-
Notifications
You must be signed in to change notification settings - Fork 0
Home
Guía del Administrador de GECOS
1 Introducción {.P78}
======
Durante muchos años las personas que me rodean en el entorno laboral,
mis colaboradores habituales u ocasionales, familiares, amigos y yo
mismo hemos venido utilizando Linux en nuestros ordenadores personales.
Hace más de una década que un puesto de trabajo informático con Linux y
aplicaciones libres es perfectamente válido para un gran porcentaje de
usos personales y profesionales.
La realidad de las organizaciones se encuentra casi totalmente al margen
de lo anterior. La proliferación de los ordenadores personales ocurrió
antes de que existiese un entorno de software libre apto para personas
sin formación informática o sin asistencia de un conocedor del campo.
Así, los productos comerciales se asentaron en el entorno de escritorio
por práctica ausencia de alternativas y, cuando empezaron a haber
alternativas realistas, el enraizamiento era tal que el cambio resulta
difícil.
Los usuarios han se han familiarizado con su entorno de trabajo, se
encuentran cómodos y no quieren alterar la situación. El personal
técnico ha adquirido conocimientos en este entorno y se encuentra
igualmente confortable explotando el esfuerzo realizado y solo teniendo
que actualizarse de una forma incremental. La implantación de Linux en
el puesto de trabajo vendría a sacar a los dos principales colectivos
implicados de su situación estable y confortable, la respuesta de
rechazo es lo más natural que cabe esperar.
Por esa razón es necesario actuar en diferentes vías:
- •comunicar claramente las razones que nos llevan a querer usar
software libre en el puesto de trabajo,
- •minimizar el efecto del cambio en usuarios y personal técnico
Para este segundo objetivo, aparece GECOS. GCOS quiere ser un entorno de
escritorio libre basado en Linux que se pueda usar sin conocer Linux y
que se pueda administrar sin ser un experto en Linux ni en ninguna
herramienta concreta. Como puntos de referencia para crear GECOS se
tomaron:
- •Windows XP, como escritorio con el que la gran mayoría de usuarios
llevaba años familiarizado, y
- •Active Directory, como conjunto de herramientas con el que modelar
la organización y aplicar políticas para gestionar el funcionamiento
de los puestos de trabajo.
GECOS, como se verá más adelante, podría haber sido un proyecto más
ambicioso y que prestase mayor funcionalidad pero, siendo un producto
destinado a integrarse en redes preexistentes, donde ya había servicios
de autenticación, impresión y almacenamiento compartido, se optó por
limitarse a lo necesario para la gestión del puesto y adaptarse a todo
lo demás.
2 ¿Qué es GECOS? {.P76}
====
GECOS es un ecosistema de puesto de trabajo corporativo. Suena bien.
Vayamos por partes.
GECOS se compone de los siguientes elementos:
- •una distribución para el puesto de trabajo
- •un centro de control para modelar la organización y aplicar
políticas de funcionamiento a los puestos y usuarios
- •un agente para que el puesto de trabajo obedezca al centro de
control y reporte a éste su estado
- •un repositorio de software para proveer de una fuente única y
controlada las aplicaciones que se requieran en el puesto de
trabajo
3 Algunos conceptos básicos {.P76}
=======
Centro de Control: Es una aplicación accesible mediante navegador web,
donde el administrador de GECOS modela su organización (o la parte de
ella que le corresponda), aplica políticas de funcionamiento y controla
el estado de los puestos de trabajo.
Árbol: GECOS modela las organizaciones como un árbol de directorio. Este
árbol no es necesariamente el del directorio LDAP o el Active Dirtectory
que la organización pueda tener, ni tampoco tiene por qué obedecer
literalmente a la estructura jerárquica de la organización. Debe ser un
modelo de conveniencia, que facilite en la mayor medida la aplicación de
las políticas de funcionamiento a puestos y usuarios. El árbol está
formado por contenedores anidados llamados unidades organizativas (OU),
grupos, que son contenedores no jerárquicos y por una serie de objetos
que no son contenedores de otros: puestos, usuarios, impresoras,
repositorios y unidades de almacenamiento.
