ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Команда id выводит не все группы, в которые входит пользователь (ldap)
@ 2005-10-05 15:10 Denis Kirienko
  2005-10-05 15:37 ` Sergey Vlasov
  0 siblings, 1 reply; 5+ messages in thread
From: Denis Kirienko @ 2005-10-05 15:10 UTC (permalink / raw)
  To: community

Приветствую!

Имеется сервер с ldap-авторизацией, около 300 пользователей.
На каждого пользователя заведена одноименная персональная группа.

Я добавил пользователя leonid в несколько десятков групп.
Если от имени пользователя leonid дать две команды: id и id leonid, то
список групп, в которые включен пользователь, будет различным: id даст
неполный список групп, id leonid - полный:

[leonid@server leonid]$ id
uid=2012(leonid) gid=2012(leonid)
группы=2012(leonid),2000(teachers),6501(gafarov),6502(zimin_e),6503(z
otova),6504(ismailova),6505(kapon),6506(knysh),6507(korosteleva),6508
(lovchinskiy),6509(mamatova),6510(metreveli_p),6511(metreveli_z),6512
(morgunova),6513(smirnova_n),6514(frolikova),6515(hudyakova),6516(shu
stova),6517(dzutseva),8501(belyh),8502(gusev),8503(dubrovin),8504(ery
ushova),8506(mironov),8507(oynas),8509(taran),8510(terhachaturov),851
1(vasyutin),7101(abbasova),7102(baldina),7103(boyarinov),7105(vahnich
enko)

[leonid@server leonid]$ id leonid
uid=2012(leonid) gid=2012(leonid)
группы=2012(leonid),2000(teachers),6501(gafarov),6502(zimin_e),6503(z
otova),6504(ismailova),6505(kapon),6506(knysh),6507(korosteleva),6508
(lovchinskiy),6509(mamatova),6510(metreveli_p),6511(metreveli_z),6512
(morgunova),6513(smirnova_n),6514(frolikova),6515(hudyakova),6516(shu
stova),6517(dzutseva),8501(belyh),8502(gusev),8503(dubrovin),8504(ery
ushova),8506(mironov),8507(oynas),8509(taran),8510(terhachaturov),851
1(vasyutin),7101(abbasova),7102(baldina),7103(boyarinov),7105(vahnich
enko),7106(voronina),7107(iznaurova),7108(kostyuchenok),7109(lapshin)
,7110(levin),7111(morozov),7112(olisova_i),7113(pechurova),7114(sytil
in),7115(titova),7116(chepala),7117(kachanov),7118(tulegenov),9301(ag
adzhanyan),9302(pahomova),9303(seliverstova),9304(tsoy),9305(shishkin
),9306(tomashpolskiy),7119(chahnashvili),9307(osipova_v)

Последствие этого косяка - при определении прав доступа к файлам
список групп, в которые включен пользователь leonid определяется, как
в выводе команды id, то есть к файлам с группой osipova_v и правами
660 пользователь leonid доступа не имеет, а хотелось бы...

Кто может помочь?

--
Денис



^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Команда id выводит не все группы, в которые входит пользователь (ldap)
  2005-10-05 15:10 [Comm] Команда id выводит не все группы, в которые входит пользователь (ldap) Denis Kirienko
@ 2005-10-05 15:37 ` Sergey Vlasov
  2005-10-05 15:58   ` [Comm] " Denis Kirienko
                     ` (2 more replies)
  0 siblings, 3 replies; 5+ messages in thread
From: Sergey Vlasov @ 2005-10-05 15:37 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1224 bytes --]

On Wed, Oct 05, 2005 at 07:10:55PM +0400, Denis Kirienko wrote:
> Имеется сервер с ldap-авторизацией, около 300 пользователей.
> На каждого пользователя заведена одноименная персональная группа.
> 
> Я добавил пользователя leonid в несколько десятков групп.
> Если от имени пользователя leonid дать две команды: id и id leonid, то
> список групп, в которые включен пользователь, будет различным: id даст
> неполный список групп, id leonid - полный:
[skip]
> Последствие этого косяка - при определении прав доступа к файлам
> список групп, в которые включен пользователь leonid определяется, как
> в выводе команды id, то есть к файлам с группой osipova_v и правами
> 660 пользователь leonid доступа не имеет, а хотелось бы...

