[Comm] Членство во множестве групп

[Comm] Членство во множестве групп

[Michael A. Kangin]

Добрый день.

Наткнулся на то, что если пользователь состоит более, чем 16 группах, то 
членство в "лишних" не даёт никакого эффекта, как будто он в них и не 
состоит.

Как быть в таких ситуациях?

-- 
wbr, Michael A. Kangin

Re: [Comm] Членство во множестве групп

[Dmitriy Kruglikov]

8 ноября 2008 г. 9:35 пользователь Michael A. Kangin написал:
> Наткнулся на то, что если пользователь состоит более, чем 16 группах, то
> членство в "лишних" не даёт никакого эффекта, как будто он в них и не
> состоит.
>
> Как быть в таких ситуациях?

Попробовать ввести "лишние группы" в одну группу, а потом в эту группу
ввести пользователя.
Сам не пробовал... Если получится, хвастайтесь ...
По идее, должно сработать, но не гарантирую...

P.S. Думаю, не нужно уточнять, что в группе не должно быть больше
16-ти подгрупп,
а эта сводная группа не должна превышать номер 16 в списке групп пользователя.



-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] Членство во множестве групп

[Michael A. Kangin]

On Saturday 08 November 2008 10:35:34 Michael A. Kangin wrote:

> Наткнулся на то, что если пользователь состоит более, чем 16 группах, то
> членство в "лишних" не даёт никакого эффекта, как будто он в них и не
> состоит.
>
> Как быть в таких ситуациях?

Уточню, что речь идёт об использовании nfs-ресурсов; man nfs:
-------------
Traditional RPC authentication uses a number to  represent  each  user
       (usually  the user's own uid), a number to represent the user's group 
(the user's gid), and a set of up
       to 16 auxiliary group numbers to represent other groups of which the 
user may be a member.
------------

-- 
wbr, Michael A. Kangin

Re: [Comm] Членство во множестве групп

[Dmitriy Kruglikov]

2008/11/8 Michael A. Kangin :
>
> Уточню, что речь идёт об использовании nfs-ресурсов; man nfs:
Я в буржуинском не силен, но явного запрета на наследование групповых
прав не увидел ...

Настаивать на своей правоте не буду, конечно ...


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] Членство во множестве групп

[Michael A. Kangin]

On Saturday 08 November 2008 11:09:31 Dmitriy Kruglikov wrote:

> > Уточню, что речь идёт об использовании nfs-ресурсов; man nfs:
>
> Я в буржуинском не силен, но явного запрета на наследование групповых
> прав не увидел ...

А наивный вопрос - это как? Я что-то сколько не гуглю, никак не могу увидеть 
упоминания, что в четвёртом поле /etc/groups могут встречаться и имена групп 
тоже. Или это как-то по другому делается?

Народ рекомендует какие-то ACL'и юзать...
http://nfsworld.blogspot.com/2005/03/whats-deal-on-16-group-id-limitation.html

-- 
wbr, Michael A. Kangin

Re: [Comm] Членство во множестве групп

[Dmitriy Kruglikov]

8 ноября 2008 г. 10:26 пользователь Michael A. Kangin написал:
>
> А наивный вопрос - это как? Я что-то сколько не гуглю, никак не могу увидеть
> упоминания, что в четвёртом поле /etc/groups могут встречаться и имена групп
> тоже. Или это как-то по другому делается?

Если мне не изменяет мой склероз, то пишется что-то вроде:
groupname:x:GID:@sub_groupname,username
То, что это группа, явствует из наличия "@" перед именем ...

Или это в солярке, или в какой-нить FreeBSD ...
Поправьте, если не прав ...


-- 
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html

Помогает:
http://search.altlinux.org

Best regards,
 Dmitriy L. Kruglikov
 Dmitriy.Kruglikov_at_gmail_dot_com
 DKR6-RIPE
 DKR6-UANIC
 XMPP: Dmitriy.Kruglikov_at_gmail_dot_com

Re: [Comm] Членство во множестве групп

[Dmitriy M. Maslennikov]

8 ноября 2008 г. 11:26 пользователь Michael A. Kangin <mak@rsmu.ru> написал:
> А наивный вопрос - это как? Я что-то сколько не гуглю, никак не могу увидеть
> упоминания, что в четвёртом поле /etc/groups могут встречаться и имена групп
> тоже. Или это как-то по другому делается?
Я тоже о таком не слышал.

