativos hay que agregar algunos parámetros que resolverán cualquier eventualidad:

[printers] comment = Impresoras. path = /var/spool/samba printable = Yes browseable = No writable = no printable = yes public = Yes print command = lpr -P %p -o raw %s -r lpq command = lpstat -o %p lprm command = cancel %p-%j

Se pude definir también a un usuario o bien un grupo (@grupo_que_sea) para la administración de las colas de las impresoras:

[printers] comment = Impresoras. path = /var/spool/samba printable = Yes browseable = No writable = no printable = yes public = Yes print command = lpr -P %p -o raw %s -r lpq command = lpstat -o %p lprm command = cancel %p-%j printer admin = fulano, @opers_impresion

Con lo anterior se define que el usuario fulano y quien pertenezca al grupo opers_impresion podrán realizar tareas de administración en las impresoras.

Compartiendo directorios a través de Samba.

Para los directorios o volúmenes que se irán a compartir, en el mismo fichero de configuración encontrará distintos ejemplos para distintas situaciones particulares. En general, puede utilizar el siguiente ejemplo que funcionará para la mayoría:

[Lo_que_sea] comment = Comentario que se le ocurra path = /cualquier/ruta/que/desee/compartir

El volumen puede utilizar cualquiera de las siguientes opciones:

Opción	Descripción
guest ok	Define si ser permitirá el acceso como usuario invitado. El valor puede ser Yes o No.
public	Es un equivalente del parámetro guest ok, es decir define si ser permitirá el acceso como usuario invitado. El valor puede ser Yes o No.
browseable	Define si se permitirá mostrar este recurso en las listas de recursos compartidos. El valor puede ser Yes o No.
writable	Define si ser permitirá la escritura. Es el parámetro contrario de read only. El valor puede ser Yes o No. Ejemplos: «writable = Yes» es lo mismo que «read only = No». Obviamente «writable = No» es lo mismo que «read only = Yes»
valid users	Define que usuarios o grupos pueden acceder al recurso compartido. Los valores pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: fulano, mengano, @administradores
write list	Define que usuarios o grupos pueden acceder con permiso de escritura. Los valores pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: fulano, mengano, @administradores
admin users	Define que usuarios o grupos pueden acceder con permisos administrativos para el recurso. Es decir, podrán acceder hacia el recurso realizando todas las operaciones como super-usuarios. Los valores pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: fulano, mengano, @administradores
directory mask	Es lo mismo que directory mode. Define que permiso en el sistema tendrán los subdirectorios creados dentro del recurso. Ejemplos: 1777
create mask	Define que permiso en el sistema tendrán los nuevos ficheros creados dentro del recurso. Ejemplo: 0644

En el siguiente ejemplo se compartirá a través de Samba el recurso denominado ftp, el cual está localizado en el directorio /var/ftp/pub del disco duro. Se permitirá el acceso a cualquiera pero será un recurso de solo lectura salvo para los usuarios administrador y fulano. Todo directorio nuevo que sea creado en su interior tendrá permiso 755 y todo fichero que sea puesto en su interior tendrá permiso 644.

[ftp] comment = Directorio del servidor FTP path = /var/ftp/pub guest ok = Yes read only = Yes write list = fulano, administrador directory mask = 0755 create mask = 0644

Configuración avanzada de Samba.

Samba fue creado con un objetivo: ser en un reemplazo definitivo para Windows como servidor en una red local. Ésto, por supuesto, requiere algunos procedimientos adicionales dependiendo de las necesidades de la red local.

Re-asignación de grupos de Windows en Samba.

Los grupos que existen en Windows también se utilizan en Samba para ciertas operaciones, principalmente relacionadas con lo que involucra un Controlador Primario de dominio (o PDC que significa Primary Domain Controler). Estos grupos existen de modo predefinido en Samba. Sin embargo, si se ejecuta lo siguiente:

net groupmap list

Devolverá la siguiente información:

System Operators (S-1-5-32-549) -> -1 Domain Admins (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-512) -> -1 Replicators (S-1-5-32-552) -> -1 Guests (S-1-5-32-546) -> -1 Domain Guests (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-514) -> -1 Power Users (S-1-5-32-547) -> -1 Print Operators (S-1-5-32-550) -> -1 Administrators (S-1-5-32-544) -> -1 Account Operators (S-1-5-32-548) -> -1 Domain Users (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-513) -> -1 Backup Operators (S-1-5-32-551) -> -1 Users (S-1-5-32-545) -> -1

Lo anterior corresponde al mapa de los grupos que, de modo predeterminado, utilizará Samba si éste fuese configurado como Controlador Primario de Dominio. XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX corresponde a un número generado aleatoriamente al iniciarse Samba por primera vez. Tome nota de dicho número, ya que lo requerirá más adelante para re-asignar los nombres al español en el mapa de grupos.

Los grupos anteriormente descritos trabajarán perfecta y limpiamente asociándolos contra grupos en el sistema, pero solo si utiliza alguna versión de Windows en ingles. Si utiliza alguna versión de Windows en español, habrá que re-asignar los nombres de los grupos a los correspondientes al español y asociarles a grupos en el sistema, esto a fin de permitir asignar usuarios a dichos grupos y de este modo delegar tareas de administración del mismo modo que en Windows.

Es por tal motivo que si se tiene la intención de configurar Samba como Controlador Primario de Dominio y al mismo tiempo poder hacer uso de los grupos del mismo modo que en Windows, es decir, por mencionar un ejemplo, permitir a ciertos usuarios pertenecer al grupo de administradores del dominio con privilegios de administrador, lo primero será entonces generar los grupos en el sistema ejecutando como root los siguientes mandatos:

groupadd -r administradores groupadd -r admins_dominio groupadd -r duplicadores groupadd -r invitados groupadd -r invs_dominio groupadd -r opers_copias groupadd -r opers_cuentas groupadd -r opers_impresion groupadd -r opers_sistema groupadd -r usrs_avanzados groupadd -r usuarios groupadd -r usuarios_dominio

Una vez creados los grupos en el sistema, solo resta re-asignar los nombres al español en el mapa de grupo de Samba y asociarles a éstos los grupos recién creados en el sistema. El procedimiento se resume a ejecutar algo como lo siguiente:

net groupmap modify \ ntgroup="Nombre grupo Windows en español" \ sid="número-de-identidad-en-sistema" \ unixgroup="grupo_en_linux" \ comment="comentario descriptivo acerca del grupo"

Lo anterior establece que se modifique el registro del grupo que corresponda al sid (identidad de sistema) definido con el nombre establecido con ntgroup, asociándolo al grupo en el servidor con unixgroup y añadiendo un comentario descriptivo acerca de dicho grupo con comment.

De modo tal, y a fin de facilitar las cosas a quien haga uso de este manual, puede utilizar el siguiente guión para convertir los nombres al español y asociarlos a grupos en Linux, donde solo deberá definir el número de identidad del sistema que corresponda al servidor:

#!/bin/sh SIDSAMBA=XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX net groupmap modify ntgroup="Administradores" \ sid="S-1-5-32-544" unixgroup=administradores \ comment="Los administradores tienen acceso completo y sin restricciones al equipo o dominio" net groupmap modify ntgroup="Admins. del dominio" \ sid="S-1-5-21-$SIDSAMBA-512" unixgroup=admins_dominio \ comment="Administradores designados del dominio" net groupmap modify ntgroup="Duplicadores" \ sid="S-1-5-32-552" unixgroup=duplicadores \ comment="Pueden duplicar archivos en un dominio" net groupmap modify ntgroup="Invitados del dominio" \ sid="S-1-5-21-$SIDSAMBA-514" unixgroup=invitados \ comment="Todos los invitados del dominio" net groupmap modify ntgroup="Invitados" \ sid="S-1-5-32-546" unixgroup=invitados \ comment="Los invitados tienen de modopredeterminado el mismo acceso que los miembros del grupo Usuarios, excepto la cuenta Invitado que tiene mas restricciones" net groupmap modify ntgroup="Operadores de copias" \ sid="S-1-5-32-551" unixgroup=opers_copias \ comment="Los operadores de copia pueden sobrescribir restricciones de seguridad con el unico proposito de hacer copias de seguridad o restaurar archivos" net groupmap modify ntgroup="Opers. de cuentas" \ sid="S-1-5-32-548" unixgroup=opers_cuentas \ comment="Pueden administrar cuentas de usuarios y grupos del dominio" net groupmap modify ntgroup="Opers. de impresión" \ sid="S-1-5-32-550" unixgroup=opers_impresion \ comment="Pueden operar impresoras del dominio" net groupmap modify ntgroup="Opers. de servidores" \ sid="S-1-5-32-549" unixgroup=opers_sistema \ comment="Pueden administrar sistemas del dominio" net groupmap modify ntgroup="Usuarios avanzados" \ sid="S-1-5-32-547" unixgroup=usrs_avanzados \ comment="Los usuarios avanzados tienen mas derechos administrativos con algunas restricciones. De este modo, pueden ejecutar aplicaciones heredadas junto con aplicaciones certificadas" net groupmap modify ntgroup="Usuarios del dominio" \ sid="S-1-5-21-$SIDSAMBA-513" unixgroup=usuarios_dominio \ comment="Todos los usuarios del dominio" net groupmap modify ntgroup="Usuarios" \ sid="S-1-5-32-545" unixgroup=usuarios \ comment="Los usuarios no pueden hacer cambios accidentales o intencionados en el sistema. Pueden ejecutar aplic. certificadas, pero no la mayoría de las heredadas" exit 0

Nota: Este guión en esta incluido en el disco de “Extras de curso” de Linux Para Todos. Solo basta editarlo y definir la variable SIDSAMBA y ejecutarlo como root.

Una vez hecho lo anterior, al volver a realizar lo siguiente:

net groupmap list

Se deberá de mostrar ahora esto otro:

Opers. de servidores (S-1-5-32-549) -> opers_sistema Admins. del dominio (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-512) -> admins_dominio Duplicadores (S-1-5-32-552) -> duplicadores Invitados (S-1-5-32-546) -> invitados Invitados del dominio (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-514) -> invitados Usuarios avanzados (S-1-5-32-547) -> usrs_avanzados Opers. de impresión (S-1-5-32-550) -> opers_impresion Administradores (S-1-5-32-544) -> administradores Opers. de cuentas (S-1-5-32-548) -> opers_cuentas Usuarios del dominio (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-513) -> usuarios_dominio Operadores de copias (S-1-5-32-551) -> opers_copias Usuarios (S-1-5-32-545) -> usuarios

De este modo, si por ejemplo, se agrega al usuario fulano al grupo admins_dominio, se tendrá el mismo efecto que si se hiciera lo mismo en Windows agregando al usuario al grupo Admins. del dominio. Esto por supuesto solamente tendrá utilidad si Samba se configura y utiliza como Controlador Primario de Dominio.

Alta de cuentas de usuario en Controlador Primario de Dominio.

Si se configuró Samba para funcionar como Controlador Primario de Dominio, será necesario asignar a root una clave de acceso en Samba, la cual por supuesto puede ser diferente a la del sistema, debido a que las estaciones de trabajo necesitan autenticar primero con el usuario root de Samba para poder unirse dominio y poder crear de este modo una cuenta de máquina en el sistema a través del parámetro add machine script ya descrito anteriormente.

Los usuarios es necesario darlos de alta de modo que queden agregados a los que correspondan en el sistema a grupos Usuarios y Usuarios del dominio de Windows, es decir a los grupos usuarios y usuarios_dominio.

useradd -s /sbin/nologin -G usuarios,usuarios_dominio usuario-windows smbpasswd -a usuario-windows

Si el usuario ya existiese, solo será necesario agragarlo a los grupos usuarios y usuarios_dominio con gpassswd del siguiente modo:

gpasswd -a usuario-windows usuarios gpasswd -a usuario-windows usuarios_dominio

En teoría en el directorio definido para el recurso Profiles se deben crear automáticamente los directorios de los usuarios donde se almacenarán los perfiles. De ser necesario es posible generar éstos directorios utilizando el siguiente guión:

cd /home for user in * do mkdir -p /var/lib/samba/profiles/$user chown $user.$user /var/lib/samba/profiles/$user done

Parámetros de configuración avanzada en el fichero smb.conf

Anunciando el servidor Samba en los grupos de trabajo.

La opción remote announce se encarga de que el servicio nmbd se anuncie a si mismo de forma periódica hacia una red en particular y un grupo de trabajo específico. Esto es particularmente útil si se necesita que el servidor Samba aparezca no solo en el grupo de trabajo al que pertenece sino también otros grupos de trabajo. El grupo de trabajo de destino puede estar en donde sea mientras exista una ruta y sea posible la transmisión exitosa de paquetes.

remote announce = 192.168.1.255/MI-DOMINIO 192.168.2.255/OTRO-DOMINIO

El ejemplo anterior definió que el servidor Samba se anuncie a si mismo al los grupos de trabajo MI-DOMINIO y OTRO-DOMINIO en las redes cuyas IP de transmisión son 192.168.1.255 y 192.168.2.255 correspondientemente.

Ocultando y denegando acceso a ficheros.

No es conveniente que los usuarios acceder o bien puedan ver la presencia de ficheros ocultos en el sistema, es decir ficheros cuyo nombre comienza con un punto, particularmente si acceden a su directorio personal en el servidor Samba (.bashrc, .bash_profile, .bash_history, etc.). Puede utilizarse el parámetro hide dot files para mantenerlos ocultos.

hide dot files = Yes

En algunos casos puede ser necesario denegar el acceso a cierto tipo de ficheros del sistema. El parámetro veto files se utiliza para especificar la lista, separada por diagonales, de aquellas cadenas de texto que denegarán el acceso a los ficheros cuyos nombres contengan estas cadenas. En el siguiente ejemplo, se denegará el acceso hacia los ficheros cuyos nombres incluyan la palabra «Security» y los que tengan extensión o terminen en «.tmp»:

veto files = /*Security*/*.tmp/

Opciones para cliente o servidor Wins.

Puede habilitar convertirse en servidor WINS o bien utilizar un servidor WINS ya existente. Se puede ser un servidor WINS o un cliente WINS, pero no ambas cosas a al vez.

Si se va ser el servidor WINS, debe habilitarse lo siguiente: wins support = Yes Si se va a utilizar un servidor WINS ya existente, debe descomentar la siguiente línea y especificar que dirección IP utiliza dicho servidor WINS: wins server = 192.168.1.1

Opciones específicas para Controlador Primario de Dominio (PDC).

Si se va a configurar Samba como Controlador Primario de Dominio, se debe especificar todos los parámetros descritos a continuación.

Si se quiere que las claves de acceso del sistema y Windows se mantengan sincronizadas, es necesario descomentar las siguiente líenas:

unix password sync = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*

El parámetro local master define al servidor como examinador del dominio (o master browser); El parámetro domain master define al servidor maestro del dominio; El parámetro preferred master define al servidor como maestro del domino preferido en caso de haber más servidores presentes en el mismo dominio como controladores de dominio; El parámetro time server se utiliza para definir que las estaciones deberán sincronizar la hora con el servidor al unirse al dominio; El parámetro domain logons define que el servidor permitirá a las estaciones autenticar contra Samba.

local master = Yes domain master = Yes preferred master = Yes time server = Yes domain logons = Yes

La configuración de Controlador Primario de Dominio requiere además definir donde se almacenarán los perfiles de los usuarios. Windows 95, 98 y ME requieren se defina con el parámetro logon home, en tanto que Windows NT, 2000 y XP requieren se haga con el parámetro logon path. Para efectos prácticos y de previsión, utilice ambos parámetros y defina la unidad H para dicho volumen:

logon path = \\%L\Profiles\%U logon home = \\%L\%U\.profile logon drive = H:

Si se va a utilizar Samba como Controlador Primario de Dominio, es necesario establecer el guión que ejecutarán las estaciones Windows al conectarse hacia el servidor. Esto se hace a través del parámetro logon script el cual puede definir o bien un guión a utilizar por cada usuario (%u.bat) o bien por cada máquina (%m.bat) o bien de modo general para todos (logon.cmd). Para no complicar las cosas, defina inicialmente un guión general para todos del siguiente modo:

logon script = logon.cmd

El fichero /var/lib/samba/netlogon/logon.cmd deberá contener algo como lo siguiente:

REM windows client logon script REM net time \\mi-servidor /SET /YES net use H: \\mi-servidor\homes /PERSISTENT:NO

El Controlador Primario de Dominio va a necesitar también se definan los guiones a ejecutar para distintas tareas como alta de máquinas, usuarios y grupos así como la baja de estos.

add user script = /usr/sbin/useradd %u add machine script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -c "Cuenta de máquina" -M %u delete user script = /usr/sbin/userdel %u delete group script = /usr/sbin/groupdel %g add user to group script = /usr/bin/gpasswd -a %u %g set primary group script = /usr/sbin/usermod -g %g %u

El parámetro add user script sirve para definir lo que se deberá ejecutar en el trasfondo en el sistema para crear una nueva cuenta de usuario. El parámetro add machine script es particularmente importante porque es el mandato utilizado para dar de alta cuentas de máquinas (trust accounts o cuentas de confianza) de modo automático. El parámetro delete user script es para definir lo propio para eliminar usuarios, delete group script para eliminar grupos, add user to group para añadir usuarios a grupos y set primary group script para establecer un grupo como el principal para un usuario.

Directorio para Netlogon y perfiles en Controlador Primario de Dominio (PDC).

Si se va a utilizar Samba como Controlador Primario de Dominio, es necesario definir los recursos donde residirá netlogon y también donde se almacenarán los perfiles de los usuarios:

[netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon write list = @administradores, @admins_dominio guest ok = Yes browseable = Yes [Profiles] path = /var/lib/samba/profiles read only = No guest ok = Yes create mask = 0600 directory mask = 0700

Genere con el mandato mkdir los directorios /var/lib/samba/profiles y /var/lib/samba/netlogon. El directorio /var/lib/samba/profiles deberá pertenecer a root y al grupo users y tener permiso 1777 a fin de permitir crear el directorio de perfil correspondiente para cada usuario.

mkdir -p -m 1777 /var/lib/samba/profiles mkdir -p /var/lib/samba/netlogon chgrp users /var/lib/samba/profiles

Inciar el servicio y añadirlo al arranque del sistema.

Si iniciará Samba por primera vez realice lo siguiente:

/sbin/service smb start

Si va a reiniciar el servicio, realice lo siguiente:

/sbin/service smb restart

Para que Samba inicie automáticamente cada vez que inicie el servidor solo ejecute el siguiente mandato:

/sbin/chkconfig smb on

Accediendo hacia Samba.

Modo texto.

Smbclient.

Indudablemente el método más práctico y seguro es el mandato smbclient. Este permite acceder hacía cualquier servidor Samba o Windows® como si fuese el mandato ftp en modo texto.

Para acceder al cualquier recurso de alguna máquina Windows® o servidor SAMBA determine primero que volúmenes o recursos compartidos posee está. utilice el mandato smbclient del siguiente modo:

smbclient -U usuario -L alguna_maquina

Lo cual le devolvería más menos lo siguiente:

Domain=[MI-DOMINIO] OS=[Unix] Server=[Samba 3.0.7-1.3E] Sharename Type Comment --------- ---- ------- homes Disk Home Directories netlogon Disk Network Logon Service ftp Disk ftp IPC$ IPC IPC Service (Servidor Samba 3.0.7-1.3E en mi-servidor) ADMIN$ IPC IPC Service (Servidor Samba 3.0.7-1.3E en mi-servidor) epl5900 Printer Created by redhat-config-printer 0.6.x hp2550bw Printer Created by redhat-config-printer 0.6.x Anonymous login successful Domain=[MI-DOMINIO] OS=[Unix] Server=[Samba 3.0.7-1.3E] Server Comment --------- ------- mi-servidor Servidor Samba 3.0.7-1.3E en mi-servidor Workgroup Master --------- ------- MI-DOMINIO MI-SERVIDOR

La siguiente corresponde a la sintaxis básica para poder navegar los recursos compartidos por la máquina Windows® o el servidor SAMBA:

smbclient //alguna_maquina/recurso -U usuario

Ejemplo:

smbclient //LINUX/FTP -U jbarrios

Después de ejecutar lo anterior, el sistema solicitará se proporcione la clave de acceso del usuario jbarrios en el equipo denominado LINUX.

smbclient //LINUX/FTP -U jbarrios added interface ip=192.168.1.254 bcast=192.168.1.255 nmask=255.255.255.0 Password: Domain=[miusuario] OS=[Unix] Server=[Samba 2.2.1a] smb: \>

Pueden utilizarse virtualmente los mismos mandatos que en el interprete de ftp, como serían get, mget, put, del, etc.

Por montaje de unidades de red.

Si necesita poder visualizar desde GNU/Linux a las máquinas con Windows® e interactuar con los directorios compartidos por estás, necesitará realizar algunos pasos adicionales. De manera predeterminada, y por motivos de seguridad, solo root puede utilizar los mandatos smbmnt y smbumount. Deberá entonces establecer permisos de SUID a dichos mandatos. Puede hacerlo ejecutando, como root lo siguiente:

chmod 4755 /usr/bin/smbmnt chmod 4755 /usr/bin/smbumount

Para acceder hacia una máquina Windows® determine primero que volúmenes o recursos compartidos posee está. utilice el mandato smbclient del siguiente modo:

smbclient -N -L alguna_maquina

Lo cual le devolvería más menos lo siguiente:

Anonymous login successful Domain=[MI-DOMINIO] OS=[Unix] Server=[Samba 3.0.7-1.3E] Sharename Type Comment --------- ---- ------- homes Disk Home Directories netlogon Disk Network Logon Service ftp Disk ftp IPC$ IPC IPC Service (Servidor Samba 3.0.7-1.3E en mi-servidor) ADMIN$ IPC IPC Service (Servidor Samba 3.0.7-1.3E en mi-servidor) epl5900 Printer Created by redhat-config-printer 0.6.x hp2550bw Printer Created by redhat-config-printer 0.6.x Anonymous login successful Domain=[MI-DOMINIO] OS=[Unix] Server=[Samba 3.0.7-1.3E] Server Comment --------- ------- mi-servidor Servidor Samba 3.0.7-1.3E en mi-servidor Workgroup Master --------- ------- MI-DOMINIO MI-SERVIDOR

En el ejemplo anterior hay un volumen compartido llamado algún_volumen. Si queremos montar este, debemos crear un punto de montaje. Éste puede crearse en cualquier directorio sobre el que tengamos permisos de escritura. Para montarlo, utilizamos entonces la siguiente línea de mandato:

smbmount //alguna_maquina/algún_volumen /punto/de/montaje/

Si la máquina Windows® requiere un usuario y una clave de acceso, puede añadir a lo anterior las opciones -username=el_necesario -password=el_requerido -workgroup=MIGRUPO

Si la distribución de GNU/Linux utilizada es reciente, también puede utilizar el ya conocido mandato mount del siguiente modo:

mount -t smbfs -o username=el_necesario,password=el_requerido //alguna_maquina/algún_volumen /punto/de/montaje/

Si se genera una cuenta pcguest, similar a la cuenta nobody, podemos montar volúmenes SMB sin ingresar una clave de acceso pero con privilegios restringidos, o aquellos que definamos a un volumen accedido por un usuario invitado. Esto sería el método por elección para compartir volúmenes en una red de área local. Puede generarse una cuenta pcguest o bien dejar que el sistema tome al usuario nobody. Si opta por lo primero, solo de de alta la cuenta NO asigne clave de acceso alguna. Montar volúmenes remotos como usuarios invitado es muy sencillo. Un ejemplo real sería:

mount -t smbfs -o guest //LINUX/FTP //var/ftp

Lo anterior monta un volumen SAMBA de una máquina con GNU/Linux en otra máquina con GNU/Linux.

