* [Comm] Умно зашаренная /home
@ 2008-03-13 1:41 Michael Pozhidaev
2008-03-13 4:24 ` Владимир
` (3 more replies)
0 siblings, 4 replies; 14+ messages in thread
From: Michael Pozhidaev @ 2008-03-13 1:41 UTC (permalink / raw)
To: community
Привет всем!
Хочу обсудить стары уже вопрос. Есть ли какое-нибудь отработанное решение для
подключения /home на рабочих местах при его едином хранении на сервере?
Что-нибудь вроде такого:
юзер логинится, по его логину и паролю сразу
монтируется /home по smb, а затем уже отрабатываются profile и остальное в этом роде.
Но, как понял, даже при включенных unix extensions не работают симлинки,
да и как выполнить такое монтирование?
Решение хочется видеть таким, чтобы авторизация при обращении
к файлам выполнялась бы на сервере. uid'ы и gid'ы, разумеется, предполагаются везде одинаковые.
Как такое делают?
--
С уважением и наилучшими пожеланиями, Михаил Пожидаев. E-mail: msp@altlinux.ru.
Томский государственный университет. Факультет информатики. http://www.csd.tsu.ru
AltLinux Team. http://www.altlinux.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 1:41 [Comm] Умно зашаренная /home Michael Pozhidaev
@ 2008-03-13 4:24 ` Владимир
2008-03-13 5:04 ` Michael Pozhidaev
2008-03-13 4:32 ` Konstantin S. Uvarin
` (2 subsequent siblings)
3 siblings, 1 reply; 14+ messages in thread
From: Владимир @ 2008-03-13 4:24 UTC (permalink / raw)
To: ALT Linux Community general discussions
> Решение хочется видеть таким, чтобы авторизация при обращении
> к файлам выполнялась бы на сервере. uid'ы и gid'ы, разумеется,
> предполагаются везде одинаковые. Как такое делают?
LDAP, ACL, NFS4
у меня кроме первого пункта, монтирование NFS сразу /home, а там уже все
пользовательские лежат...
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 1:41 [Comm] Умно зашаренная /home Michael Pozhidaev
2008-03-13 4:24 ` Владимир
@ 2008-03-13 4:32 ` Konstantin S. Uvarin
2008-03-13 5:02 ` Michael Pozhidaev
2008-03-13 7:35 ` Eugene Ostapets
2008-03-15 18:48 ` Michael Shigorin
3 siblings, 1 reply; 14+ messages in thread
From: Konstantin S. Uvarin @ 2008-03-13 4:32 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Thursday 13 March 2008 04:41:07 Michael Pozhidaev wrote:
> Привет всем!
>
> Хочу обсудить стары уже вопрос. Есть ли какое-нибудь отработанное решение
> для подключения /home на рабочих местах при его едином хранении на сервере?
> Что-нибудь вроде такого:
> юзер логинится, по его логину и паролю сразу
> монтируется /home по smb, а затем уже отрабатываются profile и остальное в
> этом роде. Но, как понял, даже при включенных unix extensions не работают
> симлинки, да и как выполнить такое монтирование?
> Решение хочется видеть таким, чтобы авторизация при обращении
> к файлам выполнялась бы на сервере. uid'ы и gid'ы, разумеется,
> предполагаются везде одинаковые. Как такое делают?
У нас на работе использовался nfs, получалось ровно то, что описано выше, как
именно -- не знаю. (Причем, на клиентской машине в /home были видны только те
пользователи, которые в данный момент залогинены). Да, samba там тоже активно
использовалась, но не для этого.
Есть ли какие-то соображения против nfs?
--
Konstantin S. Uvarin
"Народ наш легок на побьем" (c) А. Левин
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 4:32 ` Konstantin S. Uvarin
@ 2008-03-13 5:02 ` Michael Pozhidaev
0 siblings, 0 replies; 14+ messages in thread
From: Michael Pozhidaev @ 2008-03-13 5:02 UTC (permalink / raw)
To: ALT Linux Community general discussions
Здравствуйте, Konstantin S. Uvarin!