Unidades Organizativas (OU): Son los contenedores jerárquicos que
integran el árbol, pueden corresponderse con divisiones administrativas
de la organización (direcciones generales, secretaría general técnica,
viceconsejerías, servicios, departamentos, negociados, etc), con
regiones geográficas (provincias o localidades), con edificios o con
cualquier otra división conveniente a efectos de delimitar la aplicación
de políticas. Una OU puede contener cualquier mezcla de otras OU,
grupos, puestos, usuarios, impresoras, almacenamiento y repositorios.
Dominios: Son unidades organizativas con un carácter especial. GECOS es
muy escalable, por lo que tiene mucho sentido disponer de una sola
instancia del centro de control para gestionar múltiples organizaciones
independientes; para delimitar el ámbito de cada una de estas
organizaciones existen los dominios. Los dominios son compartimentos
estancos con administración independiente y su propio espacio de nombres
únicos. Pese a la misma denominación, no tienen nada que ver con los
dominios de AD. Son la raíz de la rama de árbol correspondiente a una
organización.
Grupos: Son contenedores no jerárquicos. Cuando la estructura jerárquica
del árbol no es suficiente para modelar la organización se tiene que
hacer uso de estructuras transversales, son los grupos. Sirva de ejemplo
el caso de los directivos de una organización, que estarán distribuidos
por todo el árbol en diferentes OU, pero que deben tener acceso a una
determinada carpeta compartida o disponer de permisos para usar
pendrives; para ello, se crearía un grupo al que pertenecerían los
directivos y/o sus puestos, y al que se la aplicarían las políticas
pertinentes. De ese modo no es necesario aplicar las politicas de uno en
uno, sino que se hace colectivamente, con ahorro de tiempo y ventaja en
cuanto a claridad.
Puestos: Son los ordenadores personales en los que se ha instalado GECOS
y que se han vinculado a un centro de control. Los puestos pueden estar
en cualquier OU, junto con otros objetos del árbol. Los puestos tienen
usuarios. Los puesto son el lugar donde se aplican efectivamente las
políticas.
Usuarios: Son personas que tienen cuenta (acceso identificado) en uno o
más puestos. Estarán en alguna de las OU, habitualmente en la misma en
que se encuentre su puesto de trabajo. Los usuarios pueden ser objeto de
aplicación, directa o indirecta de políticas. Los usuarios pueden
crearse manualmente en el centro de control o pueden crearse de manera
automática cuando un usuario accede a un puesto.
Impresoras: Un objeto impresora contiene la definición de una impresora:
puerto (si es local), URI (si es de red), marca, modelo, datos de
ubicación, etc. Si la impresora necesita un driver para su
funcionamiento (caso poco frecuente) este debe instalarse en los puestos
que la van a utilizar como un paquete de software. El alta de una
impresora en el árbol no la pone inmediatamente a disposición de los
puestos, simplemente estará “visible” para los puestos de su OU y de las
OU “hijas” de ésta. Para que un puesto disponga de una impresora (en
otras palabras para que una impresora se configure en un puesto) es
necesaria una política que haga tal asignación. GECOS solo gestiona la
configuración de las impresoras en los puestos, NO gestiona los permisos
de impresión.
Almacenamiento compartido: Un objeto de tipo almacenamiento es la
definición de una unidad de almacenamiento en red o, bajo otro nombre,
una carpeta compartida. La definición consta de un nombre (el que
aparecerá en el escritorio del usuario) y una URI
(\<protocolo\>://\<host\>/\<path\>). Al igual que en el caso de las
impresoras, su presencia en el árbol solo aporta “visibilidad”,y su
asignación a un usuario debe hacerse mediante una política. GECOS solo
gestiona el mapeo de las unidades de almacenamiento en los escritorios
de los puestos, NO gestiona los permisos de acceso a las unidades.
