Soy la persona que hizo epitaphs. Pregúntenme lo que sea
En la entrada del blog dice “tenía que agregarlo otra persona que te conociera”, pero eso no es exacto o ya no lo es
Si un empleado enviaba el contenido por correo a una dirección especial, ese contenido podía mostrarse cuando dejara la empresa. Yo lo hice así, pero ya no puedo volver a comprobar si realmente funcionó
¿Se puede preguntar en qué empresa era?
¿Sigue funcionando todavía?
¿Alguna vez RR. HH. pidió que lo cambiaran? Me fui hace 5 años, pero de verdad me encantaba esa función
¿Por qué hiciste epitaphs? ¿Hubo retos organizacionales o técnicos interesantes al crearlo?
Recomiendo muchísimo usar Git para operar algo así
Puedes ejecutarlo desde cron de esta forma: curl https://internal.corp/employees.txt > employees.txt git add employees.txt git commit -m "Automated: $(date -u)" || exit 0 || exit 0 evita que dé error aunque no haya nada que confirmar. Así, todo el historial de cambios de la fuente de información queda registrado como commits, y basta con correr git log para verlo. Yo hago este tipo de cosas con frecuencia usando GitHub Actions programadas; hay un ejemplo en https://simonwillison.net/2020/Oct/9/git-scraping/
Yo hago algo parecido, pero en vez de || exit 0 uso --allow-empty en git commit
No me molesta que haya commits vacíos, porque así sé que la ejecución automática no falló, sino que se completó correctamente y simplemente no hubo cambios
También podría ser buena idea agregar | sort por determinismo. Para este tipo de datos pequeños, Git es una base de datos muy subestimada
Empecé a hacer un archivo con diffs del noticiero en lenguaje sencillo de Finlandia usando la misma técnica
Me ayudó muchísimo a reunir input comprensible y de alta calidad. Gracias https://github.com/hiAndrewQuinn/selkouutiset-scrape/
Estoy considerando seriamente usar Git para todo tipo de datos que cambian seguido pero no demasiado, por ejemplo una lista de libros en un librero
Pero también quiero capacidades de base de datos transaccional encima de eso. Git hace muy bien esa parte. Al mismo tiempo, también quiero indexación rápida sobre algunos campos, y ahí Git no sirve tanto. Por eso estoy pensando en usar un “estándar” de volcar sqlite a Git. Cualquier transacción puede representarse como un commit de Git, y ambos pueden correr en paralelo para tener durabilidad e indexación razonable. La base de datos sqlite se puede regenerar y reindexar en cualquier momento, y también sirve más o menos como respaldo.
Por ahora siento que solo estoy patinando en el mismo lugar, y me queda ver hacia dónde va después el tema de las bases de datos
Si fuera un colega, habría hecho análisis de redes en el tiempo con estos datos para ver, según a qué grupos se va moviendo la gente con el tiempo, con quiénes les gustaba trabajar o con quiénes no
Hice una herramienta para rastrear LDAP de esta manera [0]. LDAP es una mina de oro de información y también es buenísimo para stalkear
Me parecía curiosamente interesante ver a la gente irse y, si era posible, cuánto tiempo había trabajado. También fue bastante interesante que amigos vieran en LDAP que los habían despedido antes de enterarse ellos mismos. En el README dice que, con integración de webhook de Slack, puedes enterarte bajo demanda de lo que pasa en el directorio LDAP: nuevas contrataciones, salidas, ascensos, qué hace RR. HH. y cuándo, cambios no autorizados, datos filtrados por accidente y el inicio/cierre de sesión LDAP de usuarios. También existe LDAPmonitor[1], que hace básicamente lo mismo para Microsoft y Active Directory
[0]https://github.com/MegaManSec/LDAP-Monitoring-Watchdog
[1]https://github.com/p0dalirius/LDAPmonitor
Los despidos en la era del trabajo remoto son raros. Antes, al ver a alguien salir cargando una caja con sus cosas, era bastante fácil saber quién había sido despedido, y podías acercarte para decirle que se vieran en el bar del barrio o intercambiar datos de contacto.
