-
Notifications
You must be signed in to change notification settings - Fork 0
Algunos conceptos básicos
donde el administrador de GECOS modela su organización (o la parte de
ella que le corresponda), aplica políticas de funcionamiento y controla
el estado de los puestos de trabajo.
GECOS modela las organizaciones como un árbol de directorio. Este
árbol no es necesariamente el del directorio LDAP o el Active Dirtectory
que la organización pueda tener, ni tampoco tiene por qué obedecer
literalmente a la estructura jerárquica de la organización. Debe ser un
modelo de conveniencia, que facilite en la mayor medida la aplicación de
las políticas de funcionamiento a puestos y usuarios. El árbol está
formado por contenedores anidados llamados unidades organizativas (OU),
grupos, que son contenedores no jerárquicos y por una serie de objetos
que no son contenedores de otros: puestos, usuarios, impresoras,
repositorios y unidades de almacenamiento.
integran el árbol, pueden corresponderse con divisiones administrativas
de la organización (direcciones generales, secretaría general técnica,
viceconsejerías, servicios, departamentos, negociados, etc), con
regiones geográficas (provincias o localidades), con edificios o con
cualquier otra división conveniente a efectos de delimitar la aplicación
de políticas. Una OU puede contener cualquier mezcla de otras OU,
grupos, puestos, usuarios, impresoras, almacenamiento y repositorios.
Son unidades organizativas con un carácter especial. GECOS es
muy escalable, por lo que tiene mucho sentido disponer de una sola
instancia del centro de control para gestionar múltiples organizaciones
independientes; para delimitar el ámbito de cada una de estas
organizaciones existen los dominios. Los dominios son compartimentos
estancos con administración independiente y su propio espacio de nombres
únicos. Pese a la misma denominación, no tienen nada que ver con los
dominios de AD. Son la raíz de la rama de árbol correspondiente a una
organización.
Son contenedores no jerárquicos. Cuando la estructura jerárquica
del árbol no es suficiente para modelar la organización se tiene que
hacer uso de estructuras transversales, son los grupos. Sirva de ejemplo
el caso de los directivos de una organización, que estarán distribuidos
por todo el árbol en diferentes OU, pero que deben tener acceso a una
determinada carpeta compartida o disponer de permisos para usar
pendrives; para ello, se crearía un grupo al que pertenecerían los
directivos y/o sus puestos, y al que se la aplicarían las políticas
pertinentes. De ese modo no es necesario aplicar las politicas de uno en
uno, sino que se hace colectivamente, con ahorro de tiempo y ventaja en
cuanto a claridad.
Son los ordenadores personales en los que se ha instalado GECOS
y que se han vinculado a un centro de control. Los puestos pueden estar
en cualquier OU, junto con otros objetos del árbol. Los puestos tienen
usuarios. Los puesto son el lugar donde se aplican efectivamente las
políticas.
Son personas que tienen cuenta (acceso identificado) en uno o
más puestos. Estarán en alguna de las OU, habitualmente en la misma en
que se encuentre su puesto de trabajo. Los usuarios pueden ser objeto de
aplicación, directa o indirecta de políticas. Los usuarios pueden
crearse manualmente en el centro de control o pueden crearse de manera
automática cuando un usuario accede a un puesto.
Un objeto impresora contiene la definición de una impresora:
puerto (si es local), URI (si es de red), marca, modelo, datos de
ubicación, etc. Si la impresora necesita un driver para su
funcionamiento (caso poco frecuente) este debe instalarse en los puestos
que la van a utilizar como un paquete de software. El alta de una
impresora en el árbol no la pone inmediatamente a disposición de los
puestos, simplemente estará “visible” para los puestos de su OU y de las
OU “hijas” de ésta. Para que un puesto disponga de una impresora (en
otras palabras para que una impresora se configure en un puesto) es
necesaria una política que haga tal asignación. GECOS solo gestiona la
configuración de las impresoras en los puestos, NO gestiona los permisos
de impresión.
Un objeto de tipo almacenamiento es la
definición de una unidad de almacenamiento en red o, bajo otro nombre,
una carpeta compartida. La definición consta de un nombre (el que
aparecerá en el escritorio del usuario) y una URI
(\<protocolo\>://\<host\>/\<path\>). Al igual que en el caso de las
impresoras, su presencia en el árbol solo aporta “visibilidad”,y su
asignación a un usuario debe hacerse mediante una política. GECOS solo
gestiona el mapeo de las unidades de almacenamiento en los escritorios
de los puestos, NO gestiona los permisos de acceso a las unidades.