Puede añadirse también una entrada en /etc/fstab de modo que sólo tenga que ser tecleado mount /punto/de/montaje. Esta línea sería de modo similar al siguiente:

//LINUX/FTP /var/ftp smbfs user,auto,guest,ro,gid=100 0 0

Recuérdese que el volumen compartido debe estar configurado para permitir usuarios invitados:

[FTP] comment = Programática libre (RPMS) path = /var/ftp/pub public = Yes guest ok = Yes

Modo gráfico

Desde el entorno de GNOME.

Si utiliza GNOME 2.x o superior, éste incluye un módulo para Nautilus que permite acceder hacia los recursos compartidos a través de Samba sin necesidad de modificar cosa alguna en el sistema. Solo hay que hacer clic en Servidores de red en el menú de GNOME.

Desde Windows.

Por su parte, desde Windows deberá ser posible acceder sin problemas hacia Samba como si fuese hacia cualquier otra máquina con Windows. Vaya, ni Windows ni el usuario notarán siquiera la diferencia.

Uniendo máquinas al dominio del Controlador Primario de Dominio.

El controlador de dominio permite utilizar a Samba como servidor de autenticación y servidor de archivos que además permite almacenar el perfil, preferencias y documentos del usuario en el servidor automáticamente sin la intervención del usuario.

Creando manualmente cuentas de máquinas

Bajo algunas circunstancias será necesario crear cuentas de máquinas (trust accounts o cuentas de confianza) a fin de permitir unirse al dominio. el procedimiento es simple:

/usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -c "Cuenta de máquina" -M maquina-windows$ smbpasswd -a maquina-windows$

Es de resaltar que las cuentas de máquinas deben incluir obligatoriamente un símbolo $ al final del nombre.

Windows 95/98/ME y Windows XP Home

Ya que los sistemas con Windows 95/98/ME y Windows XP Home no incluyen una implementación completa como miembros de dominio, no se requieren cuentas de confianza. El procedimiento para unirse al dominio es el siguiente:

•	Acceder hacia Menú de inicio → Configuraciones → Panel de control → Red
•	Seleccione la pestaña de Configuración
•	Seleccione «Cliente de redes Microsoft»
•	Haga clic en el botón de propiedades
•	Seleccione Acceder a dominio de Windows NT y especifique el dominio correspondiente.
•	Clic en todos los botones de «Aceptar» y reinicie el sistema
•	Acceda con cualquier usuario que haya sido dado de alta en el servidor Samba y que además cuente con una clave de acceso asignada con smbpasswd.

Windows NT

•	Crear manualmente la cuenta de máquina como se decribió anteriormente.
•	Acceder hacia Menú de inicio → Configuraciones → Panel de control → Red.
•	Seleccionar la pestaña de «Identificación».
•	Clic en el botón de «Cambiar».
•	Ingrese el nombre del dominio y el nombre del sistema. No selecione «Crear una cuenta de máquina en el Dominio».
•	Clic en «Aceptar»
•	Espere algunos segundos.
•	Deberá mostrarse un mensaje emergente de confirmación que dice «Bienvenido a MI-DOMINIO»
•	Reinicie el sistema
•	Acceda con cualquier usuario que haya sido dado de alta en el servidor Samba y que además cuente con una clave de acceso asignada con smbpasswd.

Windows 2000/2003 y Windows XP Profesional

•	Clic derecho en el icono de «Mi PC».
•	Seleccionar «Propiedades»
•	Haga clic en la pestaña de «Identificación de red» o «Nombre del sistema».
•	Clic en el botón de «Propiedades».
•	Clic en el botón «Miembro de dominio»
•	Ingrese el nombre del dominio y el nombre de la máquina y haga clic en el botón de «Aceptar»
•	Aparecerá un diálogo que preguntará por una cuenta y clave de acceso con privilegios de administración en el servidor. Especifique la root y la clave de acceso que asignó a la cuenta de root con el mandato smbpasswd (NO LA CLAVE DE ACCESO DE ROOT EN EL SISTEMA).
•	Espere algunos segundos.
•	Deberá mostrarse un mensaje emergente de confirmación que dice «Bienvenido a MI-DOMINIO»
•	Reinicie el sistema
•	Acceda con cualquier usuario que haya sido dado de alta en el servidor Samba y que además cuente con una clave de acceso asignada con smbpasswd.

Firmas digitales con cacert

CaCert.org es una Autoridad de Certificación (CA) que ofrece certificados digitales gratuitos, tanto para uso en clientes (para firmar digitalmente documentos o mensajes de correo, o incluso código fuente, como las macros de OpenOffice o las extensiones de Firefox) como en servidores (para autenticar un servidor frente a un cliente - “sí, éste realmente es el servidor de banca electrónica que dice ser”).

Cuando pides un certificado personal a CaCert, en los campos del usuario Nombre, Apellidos, Email, sólo te ofrecen, inicialmente, el poder elegir cuál es la dirección de correo que quieres que figure en el campo email. Para que tu nombre y apellidos también figuren, CaCert necesita asegurarse de que realmente eres quien dice ser. Para verificar esta cuestión, recurre a los anillos de confianza: usuarios que ya han acreditado sus datos personales han de firmar y acreditar los tuyos. En concreto, es necesario buscar a un “Assurer”, una persona (a ser posible cercana a tu lugar de residencia) que, previa presentación de tu documento de identidad y/o pasaporte, acredite tu identidad frente a CaCert. Cada vez que consigues que un Assurer dé fe de tu identidad, consigues hasta 35 puntos. Es necesario acumular 100 puntos para que CaCert incluya tu nombre y apellidos (aparte del email) en el certificado.

Esta semana he enviado varios mensajes a varios “assurers” cercanos a Donostia, y sólo me ha respondido uno. He quedado con él para la semana que viene, a ver si consigo mis primeros 35 puntos y me entero exactamente de cómo funciona el proceso.

Es una lástima que CaCert no se incluya de serie en el almacén de Autoridades de Confianza de Mozilla/Firefox y haya que instalar el certificado raíz a mano. Sin embargo, CaCert (o de cualquier otra CA) en Mozilla debe de pasar por un proceso de auditoría bastante estricto. Y aún les queda trabajo por hacer… Interesante ese último enlace, porque en el Wiki de CaCert publican muchos detalles de la auditoría a la que deben someterse (ellos y cualquier otra CA que quiera ver su certificado raíz por defecto incluído en Mozilla/Firefox)

Es curioso, leyendo toda la documentación de los párrafos anteriores, me he enterado de que existe otra empresa que ofrece también certificados digitales gratuitos y que ha pasado ya con éxito por la auditoría que solicita Mozilla: StartCom. Instalaré sus certificados a ver qué tal funciona el proceso con esta otra CA.

FEDORA 10

bueno ase arto tiempo q no publico en mi blog pero espero haora ser mas constante

con respecto a mi 2 pasion q es linux me ecuentro en proceso de prueva de fedora 10

bueno la verdad q ase arto tiempo queria instalar y probar esta distro de linux pero estaba tan contento con mi querido ubuntu pero nen un afan de tener mas conociminto final mente lo e echo y a un dia de el lansamiento de ubuntu 9.04 e pensado q lo istalare en mi pc y en mi laptop continuare ocupando fedora con respecto a fedora les puedo desir q no me e arepentido de instalar esta distro

biene con inifinidad de programas en otra publicacio aondare mas sobre como aser las tareas diarias con fedora bueno la instalacion es bastante sencilla al igual q devian nos permite

en el proseso de instalacion poder descargar aplicacion para instalar ademas podemos protejer mejor nuestros datos encriptado la informacion

instalacion de KDE

KDE es un entorno grafico para distribuciones linux como ya deven saver, a diferencia de wintendo
el entorno grafico no es parte del nuclio de sistema operaivo como en wintendo
lo q nos permite poder elegi entre los diversos entornos grafico claro q los mas conocidos son gnome y kde

bueno haore a instalar

• Primero lo primero, Abrir la terminal

• Segundo vamos a agregar nuevos repositorios así que tecleamos en la terminal

sudo gedit /etc/apt/sources.list

• Tercero agregamos la siguiente linea

deb http://ppa.launchpad.net/tsimpson/ubuntu gutsy main

• Cuarto guardamos y cerramos el editor

• Quinto actualizamos con

sudo aptitude update

• Sexto instalamos KDE4 con lo siguiente

sudo aptitude install kdebase-dev-kde4 kdebase-workspace-bin kdebase-runtime

• Séptimo instalar KDM

sudo apt-get install kdm-kde4
Se abrirla una ventana ahí elije KDM ojo no GDM, si te marca un error no te preocupes no pasa nada

• Octavo Para poder iniciar con KDE4 ahí que modificar el archivo de inicio así

sudo gedit /usr/lib/kde4/bin/startkde

ahí vamos a pegar lo siguiente al inicio
export LD_LIBRARY_PATH=/usr/lib/kde4/lib
export KDEDIRS=/usr/lib/kde4
export PATH=/usr/lib/kde4/bin/:$PATH
export KDEHOME=~/.kde4>/code>

• Noveno Ahora solo falta hacer la sesión para KDE4 de la siguiente manera

sudo cp /usr/lib/kde4/share/kde4/apps/kdm/sessions/kde.desktop /usr/share/xsessions/kde4.desktop
Listo ya puedes disfrutar de KDE4

instalacion de samba

Samba es un software que permite a tu ordenador con Ubuntu poder compartir archivos e impresoras con otras computadoras en una misma red local. Utiliza para ello un protocolo conocido como SMB/CIFS compatible con sistemas operativos UNIX o Linux , como Ubuntu, pero además con sistemas Windows (XP, NT, 98...), OS/2 o incluso DOS. También se puede conocer como LanManager o NetBIOS.
Si Ubuntu te ha detectado correctamente la red local, que es lo mas habitual, cuando selecciones una carpeta y hagas click en el botón derecho del ratón, si le das a Compartir carpeta, al seleccionar un protocolo se iniciará un proceso automático de descarga desde Internet e instalación de Samba.

$sudo aptitude install samba samba-client smbfs smbclient
esto debería instalar también varias otras dependencias.
Luego configuramos el archivo /etc/samba/smb.conf

Para modificar el grupo de trabajo
Primero abrimos el archivo /etc/samba/smb.conf para modificarlo : $sudo nano /etc/samba/smb.conf
Luego buscamos (control+w) la línea que diga algo como : workgroup = MSHOME
y reemplazamos MSHOME por el nombre de nuestro grupo de trabajo.

Para agregar una carpeta
Primero debemos crear una carpeta con permisos (por ejemplo) :

$sudo mkdir /home/public
$sudo chmod 755 /home/public
Luego abrimos el archivo /etc/samba/smb.conf para modificarlo : $sudo nano /etc/samba/smb.conf
y le agregamos, al final, algo como esto : [public]
comment = Cosas publicas
path = /home/public
public = yes
writable = no
las opciones son auto-sugerentes, por ejemplo "public = yes" es para que se pueda acceder a la carpeta (el permiso x de sistema), y "writable = no" es para que no se pueda escribir (el permiso w de sistema).

Para Compartir la Unidad de CDRom
abrimos el archivo /etc/samba/smb.conf para modificarlo : $sudo nano /etc/samba/smb.conf
y le agregamos, al final, algo como esto : [CDRom]
comment = Cd Rom Compartido
path = /media/cdrom0
public = yes
writable = no
browseable = yes
(le agregamos un nuevo parametro "browseable" esto sirve para ingresar a la maquina por medio de windows y linux de forma remota y ver la carpeta que esta compartida)

Mas sobre los permisos de las carpetas
Generalmente (esto pasa con mi ubuntu 6.10) al usuario externo que tiene acceso al equipo a través de Samba, el sistema le da como nombre de usuario nobody y como nombre de grupo nogroup, es así como podemos cambiar el nombre de usuario y nombre de grupo a nuestras carpetas, con el fin de que el sistema también sepa quien es el propietario de esa carpeta:

$sudo chown nobody:nogroup /home/public
$sudo chmod 555 /home/public
y si queremos que también pueda escribir sobre esta carpeta

$sudo chmod 755 /home/public
y además debemos decirle a Samba que se lo permita (acuerdate que para que un permiso sea válido, tanto el sistema como Samba deben estar de acuerdo)

Para no usar contraseña
Buscamos (control+w) la línea donde diga algo como : ; security = user
y la reemplazamos por : security = SHARE

Agregando usuario
Suele pasar que cuando entras desde windows a una carpeta compartida en ubuntu, te pide usuario, puede hacer lo siguiente: sudo smbpasswd -a tu_usuario
si deseas le pones contraseña por motivos de seguridad, y si no necesitas la constraseña solo dale enter.

Para reiniciar samba
Luego de efectuar algún cambio en el archivo /etc/samba/smb.conf debemos reiniciar samba, para ello : $sudo /etc/init.d/samba restart
Con todo lo anterior deberíamos ser capaces de entrar desde un equipo con windows o linux a la carpeta /home/public sin necesidad de tener nombre de usuario ni password:
Desde Windows colocamos en la barra de direcciones de alguna ventana

: \\192.168.3.1\public
Desde Linux (que tenga instalado el paquete samba-client) abrimos una carpeta y colocamos en la barra de direcciones: smb://192.168.3.1/public/
donde 192.168.3.1 es "la IP privada" del equipo linux que contiene a la carpeta /home/pub

Con sistemas Windows
Si tenemos en nuestra red local una máquina con Windows y queremos compartir archivos entre ambos sistemas:
Paso 1: Nos dirigimos al menú de Ubuntu: Sistema, Administración y seleccionamos Carpetas compartidas. Pulsamos añadir (en la imagen yo ya tengo añadida una carpeta, pero tú deberías tenerla en blanco) y nos aparecerá una imagen como la inferior.

Paso 1: compartiendo con SAMBA
En ruta, buscamos la carpeta que queremos compartir, como nombre pondremos Compartidos (por ejemplo) y seleccionamos Permitir examinar la carpeta. Pulsamos sobre Configuracion general de archivos compartidos con Windows, en Dominio introducimos el nombre de red que posea la máquina Windows. Lo demás lo dejamos como está.
Paso 2: Ahora que ya tenemos compartiendo la carpeta, nos queda crear un nombre de usuario y contraseña en el servidor Samba para que el ordenador con Windows pueda acceder a dicha carpeta, para ello abrimos una consola e introducimos: $ sudo useradd -s /sbin/nologin usuario-windows
Donde usuario-windows es el usuario que va a acceder a la carpeta en Windows. Si

/sbin/nologin no existe, probar con /usr/sbin/nologin.
Si no encuentras el fichero nologin, también puedes crear tu usuario normalmente y luego ejecutar la sentencia: $ sudo passwd -d usuario-windows
A continuación introducimos $ sudo smbpasswd -a usuario-windows
Y nos pedirá la contraseña que queramos asignar a dicho usuario.
Debemos reiniciar el demonio de samba antes de poder ver las carpetas compartidas desde la máquina Windows $ sudo /etc/init.d/samba restart
Paso 3: Vamos a la máquina Windows y pulsamos en Mis sitios de Red, ahora pulsamos en Equipos cercanos. Tendría que aparecer el nombre del equipo con Ubuntu, y dentro de este directorio, la carpeta compartida.
Paso 4: Si vemos la carpeta, pero dice que no tenemos los permisos necesarios, deberemos volver a la máquina con Ubuntu y asignar los permisos necesarios de ejecución, lectura o escritura a las carpetas que queramos compartir.
Paso 5: Vamos a la máquina con Ubuntu y nos dirigimos al menú de Ubuntu: Lugares, y seleccionamos Servidores de Red. Tendría que aparecer la Red de Windows. Esta aplicación nos permite ver los archivos de la maquina con Windows desde la maquina con Ubuntu. Hay que recargar cada vez que sea necesario

espero q les sirva esta info cualquier consulta escribamen al correo acuzmarsistem@gmail.com

servidor nfs

NFS es un sistema de archivos distribuido para un entorno de red de área local. Posibilita que distintos sistemas conectados a una misma red accedan a ficheros remotos como si se tratara de locales. A continuación se detalla la configuración del cliente y del servidor.