Repositorios de software: En Linux es práctica frecuente instalar
software solo desde determinados sitios “oficiales” llamados
repositorios. Un repositorio no es solo un sitio de descarga, sino un
sistema que establece y mantiene la coherencia entre las distintas
piezas de software que lo componen. GECOS tiene un repositorio por
defecto, que viene configurado de serie en los puestos y que no es
necesario configurar de manera explícita. Este repositorio está
constituido por software libre y está disponible en Internet; esto es
así porque GECOS es un proyecto libre, con el objetivo de ser utilizado
por otras organizaciones (aparte de su promotor, la Junta de Andalucía)
y, así, captar otros usuarios y generar sinergias para su uso y
evolución. Hay elementos de software que no son libres y no pueden
ponerse en un repositorio de tales características, para esos casos (o
para software en fase de pruebas) se dispone del objeto repositorio que,
como objeto del árbol, es una definición de un origen de paquetes
software. Al igual que impresoras y almacenamiento, su presencia en el
árbol solo aporta “visibilidad”, y su uso solo se hace efectivo en un
puesto mediante la aplicación de una política. La asignación de un
repositorio a un puesto solo significa que el software de ese
repositorio está disponible para ese puesto, no implica la instalación
automática de ningún software.
Política: Es una regla de funcionamiento que afecta a un puesto o a un
usuario. Hay muchas políticas diferentes, algunas muy generales, como
copiar un fichero desde una URL a una ubicación de un puesto, y otras
muy específicas, como establecer el nivel de seguridad de una máquina
virtual Java. Las políticas de puesto son las que afectan la máquina en
sí y a todos los usuarios de la máquina por igual. Las políticas de
usuario afectan a un usuario determinado, con independencia de la
máquina que emplee. La práctica recomendada es aplicar políticas a OU y
grupos, no aplicarlas a puestos o usuarios individuales (salvo que haya
que crear excepciones a la regla).
Emisores de políticas: Se llama así a los objetos OU y grupos donde el
administrador de GECOS pone las políticas. Las OU y los grupos no
aplican en sí mismos las políticas, sino que las transmiten a los
objetos que contienen.
Receptores de políticas: Los puestos son el lugar donde las políticas se
hacen efectivas, bien sea por la ubicación o pertenencia a grupos del
propio puesto o de los usuarios que lo emplean. Por eso, se denominan
receptores de políticas a los puestos y usuarios.
Jerarquía de políticas: Las políticas pueden aplicarse en diferentes
puntos del árbol que actuaran como emisores y, en el camino desde el
emisor al receptor pueden combinarse de dos maneras posibles. Esta
característica está disponible a partir de la versión 2.1.11 del centro
de control.
Políticas aditivas: Si en el camino del emisor al receptor de políticas
hay dos instancias de una misma política, lo que se aplica efectivamente
en el receptor es la suma de las dos instancias. Son aditivas, en
general, las políticas que aceptan listas de parámetros de un mismo
tipo. Por ejemplo, si en un dominio hay una política que indica que se
instalen los paquetes evince y xournal y en una OU inferior hay otra
política que dice que se instale pdfmod, en el puesto que está bajo esa
OU se instalarán los tres paquetes evince, xournal y pdfmod.
Políticas dominantes: Son políticas cuyos parámetros no se pueden sumar,
sino que los de una instancia contradicen a los de otra (p.ej.
establecer fondo de escritorio; solo se puede tener un solo fondo de
escritorio en un momento dado). Si en el camino del emisor al receptor
de políticas hay dos instancias de una misma política, la que se aplica
efectivamente en el receptor es la política más próxima a éste. Por
ejemplo, si en un dominio se pone una política que prohíba el uso de
pendrives y en un puesto concreto se habilita el uso de pendrives,
primará la política que afecta directamente al puesto (más próxima).
Idempotencia: Es la característica de las políticas GECOS de producir el
mismo efecto independientemente de las veces que se ejecuten en un
puesto. Las políticas son scripts diseñados para vigilar que se cumplen
una serie de condiciones (que un paquete está instalado, que se ha
copiado un fichero desde un determinado sitio, que un usuario tiene o no
tiene ciertos permisos, que una impresora está configurada, etc). En
general, al eliminar una política no se eliminan sus efectos, sino que
se deja de vigilar que lo pretendido por la política se cumpla.
Administrador del centro de control: Es un usuario de esta aplicación
que tiene permisos para crear, borrar y modificar objetos y políticas en
el ámbito que tenga definido. Así mismo, un administrador puede vincular
y desvincular puestos de un centro de control. El ámbito de
administración puede ser un dominio, una OU, o más de uno de ellos. Un
administrador tiene una serie de variables asociadas que faciltan la
albor de vinculación de puestos.
