Administración de usuarios de varios sistemas

Mantenimiento de números de identificación de usuario «globales» y únicos en los sistemas.

Debe asegurarse de que cada nombre de inicio de sesión tiene un número de identificación de usuario único (uid) en todos los sistemas en que los usuarios inicien una sesión; en caso contrario, un usuario podrá leer los archivos confidenciales de otro usuario. Se trata de un grave problema potencial, tanto si el directorio inicial se monta por medio del NFS como si no.

El SAM (el System Administration Manager accionado por menús) le avisará si elige un uid que no sea único en el sistema local, pero tal vez esto no baste. Por ejemplo, si el usuario jack tiene un uid de 215 y una gid (identificación de grupo) de 20 en su propio sistema y el administrador le configura con los mismos uid y gid en un sistema remoto (por ejemplo, cortando y pegando la entrada /etc/passwd que le corresponda del sistema local en el sistema remoto), y el usuario jill del sistema remoto ya tiene un uid de 215 y una gid de 20, jack podrá leer los archivos personales de jill.

A la inversa, supongamos que el administrador utiliza el SAM para asegurarse de que jack tiene una identificación única en cada sistema. El SAM comprueba que el uid 215 es único en el sistema local de jack y que el número 301 es único en el sistema de jill. Ambos sistemas tienen montado por medio del NFS, desde un servidor de archivos, un directorio que se llama /material_común. Cuando jack inicie una sesión en el sistema de jill, es posible que se encuentre con que no puede leer algunos de sus propios archivos ubicados en el directorio /material_común; de hecho, no podrá leer ningún archivo que haya guardado en su propio sistema con permisos de usuario de lectura y escritura o sólo de lectura.

Esto sucede porque HP-UX examina estrictamente los campos uid y gid cuando comprueba quién tiene permiso para hacer qué en los archivos; el nombre de usuario carece de importancia.

Algunos emplazamientos tienen un servicio automatizado que asigna números uid que sean únicos en todo el emplazamiento. Si su emplazamiento ofrece un servicio así, utilícelo; en caso contrario, tendrá que idear su propio método para comprobar que el uid que asigna a cada nuevo inicio de sesión es único en todos los sistemas a los que el usuario vaya a obtener acceso.

La distribución de directorios de correo electrónico desde un punto central permite configurar un concentrador de correo para el grupo, lo que simplifica el mantenimiento del correo electrónico.

En general conviene hacerlo. Los usuarios necesitarán cuentas, con los uid «globales» correspondientes, en el servidor de correo electrónico, al margen de que inicien una sesión en él o no. Para obtener más información, consulte la sección «Topografías de conexión a red».

La distribución de directorios iniciales desde el servidor de archivos simplifica la realización de copias de seguridad y permite a cada usuario iniciar una sesión en cualquier estación de trabajo del grupo de trabajo (consulte la sección «¿Deben compartirse los directorios inicial y de correo de los usuarios?»).

Esto puede ser conveniente o no, en función de factores tales como el presupuesto de hardware, el presupuesto de mantenimiento (si se paga por los servicios de realización de copias de seguridad), las pautas de uso y las directrices de seguridad de las instalaciones o el departamento.

Si prevé centralizar de este modo los directorios iniciales de los usuarios, debe asegurarse de que cada usuario tiene por lo menos un entorno inicial mínimo en su disco local, para que pueda iniciar una sesión y realizar por lo menos algo de trabajo aun cuando el servidor de archivos esté apagado.

Una forma de hacerlo consiste en crear en primer lugar el directorio inicial del usuario en el disco local y, luego, importar el directorio inicial «real» desde el servidor. Cuando el servidor esté encendido, sólo se podrá ver el directorio «real» (importado); cuando el servidor esté apagado, volverá a poder verse el directorio del disco local y el usuario aún podrá iniciar una sesión.

copia de seguridad

Aunque indique a los usuarios la conveniencia de no dejar datos importantes en los directorios iniciales, ni en los buzones, es probable que lo hagan de todas formas, por lo que habrá que realizar copias de seguridad de dichos directorios todos los días. Resulta mucho más fácil realizar las copias de seguridad desde una ubicación central que hacer una copia de cada estación de trabajo individual.

configuración y mantenimiento del correo

A menudo tiene sentido configurar un sistema del grupo de trabajo como el concentrador de correo del grupo y, en este caso, es posible que algunos usuarios deseen importar /var/mail para poder ejecutar la aplicación de correo que utilicen en el sistema local en lugar de iniciar una sesión en el servidor de correo.

Si utiliza un concentrador de correo, debe asegurarse de que cada usuario tiene una cuenta en el concentrador de correo (inicien o no una sesión en él en alguna ocasión) y que el número de identificación de usuario (uid) y la identificación de grupo (gid) son iguales en el concentrador y en la estación de trabajo local correspondiente. En caso contrario, el correo no se enrutará correctamente.

Para obtener un análisis más detallado, consulte la sección «Topografías de conexión a red».

distribución de las estaciones de trabajo

Si exporta los directorios de correo e inicial de los usuarios a otras estaciones de trabajo del grupo y mantiene entradas idénticas para cada usuario en cada archivo /etc/passwd, cualquier usuario podrá iniciar una sesión en cualquier estación de trabajo: esto es útil si los usuarios entran a horas diferentes o trabajan en turnos diferentes y no se dispone de suficiente hardware para todos, o si algunas estaciones de trabajo del grupo tienen hardware y software que deben utilizar los usuarios al iniciar una sesión en la estación de trabajo en cuestión.