>
> У нас на работе использовался nfs, получалось ровно то, что описано выше, как
> именно -- не знаю. (Причем, на клиентской машине в /home были видны только те
> пользователи, которые в данный момент залогинены). Да, samba там тоже активно
> использовалась, но не для этого.
>
> Есть ли какие-то соображения против nfs?
Когда глядел его (это было уже, правда, очень давно) в нём получалось так, что права проверяются
на стороне клиента, и всё это выглядело очень несекьюрно.
Про SMB мысль пришла потому что в ней пароль пересылается
серверу и он уже сам разберётся кому и что. Без пароля доступ не получить.
В NFS получалось так, что имея под рукой ноут и зная нужные uid,
можно было залесть в чужие файлы. Если сейчас это уже не так, то сильно извиняюсь за сумбур,
но воспоминания именно такие. :)
--
С уважением и наилучшими пожеланиями, Михаил Пожидаев. E-mail: msp@altlinux.ru.
Томский государственный университет. Факультет информатики. http://www.csd.tsu.ru
AltLinux Team. http://www.altlinux.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 4:24 ` Владимир
@ 2008-03-13 5:04 ` Michael Pozhidaev
2008-03-13 5:08 ` Владимир
0 siblings, 1 reply; 14+ messages in thread
From: Michael Pozhidaev @ 2008-03-13 5:04 UTC (permalink / raw)
To: ALT Linux Community general discussions
Здравствуйте, Владимир!
>> предполагаются везде одинаковые. Как такое делают?
> LDAP, ACL, NFS4
> у меня кроме первого пункта, монтирование NFS сразу /home, а там уже все
То есть сервер всё отдаёт просто любому кто на нём примонтируется?
--
С уважением и наилучшими пожеланиями, Михаил Пожидаев. E-mail: msp@altlinux.ru.
Томский государственный университет. Факультет информатики. http://www.csd.tsu.ru
AltLinux Team. http://www.altlinux.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 5:04 ` Michael Pozhidaev
@ 2008-03-13 5:08 ` Владимир
2008-03-13 5:45 ` Michael Pozhidaev
0 siblings, 1 reply; 14+ messages in thread
From: Владимир @ 2008-03-13 5:08 UTC (permalink / raw)
To: ALT Linux Community general discussions
> То есть сервер всё отдаёт просто любому кто на нём примонтируется?
он /home отдаст, как на локальной станции. а дальше доступ по uid, можно
поставить, что бы чужие и смотреть не мог.
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 5:08 ` Владимир
@ 2008-03-13 5:45 ` Michael Pozhidaev
2008-03-13 5:49 ` Хихин Руслан
0 siblings, 1 reply; 14+ messages in thread
From: Michael Pozhidaev @ 2008-03-13 5:45 UTC (permalink / raw)
To: ALT Linux Community general discussions
Здравствуйте, Владимир!
>> То есть сервер всё отдаёт просто любому кто на нём примонтируется?
> он /home отдаст, как на локальной станции. а дальше доступ по uid, можно
> поставить, что бы чужие и смотреть не мог.
Ну вот, это будет работать только в случае, если у пользователей
все рабочие места "честные".
Чтобы появился юзер в системе, он должен залогиниться локально.
Но: смотрю uid своего соседа. потом беру ноут,
заделываю на нём юзера с таким же uid, монтирую /home и залезаю в его файлы.
--
С уважением и наилучшими пожеланиями, Михаил Пожидаев. E-mail: msp@altlinux.ru.
Томский государственный университет. Факультет информатики. http://www.csd.tsu.ru
AltLinux Team. http://www.altlinux.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 5:45 ` Michael Pozhidaev
@ 2008-03-13 5:49 ` Хихин Руслан
2008-03-13 6:32 ` Michael Pozhidaev
0 siblings, 1 reply; 14+ messages in thread
From: Хихин Руслан @ 2008-03-13 5:49 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 430 bytes --]
Здравствуйте Michael Pozhidaev
В сообщении от 13 марта 2008 Michael Pozhidaev написал(a):
> Но: смотрю uid своего соседа. потом беру ноут,
> заделываю на нём юзера с таким же uid, монтирую /home и залезаю в
> его файлы.
