From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Mon, 1 Apr 2002 16:27:56 +0300 From: Alexander Bokovoy To: devel@altlinux.ru Message-ID: <20020401132756.GF12173@sam-solutions.net> Mail-Followup-To: devel@altlinux.ru Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit Subject: [devel] =?koi8-r?B?6c7Gz9LNwcPJ0SDLINLB2s3Z28zF?= =?koi8-r?B?zsnAIM8gzsHT1NLPysvByA==?= Sender: devel-admin@altlinux.ru Errors-To: devel-admin@altlinux.ru X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: devel@altlinux.ru List-Help: List-Post: List-Subscribe: , List-Id: List-Unsubscribe: , List-Archive: Archived-At: List-Archive: List-Post: Добрый день! На этих выходных угораздило меня поиграться с Mac OS X (10.1.2) и поизучать ее внутренности. Напомню, что внутри это Unix-подобная система, с человеческим лицом по версии Apple. В процессе исследования появились следующие мысли: Работа с системой из-под привилегированного пользователя сведена к минимуму следующим образом. Пользователь может бфть помечен как "имеющий возможность администрировать систему" и в этом случае он включается в группу admins, на которую существует настройка sudo -- любой член этой группы может выполнять любую операцию. В результате, большинство операций, требующих изменение конфигурационных файлов и (пере)запуск сервисов, сводится к вводу пользовательского пароля. Таким образом можно было бы реализовать памятное (для тех, кто работает в офисе) предложение ZerG-а о возможности расшаривания ресурсов. То есть, можно было бы написать приложение (хотя оно, насколько я понимаю, уже есть) для исправления конфигов и настроить соответствующим образом sudo, чтобы пользователь, входящий в определенную группу, мог экспортировать свои ресурсы. Подобные настройки можно было бы сделать для каждой группы административных операций, а управление пользовательскими "возможностями" внести в планируемый конфигуратор системы. В Mac OS X эти настройки выглядели следующим образом (в sudo): %admins ALL=(ALL) ALL В нашем случае их можно урезать и специализировать, например: /etc/sudo.d/exporters: User_Alias EXPORTERS = список пользователей, которым разрешено экспортирование ресурсов Cmnd_Alias EXPORTER = /usr/sbin/exporter (программа, ответственная за изменение конфигурации) EXPORTERS имя хоста = EXPORTER Аналогично и другие операции. Мнения? -- / Alexander Bokovoy Software architect and analyst // SaM-Solutions Ltd. --- Test-tube babies shouldn't throw stones.