Instalador: Un instalador es un usuario del centro de control que no
tiene funciones de administración, sino solo de vinculación y
desvinculación de puestos. Su ámbito de trabajo puede ser un dominio,
una OU, o más de uno de ellos.
Visibilidad: En el contexto de un árbol, considerando que la raíz del
árbol está arriba, un puesto o usuario “verá” los objetos que estén en
su propia OU o en las superiores en la línea que lo une a la raíz. Un
puesto podrá hacer uso de las impresoras que “vea”; las que estén fuera
de su línea de visibilidad no podrán ser configuradas en dicho puesto.
Es importante señalar que tener visibilidad no produce ningún efecto en
el puesto o en el usuario que “ve” un objeto, pero es condición
imprescindible para que, mediante la aplicación de una política, el
puesto o usuario pueda hacer uso del objeto (impresora, almacenamiento o
repositorio).
4 Primeros pasos con el centro de control {.P77}
=========
Cuando se empieza a evaluar o implantar GECOS, merece la pena detenerse
a planificar el modelado que se va a hacer de la organización; hay pocos
pasos que no sean reversibles, pero los cambios a posteriori pueden ser
costosos. Para cualquier organización que tenga más de una sede hay que
considerar si se va a modelar como un solo dominio o como varios. Cada
opción tiene sus pros y sus contras, los principales son los que siguen:
- •Un solo dominio
- ◦Pros: - ▪Pueden imponerse desde un solo punto políticas que afecten a toda la organización - ▪Pueden moverse objetos desde cualquier punto a cualquier otro dentro de toda la organización - ◦Contras: - ▪No puede haber objetos con el mismo nombre en dos lugares de la organización (p.ej. No puede haber dos OU que se llamen “Aula”) - ▪Si hay varios AD puede ser necesario hacer modificaciones para eliminar nombres de máquina o de usuario duplicados. - ▪Si hay varios administradores, deberán obedecer desde el principio un mismo esquema de nomenclatura.- •Varios dominios:
- ◦Pros: - ▪Pueden aplicarse las mismas denominaciones, tantas veces como dominios - ▪Los administradores de un dominio no van a interferir con los de otro. Las necesidades de coordinación son menores. - ▪Ante posibles reordenaciones de la organización, la fragmentación es más sencilla. - ▪Si hay más de un AD, no hay que preocuparse por duplicidades de nombres - ◦Contras: - ▪No pueden aplicarse políticas globales (aunque pueden replicarse sin demasiado esfuerzo en los diferentes dominios). - ▪Mayor riesgo de divergencia en la gestión. - ▪No es posible mover, sin intervenciones manuales, objetos de un dominio a otro.4.1 Algunas prácticas convenientes {.P79}
-———————————————-
No pongas nada en la raíz del dominio. Si empezamos poniendo objetos y
políticas en la raíz del dominio, no vamos a tener ningún “espacio por
encima” en caso de que queramos poner políticas de mayor generalidad o
queramos crear otras estructuras. Lo mejor es crear una o más OU bajo la
raíz del dominio y construir a partir de ahí. Más adelante verás que hay
excepciones a esta regla, casos de objetos que difícilmente nos van a
estorbar si los ponemos en la raíz.
Crea una OU “PRUEBAS”. Antes de ponerse a construir una estructura y
poblarla de puestos y usuarios es conveniente hacer pruebas con unos
pocos puestos y usuarios y aplicar todas las políticas que preveamos
usar y comprobar que GECOS se comporta como pretendemos, o que
entendemos como se comporta GECOS. Luego los puestos de pruebas se
pueden reciclar ubicándolos en otra parte del árbol.
Modela buscando la utilidad, no la fidelidad. El modelado de la
organización que se hace en GECOS debe atender a la mejor y más sencilla
aplicación de políticas, no necesita ser reflejo exacto de la estructura
jerárquica, ni de la distribución geográfica, aunque cualquier
aproximación a un modelo conocido ayuda a evitar errores. Si las
políticas que vamos a aplicar obedecen más a ubicaciones físicas que a
divisiones organizativas, puede que nuestro árbol deba contener
provincias, localidades y edificios. Si las políticas se ajustan
bastante a la estructura jerárquica, puede ser que convenga definir OU
como direcciones, subdirecciones, servicios y departamentos. A veces
conviene distorsionar un poco la estructura formal, p.ej.: aplanar y
poner servicios y direcciones al mismo nivel, o crear unidades
organizativas que no existen en el papel (Servicios\generales\A y
Servicios\generales\B).