В ядрах 2.4.x пользователь может состоять не более чем в 32
дополнительных группах:

$ grep NGROUPS_MAX /usr/include/linux-default/include/linux/limits.h
#define NGROUPS_MAX       32    /* supplemental group IDs are available */

В свежих ядрах 2.6.x этот предел практически убран (NGROUPS_MAX ==
65536, соответствующие структуры данных теперь создаются динамически);
впрочем, всё равно сохраняется возможность напороться на старую
программу, не понимающую более 32 групп.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Comm] Re: Команда id выводит не все группы, в которые входит пользователь (ldap)
  2005-10-05 15:37 ` Sergey Vlasov
@ 2005-10-05 15:58   ` Denis Kirienko
  2005-10-05 21:45   ` [Comm] [faq] " Michael Shigorin
  2005-10-06  7:41   ` [Comm] " Alexey I. Froloff
  2 siblings, 0 replies; 5+ messages in thread
From: Denis Kirienko @ 2005-10-05 15:58 UTC (permalink / raw)
  To: community

Sergey Vlasov пишет:

> В ядрах 2.4.x пользователь может состоять не более чем в 32
> дополнительных группах:
> 
> В свежих ядрах 2.6.x этот предел практически убран (NGROUPS_MAX ==
> 65536, соответствующие структуры данных теперь создаются динамически);
> впрочем, всё равно сохраняется возможность напороться на старую
> программу, не понимающую более 32 групп.

Спасибо, замена ядра на ветку 2.6 устранила проблему.
Надеюсь, самба-3 не является старой программой...

--
Денис



^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Comm] [faq] Re: Команда id выводит не все группы, в которые входит пользователь (ldap)
  2005-10-05 15:37 ` Sergey Vlasov
  2005-10-05 15:58   ` [Comm] " Denis Kirienko
@ 2005-10-05 21:45   ` Michael Shigorin
  2005-10-06  7:41   ` [Comm] " Alexey I. Froloff
  2 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2005-10-05 21:45 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 318 bytes --]

On Wed, Oct 05, 2005 at 07:37:44PM +0400, Sergey Vlasov wrote:
> В ядрах 2.4.x пользователь может состоять не более чем в 32
> дополнительных группах:

http://faq.altlinux.ru/index.php?action=listq&nf=1&qid=760

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] Команда id выводит не все группы, в которые входит пользователь (ldap)
  2005-10-05 15:37 ` Sergey Vlasov
  2005-10-05 15:58   ` [Comm] " Denis Kirienko
  2005-10-05 21:45   ` [Comm] [faq] " Michael Shigorin
@ 2005-10-06  7:41   ` Alexey I. Froloff
  2 siblings, 0 replies; 5+ messages in thread
From: Alexey I. Froloff @ 2005-10-06  7:41 UTC (permalink / raw)
  To: ALT Linux Community

[-- Attachment #1: Type: text/plain, Size: 485 bytes --]

* Sergey Vlasov <vsu@> [051005 19:39]:
> В свежих ядрах 2.6.x этот предел практически убран (NGROUPS_MAX ==
> 65536, соответствующие структуры данных теперь создаются динамически);
> впрочем, всё равно сохраняется возможность напороться на старую
> программу, не понимающую более 32 групп.
Например openssh :-(

-- 
Regards, Sir Raorn.
-------------------
>   С каждым днем в рассылке все больше писем в ср1251.
Очевидно, в какой-то другой рассылке.
		-- ldv in sisyphus@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2005-10-06  7:41 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-10-05 15:10 [Comm] Команда id выводит не все группы, в которые входит пользователь (ldap) Denis Kirienko
2005-10-05 15:37 ` Sergey Vlasov
2005-10-05 15:58   ` [Comm] " Denis Kirienko
2005-10-05 21:45   ` [Comm] [faq] " Michael Shigorin
2005-10-06  7:41   ` [Comm] " Alexey I. Froloff

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git