Configuración en el servidor

Los paquetes necesarios para el funcionamiento del servidor son portmap, nfs-kernel-server y nfs-common. Para la descarga de los mismos ejecutaremos los siguientes comandos:

root@mi_equipo:~# aptitude install portmap

root@mi_equipo:~# aptitude install nfs-kernel-server

root@mi_equipo:~# aptitude install nfs-common

Para la configuración de un servidor de NFS se necesitan editar tres ficheros: /etc/exports, /etc/hosts.deny y /etc/hosts.allow.

/etc/exports
Contiene una linea por directorio a compartir. La estructura de dicha linea es:

directorio equipo1(opcion11,opcion12) equipo2(opcion21,opcion22)

donde:

directorio: Es el directorio a compartir.
equipox: Clientes que tendrán acceso al directorio compartido. Estos equipos se podrán indicar por su IP o dirección DNS(por ejemplo: mi_equipo.ral.com o 192.168.0.69). Recomiendo usar la IP.
optionxx: Son las opciones que nos permitirán tener acceso a esos directorios con determinados privilegios.

• ro | rw : Con la opción ro el directorio será compartido de solo lectura. Esta opción está por defecto.y con la opción rw se permitirá tanto acceso de lectura como de escritura.
• sync | async : sync es la opción recomendada, ya que se ha de respetar el protocolo NFS, es decir, no se responden a las peticiones antes de que los cambios realizados sean escritos al disco. Con la opción async se permite mejorar el rendimiento y agilizar el funcionamiento global, pero supone un riesgo de corrupción de archivos o del sistemas de ficheros en casos de caidas del servidor y/o errores de éste.
• root_squash | no_root_squash | all_squash : root_squash indica que un cliente identificado como root tendrá acceso al directorio con privilegios de un usuario anónimo. Si seleccionamos la opción no_root_squash evitaremos esto, y si indicamos all_squash, entonces aplicaremos esto último a todos los usuarios, no sólo root.

Un ejempo de fichero /etc/exports es el siguiente:

/home/usuario/datos 192.168.0.0(ro,sync,root_squash)
/tmp 192.168.0.0(rw,sync,no_root_squash)

Con este fichero indicaremos que queremos compartir los directorios /home/usuario/datos y /tmp a los hosts de la red 192.168.0.0; /home/usuario/datos se podrá acceder como solo lectura, mientras que al directorio /tmp se tendrá acceso tanto de lectura como de escritura. Se respetará el protocolo NFS, ya que no se responderán a las peticiones que se hagan antes de que los cambios se hayan escrito en disco. Si un usuario root(en el cliente) accede al directorio /home/usuario/datos su privilegios son los mismos que el de un usuario anónimo; todo lo contrario ocurre con el directorio /tmp.

Los ficheros /etc/hosts.allow y /etc/hosts.deny tienen la siguiente estructura:

servicio: host [o red/mascara_subred], host [o red/mascara_subred]

servicio : Es el servicio que estará permitido o denegado para algunas IP’s, en nuestro caso serán portmap y rpc.nfsd.
host [o red/mascara_subred] : Indicará la IP del host de un posible cliente. También pueden indicarse redes con sus correspondientes mascaras de subred.

/etc/hosts.deny
En este fichero pondremos todas las restricciones posibles para hacer mas seguro el sistema. Para ello denegaremos el acceso a portmap, ya que si se deniega portmap, aunque permitas nfs, no se podrá compartir porque éste depende de portmap. Por lo que solo se tendrá acceso a portmap por aquellos equipos que estén definidos en el fichero /etc/hosts.allow. El fichero /etc/hosts.deny quedará:

portmap:ALL

/etc/hosts.allow
En este fichero debe indicar a quienes permitimos el acceso al servicio de nfs y portmap. Se pueden indicar hosts individuales o una red.

portmap:192.168.0.0/255.255.255.0
nfs:192.168.0.0/255.255.255.0

Una vez configurados los ficheros pasamos a arrancar el servicio portmap y rpc.nsfd:

root@mi_equipo:~# /etc/init.d/nfs-common restart
root@mi_equipo:~# /etc/init.d/nfs-kernel-server restart
root@mi_equipo:~# /etc/init.d/portmap restart

NOTA: Tanto el fichero /etc/hosts.deny como el /etc/hosts.allow no es necesario que tengan contenido alguna, pero se recomienda que sean configurados para la seguridad de los datos.

Configuración en el cliente

En el cliente montaremos el directorio exportado por el servidor, para ello ejecutaremos el siguiente comando:

cliente@cliente:~$ mount -t nfs mi_equipo:/tmp /home/cliente/temp

Con el comando anterior montamos el directorio /tmp exportado por el host mi_equipo en el directorio /home/usuario1/temp que previamente habremos creado. A este comando se le puede pasar una serie de opciones, la estructura genérica con las opciones sería:

mount -t nfs -o opcion[:usuario] dir_remoto dir_local

Las opciones son ro, rw, root_squash, no_root_squash, entre otras.

Si queremos que el directorio remoto se monte al arranque del cliente deberemos añadir la siguiente linea al fichero /etc/fstab:

mi_equipo:/tmp /home/cliente/temp nfs defaults,rw 0 0

Esa linea indica que se monte en el directorio /home/cliente/temp el directorio remoto /tmp (el directorio que exporta el servidor que se ha puesto como ejemplo).

Los departamentos del mañana

bueno esto no tiene nada q ver con ubuntu ni linux pero googleando tope con este viddeo q a mi parecer es bastante imprecionante

INSTALACION DE DIRECX

instalacion de directx9 mediante winetricks que es winetrick es un script q facilita la descarga e instalacion de librerias q habitual mente son nesesarias para ejecutar aplicaciones de wintendo si no lo tienes instalado solo deves abrir la terminal y escribe wget http:// www.kegel.com/wine/winetricks y acontinuacion una vez se alla instalado
escribimos sh winetricks y listo a deven tener instalado el wine

manual para recuperar el GRUB

Usando una distribución Live
Consiste en usar una distribución en modo LiveCD para instalar nuevamente el GRUB. Usaremos el LiveCD de Ubuntu (debe ser la versión Live o Desktop), aunque puede ser cualquier otra distribución que use GRUB como gestor de arranque y no LILO.
En modo de resumen, los pasos que hay que seguir son los siguientes:
1.Arrancar una distribución LiveCD
2.Montar la partición donde se encuentra instalado Ubuntu
3.Instalar el GRUB en esa partición
A continuación se explica, en unos sencillos pasos, cómo hacerlo:
1.Iniciamos el ordenador y arrancamos desde el CD
2.Arrancamos Ubuntu (o la distribución escogida) en modo LiveCD
3.Abrimos una terminal o consola (no es necesario si tenemos una interfaz de línea de comandos, es decir, en modo texto)
4.Creamos una carpeta donde montar la partición de Ubuntu (la podemos crear en /media, por ejemplo: /media/ubuntu/)
5.Montamos la partición donde se encuentra instalado Ubuntu, usando el comando mount.
6.Aquí hay dos soluciones posibles:
[editar]
Mediante el intérprete de comandos GRUB
[editar]
Opción 1
1.Ejecutamos los siguientes comandos:
$ sudo grub --> ejecutamos el intérprete de comandos del GRUB
> root (hdX,Y) --> indicamos dónde está ubicada la partición de Ubuntu
> setup (hdX) --> instalamos el GRUB en ese disco
> quit --> salimos del intérprete de comandos del GRUB
Donde X es el número de disco rígido, y Y es el número de partición. Este sistema difiere un poco del usado para montar las particiones en GNU/Linux; ambos son un único número decimal y comienzan en 0; por ejemplo:
hd0: es el primero disco duro completo, al igual que hda o sda
hd0,0: es la primera partición del primer disco duro, al igual que hda1 o sda1
hd0,1: es la segunda partición del primer disco duro, al igual que hda2 o sda2
hd1,2: es la tercera partición del segundo disco duro, al igual que hdb3 o sdb3
El primer disco duro del GRUB es el primer disco duro maestro, el segundo es el primer disco duro esclavo, el tercero es el segundo disco duro maestro, y así sucesivamente.
[editar]
Opción 2
1.Desde una consola ejecutamos los siguientes comandos:
$ sudo grub --> ejecutamos el interprete de comando de grub
> find /boot/grub/stage1 --> busca donde esta la partición de ubuntu
> root (hdX,Y) --> poner el valor devuelto anterior
> setup (hd0) --> instala grub en nuestro primer disco duro (hd0),
que es con el que inicia la computadora
> quit --> salimos del interprete de comando de grub
[editar]
Cambiando el origen de la carpeta raíz
Cambiamos el origen de la carpeta raíz de nuestro sistema de archivos al directorio en el que hemos montado la partición de Ubuntu, para que al instalar GRUB interprete que la raíz del sistema está ahí.
1. Antes que nada, crear un directorio y montar allí la partición de Ubuntu:
$ sudo mkdir /media/ubuntu
$ sudo mount /dev/hda1 /media/ubuntu
2. Luego conectar el directorio dev del livecd con el de la partición Ubuntu:
$ sudo mount --bind /dev /media/ubuntu/dev
3. El comando necesario para cambiar el origen del directorio raiz es:
$ sudo chroot /media/ubuntu/
4. Ahora instalamos el GRUB en el MBR del primer disco duro, que normalmente estará configurado como Primary Master (hda):
# grub-install /dev/hda

el dia en que chile se vendio a microsoft

El 18 de julio recién pasado, el senador Alejandro Navarro intervino en la Cámara Alta para denunciar un curioso documento al cual había tenido acceso.
Se trataba de una copia del Acuerdo Marco de Cooperación firmado el 9 de mayo entre nuestro ministro de Economía, Alejandro Ferreiro, Craig Mundie, Chief Research and Strategy Officer de Microsoft y Hernán Orellana, gerente de Microsoft Chile y viejo amigo nuestro.
Aunque la intervención de Navarro acabó siendo algo confusa, sembró suficientes dudas como para que algunos defensores de la neutralidad tecnológica comenzaran a indagar en busca del documento del que, este fin de semana, Carlos y yo obtuvimos una copia.
Lo que leímos nos dejó helados. No sólo porque nuestro Gobierno está vendiendo a sus ciudadanos como ganado a una corporación multinacional -cualquiera que esta sea- sino porque si alguna vez escucharon bromas sobre un plan maestro de Microsoft para conquistar el mundo… esto se le parece peligrosamente.
Se trata de un acuerdo donde Chile da luz verde a Microsoft -tal como apunta Navarro, sin licitación alguna- para desarrollar proyectos en distintos frentes sociales, como gestión ciudadana, gestión municipal, educación, capacitación, fomento empresarial o innovación, otorgándole no sólo el apoyo del aparato estatal, sino de organismos críticos, como el Registro Civil o el INJUV.
Pasemos brevemente a desgranar el choclo punto por punto y les advierto… no es apto para cardíacos.
A) Capacitación Digital
Microsoft financiará parte de 15.000 becas para jóvenes desempleados entre 18 y 35 años, a fin de que obtengan una Licencia Internacional para Conducir Computadores (ICDL) junto a la Fundación Chile y otras ONG.
Suena bonito, pero significa que la capacitación en nuestro país agudizará su dependencia de los programas de Microsoft, cerrando la puerta a alternativas mejores o más económicas. Es decir, la gente no aprende computación, sino Windows; ni a usar un procesador de texto: aprende Word (Javier ha escrito bastante sobre el tema).
Por cierto, Microsoft se compromete a invertir 1 millón de dólares en el proyecto. Nuestro Gobierno afirma que “evaluará sus aportes económicos para complementarlo”.
Tal como pregunta Navarro, ¿cuánto dinero de todos los chilenos -para promover tecnologías de Microsoft- significa eso?
B) Domicilio Digital
Lejos el tema más grave del acuerdo. Según el texto:
(Es la) “creación conjunta de un “espacio” donde los ciudadanos tengan acceso a toda la información, notificaciones e interacción relevante con instituciones públicas. El ciudadano no busca la información, la información sigue al ciudadano”.
Para realizarlo, Microsoft proveerá su plataforma Live en correo, mensajería instantánea, blogs y acceso desde celulares (Hotmail, Messenger, Spaces y Mobile) a los 15 millones de chilenos, para lo cual el Ministerio de Economía “se compromete a contar con la infraestructura computacional básica para la carga de cuentas de ciudadanos […] coordinado con el Servicio del Registro Civil e Identificación”.
¿Perdón? ¿El Registro Civil va a entregar nuestros datos a Microsoft para la creación de cuentas en Windows Live?
¿Puedo preguntar con qué permiso se vulnera nuestra privacidad de una forma en que ni Dicom-Equifax ni la Cámara de Comercio tuvieron nunca acceso? ¿Quién autorizó al Ministro Ferreiro a abrir cuentas de Hotmail por cada uno de nosotros? De hecho, ¿es siquiera legal que lo haga? (Carlos escribió más extensamente sobre este punto).
En fin. No se extrañen si en adelante en vez de RUT, nos identifican con una cuenta @live.com.
C) Municipio Digital
Microsoft se compromete a proveer software “para que los gobiernos locales puedan desarrollar portales que les permitan relacionarse con la comunidad”, mientras que el Ministerio de Economía “se coordinara con la Subsecretaría de Desarrollo Regional [para] generar una oferta a los municipios que les permita contratar los servicios de consultoría requeridos para la personalización de los portales e implementación”.
Si con Mi Primer PC nuestro Gobierno demostró su efectividad como vendedor de equipos computacionales a los ciudadanos, ahora está listo para repetir el numerito con los Municipios.
Eso no sólo significa ignorar los proyectos que muchos de ellos ya han realizado basado en soluciones propias -atropellando de paso a los pequeños proveedores de software nacionales- sino que al funcionar sobre plataformas de Microsoft, el acceso de los ciudadanos a los portales también requerirá software de Microsoft.
¿Qué significa esto? Que los usuarios o empresas que actualmente utilizan software libre como Linux o Firefox por razones de seguridad o para abaratar costos, deberán adquirir Windows e Internet Explorer para realizar sus trámites… un tema que ya le es familiar a nuestro Papá Fisco.
Nuevamente, la simple posibilidad de elegir es minada por nuestro Gobierno.
D) E) F) Escuela Innovadora, Escuela Conectada y Profesores Innovadores
“Microsoft desarrollará en Chile una experiencia sistémica de incorporación de tecnologías de la información para la innovación educativa […], implementar una solución tecnológica que permita optimizar la vida útil de la infraestructura tecnológica instalada en el sistema escolar público [y] generar una red de profesores que innoven en sus procesos de enseñanza, utilizando creativamente las oportunidades de las tecnologías de la información disponibles en el sistema escolar”.
“El Ministerio de Economía se compromete a coordinar con el Ministerio de Educación la incorporación de estos recursos tecnológicos en el sistema escolar […] a incluir estos recursos en el Portal EducarChile y a apoyar las iniciativas de esta red”.
*Suspiro*… bueno, sólo 2 puntos:
1) Microsoft no es tonto. La estrategia de “donar soluciones” a las escuelas y luego recuperar con creces la inversión en licencias posteriores es algo que viene realizando desde el acuerdo de 2001 con el Departamento de Justicia Estadounidense.
Ahora, ¿cuánto dinero pierde anualmente el sistema escolar chileno en pago de licencias? Según Navarro, siete de nuestros ministerios generan un costo de 14.000 millones de pesos sólo por este concepto. Saquen sus cuentas.
2) Algunos grupos de software libre como LinuxChillan han realizado una hermosa y desinteresada labor al rehabilitar equipos de escuelas públicas que usando software de Microsoft quedan obsoletos, pero aún tienen vida útil usando Linux, OpenOffice y otros productos alternativos.
Lejos de apoyar esas iniciativas, con este acuerdo el Gobierno sepulta el uso de software alternativo (no necesariamente libre), requiriendo nuevas inversiones y perpetuando un sistema de licencias que es altamente lucrativo para Microsoft, sin contar que tanto profesores como alumnos en adelante se formarán en exclusiva bajo el uso de sus productos.
G) Pequeña Empresa en el Siglo XXI
“Microsoft compromete la coordinación de alianzas con actores del mercado, incluido el retail, para facilitar el acceso y la adopción de herramientas de negocios que mejoren las capacidades de gestión de las MIPYMES chilenas mediante la incorporación de un PC y software de gestión especialmente diseñado para [ella]”
“El Ministerio de Economía se compromete a coordinar con la Dirección de Contratación Publica la difusión de esta oferta a objeto de establecer las acciones concretas tendientes a que sea recibida adecuadamente por las pequeñas y medianas empresas”.
¿Alguien dijo Mi Primer PC o Mi Pyme Avanza? Nuevamente el Gobierno se pone la camiseta de vendedor para promover los productos de Microsoft, sin licitación ni concurso alguno.
H) Acceso tecnológico para sectores de escasos recursos
“Microsoft compromete la coordinación de alianzas con actores del mercado, incluido el retail, para facilitar el acceso y adopción de sus tecnologías a todos los estudiantes del país que se encuentren registrados o sujetos al beneficio de la Tarjeta Nacional Estudiantil, hoy administrada por el INJUV“.
“Para estos efectos, Microsoft se compromete a ofrecer la Enciclopedia Multimedia MS Math: que ayuda a resolver ecuaciones, geometría, paso a paso e Integración con Office: Plantillas y modelos para proyectos y trabajos, presentaciones, diagramas y gráficos.”
“Esta oferta estará disponible por los próximos 3 años y generará importantes ahorros para los estudiantes referidos, por cuanto aumenta sus posibilidades de acceso a tecnología.”
Como si la conexión con el Registro Civil no bastara, también los estudiantes que hayan obtenido su pase escolar o Tarjeta Nacional Estudiantil pasarán a formar parte de la cartera de clientes de Microsoft.
Por cierto, ¿alguien puede indicarnos cuál es el “ahorro” al que accederán los estudiantes, existiendo alternativas gratuitas como Wikipedia, OpenOffice y muchas otras?… algo tan contradictorio como cuando “ahorramos-comprando en Lider”.
I) Colaboración en el Fomento de una Internet Segura
“Microsoft compromete la donación al Servicio de Investigaciones de Chile, de todo el software necesario, para soportar una Solución creada por MS denominada Child Exploitation Tracking System o CETS para colaborar en la lucha contra la pornografía infantil que se comete en Internet, [además] compromete la contratación de un estudio legal, que permita establecer el alcance y eficacia de la actual legislación relativa a cibercrimen”.
“Microsoft compromete su participación en una campaña de Internet Segura, que sera ejecutada al interior de ciertos establecimientos educacionales. Esta campaña [entregará] a la comunidad estudiantil consejos prácticos en la navegación en Internet, para evitar que los menores incurran en riesgos que puedan afectar su integridad física y sicológica.
Quizá el único punto rescatable del acuerdo. Sin embargo tengo 2 inquietudes:
1) ¿El Child Explotation Traking Sistem será donado a perpetuidad o -como es usual en los acuerdos de Microsoft- pasado un tiempo se deberá pagar licencia? Si Investigaciones ya poseía una solución similar, sería interesante conocer quién es -o a estas alturas, era- el proveedor.
2) ¿Cuán neutral -comercialmente hablando- será la campaña de consejos de seguridad en torno a las escuelas? No neguemos que la instancia será ideal para promover los servicios de Microsoft.
J) Colaboración con el Gobierno en materia de Seguridad informática
“Microsoft se compromete a apoyar económicamente al Centro de Monitoreo, Análisis y Capacitación de incidentes de seguridad que depende del Departamento de Ciencias de la Computación de la Universidad de Chile”.
La Universidad de Chile y particularmente el DCC nunca han sentido especial inclinación por el uso de software de Microsoft, sino que prefieren el desarrollo de alternativas libres.
Un aplauso para el señor Orellana por su “troyano”.
K) Centros de innovación y emprendimiento Microsoft
“Microsoft se compromete a desarrollar un estudio en al menos tres sectores de relevancia de la economía nacional sobre el impacto de las tecnologías de la información en las cadenas productivas para difundir los beneficios del uso de las tecnologías de información en la competitividad de dichos sectores”.
Curioso. Muy curioso.
En su intervención, Navarro nos recuerda que recién en abril, el Programa de las Naciones Unidas para el desarrollo (PNUD), la Sociedad de Fomento Fabril (SOFOFA), la Corfo y (¡el propio!) Ministerio de Economía junto al apoyo del Gobierno japonés, firmaron un acuerdo para el “mejoramiento de la gestión y uso de las tecnologías de la información de las Mipymes y gobiernos locales a través de software libre”.
Entre otros puntos, este último acuerdo establece potenciar sectores productivos como “1) productos del mar, 2) elaboración de frutas y 3) muebles y productos de madera”.
Sumen 1 + 1. Ó mejor dicho, 3 x 1.