No conviene modelar lo que no hace falta. Si un servicio contiene 3
departamentos, pero todos usan los mismos recursos, no vamos a ganar
nada con crear las OU correspondientes a tales departamentos.
Otro caso de modelado por conveniencia puede ser duplicar un recurso
físico mapeándolo como dos objetos diferentes en el árbol. Supongamos
que dos departamentos, muy separados en el árbol jerárquico, pero
próximos físicamente, usan una misma impresora multifunción; una opción
es situar la impresora en un punto común del árbol para poder asignarla
a ambos departamentos. Esto puede llevar a que se acumulen objetos en la
parte superior del árbol y se reduzca la claridad. Otra opción es crear
un grupo con todos los puestos que deban usar esa impresora, lo que
puede ser tedioso si son muchos y es otro elemento más a mantener. Y la
última opción es definir la impresora en “su sitio”, en el servicio que
más la usa, y definir otra copia (con la misma definición pero con otro
nombre, IMP-3006-BIS, p.ej.) de la impresora en el otro departamento
usuario. Las dos copias no tienen vinculación alguna, por lo que este
recurso debe usarse con prudencia.
Deja los usuarios en su sitio. Cuando un usuario accede por primera vez
a un puesto GECOS, el objeto usuario correspondiente se crea de manera
automática en el mismo contenedor en que se encuentra el puesto
accedido. En AD es práctica común disponer a los usuarios en un
contenedor distinto de las máquinas; en GECOS, salvo casos especiales
que puedan darse, esto no reporta beneficio alguno. Dejando puestos y
usuarios en la misma OU, pueden ponerse juntas – en dicha OU – todas las
políticas – de puesto y de usuario – que les deban afectar, ganado en
claridad y facilidad de administración.
Usa grupos lo mínimo posible. Los grupos son una herramienta útil para
modelar las relaciones que no pueden plasmarse en la estructura
jerárquica del árbol. Tienen la ventaja y el inconveniente de estar al
margen del árbol, por lo que su visualización (qué miembros contienen o
a qué grupos pertenece un usuario o puesto) es más engorrosa y menos
gráfica. Esto puede llevar a un modelo confuso y difícil de administrar
si el uso de grupos resulta muy común; la pertenencia de un puesto o
usuarios a varios grupos puede llegar a producir una aplicación de
políticas (conforme a reglas estrictas, eso si) difícil de entender.
Procura hacer pruebas realistas. Antes de embarcarte en una implantación
de un cierto calado, conviene hacer pruebas para ver la mejor manera de
encajar GECOS en tu entorno, para asegurarte de que las políticas hacen
efectivamente lo que has entendido o, por el contrario, como usar las
políticas para que los puestos se comporten como quieres. Para que las
pruebas resulten útiles, se incluyen algunas indicaciones fruto de la
experiencia:
- •puedes instalarle GECOS a personas de perfil técnico, pero no serán
buena medida de las cargas de administración que puedes esperar con
usuarios no técnicos
- •si puedes reclutar para las pruebas personas que hagan un uso
sencillo y no crítico del ordenador, tanto mejor
- •no hagas a tus usuarios de pruebas administradores de su máquina,
no sabrás qué han hecho, pervertirás la función de GECOS y, además
las políticas de usuario no se aplican a los administradores del
puesto
- •intenta hacerlo todo mediante el centro de control, evita las
actuaciones manuales sobre el puesto
- •intenta usar políticas, mejor que crear scripts ad-hoc; hay muchas
políticas para muchos usos
- •si llegas a un callejón sin salida, o no encuentras una política
para hacer lo que quieres, pregunta el el grupo de Red Porfesional o
pon una incidencia o consulta en NAOS
Valora tus pruebas con perspectiva. GECOS no es una herramienta
milagrosa que configura los puestos por arte de magia. GECOS es una
herramienta muy versátil para poner tus directrices en un árbol y
llenarlo de puestos de trabajo que automáticamente las apliquen. Por
eso, usar GECOS para administrar 3 o 4 puestos es algo poco
gratificante, a veces es más engorroso que hacerlo a mano. El valor de
GECOS se percibe cuando los puestos son docenas, o cuando tienes que
añadir puestos al cabo de 4 meses y se te ha olvidado por completo qué y
cómo le configuraste a la última remesa.