Eso daba cierta sensación de cierre. Ahora, un día varias personas simplemente dejan de responder correos, y hay que esperar para saber si de verdad se fueron o si solo están ocupadas. Si estabas esperando entregables necesarios para un proyecto, puede que nunca lleguen y que por un tiempo ni siquiera sepas por qué. Aunque exista un directorio de la empresa, por la WARN Act muchas veces la gente sigue apareciendo por más de 60 días, y parece que la mayoría de las empresas no hace una “lista de despedidos”. Si ni siquiera te dicen quién fue despedido, y además les cortan el acceso antes de avisarles para que puedan despedirse, es realmente difícil sentir que hubo un cierre
Es triste ver en Slack cómo las cuentas de la gente pasan a inactivas sin siquiera un mensaje de despedida
El peor jefe que tuve solía pedir acceso a las cuentas de Slack de ex empleados con el pretexto de buscar datos para la transferencia de trabajo. Cada vez que iniciaba sesión como ellos, a veces la cuenta se ponía en verde. Era espeluznante ver la cuenta de un ex colega ponerse en verde y saber que tu jefe estaba revisando sus mensajes privados. Ya sé que la empresa puede ver los mensajes de Slack de todos modos, pero verlo pasar en tiempo real por parte de tu jefe da todavía más escalofríos
Al principio intentaron hacerlo, pero al inicio de la pandemia la cantidad de fallecidos aumentó tan rápido que la organización ya no pudo seguir anunciándolo todo
El simple hecho de que RR. HH. intentara redactar unas palabras para todos ya era desmoralizante, y dejó una palidez persistente donde antes había un toque personal y lleno de vida. La gente seguía desapareciendo, pero seguía sin haber anuncios de que se habían ido ni de cómo se habían ido.
La última vez que vi al General Counsel fue al inicio de la pandemia. Como la mayoría de la gente durante el confinamiento, no veía a nadie fuera de su familia inmediata, y no había tenido oportunidad de contar una buena historia en meses; si la hubiera tenido, quizá de todos modos eso lo habría matado. Se desahogó sobre un tema que estaba cerrando y luego, fiel a su oficio de abogado, le escribió una excelente carta al CIO, lo que llevó a una de nuestras conversaciones favoritas entre todos nosotros.
Seis meses después, alguien llamó diciendo que iba rumbo al equipo legal porque alguien había muerto, y de inmediato tuve un mal presentimiento. Revisé el sitio web, el directorio y los obituarios locales, pero no había nada, y la red de rumores también estaba en silencio. Así que llamé a su secretaria, y ella me dijo con bastante calma que el GC había fallecido seis semanas antes.
Casi exactamente un año después, los procedimientos de la organización por fin se pusieron al día y publicaron “Remembering $generalCounselor”. Para entonces ya me había perdido el funeral, la familia se había mudado, y a mucha gente le resultó incómodo enviar condolencias tan tarde. Ver la sorpresa, la vergüenza y la tristeza de otras personas no fue un consuelo, pero al menos supe que no era el único.
No somos una organización pequeña, pero sí personal, y cada muerte dejó un pequeño vacío que no supimos reconocer ni procesar juntos. Todavía no tenemos una forma de manejar la pérdida, ni siquiera hemos hablado de ello. Ver que un contacto viejo guardado vuelve a aparecer después de que reasignen la extensión se siente inevitablemente como una llamada desde la tumba. Sigo manteniéndome en contacto y tratando de seguir el rastro, pero poco a poco los vínculos se desvanecen, y con ellos también se difuminan nuestros recuerdos y nuestra historia compartida
Una cosa que extraño del trabajo en oficina es la conexión más humana
Que la gente pasara por los escritorios para charlar de la vida y hacer bromas. Nunca me he reído tanto en la vida. En general las relaciones eran más cercanas, y cuando la gente se iba era triste, pero si era para ir a algo mejor, también daba gusto por ellos. En comparación, el trabajo remoto se siente demasiado estéril e impersonal. Trabajo de forma remota desde más o menos 2015, así que no es una defensa de volver a la oficina, solo nostalgia
Siempre me ha parecido tonto cortar el acceso, y como gerente no lo hacía
Si ya confiaste y trabajaste con alguien durante 3 años, puedes confiar 1 o 2 semanas más. Puede terminar lo que queda pendiente y tomarse su tiempo. Todos somos adultos. Entiendo que, en el peor de los casos, puede pasar algo malo, pero eso siempre ha sido así
Quizá este sea el único momento en que diré esto, pero me alegra que exista LinkedIn. Al menos así sabes que siempre podrás volver a contactar a la gente que se fue
Me gustó esta parte:
“Además, si alguien se enoja porque ejecutas algo así, probablemente de todos modos no querrías trabajar ahí. En cambio, si TI o una organización similar puede crear herramientas así sin sentirse ‘amenazada’, quizá estés en un lugar donde realmente disfrutan hacer cosas interesantes y útiles. Esos lugares hay que valorarlos. Muchas veces no duran mucho”
Aun así, si quieres seguir trabajando ahí, conviene revisar primero la situación legal
Casi con seguridad puede considerarse tratamiento no autorizado de datos personales. Que tengas acceso no significa que puedas hacer lo que quieras. En especial, archivar, conservar historial y vincular datos externos no es el uso previsto de esas interfaces. Si te llevas la información a casa, por ejemplo en una laptop de trabajo, eso puede crear otro problema, e incluso podría verse como extracción de secretos comerciales.