> Народ рекомендует какие-то ACL'и юзать...
> http://nfsworld.blogspot.com/2005/03/whats-deal-on-16-group-id-limitation.html
Если я правильно понял статью при ее беглом просмотре, то народ просто
предлагает обходиться 16 группами, а чтобы управлять правами в этом
случае просто использовать ACL. Просто ужас. У самбы, вроде, таких
проблем нет.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Членство во множестве групп

[Dmitriy M. Maslennikov]

8 ноября 2008 г. 10:42 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> Попробовать ввести "лишние группы" в одну группу, а потом в эту группу
> ввести пользователя.
> Сам не пробовал... Если получится, хвастайтесь ...
> По идее, должно сработать, но не гарантирую...
>
> P.S. Думаю, не нужно уточнять, что в группе не должно быть больше
> 16-ти подгрупп,
> а эта сводная группа не должна превышать номер 16 в списке групп пользователя.
Ничего не выйдет. Что там написано в каком файле никого не волнует.
Ядро отслеживает только список групп процесса. Они наследуются. Софт
для входа в систему может определять группы пользователя любым
способом (через файл /etc/groups -- просто традиция), и запускает шелл
пользователя с полученными идентификаторами групп, которые в
дальнейшем просто наследуются. Поэтому всякие фокусы вроде группы в
группе -- всего лишь помощь админу в задании групп пользователя, ядро
же видит только линейный список идентификаторов. И весь софт, которого
не обучили иному специально -- тоже.

Проблема NFS в том, что в нем по стандарту клиент сам отсылает
идентификаторы групп пользователя на сервер, чтобы тот мог управлять
правами. 16 групп -- ограничение протокола. Веселые проблемы возникают
когда пользователи и группы на клиенте и сервере не синхронизированы.
Кроме того, по указанной ссылке сказано, что сейчас есть возможность
использовать Kerberos (GSSAPI) для аутентификации и в этом случае
сервер сам будет получать группы пользователя. Для этого придется
настроить KDC сервер и всех клиентов на работу с ним.

Чтобы постоянно не мучаться с синхронизацией авторизационной
информации очень рекомендую вынести ее в центральное хранилище,
например в LDAP-сервер.

Есть как минимум один проект облегчающий настройку Kerberos+LDAP --
FreeIPA. Он есть в Fedora. Alt в качестве клиента к нему нам вполне
удавалось подключить.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [Comm] Членство во множестве групп

[Michael A. Kangin]

On Saturday 08 November 2008 12:04:28 Dmitriy M. Maslennikov wrote:

> Чтобы постоянно не мучаться с синхронизацией авторизационной
> информации очень рекомендую вынести ее в центральное хранилище,
> например в LDAP-сервер.

Сервер - тупенький NAS. ;(
Ему такие разумности, боюсь, не прикрутить.


-- 
wbr, Michael A. Kangin

Re: [Comm] Членство во множестве групп

[Michael A. Kangin]

On Saturday 08 November 2008 11:39:57 Dmitriy Kruglikov wrote:

> > А наивный вопрос - это как? Я что-то сколько не гуглю, никак не могу
> > увидеть упоминания, что в четвёртом поле /etc/groups могут встречаться и
> > имена групп тоже. Или это как-то по другому делается?
>
> Если мне не изменяет мой склероз, то пишется что-то вроде:
> groupname:x:GID:@sub_groupname,username
> То, что это группа, явствует из наличия "@" перед именем ...

grep cdwriter /etc/group
cdwriter:x:80:isot,test,lex,mak
backups:x:11578:mak,lex,@cdwriter

# grpck -r
group backups: no user @cdwriter
delete member `@cdwriter'? No
grpck: no changes



> Или это в солярке, или в какой-нить FreeBSD ...
> Поправьте, если не прав ...

или grpck не знает про такую фичу...

-- 
wbr, Michael A. Kangin