No instales arranque dual. Si quieres que el usuario haga uso de GECOS,
no instales arranque dual porque con gran probabilidad (por no decir
seguro) seguirá arrancando el entorno que ya conoce y no se acabará de
producir la migración nunca, además de que todo tu trabajo de
administración de GECOS será inútil.
4.2 Instalación de un puesto {.P80}
-————————————-
Para instalar un puesto necesitas un pendrive con la última imagen ISO
de GECOS grabada en él (no se trata de copiar el fichero, sino de
generar un pendrive “arrancable” con esta imagen. Es importante que sea
la última porque esto nos ahorrará actualizaciones, lo que significa
ancho de banda y tiempo consumido.
Una vez dispones del pendrive arrancable, enciende o reinicia el equipo
con el pendrive conectado; deberás entrar en la BIOS para indicarle que
arranque desde el pendrive. En algunos equipos esto significa comprobar
que lo detecta como disco duro y decirle que sea el pendrive el primer
disco duro y, después, arrancar desde disco duro. A partir de aquí, la
instalación es bastante intuitiva y se parece mucho a la de otras
distribuciones (de hecho es casi idéntica a la de Ubuntu). Solo quiero
hacer una recomendación: particionar manualmente.
Un buen esquema de particionado es el siguiente:
- •Partición raíz / de 20GB ext4
- •Partición de reserva (no se monta) de 20 GB ext4
- •Partición de swap, mínimo 2GB, máximo el tamaño de la RAM
instalada
- •Partición de usuario /home de tipo ext4 y de tamaño
- ◦si no se quiere que el usuario guarde ficheros localmente, 1GB - ◦en caso contrario, el resto del discoDe esta manera, se dispone de una partición extra que se podrá utilizar
para actualizar de versión si no fuese posible una actualización
incremental, sin tener que machacar la versión previa (punto de retorno
si algo sale mal) y sin afectar a los datos de usuario, que están en
partición aparte.
Durante la instalación pedirá un nombre y contraseña de usuario; estos
datos se emplearán en la fase siguiente de vinculación del puesto. Este
usuario tiene derechos de administración sobre el puesto y no debe
comunicarse al usuario. Es buena práctica borrar este usuario antes de
entregar el puesto a su usuario final.
Se solicita también un nombre del puesto. Es el nombre con el que el
puesto se identifica localmente a sí mismo. Pueden existir en una
implantación GECOS 3 nombres distintos para un puesto de trabajo, pero
conviene que sean todos iguales; estos nombres son:
- •nombre local: se especifica en la instalación y se almacena
localmente en el puesto. Es el que aparece en el prompt al abrir un
terminal, y puede consultarse con el comando “hostname”
- •nombre DNS: el puesto puede estar registrado en DNS (o no estarlo),
frecuentemente el servidor DHCP da de alta el puesto en DNS al
asignarle o entregarle dirección IP
- •nombre GECOS: se le da al puesto durante la vinculación y es el
nombre con el que aparece en el árbol de GECOS. No se puede cambiar.
Si se comete un error al escribirlo, se puede retroceder en el
asistente y corregirlo; si se ha finalizado la vinculación, es
necesario desvincular el puesto y volverlo a vincular con el nombre
correcto. El nombre GECOS es único dentro de un dominio; no puede
haber dos puestos con el mismo nombre, aunque residan en diferente
OU dentro de un mismo dominio.
Finalizada la instalación, se extrae el pendrive y se deja que el equipo
se reinicie para arrancar GECOS por primera vez.
Se hace login con el usuario de instalación (que es administrador del
puesto) y aparecerá el escritorio. En el menú, seleccionar
Adeministración-\>GECOS Config Assistant. Pedirá la contraseña del
usuario porque se van a hacer labores de administración y requieren
privilegios.
Lo primero que hay que hacer es cerciorarse de que el Asistente está en
su versión más reciente; para esto hay un botón abajo a la izquierda, al
lado del número de versión incluida en la imagen ISO. Pulsar este botón
y dejar que se actualice, si procede el asistente. Si hay versión más
nueva, será necesario cerrar el asistente y volverlo a abrir.