Al menos en Europa, es muy probable que abusar de esas interfaces sea ilegal, y más aún si guardas copias o diff. Puede que el empleador tenga que tomar medidas, y si no lo hace, podría ser responsable. O más adelante podría usar esa infracción como pretexto para terminar el contrato de forma conveniente. Más todavía si usas esa información como palanca.
Cuanto más grande es la red, mayor parece ser la posibilidad de meterse en problemas. Y si no lo es, también hay menos utilidad en recopilar los datos. ¿No sería mejor organizarse con los colegas, compartir voluntariamente información laboral y ganar poder de negociación colectiva?
Me pregunto si esto cuenta como datos personales. Al fin y al cabo son copias del nombre, cargo y antigüedad laboral de todos
Me imagino que muchas empresas europeas serían cautelosas con que un empleado guarde una lista así
En Amazon despidieron a alguien por compartir una consulta LDAP para encontrar a las personas afectadas después de un despido. Ni siquiera había filtrado información, y aun así lo hicieron
Esto no está nada bien. Es pura pose exagerada
La forma de comprobarlo es buscar comentarios de HN posando de la misma manera. Después de que la ventana de Overton se ampliara, ya no se contienen y dicen abiertamente lo que sabemos: que es un abuso del sistema para convertir un directorio viejo en una revista de chismes que sorprende incluso a los involucrados.
Por ejemplo: “Al principio solo me importaba qué cuentas se habían desactivado. Luego empecé a rastrear cambios de cargo, cambios de apellido (matrimonio), tamaño de los departamentos, cantidad de personal de la empresa a lo largo del tiempo”, “LDAP está lleno de secretos. Es increíble que casi todo se pueda obtener con acceso anónimo. Llegué a detectar fusiones de equipos y departamentos antes del anuncio, y también en listas de correo secretas de proyectos internos puedes deducir qué está pasando viendo quiénes son los miembros”, “Muchas cosas raras dependen de que el árbol de LDAP sea ampliamente accesible. Solo que filtra más información de la que la mayoría cree”, “Vigilar cuándo RR. HH. hace qué cosa, y detectar cuándo los usuarios inician y cierran sesión en LDAP”
LDAP está lleno de secretos. Es una gran forma de observar qué pasa en la empresa, y sorprende que casi todo pueda obtenerse con acceso anónimo
He detectado fusiones de equipos o departamentos antes de que se anunciaran. Incluso en listas de correo secretas de proyectos internos puedes deducir qué está pasando al ver quiénes son los miembros. Si las direcciones de correo revelan algo, mejor todavía. ldapsearch es útil si conoces bien LDAP, y si solo quieres explorarlo, Apache LDAP Studio es una excelente herramienta con UI. Todo el mundo debería saber al menos lo suficiente como para crear un servicio de login que haga bind a LDAP para apps internas. Puedes usar grupos mantenidos por el administrador del sistema para controlar permisos de la app, y es muy potente y fácil de poner en marcha rápidamente
Todavía me sorprenden las empresas que permiten que usuarios aleatorios, incluso anónimos, indexen el árbol completo de AD de la empresa
Es amable, sí, pero aun así. Además, muchas veces es la única forma de obtener información que no está en las páginas de la intranet. Por ejemplo, qué equipos hay realmente en TI, dónde están las oficinas, quién es el gerente de alguien y, por supuesto, en qué lista de distribución que me está causando problemas de acceso al portal interno no estoy yo pero sí otros usuarios
¿Usar grupos de LDAP para autenticación de apps internas? Claro, si quieres convertirte en el próximo SolarWinds
Me sorprende que tanta gente haya llegado a la misma idea de forma independiente. En un trabajo anterior hice “the sackinator”
sacked significa despedido. Era una tarea de cron que cada noche volcaba todo el directorio de AD, y un script que hacía diff entre la salida de dos días cualquiera. Como los datos quedaban volcados, siempre podías volver atrás y hacer análisis adicionales. Al principio solo miraba qué cuentas se habían desactivado; después empecé a rastrear cambios de cargo, cambios de apellido (matrimonio), tamaño de los departamentos y cantidad de personal de la empresa a lo largo del tiempo. Estoy totalmente de acuerdo con que hay que valorar los lugares donde puedes crear herramientas así y TI no se siente amenazado