No voy a ocultarles mi molestia y mi decepción frente a este acuerdo negociado a espaldas de todos los chilenos.
Para serles franco, cuando conversamos con los representantes del Ministerio de Economía durante la campaña de MPPCDV quedamos atónitos tanto por la ineficiencia gubernamental al desarrollar sus políticas públicas (léase Agenda Digital) como por la presteza con que corren a abrazar las propuestas comerciales de las grandes corporaciones. Alberto seguro recordará algunos de aquellos vergonzosos capítulos.
Hoy, 2 años después, sigue ocurriendo exactamente lo mismo.
¿Por qué el Ministerio de Economía sigue ignorando los esfuerzos tanto de organizaciones como de otras reparticiones públicas para encontrar alternativas, insistiendo en firmar acuerdos millonarios con Microsoft sin ningún tipo de licitación?
¿Es lícito que el Gobierno entregue a Microsoft los datos del Registro Civil y de la Tarjeta Nacional Estudiantil? ¿Es ético que el Gobierno se transforme en el departamento de marketing de Microsoft frente a los municipios, escuelas y pequeñas o medianas empresas?
¿Consideró el Gobierno que con este acuerdo está excluyendo a los desarrolladores nacionales de software -sean comerciales o de código abierto- de participar como proveedores para el aparato estatal?
¿Alegará también la ACTI en este caso que la neutralidad tecnológica está en riesgo?
¿Cómo reaccionarían en Estados Unidos o la Unión Europea frente a un “proyecto” de estas condiciones y envergadura?
Esta vez han ido demasiado lejos. El Gobierno ha hecho un outsourcing total de sus obligaciones para delegarlas en los servicios -y la conveniencia- de una empresa privada, vendiendo de paso la más cara propiedad de un ciudadano: su identidad.
Microsoft puede ir cambiando con confianza su eslógan por otro más apropiado, como “por la razón o la fuerza” ®
De todas formas ya les pertecene.
Pueden leer el documento original en formato HTML en el sitio de Carlos o descargarlo en formato PDF desde El Francotirador.
CONFIRMADO: Agenda del Gobierno de Chile
http://www.gobiernodechile.cl/agenda/info.asp?fecha=2007-5-9&month=5&year=2007
9 de mayo / 2007 - 14:00 hrs
Ministro de Economía, Alejandro Ferreiro, firma el Acuerdo Marco de Colaboración entre dicha Secretaría de Estado, Microsoft Corporation y Microsoft Chile.
Lugar: Sala de Reuniones – Gabinete Ministerial. Teatinos 120 - Piso 10.
Ministro de Economía, Alejandro Ferreiro, firma el Acuerdo Marco de Colaboración entre dicha Secretaría de Estado, Microsoft Corporation y Microsoft Chile.
Entre los ámbitos de aplicación de dicho convenio destacan: capacitación digital, modernización tecnológica de los municipios, incorporación tecnológica de la información para la innovación educativa, escuelas conectadas, incorporación de un PC y software de gestión especialmente diseñado para Mipymes, colaboración en el fomento de una Internet segura, un software para luchar contra la pornografía infantil y colaboración con el gobierno en materia de seguridad informática, entre otras.