Actualizar la imagen ISO es una labor costosa, por lo que no se va a
generar nueva imagen por cada nueva versión del asistente;
consecuentemente, puede ser que la imagen ISO no contenga la última
versión del asistente. Es muy importante esta actualización porque una
versión antigua puede ser incapaz de comunicarse adecuadamente con la
versión del Centro de Control disponible o producir una vinculación
incompleta o defectuosa.
Se abrirá una primera pantalla que permite configurar la red, si no
estuviera aún configurada (esto solo es necesario para casos donde no
haya DHCP y la IP tenga que configurarse manualmente, o donde haya que
configurar un proxy para llegar al Centro de Control y/o al
repositorio).
A continuación hay que indicar al asistente la URL del Centro de Control
al que se va a vincular; esto se hace dando una URL que acaba en
/auth/config/, con lo que el asistente no solo sabe con que Centro de
Control hablar, sino que descarga de éste un fichero de parámetros con
los valores prestablecidos (por el administrador) para la vinculación
del puesto. En este proceso, el asistente pide unas credenciales del
Centro de Control; serán las de un administrador o un instalador del
mismo.
Seguidamente pedirá un servidor NTP; lo más normal será aceptar el
establecido. Es muy importante que el Centro de Control y el puesto
compartan servidor NTP y que las correspondientes zonas horarias sean
correctas. En caso contrario, el servidor rechazará la comunicación del
puesto.
La siguiente pantalla pide el nombre del puesto, de lo que hemos hablado
más arriba, y la siguiente confirma que queremos vincular el puesto con
el centro de control. Esta última presenta la URL del Centro de Control,
el nombre y contraseña del administrador instalador y una casilla de
check que pone “vincular a una estación preexistente”(lo vemos más
adelante). Al aceptar esta pantalla aparece una ventana superpuesta que
nos pregunta donde queremos vincular el puesto. La forma más sencilla de
seguir es pulsando “Buscar” para que nos presente en un desplegable
todas las OU disponibles para vincular el puesto (las OU para las que
ese administrador/instalador tiene permisos); seleccionamos la que
corresponda y aceptamos.
La pantalla que aparece nos permite seleccionar el modo de
autenticación:
- •ninguno, significa solo usuarios locales del puestos, autenticados
localmente (lo usual en una distribución Linux que instalemos para
uso particular). No es lo habitual en GECOS, solo se usa cuando el
puesto no tiene acceso a una fuente de autenticación (LDAP o AD), va
a ser un “quiosco” (login automático) y pocos casos más.
- •LDAP, significa autenticación contra un directorio LDAP, ya sea
corporativo o local. En este caso puede haber sido necesario
configurar un BaseDN (a partir del cual hacer la búsqueda del
usuario) y/o un usuario y contraseña de búsqueda (en el caso de no
permitir las búsquedas anónimas).
- •AD, en este caso, el usuario se logará en el dominio Microsoft de
la misma manera en que lo haría desde un puesto Windows y no solo
validará sus credenciales, sino que adquirirá tiques Kerberos para
acceder a otros recursos gestionados bajo ese Directorio Activo
(carpetas compartidas, impresoras autenticadas, etc).
La vinculación a directorio activo requiere las credenciales de un
usuario de AD con permisos para vincular máquinas al dominio Microsoft
(¡ojo! Es un usuario de AD, no un administrador del Centro de Control
GECOS).
Las dos últimas pantallas permiten actuar localmente sobre el puesto,
creando usuarios locales e instalando manualmente paquetes de software.
Como se ha indicado anteriormente, esto solo tiene sentido en
situaciones puntuales poco frecuentes.
Acabamos la sesión picando en el botón “Aplicar”, aparecerán 2 ventanas
informativas que indican el progreso de la vinculación al Centro de
Control y al directorio correspondiente; esta información puede resultar
de utilidad diagnóstica en caso de producirse algún problema en la
vinculación. Dependiendo de las políticas que se apliquen al puesto y de
los recursos de éste, este último paso puede tomar varios minutos.
Próximas versiones del asistente (2.x) omitirán la aplicación de
políticas en este paso y finalizarán mucho más rápido.