Jajaja. Hay un script muy parecido mantenido en ‘KTMJ’. No está hecho para encontrar usuarios desactivados, sino para sincronizar ciertos atributos de LDAP con otros sistemas
Esta organización es lo bastante grande como para tener más de 300 mil usuarios. En el breve lapso entre que el script consulta LDAP y prepara el archivo de sincronización, y luego se ejecuta la importación real de sincronización que valida que cada usuario siga existiendo, ya se desactivan cientos de cuentas y quedan registradas en el archivo de log de ‘error’. La sincronización real y el archivo de log de ‘error’ están fuera de mi control directo.
Lo que me hizo reír como loco es que mi contrato está por terminar por ‘restricciones presupuestarias’. Ya hubo varios despidos, así que me lo esperaba. Mi cuenta también será una de las que se desactiven en el próximo ciclo mensual, pero antes tengo que dejarle a mis reemplazos el procedimiento y el comportamiento esperado del log de ‘error’ de usuarios desactivados
No hace falta verlo solo de forma negativa. Donde trabajo, a esta herramienta la llamamos “new-hires”
Usa una API key limitada, de solo lectura, para una herramienta de RR. HH. de terceros, y esa key me la dio el People Director. A veces también hay líneas que empiezan con -, pero el nombre de la herramienta viene de las líneas que empiezan con +.
new-hires está construido sobre el módulo/CLI de Python “people” de nuestro monorepo. Esta herramienta es mucho más útil que un diff del organigrama. Te permite saber quién está en qué equipo, dónde está, si hoy está trabajando, si ya toca felicitarlo por su aniversario laboral, etc. También sigue mi “prueba de fuego ZFS” para una buena herramienta de CLI, al ofrecer -pH para una salida parseable y sin encabezados. De verdad, estos lugares hay que valorarlos mucho
¿Dónde es? Suena como un lugar realmente bueno
En mi primer trabajo quise hacer un sistema así, pero cuando mi gerente se enteró, lo prohibió explícitamente
Después, esa empresa despidió al 15% de sus ingenieros de software en un solo día. El equipo de soporte creaba tickets para dar de baja cuentas de empleados en el rastreador público de incidencias, así que mucha gente se enteró primero por esa vía antes de recibir la invitación a la reunión
1 comentarios
Comentarios de Hacker News
Soy la persona que hizo epitaphs. Pregúntenme lo que sea
Si un empleado enviaba el contenido por correo a una dirección especial, ese contenido podía mostrarse cuando dejara la empresa. Yo lo hice así, pero ya no puedo volver a comprobar si realmente funcionó
¿Alguna vez RR. HH. pidió que lo cambiaran? Me fui hace 5 años, pero de verdad me encantaba esa función
Recomiendo muchísimo usar Git para operar algo así
Puedes ejecutarlo desde cron de esta forma:
curl https://internal.corp/employees.txt > employees.txtgit add employees.txtgit commit -m "Automated: $(date -u)" || exit 0|| exit 0evita que dé error aunque no haya nada que confirmar. Así, todo el historial de cambios de la fuente de información queda registrado como commits, y basta con corrergit logpara verlo. Yo hago este tipo de cosas con frecuencia usando GitHub Actions programadas; hay un ejemplo en https://simonwillison.net/2020/Oct/9/git-scraping/|| exit 0uso--allow-emptyengit commitNo me molesta que haya commits vacíos, porque así sé que la ejecución automática no falló, sino que se completó correctamente y simplemente no hubo cambios
| sortpor determinismo. Para este tipo de datos pequeños, Git es una base de datos muy subestimadaMe ayudó muchísimo a reunir input comprensible y de alta calidad. Gracias
https://github.com/hiAndrewQuinn/selkouutiset-scrape/
Pero también quiero capacidades de base de datos transaccional encima de eso. Git hace muy bien esa parte. Al mismo tiempo, también quiero indexación rápida sobre algunos campos, y ahí Git no sirve tanto. Por eso estoy pensando en usar un “estándar” de volcar sqlite a Git. Cualquier transacción puede representarse como un commit de Git, y ambos pueden correr en paralelo para tener durabilidad e indexación razonable. La base de datos sqlite se puede regenerar y reindexar en cualquier momento, y también sirve más o menos como respaldo.