А запретить всяким ноутам монтировать без авторизации в ldap :)
--
А ещё говорят так (fortune):
________________________________________________________________________
С уважением Хихин Руслан
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 5:49 ` Хихин Руслан
@ 2008-03-13 6:32 ` Michael Pozhidaev
2008-03-13 8:47 ` Maxim Tyurin
2008-03-13 19:28 ` Yura Kalinichenko
0 siblings, 2 replies; 14+ messages in thread
From: Michael Pozhidaev @ 2008-03-13 6:32 UTC (permalink / raw)
To: hihin; +Cc: ALT Linux Community general discussions
Здравствуйте, Хихин Руслан!
> > Но: смотрю uid своего соседа. потом беру ноут,
> > заделываю на нём юзера с таким же uid, монтирую /home и залезаю в
> > его файлы.
> А запретить всяким ноутам монтировать без авторизации в ldap :)
Гм, может быть.
Хотя уровень защиты всё равно получается ниже, чем через smb. Авторизация
на клиенте есть авторизация на клиенте.
--
С уважением и наилучшими пожеланиями, Михаил Пожидаев. E-mail: msp@altlinux.ru.
Томский государственный университет. Факультет информатики. http://www.csd.tsu.ru
AltLinux Team. http://www.altlinux.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 1:41 [Comm] Умно зашаренная /home Michael Pozhidaev
2008-03-13 4:24 ` Владимир
2008-03-13 4:32 ` Konstantin S. Uvarin
@ 2008-03-13 7:35 ` Eugene Ostapets
2008-03-15 18:48 ` Michael Shigorin
3 siblings, 0 replies; 14+ messages in thread
From: Eugene Ostapets @ 2008-03-13 7:35 UTC (permalink / raw)
To: ALT Linux Community general discussions
13.03.08, Michael Pozhidaev<msp altlinux.ru> написал(а):
> Привет всем!
>
> Хочу обсудить стары уже вопрос. Есть ли какое-нибудь отработанное решение для
> подключения /home на рабочих местах при его едином хранении на сервере?
> Что-нибудь вроде такого:
> юзер логинится, по его логину и паролю сразу
> монтируется /home по smb, а затем уже отрабатываются profile и остальное в этом роде.
> Но, как понял, даже при включенных unix extensions не работают симлинки,
> да и как выполнить такое монтирование?
> Решение хочется видеть таким, чтобы авторизация при обращении
> к файлам выполнялась бы на сервере. uid'ы и gid'ы, разумеется, предполагаются везде одинаковые.
> Как такое делают?
pam_mount + nfs + ldap в любом его варианте
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 6:32 ` Michael Pozhidaev
@ 2008-03-13 8:47 ` Maxim Tyurin
2008-03-13 8:58 ` Michael Pozhidaev
2008-03-13 19:28 ` Yura Kalinichenko
1 sibling, 1 reply; 14+ messages in thread
From: Maxim Tyurin @ 2008-03-13 8:47 UTC (permalink / raw)
To: ALT Linux Community general discussions
Michael Pozhidaev writes:
> Здравствуйте, Хихин Руслан!
>
>> > Но: смотрю uid своего соседа. потом беру ноут,
>> > заделываю на нём юзера с таким же uid, монтирую /home и залезаю в
>> > его файлы.
>> А запретить всяким ноутам монтировать без авторизации в ldap :)
> Гм, может быть.
> Хотя уровень защиты всё равно получается ниже, чем через smb. Авторизация
> на клиенте есть авторизация на клиенте.
Изначально говорилось про NFS4, а не NFS3.
В четвертом есть авторизация.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 8:47 ` Maxim Tyurin
@ 2008-03-13 8:58 ` Michael Pozhidaev
0 siblings, 0 replies; 14+ messages in thread
From: Michael Pozhidaev @ 2008-03-13 8:58 UTC (permalink / raw)
To: ALT Linux Community general discussions
Здравствуйте, Maxim Tyurin!
