Cápsulas de palabras

20 marzo, 2010

Manifiesto en defensa de los derechos fundamentales en internet – Republicado

Filed under: Libertad en la red, Manifiesto — Etiquetas: , , — kyletgn @ 11:00

Viendo que las palabras de un presidente son como cáscaras vacías, viendo que la opinión de miles de ciudadanos anónimos no son nada en frente de los lobbies de la industria (mal llamada) cultural, viendo que aunque los jueces digan lo contrario se empeñe este gobierno en crear un estado de excepción sobre Internet, vuelvo a publicar el manifiesto.

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que…

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

Este manifiesto es obra de muchas manos, y propiedad de todos. Si te gusta, cópialo, pásalo, publícalo en tu weblog o haz lo que quieras con él.

9 marzo, 2010

Aviso a navegantes: Alta latencia en Cisco Catalyst Policy Based Routing

Filed under: IT Admin — Etiquetas: , , , , , , — kyletgn @ 12:29

Escribo esta entrada para quien se encuentre con el mismo problema que yo (alta latencia) al aplicar Policy Routing en una interface Vlan con un elevado volumen de tráfico.

Si al realizar el comando siguiente obtenéis una salida de este estilo (con un alto porcentaje de uso del proceso IP Input):

show proc cpu sort | ex 0.00
CPU utilization for five seconds: 98%/24%; one minute: 99%; five minutes: 96%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
 185   8665377081146152293        756 48.24% 46.90% 45.37%   0 IP Input
  75    820122231348788080         60  7.82%  8.85%  8.36%   0 HLFM address lea
 129    276128701314811052         21  4.47%  4.65%  4.34%   0 Hulc LED Process
 191   118257767 974640196        121  3.67%  3.54%  3.37%   0 Spanning Tree
  61    311867012426918732          0  1.27%  1.13%  1.05%   0 Fifo Error Detec
   9   310459507 536738733        578  1.11%  1.11%  1.12%   0 ARP Input
   4    65113441   5566023      11698  0.63%  0.18%  0.13%   0 Check heaps
  58    493203911034348706         47  0.47%  0.56%  0.50%   0 RedEarth Tx Mana
  92     6019864 436220220         13  0.47%  0.37%  0.32%   0 hpm main process
  96    17156823  72239266        237  0.15%  0.36%  0.37%   0 hpm counter proc
  35      862265  45230037         19  0.15%  0.04%  0.01%   0 Per-Second Jobs
 137    19353796   9089592       2129  0.15%  0.13%  0.15%   0 HQM Stack Proces 

y teneis una configuración de VLAN o interface de nivel 3 similar a esta

interface VlanX
 description DESCRIPCION
 ip address a.b.c.d A.B.C.D
 no ip unreachables
 ip policy route-map enrutar_por_origen_VlanX

El policy based routing hace que todos los paquetes con origen en esa red en vez de usar el chip de routing eficiente que tienen vayan a parar a la CPU general a causa de las access-list o procesos de selección de tráfico usados en el route-map.

3 marzo, 2010

Añadir Linux a Active Directory y compartir carpetas

Filed under: IT Admin — Etiquetas: , , , , , — kyletgn @ 12:06

Muchas gracias al autor de este post http://www.esdebian.org/articulos/24000/unir-debian-dominio-active-directory por haber creado este gran tutorial que acto seguido voy a adaptar a la semántica de Ubuntu.

1.- Información con la que contamos

Contamos con los siguientes datos:

- Dominio: 			pruebas.local
- Nombre del Server AD: 	ad = ad.pruebas.local
- IP del Server AD: 		192.168.1.254
- Nombre del Cliente Linux: 	ubuntu
- Ip del Cliente Linux: 	192.168.1.20

NOTA: En los archivos de configuración utilizaremos estos datos por lo que usted deberá sustituirlos por los apropiados.

2.- Configurar parámetros de red

Antes de continuar asegúrese de que el equipo con Linux cuente con la siguiente configuración:

– IP del mismo rango que el Server Active Directory
– DNS utilizado por el Server Active Directory
– Debe responder el ping a ad.pruebas.local

3.- Instalar la paquetería necesaria

# sudo apt-get install samba smbclient winbind krb5-user krb5-config

4.- Resolver equipos de la red

Agregar la IP de nuestro equipo Linux y la del Server Active Directory a “/etc/hosts”:

192.168.1.20    ubuntu.pruebas.local    ubuntu
192.168.1.254   ad.pruebas.local      	ad

5.- Configurar el cliente kerberos

Para configurar el cliente kerberos agregamos/modificamos las siguientes lineas a “/etc/krb5.conf”:

[libdefaults]
default_realm = PRUEBAS.LOCAL
clockskew = 300

[realms]
PRUEBAS.LOCAL = {
kdc = 192.168.1.254
default_domain = pruebas.local
admin_server = 192.168.1.254
}
pruebas.local = {
kdc = 192.168.1.254
default_domain = pruebas.local
admin_server = 192.168.1.254
}
pruebas = {
kdc = 192.168.1.254
default_domain = pruebas
admin_server = 192.168.1.254
}

[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON

[domain_realm]
.pruebas = pruebas
.pruebas.local = PRUEBAS.LOCAL

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}

6.- Crear tickets Kerberos

Para crear los tickets kerberos ejecutamos el siguiente comando:

# sudo kinit administrador@pruebas.local

Nos pedirá el password de la cuenta administrador del dominio. Puede utilizarse cualquier cuenta con permisos administrativos en el dominio.