Por ahora siento que solo estoy patinando en el mismo lugar, y me queda ver hacia dónde va después el tema de las bases de datos
Hice una herramienta para rastrear LDAP de esta manera [0]. LDAP es una mina de oro de información y también es buenísimo para stalkear
Me parecía curiosamente interesante ver a la gente irse y, si era posible, cuánto tiempo había trabajado. También fue bastante interesante que amigos vieran en LDAP que los habían despedido antes de enterarse ellos mismos. En el README dice que, con integración de webhook de Slack, puedes enterarte bajo demanda de lo que pasa en el directorio LDAP: nuevas contrataciones, salidas, ascensos, qué hace RR. HH. y cuándo, cambios no autorizados, datos filtrados por accidente y el inicio/cierre de sesión LDAP de usuarios. También existe LDAPmonitor[1], que hace básicamente lo mismo para Microsoft y Active Directory
[0]https://github.com/MegaManSec/LDAP-Monitoring-Watchdog
[1]https://github.com/p0dalirius/LDAPmonitor
Los despidos en la era del trabajo remoto son raros. Antes, al ver a alguien salir cargando una caja con sus cosas, era bastante fácil saber quién había sido despedido, y podías acercarte para decirle que se vieran en el bar del barrio o intercambiar datos de contacto.
Eso daba cierta sensación de cierre. Ahora, un día varias personas simplemente dejan de responder correos, y hay que esperar para saber si de verdad se fueron o si solo están ocupadas. Si estabas esperando entregables necesarios para un proyecto, puede que nunca lleguen y que por un tiempo ni siquiera sepas por qué. Aunque exista un directorio de la empresa, por la WARN Act muchas veces la gente sigue apareciendo por más de 60 días, y parece que la mayoría de las empresas no hace una “lista de despedidos”. Si ni siquiera te dicen quién fue despedido, y además les cortan el acceso antes de avisarles para que puedan despedirse, es realmente difícil sentir que hubo un cierre
El peor jefe que tuve solía pedir acceso a las cuentas de Slack de ex empleados con el pretexto de buscar datos para la transferencia de trabajo. Cada vez que iniciaba sesión como ellos, a veces la cuenta se ponía en verde. Era espeluznante ver la cuenta de un ex colega ponerse en verde y saber que tu jefe estaba revisando sus mensajes privados. Ya sé que la empresa puede ver los mensajes de Slack de todos modos, pero verlo pasar en tiempo real por parte de tu jefe da todavía más escalofríos
El simple hecho de que RR. HH. intentara redactar unas palabras para todos ya era desmoralizante, y dejó una palidez persistente donde antes había un toque personal y lleno de vida. La gente seguía desapareciendo, pero seguía sin haber anuncios de que se habían ido ni de cómo se habían ido.
La última vez que vi al General Counsel fue al inicio de la pandemia. Como la mayoría de la gente durante el confinamiento, no veía a nadie fuera de su familia inmediata, y no había tenido oportunidad de contar una buena historia en meses; si la hubiera tenido, quizá de todos modos eso lo habría matado. Se desahogó sobre un tema que estaba cerrando y luego, fiel a su oficio de abogado, le escribió una excelente carta al CIO, lo que llevó a una de nuestras conversaciones favoritas entre todos nosotros.