Queda pendiente hablar de la opción “vincular a una estación
preexistente”; esto es útil para el caso en que un equipo haya estado
vinculado a un Centro de Control y haya sido necesario reinstalarlo
desde cero (fallo del disco duro, p.ej.) y, ahora se quiera restablecer
la conexión a la definición de puesto que sigue existiendo en el Centro
de Control. Hay que seleccionar manualmente cual es el puesto que
corresponde vincular, ya que en un puesto reinstalado no queda traza de
su anterior identidad en GECOS.
Acabada la vinculación, el puesto debe aparecer en el lugar indicado del
árbol. Si había ya políticas asignadas a las OU a las que pertenece el
puesto, éstas deben haberse ejecutado y, en la ventana de tareas deben
aparecer los registros de ejecución correspondientes.
4.3 Haciendo pruebas {.P81}
-————————-
Ya que tienes creada la OU de PRUEBAS, lo siguiente es instalar y
vincular algunos puestos GECOS. En un apartado anterior se sugiere que
hagas pruebas realistas, aquí añadimos algunas indicaciones más para
tratar de minimizar tropiezos en el trance y empezar a verle las
virtudes a GECOS.
- •Repositorio(s) adicional(es): Para poder publicar GECOS y su
repositorio como software libre, tenemos que eliminar del
repositorio los paquetes que no son libremente redistribuibles
(Adobe Reader, plugin de Flash, Java, cliente de Citrix, etc); sin
embargo, son elementos de software necesarios para muchos perfiles
de usuario. En la Junta de Andalucía disponemos de un repositorio
privado (sin problema de redistribución) que contiene un buen número
de paquetes de este tipo. Como es difícil que tal repositorio te
estorbe, defínelo en la raíz de tu dominio – para que sea visible
para todos los puestos – y asígnalo a la OU PRUEBAS con la política
de “Repositorios disponibles” (recordemos la diferencia entre
visibilidad y uso efectivo).
- •Donde poner las políticas: Cuando solo tienes un puesto y un
usuario en todo tu árbol, puede parecer lo más lógico poner las
políticas de puesto en el puesto y las políticas de usuario en el
usuario. No lo hagas. Vale, es un entorno de pruebas donde puedes
hacer lo que quieras, inconveniencias incluidas, pero es una mala
práctica y si la evitas desde el principio, tanto mejor.
- •Definición de impresoras: La interfaz de GECOS para definir
impresoras no comprueba si existe realmente, ni si la definición es
la correcta. Incorporar esta funcionalidad en GECOS habría sido
reinventar la rueda. Si has llegado hasta aquí, seguramente
dispondrás de un puesto con GECOS o con otra distribución similar;
un puesto Linux es la mejor ayuda posible para configurar impresoras
en GECOS. En el menú, bajo Administración-\>Impresoras tienes un
asistente para definir impresoras en tu puesto, incluyendo detección
automática de impresoras locales y en red, recomendación de drivers,
etc. También puedes acceder a esta funcionalidad desde un navegador,
apuntando a [http://localhost:631](http://localhost:631/).
- •Asignación de impresoras: Al igual que indicábamos con los
repositorios, las impresoras no solo han de ser visibles, sino que
hay que asignarlas explícitamente; para ello se usa la política
“Impresoras disponibles”. Al aplicar la política a una OU (o un
puesto) aparecerá un menú desplegable que muestra las impresoras
visibles desde ahí;puedes asignar una o varias impresoras de las que
se ofrecen, y en los puestos abarcados por la política aparecerán
las impresoras en su siguiente conexión al Centro de Control –
aparece un mensaje emergente que indica al usuario la creación de
las impresoras – y quedarán utilizables. En principio. Recuerda que
GECOS se ha diseñado para integrarse con sistemas preexistentes, no
para reemplazarlos; así, si se requieren permisos para el uso de una
impresora, habrá que concederle tales permisos al usuario, GECOS
solo gestiona la configuración en el puesto.
- •Unidades de almacenamiento: Son otro más de los objetos del árbol
y, como tal, sujeto a las mismas reglas de visibilidad que hemos
mencionado. En la definición de una unidad de almacenamiento
(generalmente será una carpeta compartida en red) solo se recogen
dos parámetros:
- •Algunas políticas: Vamos a darle un repaso a alguna de las
políticas más sencillas y útiles que puedes usar en tus pruebas.