Foro de TI tranquilo

Buen día,

Te respondo muy tarde, pero las cosas están avanzando a su propio ritmo aquí.

Gracias a todos sus útiles consejos, pude ejecutar mis pruebas en VirtualBox sin problemas y pude hacer una presentación/demostración a mis superiores. Agradecieron la herramienta y aprobaron la configuración de un experimento antes de una posible implementación en el mundo real.
A continuación, lanzamos una prueba en condición de establecimiento y funciona perfectamente en las condiciones mencionadas anteriormente en posts anteriores (servidor central que sirve como repositorio central, repositorio local en establecimiento para grupos y máquinas locales, y repositorio secundario sincronizado con el central, clientes configurados para estos 2 repositorios).

Espero poder organizar capacitaciones sobre el producto para mis colegas y para mí, e incluso contar con un servicio de implementación del sistema, incluyendo servicios para migrar de SE3 a Samba4. Pero eso es otro tema, y ​​antes de eso, necesito proporcionar información adicional.

Por lo tanto, a raíz de estas pruebas "reales" y las peticiones de mis superiores, tengo algunas preguntas respecto al uso previsto:

• - ¿ Hay alguna forma de crear certificados en masa (a través de la línea de comandos desde el servidor, por ejemplo) para que se puedan generar con anticipación para todos los sitios, y luego indicar a los servidores/consolas/clientes locales que utilicen estos certificados en lugar de tener que generar uno durante la instalación de la consola local? Creo que sí, pero preferiría pedirte que consigas el comando o algunas indicaciones.
  - Otra pregunta muy importante en nuestro caso: ¿hay alguna forma en los servidores locales de las instituciones de prohibir el uso de las funciones "importar desde internet" e "importar desde archivo" para garantizar que las personas autorizadas a usar las consolas no puedan obtener paquetes "no autorizados" a través de internet? Puedo ver una forma de permitir nuestro repositorio solo a través de un firewall, pero preferiría que esta función no se pudiera usar.
  - Para confirmar, la diferencia entre usar el repositorio secundario central e importar manualmente desde él a través de la consola es: En el primer caso, una actualización de paquete se implementará automáticamente en las instalaciones sin intervención humana una vez que se haya realizado el rsync entre los repositorios central y secundario. En el segundo caso, donde el paquete actualizado se importa manualmente a una consola local, no se actualizará porque se considera un paquete nuevo con la firma local. ¿Es correcto?
  Además, para confirmar, un certificado perdido es irrecuperable; en este caso, ¿se debe generar uno nuevo y reimportar todos los paquetes para que adopten la nueva firma? (Esto me parece obvio, pero me gustaría confirmarlo).

Gracias por su invaluable ayuda pasada y futura.
@micalement,

Benjamín

Benjam escribió:Buen día,

Te respondo muy tarde, pero las cosas están avanzando a su propio ritmo aquí.

Gracias a todos sus útiles consejos, pude ejecutar mis pruebas en VirtualBox sin problemas y pude hacer una presentación/demostración a mis superiores. Agradecieron la herramienta y aprobaron la configuración de un experimento antes de una posible implementación en el mundo real.
A continuación, lanzamos una prueba en condición de establecimiento y funciona perfectamente en las condiciones mencionadas anteriormente en posts anteriores (servidor central que sirve como repositorio central, repositorio local en establecimiento para grupos y máquinas locales, y repositorio secundario sincronizado con el central, clientes configurados para estos 2 repositorios).

Espero poder organizar capacitaciones sobre el producto para mis colegas y para mí, e incluso contar con un servicio de implementación del sistema, incluyendo servicios para migrar de SE3 a Samba4. Pero eso es otro tema, y ​​antes de eso, necesito proporcionar información adicional.

Por lo tanto, a raíz de estas pruebas "reales" y las peticiones de mis superiores, tengo algunas preguntas respecto al uso previsto:

• ¿Existe alguna forma de crear certificados de forma masiva (por ejemplo, mediante la línea de comandos del servidor) para que se generen con antelación para todos los sitios y, posteriormente, indicar a los servidores, consolas y clientes locales que utilicen estos certificados en lugar de tener que generarlos durante la instalación en la consola local? Creo que sí, pero preferiría que me proporcionaras el comando o algunas indicaciones.

¡Estamos usando OpenSSL, así que sí!

Benjam escribió: - Otra pregunta muy importante en nuestro caso: ¿hay alguna manera en los servidores locales de las instituciones de prohibir el uso de las funciones "importar desde internet" e "importar desde archivo" para garantizar que las personas autorizadas a usar la consola no puedan obtener paquetes "no autorizados" a través de internet? Entiendo cómo permitir el acceso a nuestro repositorio solo a través de un cortafuegos, pero preferiría que esta función no estuviera disponible.

Bueno ahí es donde se complica, porque no es algo que yo sepa y no es algo estandarizado.
Acabo de ser contratado en tranquil.it y sé que el caso que desea montar está en marcha y creo que quizás podamos ofrecerle algo.

Te sugiero que te pongas en contacto con Vincent Cardon de tranquil.it; él podrá responder a tu pregunta.

Benjam escribió: - Para confirmar, la diferencia entre usar el repositorio secundario central e importar manualmente desde él a través de la consola es la siguiente: En el primer caso, una actualización de paquete se implementará automáticamente en las instalaciones sin intervención humana una vez que se haya completado la sincronización (rsync) entre los repositorios central y secundario. En cambio, en el segundo caso, donde el paquete actualizado se importa manualmente a una consola local, no se actualizará porque se considerará un paquete nuevo con una firma local. ¿Es correcto?

¡Eso es todo!

Benjam escribió: - Además, para confirmar, ¿un certificado perdido es irrecuperable de forma permanente? En ese caso, ¿es necesario generar uno nuevo y volver a importar todos los paquetes para que adopten la nueva firma? (Me parece obvio, pero me gustaría confirmarlo).

¡Sí, eso es!

Benjam escribió: Gracias por su inestimable ayuda, tanto pasada como futura.
Atentamente,

Benjam.

Hola y gracias por sus respuestas, que confirman lo que pensaba.

Respecto a OpenSSL, revisaré con más detalle la generación masiva de todos los certificados y los procedimientos necesarios (copiarlos a privado y SSL, supongo, y especialmente cómo automatizar la implementación del cliente con este certificado) en consolas remotas para que puedan usarlo.
Todavía no lo estamos implementando en nuestras instituciones, así que no hay prisa, pero es para preparar un pequeño script con anticipación para cuando llegue el momento.

Gracias también por las confirmaciones.

Respecto al problema de las funciones de importación bloqueadas desde otros repositorios, me pondré en contacto con Vincent nuevamente.
En cualquier caso, nosotros (mis superiores y/o yo) necesitamos contactarlo pronto sobre Samba4/WAPT/Creación de paquetes, y aprovecharé la oportunidad para pedirle una solución a este problema, que podría ser un verdadero obstáculo para la implementación de esta solución para mis superiores.

Gracias nuevamente por sus respuestas.
Saludos cordiales,

Benjam