Seis meses después, alguien llamó diciendo que iba rumbo al equipo legal porque alguien había muerto, y de inmediato tuve un mal presentimiento. Revisé el sitio web, el directorio y los obituarios locales, pero no había nada, y la red de rumores también estaba en silencio. Así que llamé a su secretaria, y ella me dijo con bastante calma que el GC había fallecido seis semanas antes.
Casi exactamente un año después, los procedimientos de la organización por fin se pusieron al día y publicaron “Remembering $generalCounselor”. Para entonces ya me había perdido el funeral, la familia se había mudado, y a mucha gente le resultó incómodo enviar condolencias tan tarde. Ver la sorpresa, la vergüenza y la tristeza de otras personas no fue un consuelo, pero al menos supe que no era el único.
No somos una organización pequeña, pero sí personal, y cada muerte dejó un pequeño vacío que no supimos reconocer ni procesar juntos. Todavía no tenemos una forma de manejar la pérdida, ni siquiera hemos hablado de ello. Ver que un contacto viejo guardado vuelve a aparecer después de que reasignen la extensión se siente inevitablemente como una llamada desde la tumba. Sigo manteniéndome en contacto y tratando de seguir el rastro, pero poco a poco los vínculos se desvanecen, y con ellos también se difuminan nuestros recuerdos y nuestra historia compartida
Que la gente pasara por los escritorios para charlar de la vida y hacer bromas. Nunca me he reído tanto en la vida. En general las relaciones eran más cercanas, y cuando la gente se iba era triste, pero si era para ir a algo mejor, también daba gusto por ellos. En comparación, el trabajo remoto se siente demasiado estéril e impersonal. Trabajo de forma remota desde más o menos 2015, así que no es una defensa de volver a la oficina, solo nostalgia
Si ya confiaste y trabajaste con alguien durante 3 años, puedes confiar 1 o 2 semanas más. Puede terminar lo que queda pendiente y tomarse su tiempo. Todos somos adultos. Entiendo que, en el peor de los casos, puede pasar algo malo, pero eso siempre ha sido así
Me gustó esta parte:
“Además, si alguien se enoja porque ejecutas algo así, probablemente de todos modos no querrías trabajar ahí. En cambio, si TI o una organización similar puede crear herramientas así sin sentirse ‘amenazada’, quizá estés en un lugar donde realmente disfrutan hacer cosas interesantes y útiles. Esos lugares hay que valorarlos. Muchas veces no duran mucho”
Casi con seguridad puede considerarse tratamiento no autorizado de datos personales. Que tengas acceso no significa que puedas hacer lo que quieras. En especial, archivar, conservar historial y vincular datos externos no es el uso previsto de esas interfaces. Si te llevas la información a casa, por ejemplo en una laptop de trabajo, eso puede crear otro problema, e incluso podría verse como extracción de secretos comerciales.
Al menos en Europa, es muy probable que abusar de esas interfaces sea ilegal, y más aún si guardas copias o diff. Puede que el empleador tenga que tomar medidas, y si no lo hace, podría ser responsable. O más adelante podría usar esa infracción como pretexto para terminar el contrato de forma conveniente. Más todavía si usas esa información como palanca.
Cuanto más grande es la red, mayor parece ser la posibilidad de meterse en problemas. Y si no lo es, también hay menos utilidad en recopilar los datos. ¿No sería mejor organizarse con los colegas, compartir voluntariamente información laboral y ganar poder de negociación colectiva?
Me imagino que muchas empresas europeas serían cautelosas con que un empleado guarde una lista así
La forma de comprobarlo es buscar comentarios de HN posando de la misma manera. Después de que la ventana de Overton se ampliara, ya no se contienen y dicen abiertamente lo que sabemos: que es un abuso del sistema para convertir un directorio viejo en una revista de chismes que sorprende incluso a los involucrados.