7.- Configurar samba

Editamos “/etc/samba/smb.conf” quedando algo parecido a lo siguiente:

[global]
security = ADS
netbios name = ubuntu
realm = PRUEBAS.LOCAL
password server = ad.pruebas.local
workgroup = pruebas
log level = 1
syslog = 0
idmap uid = 10000-29999
idmap gid = 10000-29999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
domain master = no
server string = linux como cliente de AD
encrypt passwords = yes

##compartir el home del usuario solo para él cuando se encuentre en otro equipo de la red
[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
##compartir una carpeta para todos los usuarios
[users]
comment = All users
path = /alguna/carpeta
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
##compartir carpeta solo para el usuario spruebas
[UnUsuario]
comment = prueba con usuario del dominio
inherit acls = Yes
path = /ruta/de/alguna/carpeta/
read only = No
available = Yes
browseable = Yes
valid users = pruebas+spruebas

8.- Reiniciamos samba:

# sudo testparm
# sudo /etc/init.d/samba restart

9.- Agregar Linux al dominio:

# sudo net ads join -S ad.pruebas.local  -U administrador

Nos deberá mostrar un mensaje como el siguiente:

Using short domain name -- pruebas
Joined 'UBUNTU' to realm 'PRUEBAS.LOCAL'

Si nos llega a mostrar un error como el siguiente:

Administrador's password:
[2007/08/25 16:58:33, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
Kinit failed: Clock skew too great
Failed to join domain!

El problema puede ser que la hora del equipo con Linux no este configurada correctamente. Kerberos es muy estricto con la hora. Para solucionarlo, corregimos la hora manualmente o ejecutamos el siguiente comando:

# ntpdate pool.ntp.org

Después de hacer esto ya se debería de poder unir al dominio.

10.- Resolver nombres de usuarios y grupos de dominio

Editar “/etc/nsswitch.conf” y modificar las siguientes lineas dejándolas así:

passwd:         files winbind o bien compat winbind
group:          files winbind o bien compat winbind
shadow:         files winbind o bien compat winbind
hosts:          files dns winbind

Gracias a las lineas anteriores los usuarios y grupos del dominio pueden ser resueltos.

11.- Reiniciamos winbind:

# sudo /etc/init.d/winbind restart

12.0- Hacer tests para ver si todo salio bien

12.1.- Verificar la integración del dominio:

– “sudo net rpc testjoin” muestra si esta correctamente integrada al dominio:

Join to 'pruebas' is OK

– “sudo net ads info” muestra información del dominio:

LDAP server: 192.168.1.254
LDAP server name: ad.pruebas.local
Realm: PRUEBAS.LOCAL
Bind Path: dc=pruebas,dc=LOCAL
LDAP port: 389
Server time: dom, 26 ago 2007 14:57:04 MDT
KDC server: 192.168.1.254
Server time offset: 11

– “sudo net rpc info -U Usuario_de_dominio” muestra el dominio al que pertenece, numero de usuarios, grupos, etc:

Domain Name: pruebas
Domain SID: x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx
Sequence number: xx
Num users: xx
Num domain groups: xx
Num local groups: xx

12.2.- Verificar que winbind este funcionando:

- "sudo wbinfo -u" lista usuarios del dominio.
- "sudo wbinfo -g" lista grupos del dominio.
- "sudo getent passwd" muestra usuarios locales y del dominio.
- "sudo getent group" muestra grupos locales y del dominio.
- "sudo -U usuario-de-dominio -s" nos convertimos en usuario-de-dominio.

Para este último comando no hace falta poner ningun prefijo ni sufijo de dominio, tan solo el alias de usuario
Si todo lo anterior funciona vamos por buen camino.

13.- Configurar la autenticación

Para configurar el acceso a usuarios del dominio a nuestro Linux mediante el entorno gráfico hay que configurar pam. Para ello editamos los siguientes archivos y agregamos/modificamos las siguientes lineas:

/etc/pam.d/common-account
account sufficient      pam_winbind.so
account required        pam_unix.so try_first_pass
/etc/pam.d/common-auth
auth    sufficient      pam_winbind.so
auth    required        pam_unix.so nullok_secure try_first_pass
/etc/pam.d/common-password
password   sufficient   pam_winbind.so
password   required   	pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
/etc/pam.d/common-session
session required 	pam_mkhomedir.so skel=/etc/skel/ umask=0022
session sufficient      pam_winbind.so
session required        pam_unix.so try_first_pass

El modulo “pam_winbind.so” le indica a pam que los usuarios y grupos los obtenga mediante winbind. El modulo “pam_mkhomedir.so” nos crea el directorio home del usuario en caso de no existir.

14.- Creamos el directorio “/home/PRUEBAS” (Nombre del dominio en MAYÚSCULA) que es donde tendrán sus home los usuarios:

# mkdir /home/PRUEBAS

15.- Usuarios de Active Directory administrando el servidor

Para realizar esto, yo he optado por crear un grupo en el dominio llamado LinuxAdmins donde añadir a quien deseemos que tenga permisos de administrador y añadir ese grupo al fichero /etc/sudoers

%LinuxAdmins ALL=(ALL) ALL

Crea un blog o un sitio web gratuitos con WordPress.com.