En Linux es práctica frecuente instalar
software solo desde determinados sitios “oficiales” llamados
repositorios. Un repositorio no es solo un sitio de descarga, sino un
sistema que establece y mantiene la coherencia entre las distintas
piezas de software que lo componen. GECOS tiene un repositorio por
defecto, que viene configurado de serie en los puestos y que no es
necesario configurar de manera explícita. Este repositorio está
constituido por software libre y está disponible en Internet; esto es
así porque GECOS es un proyecto libre, con el objetivo de ser utilizado
por otras organizaciones (aparte de su promotor, la Junta de Andalucía)
y, así, captar otros usuarios y generar sinergias para su uso y
evolución. Hay elementos de software que no son libres y no pueden
ponerse en un repositorio de tales características, para esos casos (o
para software en fase de pruebas) se dispone del objeto repositorio que,
como objeto del árbol, es una definición de un origen de paquetes
software. Al igual que impresoras y almacenamiento, su presencia en el
árbol solo aporta “visibilidad”, y su uso solo se hace efectivo en un
puesto mediante la aplicación de una política. La asignación de un
repositorio a un puesto solo significa que el software de ese
repositorio está disponible para ese puesto, no implica la instalación
automática de ningún software.
Es una regla de funcionamiento que afecta a un puesto o a un
usuario. Hay muchas políticas diferentes, algunas muy generales, como
copiar un fichero desde una URL a una ubicación de un puesto, y otras
muy específicas, como establecer el nivel de seguridad de una máquina
virtual Java. Las políticas de puesto son las que afectan la máquina en
sí y a todos los usuarios de la máquina por igual. Las políticas de
usuario afectan a un usuario determinado, con independencia de la
máquina que emplee. La práctica recomendada es aplicar políticas a OU y
grupos, no aplicarlas a puestos o usuarios individuales (salvo que haya
que crear excepciones a la regla).
Se llama así a los objetos OU y grupos donde el
administrador de GECOS pone las políticas. Las OU y los grupos no
aplican en sí mismos las políticas, sino que las transmiten a los
objetos que contienen.
Los puestos son el lugar donde las políticas se
hacen efectivas, bien sea por la ubicación o pertenencia a grupos del
propio puesto o de los usuarios que lo emplean. Por eso, se denominan
receptores de políticas a los puestos y usuarios.
Las políticas pueden aplicarse en diferentes
puntos del árbol que actuaran como emisores y, en el camino desde el
emisor al receptor pueden combinarse de dos maneras posibles. Esta
característica está disponible a partir de la versión 2.1.11 del centro
de control.
Si en el camino del emisor al receptor de políticas
hay dos instancias de una misma política, lo que se aplica efectivamente
en el receptor es la suma de las dos instancias. Son aditivas, en
general, las políticas que aceptan listas de parámetros de un mismo
tipo. Por ejemplo, si en un dominio hay una política que indica que se
instalen los paquetes evince y xournal y en una OU inferior hay otra
política que dice que se instale pdfmod, en el puesto que está bajo esa
OU se instalarán los tres paquetes evince, xournal y pdfmod.
Son políticas cuyos parámetros no se pueden sumar,
sino que los de una instancia contradicen a los de otra (p.ej.
establecer fondo de escritorio; solo se puede tener un solo fondo de
escritorio en un momento dado). Si en el camino del emisor al receptor
de políticas hay dos instancias de una misma política, la que se aplica
efectivamente en el receptor es la política más próxima a éste. Por
ejemplo, si en un dominio se pone una política que prohíba el uso de
pendrives y en un puesto concreto se habilita el uso de pendrives,
primará la política que afecta directamente al puesto (más próxima).
Es la característica de las políticas GECOS de producir el
mismo efecto independientemente de las veces que se ejecuten en un
puesto. Las políticas son scripts diseñados para vigilar que se cumplen
una serie de condiciones (que un paquete está instalado, que se ha
copiado un fichero desde un determinado sitio, que un usuario tiene o no
tiene ciertos permisos, que una impresora está configurada, etc). En
general, al eliminar una política no se eliminan sus efectos, sino que
se deja de vigilar que lo pretendido por la política se cumpla.
Es un usuario de esta aplicación
que tiene permisos para crear, borrar y modificar objetos y políticas en
el ámbito que tenga definido. Así mismo, un administrador puede vincular
y desvincular puestos de un centro de control. El ámbito de
administración puede ser un dominio, una OU, o más de uno de ellos. Un
administrador tiene una serie de variables asociadas que faciltan la
albor de vinculación de puestos.
Un instalador es un usuario del centro de control que no
tiene funciones de administración, sino solo de vinculación y
desvinculación de puestos. Su ámbito de trabajo puede ser un dominio,
una OU, o más de uno de ellos.
En el contexto de un árbol, considerando que la raíz del
árbol está arriba, un puesto o usuario “verá” los objetos que estén en
su propia OU o en las superiores en la línea que lo une a la raíz. Un
puesto podrá hacer uso de las impresoras que “vea”; las que estén fuera
de su línea de visibilidad no podrán ser configuradas en dicho puesto.
Es importante señalar que tener visibilidad no produce ningún efecto en
el puesto o en el usuario que “ve” un objeto, pero es condición
imprescindible para que, mediante la aplicación de una política, el
puesto o usuario pueda hacer uso del objeto (impresora, almacenamiento o
repositorio).