Por ejemplo: “Al principio solo me importaba qué cuentas se habían desactivado. Luego empecé a rastrear cambios de cargo, cambios de apellido (matrimonio), tamaño de los departamentos, cantidad de personal de la empresa a lo largo del tiempo”, “LDAP está lleno de secretos. Es increíble que casi todo se pueda obtener con acceso anónimo. Llegué a detectar fusiones de equipos y departamentos antes del anuncio, y también en listas de correo secretas de proyectos internos puedes deducir qué está pasando viendo quiénes son los miembros”, “Muchas cosas raras dependen de que el árbol de LDAP sea ampliamente accesible. Solo que filtra más información de la que la mayoría cree”, “Vigilar cuándo RR. HH. hace qué cosa, y detectar cuándo los usuarios inician y cierran sesión en LDAP”
LDAP está lleno de secretos. Es una gran forma de observar qué pasa en la empresa, y sorprende que casi todo pueda obtenerse con acceso anónimo
He detectado fusiones de equipos o departamentos antes de que se anunciaran. Incluso en listas de correo secretas de proyectos internos puedes deducir qué está pasando al ver quiénes son los miembros. Si las direcciones de correo revelan algo, mejor todavía.
ldapsearches útil si conoces bien LDAP, y si solo quieres explorarlo, Apache LDAP Studio es una excelente herramienta con UI. Todo el mundo debería saber al menos lo suficiente como para crear un servicio de login que haga bind a LDAP para apps internas. Puedes usar grupos mantenidos por el administrador del sistema para controlar permisos de la app, y es muy potente y fácil de poner en marcha rápidamenteEs amable, sí, pero aun así. Además, muchas veces es la única forma de obtener información que no está en las páginas de la intranet. Por ejemplo, qué equipos hay realmente en TI, dónde están las oficinas, quién es el gerente de alguien y, por supuesto, en qué lista de distribución que me está causando problemas de acceso al portal interno no estoy yo pero sí otros usuarios
Me sorprende que tanta gente haya llegado a la misma idea de forma independiente. En un trabajo anterior hice “the sackinator”
sacked significa despedido. Era una tarea de cron que cada noche volcaba todo el directorio de AD, y un script que hacía diff entre la salida de dos días cualquiera. Como los datos quedaban volcados, siempre podías volver atrás y hacer análisis adicionales. Al principio solo miraba qué cuentas se habían desactivado; después empecé a rastrear cambios de cargo, cambios de apellido (matrimonio), tamaño de los departamentos y cantidad de personal de la empresa a lo largo del tiempo. Estoy totalmente de acuerdo con que hay que valorar los lugares donde puedes crear herramientas así y TI no se siente amenazado
Jajaja. Hay un script muy parecido mantenido en ‘KTMJ’. No está hecho para encontrar usuarios desactivados, sino para sincronizar ciertos atributos de LDAP con otros sistemas
Esta organización es lo bastante grande como para tener más de 300 mil usuarios. En el breve lapso entre que el script consulta LDAP y prepara el archivo de sincronización, y luego se ejecuta la importación real de sincronización que valida que cada usuario siga existiendo, ya se desactivan cientos de cuentas y quedan registradas en el archivo de log de ‘error’. La sincronización real y el archivo de log de ‘error’ están fuera de mi control directo.
Lo que me hizo reír como loco es que mi contrato está por terminar por ‘restricciones presupuestarias’. Ya hubo varios despidos, así que me lo esperaba. Mi cuenta también será una de las que se desactiven en el próximo ciclo mensual, pero antes tengo que dejarle a mis reemplazos el procedimiento y el comportamiento esperado del log de ‘error’ de usuarios desactivados
No hace falta verlo solo de forma negativa. Donde trabajo, a esta herramienta la llamamos “new-hires”
Usa una API key limitada, de solo lectura, para una herramienta de RR. HH. de terceros, y esa key me la dio el People Director. A veces también hay líneas que empiezan con
-, pero el nombre de la herramienta viene de las líneas que empiezan con+.new-hires está construido sobre el módulo/CLI de Python “people” de nuestro monorepo. Esta herramienta es mucho más útil que un diff del organigrama. Te permite saber quién está en qué equipo, dónde está, si hoy está trabajando, si ya toca felicitarlo por su aniversario laboral, etc. También sigue mi “prueba de fuego ZFS” para una buena herramienta de CLI, al ofrecer
-pHpara una salida parseable y sin encabezados. De verdad, estos lugares hay que valorarlos muchoEn mi primer trabajo quise hacer un sistema así, pero cuando mi gerente se enteró, lo prohibió explícitamente
Después, esa empresa despidió al 15% de sus ingenieros de software en un solo día. El equipo de soporte creaba tickets para dar de baja cuentas de empleados en el rastreador público de incidencias, así que mucha gente se enteró primero por esa vía antes de recibir la invitación a la reunión