No es demasiado destacable lo hecho. Lo pensado sí, y de verdad que espero aclararme porque necesito tener una hoja de ruta lo más concreta posible.
Problemas en servidor secundario
Desde el viernes he estado en contacto con el muchacho externo 3 que es menos hábil de lo que esperaba con herramientas como ssh y firefox. Bueno, no se puede tener todo.
Ahora me veo obligado a darle un acceso más amplio y a incluirlo en el directorio LDAP para que no se vuelva loco con los saltos entre las diferentes máquinas. Y ahora que lo pienso, ¿ de verdad no está enviado la clave pública a los servidores a los que tiene que conectarse ? Se le olvida la contraseña muy a menudo y le tengo que enviar una nueva. No sé. Pero mientras entienda de odoo me basta.
Y lo malo de meterle en el directorio LDAP es que va a pertenecer al grupo sudo en todas las máquinas. Hay una forma de evitarlo que recuerde. Hablaré de ella más abajo.
Servicios web internos
Desde que puse en marcha la página de enlaces interna con homer el éxito ha sido apabullante. Un auténtico delirio entre los dos usuarios que lo empleamos: Luismi y yo. Es más, procuro añadir y retocar todo lo que puedo cada vez que Luismi lo pide o lo sugiere que me está sirviendo para depurar todas las aplicaciones internas.
La principal era phpldapadmin que ya con las versiones superiores de PHP se estrella una y otra vez. Un lenguaje estupendo, digno de estos tiempos. ¿ Por qué no romper la retrocompatibilidad con cada versión que publiquemos (odio el término liberar) ? ¿ Qué mejor que mantener a los programadores en un frenesí de retoques ? Eso forja el carácter, que me lo han dicho a mí. También te mata prematuramente pero, oye, ¿ quién quiere vivir por siempre ?
El caso es que tenía también instalado la aplicación LAM, de la que conservaba un recuerdo confuso. Sé que funcionaba bien pero era molesta de emplear. Y no recuerdo por qué. Bueno, pues ya no. Ahora mismo es una delicia con la que puedes gestionar los usuarios y los grupos que mantengas en el directorio LDAP.
Y muy bien, oye. He dado de alta al muchacho externo 3 y le he asignado unos cuantos grupos LDAP y no de sistema. Y ahí es donde está el truco. En cada máquina donde tenga que tener acceso a tareas sudo lo asigno localmente al grupo y como según el archivo nsswitch.conf se usa primero los archivos locales y luego el directorio LDAP, el usuario mezcla todos los grupos. Así se puede controlar los privilegios que mencionaba antes.
Adriano
Pues aquí no las tengo todas conmigo. Por una parte tengo dudas muy razonables sobre volver al programa. Por otra creo que parte de esas dudas proceden del miedo y de una falta de confianza en mí. He cambiado mucho estos últimos tres años y no debería dudar tanto.
Es más, ahora tengo muchos más conocimientos de sistemas y de programación. Hay problemas que me han complicado mucho la vida que ahora puedo resolverlos.
En fin, he escrito un mapa mental con los puntos que tendría que revisar, poner al día y documentar. La primera versión es esta:
Servicio de documentación: refs.venexma.net
Pues como ya tengo un cierto número de páginas de documentación realizadas con mkdocs y los certificados comodín estoy creando el sitio web refs.venexma.net donde va a estar centralizado todo.
Será interno, claro está, porque contiene demasiada información delicada y de momento no habrá entrada en el DNS externo.
La parte de acceso desde fuera es sencilla: al crear el directorio /var/www/html/refs.venexma.net le indico que el grupo es osr, el usuario con el que conecto, y que además de tener permisos de escritura y lectura (y paso) también tiene el bit SETGID. Después basta con una sincronización desde el directorio del repositorio hacia él y ya está.
Y quedar pues ha quedado bien, especialmente con las herramientas que he ido añadiendo para facilitar la creación de documentos markdown.
Servicio de cambio de contraseñas
Maravillado estoy de que halla sido tan sencillo. He encontrado el programa LDAP ToolBox que incluye un programa específico para cambiar las contraseñas de los usuarios y recuperarlas por varias vías: pregunta, correo electrónico e incluso SMS si tienes un proveedor.
No está probado a fondo y le faltan retoques en el aspecto pero ya está funcionado:
