From: "Dmitriy M. Maslennikov" <maslennikovdm@gmail.com>
To: "ALT Linux Community general discussions" <community@lists.altlinux.org>
Subject: Re: [Comm] Членство во множестве групп
Date: Sat, 8 Nov 2008 12:04:28 +0300
Message-ID: <47c0071b0811080104y12d4885cx7b3fcab2d39404de@mail.gmail.com> (raw)
In-Reply-To: <6c7be88d0811072342j280a3aegadfcd7473592089f@mail.gmail.com>
8 ноября 2008 г. 10:42 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> Попробовать ввести "лишние группы" в одну группу, а потом в эту группу
> ввести пользователя.
> Сам не пробовал... Если получится, хвастайтесь ...
> По идее, должно сработать, но не гарантирую...
>
> P.S. Думаю, не нужно уточнять, что в группе не должно быть больше
> 16-ти подгрупп,
> а эта сводная группа не должна превышать номер 16 в списке групп пользователя.
Ничего не выйдет. Что там написано в каком файле никого не волнует.
Ядро отслеживает только список групп процесса. Они наследуются. Софт
для входа в систему может определять группы пользователя любым
способом (через файл /etc/groups -- просто традиция), и запускает шелл
пользователя с полученными идентификаторами групп, которые в
дальнейшем просто наследуются. Поэтому всякие фокусы вроде группы в
группе -- всего лишь помощь админу в задании групп пользователя, ядро
же видит только линейный список идентификаторов. И весь софт, которого
не обучили иному специально -- тоже.
Проблема NFS в том, что в нем по стандарту клиент сам отсылает
идентификаторы групп пользователя на сервер, чтобы тот мог управлять
правами. 16 групп -- ограничение протокола. Веселые проблемы возникают
когда пользователи и группы на клиенте и сервере не синхронизированы.
Кроме того, по указанной ссылке сказано, что сейчас есть возможность
использовать Kerberos (GSSAPI) для аутентификации и в этом случае
сервер сам будет получать группы пользователя. Для этого придется
настроить KDC сервер и всех клиентов на работу с ним.
Чтобы постоянно не мучаться с синхронизацией авторизационной
информации очень рекомендую вынести ее в центральное хранилище,
например в LDAP-сервер.
Есть как минимум один проект облегчающий настройку Kerberos+LDAP --
FreeIPA. Он есть в Fedora. Alt в качестве клиента к нему нам вполне
удавалось подключить.
--
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru
next prev parent reply other threads:[~2008-11-08 9:04 UTC|newest]
Thread overview: 10+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-11-08 7:35 Michael A. Kangin
2008-11-08 7:42 ` Dmitriy Kruglikov
2008-11-08 9:04 ` Dmitriy M. Maslennikov [this message]
2008-11-08 9:07 ` Michael A. Kangin
2008-11-08 7:44 ` Michael A. Kangin
2008-11-08 8:09 ` Dmitriy Kruglikov
2008-11-08 8:26 ` Michael A. Kangin
2008-11-08 8:39 ` Dmitriy Kruglikov
2008-11-08 9:28 ` Michael A. Kangin
2008-11-08 8:51 ` Dmitriy M. Maslennikov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=47c0071b0811080104y12d4885cx7b3fcab2d39404de@mail.gmail.com \
--to=maslennikovdm@gmail.com \
--cc=community@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git