Vladimir V. Kamarzin пишет: >>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes: > > >>> AA> Да. Но тогда у нас получается что есть специализированный, >>> _заранее_ >>> AA> заданный пользователь, являющийся вебмастером... >>> Эээ, ну я подумал что вы так и хотите сделать. > AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно > AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним > AA> вебсервером могло управлять несколько человек). > AA> Наиболее заманчиво здесь использовать группы (одна точка управления: > AA> пользователь либо входит в группу webmaster, либо нет). Но при > AA> практической реализации (группа webmaster уже создаётся) -- упёрся в > AA> права на объекты ФС... > > Получается не очень красиво: для делгирования прав на веб-приложение, надо > выставить группу webmaster объектам фс, при этом для предоставления прав на > запись вебсерверам придётся их включить в группу webmaster. Имхо не годится. Может более осмысленно наоборот: включить вебмастера в группу _webserver (+ группы соответствующие конкретным серверам)? Тогда вебсервер не будет иметь права вебмастера... Минусы: 1. При этом мы теряем единую точку управления (пользователя придётся включать в несколько групп, но эта задача поддаётся автоматизации). 2. Группу _webserver придётся переименовывать (т. к. в неё будут входить реальные пользователи). > > Если использовать вариант с группой, надо разруливать через acl-и. Хотелось бы этого избежать. > >>> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь >>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я >>> AA> не вижу решения без привлечения sudo. >>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох. > > AA> ИМХО: вариант плох тем, что появляется некий аля-root которому > AA> потребуется своя структура поддержки. Для root она сложилась > AA> исторически. Здесь же -- её придётся создавать... Вариант с группой > AA> выглядит красивее. > >>> В случае >>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере >>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми >>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а. > > AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой > AA> настройки vhost-ов (установка/настройка приложений например) требуется > AA> создавать/редактировать файлы там. > > Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать > непосредственно править конфиги в /etc/http*. С другой стороны, можно на это > дело нарисовать control facility ;) > Будет нечто вроде control httpd-configs restricted | webmaster Принято. ;-) -- С уважением. Алексей.