> Изначально говорилось про NFS4, а не NFS3.
> В четвертом есть авторизация.
Угу, понял, спасибо.
--
С уважением и наилучшими пожеланиями, Михаил Пожидаев. E-mail: msp@altlinux.ru.
Томский государственный университет. Факультет информатики. http://www.csd.tsu.ru
AltLinux Team. http://www.altlinux.ru
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 6:32 ` Michael Pozhidaev
2008-03-13 8:47 ` Maxim Tyurin
@ 2008-03-13 19:28 ` Yura Kalinichenko
1 sibling, 0 replies; 14+ messages in thread
From: Yura Kalinichenko @ 2008-03-13 19:28 UTC (permalink / raw)
To: ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 600 bytes --]
Michael Pozhidaev пишет:
> Здравствуйте, Хихин Руслан!
>
>
>> > Но: смотрю uid своего соседа. потом беру ноут,
>> > заделываю на нём юзера с таким же uid, монтирую /home и залезаю в
>> > его файлы.
>> А запретить всяким ноутам монтировать без авторизации в ldap :)
>>
> Гм, может быть.
> Хотя уровень защиты всё равно получается ниже, чем через smb. Авторизация
> на клиенте есть авторизация на клиенте.
>
>
А вы не раздавайте весь /home абы кому. А каждому ноуту - только свою
пользовательскую поддиректорию. Конечно, и IP-адрес можно подделать, но
это ловится.
[-- Attachment #2: yuk.vcf --]
[-- Type: text/x-vcard, Size: 177 bytes --]
begin:vcard
fn:Yura Kalinichenko
n:Kalinichenko;Yura
email;internet:yuk@kalina.in.ua
tel;home:8-0432-465743
tel;cell:+38-067-5878302
x-mozilla-html:FALSE
version:2.1
end:vcard
^ permalink raw reply [flat|nested] 14+ messages in thread
* Re: [Comm] Умно зашаренная /home
2008-03-13 1:41 [Comm] Умно зашаренная /home Michael Pozhidaev
` (2 preceding siblings ...)
2008-03-13 7:35 ` Eugene Ostapets
@ 2008-03-15 18:48 ` Michael Shigorin
3 siblings, 0 replies; 14+ messages in thread
From: Michael Shigorin @ 2008-03-15 18:48 UTC (permalink / raw)
To: community
On Thu, Mar 13, 2008 at 07:41:07AM +0600, Michael Pozhidaev wrote:
> Хочу обсудить стары уже вопрос. Есть ли какое-нибудь
> отработанное решение для подключения /home на рабочих местах
> при его едином хранении на сервере? Что-нибудь вроде такого:
> юзер логинится, по его логину и паролю сразу монтируется /home
> по smb, а затем уже отрабатываются profile и остальное в этом
> роде. Но, как понял, даже при включенных unix extensions не
> работают симлинки, да и как выполнить такое монтирование?
pam_mount
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 14+ messages in thread
end of thread, other threads:[~2008-03-15 18:48 UTC | newest]
Thread overview: 14+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-13 1:41 [Comm] Умно зашаренная /home Michael Pozhidaev
2008-03-13 4:24 ` Владимир
2008-03-13 5:04 ` Michael Pozhidaev
2008-03-13 5:08 ` Владимир
2008-03-13 5:45 ` Michael Pozhidaev
2008-03-13 5:49 ` Хихин Руслан
2008-03-13 6:32 ` Michael Pozhidaev
2008-03-13 8:47 ` Maxim Tyurin
2008-03-13 8:58 ` Michael Pozhidaev
2008-03-13 19:28 ` Yura Kalinichenko
2008-03-13 4:32 ` Konstantin S. Uvarin
2008-03-13 5:02 ` Michael Pozhidaev
2008-03-13 7:35 ` Eugene Ostapets
2008-03-15 18:48 ` Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git