From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <a.bokovoy@sam-solutions.net>
Date: Mon, 1 Apr 2002 16:27:56 +0300
From: Alexander Bokovoy <a.bokovoy@sam-solutions.net>
To: devel@altlinux.ru
Message-ID: <20020401132756.GF12173@sam-solutions.net>
Mail-Followup-To: devel@altlinux.ru
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Subject: [devel] =?koi8-r?B?6c7Gz9LNwcPJ0SDLINLB2s3Z28zF?=
 =?koi8-r?B?zsnAIM8gzsHT1NLPysvByA==?=
Sender: devel-admin@altlinux.ru
Errors-To: devel-admin@altlinux.ru
X-BeenThere: devel@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: devel@altlinux.ru
List-Help: <mailto:devel-request@altlinux.ru?subject=help>
List-Post: <mailto:devel@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=subscribe>
List-Id: <devel.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/devel>,
	<mailto:devel-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/devel/>
Archived-At: <http://lore.altlinux.org/devel/20020401132756.GF12173@sam-solutions.net/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Добрый день!

На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и
поизучать ее внутренности. Напомню, что внутри это Unix-подобная система,
с человеческим лицом по версии Apple.

В процессе исследования появились следующие мысли:

Работа с системой из-под привилегированного пользователя сведена к
минимуму следующим образом. Пользователь может бфть помечен как "имеющий
возможность администрировать систему" и в этом случае он включается в
группу admins, на которую существует настройка sudo -- любой член этой
группы может выполнять любую операцию. В результате, большинство операций,
требующих изменение конфигурационных файлов и (пере)запуск сервисов,
сводится к вводу пользовательского пароля.

Таким образом можно было бы реализовать памятное (для тех, кто работает в
офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть,
можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть) 
для исправления конфигов и настроить соответствующим образом sudo, чтобы
пользователь, входящий в определенную группу, мог экспортировать свои
ресурсы.

Подобные настройки можно было бы сделать для каждой группы административных
операций, а управление пользовательскими "возможностями" внести в
планируемый конфигуратор системы.

В Mac OS X эти настройки выглядели следующим образом (в sudo):
%admins     ALL=(ALL) ALL

В нашем случае их можно урезать и специализировать, например:

/etc/sudo.d/exporters:
User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов
Cmnd_Alias  EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации)
EXPORTERS	имя хоста = EXPORTER

Аналогично и другие операции. 

Мнения?

-- 
/ Alexander Bokovoy
Software architect and analyst             // SaM-Solutions Ltd.
---
Test-tube babies shouldn't throw stones.