* Re: [devel] Проблемы привилегий и ролей
@ 2008-02-21 5:27 ` Хихин Руслан
2008-02-21 6:36 ` Ildar Mulyukov
2008-02-21 10:11 ` Alexey Shabalin
2 siblings, 1 reply; 21+ messages in thread
From: Хихин Руслан @ 2008-02-21 5:27 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 160 bytes --]
Здравствуйте Evgeny Sinelnikov
В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
Вы предлагаете Rsbac или Selinux ?
--
С уважением Хихин Руслан
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 5:27 ` [devel] Проблемы привилегий и ролей Хихин Руслан
@ 2008-02-21 6:36 ` Ildar Mulyukov
2008-02-21 6:45 ` Ildar Mulyukov
2008-02-21 10:11 ` Alexey Shabalin
2 siblings, 1 reply; 21+ messages in thread
From: Ildar Mulyukov @ 2008-02-21 6:36 UTC (permalink / raw)
To: devel
On 21.02.2008 11:03:19, Evgeny Sinelnikov wrote:
> Типичным решением этой проблемы является ...
А ACL такие вещи не умеет?
--
Ildar Mulyukov, free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
Jabber: ildar@jabber.ru
ICQ: 4334029
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 6:36 ` Ildar Mulyukov
@ 2008-02-21 6:45 ` Ildar Mulyukov
0 siblings, 0 replies; 21+ messages in thread
From: Ildar Mulyukov @ 2008-02-21 6:45 UTC (permalink / raw)
To: devel
On 21.02.2008 12:36:45, Ildar Mulyukov wrote:
> On 21.02.2008 11:03:19, Evgeny Sinelnikov wrote:
> > Типичным решением этой проблемы является ...
>
> А ACL такие вещи не умеет?
Имел в виду следующее:
Вроде как какой-то (POSIX?) стандарт на ACL существует. Возможно, там
уже прописано что-то подобное, и, возможно, существует реализация.
С уважением, Ильдар
--
Ildar Mulyukov, free SW designer/programmer/packager
=========================================
email: ildar@altlinux.ru
Jabber: ildar@jabber.ru
ICQ: 4334029
ALT Linux Sisyphus http://www.sisyphus.ru
=========================================
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 5:27 ` [devel] Проблемы привилегий и ролей Хихин Руслан
2008-02-21 6:36 ` Ildar Mulyukov
@ 2008-02-21 10:11 ` Alexey Shabalin
2008-02-21 11:33 ` Eugene Ostapets
2 siblings, 1 reply; 21+ messages in thread
From: Alexey Shabalin @ 2008-02-21 10:11 UTC (permalink / raw)
To: ALT Linux Team development discussions
21.02.08, Evgeny Sinelnikov написал(а):
> Типичным решением этой проблемы является создание шаблонов, которым
> назначаются привилегии - ролей.
Если не ошибаюсь, функциональность ролей есть в solaris.
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 10:11 ` Alexey Shabalin
@ 2008-02-21 11:33 ` Eugene Ostapets
0 siblings, 0 replies; 21+ messages in thread
From: Eugene Ostapets @ 2008-02-21 11:33 UTC (permalink / raw)
To: ALT Linux Team development discussions
21.02.08, Alexey Shabalin<a.shabalin gmail.com> написал(а):
> 21.02.08, Evgeny Sinelnikov написал(а):
>
> > Типичным решением этой проблемы является создание шаблонов, которым
> > назначаются привилегии - ролей.
>
>
> Если не ошибаюсь, функциональность ролей есть в solaris.
Нету, это просто вариация на тему sudo :)
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
@ 2008-02-21 18:19 ` Хихин Руслан
2008-02-21 21:30 ` Evgeny Sinelnikov
2008-02-21 22:29 ` Dmitry V. Levin
1 sibling, 1 reply; 21+ messages in thread
From: Хихин Руслан @ 2008-02-21 18:19 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 656 bytes --]
Здравствуйте Evgeny Sinelnikov
В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
> 2008/2/21 Хихин Руслан <hihin@yandex.ru>:
> > Здравствуйте Evgeny Sinelnikov
> > В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
> > Вы предлагаете Rsbac или Selinux ?
>
> Ни то, ни другое... Эти два проекта расширяют возможности
> аворизации.
.......................
> Вообще этот подход позволяет решить вопрос, который был поставлен,
> простым
> скриптом в спек-файле, то есть даже не обязательно реализовывать
> вариант с
> /etc/role.d файлами.
Мне нравится, а что надо для реализации вашей идеи ?
--
С уважением Хихин Руслан
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 18:19 ` Хихин Руслан
@ 2008-02-21 21:30 ` Evgeny Sinelnikov
0 siblings, 0 replies; 21+ messages in thread
From: Evgeny Sinelnikov @ 2008-02-21 21:30 UTC (permalink / raw)
To: ALT Linux Team development discussions
2008/2/21 Хихин Руслан <hihin@yandex.ru>:
> Здравствуйте Evgeny Sinelnikov
> В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
> > 2008/2/21 Хихин Руслан <hihin@yandex.ru>:
> > > Здравствуйте Evgeny Sinelnikov
> > > В сообщении от 21 февраля 2008 Evgeny Sinelnikov написал(a):
> > > Вы предлагаете Rsbac или Selinux ?
> >
> > Ни то, ни другое... Эти два проекта расширяют возможности
> > аворизации.
> .......................
>
> > Вообще этот подход позволяет решить вопрос, который был поставлен,
> > простым
> > скриптом в спек-файле, то есть даже не обязательно реализовывать
> > вариант с
> > /etc/role.d файлами.
> Мне нравится, а что надо для реализации вашей идеи ?
>
Для начала нужно написать nss-модуль, который будет интерпретировать
новые файлы настройки и назначать права:
http://www.gnu.org/software/libc/manual/html_node/Name-Service-Switch.html
Далее написать набор утилит для манипулирования ролями:
roleadd, roledel, rolemod
Но сначала нужно определиться с политикой использования этого модуля.
Такие детали, как установка модуля через rpm и возможно его
автоматическое подключение, можно пока опустить. Это суть политики не
определяет.
Нужно определиться с тем как мы решаем проблемы с помощью этого модуля:
0) Именование ролей и их соотвествие группам. Будут у нас роли
отдельной сущностью или являться группой?
Отдельная сущность может иметь отдельное название, а группа должна
совпадать по имени с соотвествующей группой или иметь с ней
соответствие.
1) Список первоначально заданных ролей
Предлпагаю:
user, power и admin
2) Роль назначаемая для вновь создаваемых пользователей, по умолчанию
user или power - Где хранить эту настройку?
3) Список первоначальных привилегий для ролей:
Для user ?
Для power ?
Для admin ?
4) Формат хранения данных для ролей. По сравнению с редыдущем примером
хочу предожить такой вариант:
/etc/role
#name:gid:pivilegies_gids:users_uids
user:100:80,119:
admin:10:57,35:
power:200:
для gid'ов 10,100 и, к примеру, 200 записи о группах должны
присутствовать в /etc/group, в противном случае роль игнорируется (или
нет? может разрешить безгрупповые роли?)
5) Нужно определиться с политикой добавления пакетами политик по умолчанию:
5.1) запускать утилиты в скриптах RPM-пакета.
5.2) добавлять политики по умолчанию файлами в специальный каталог
/etc/role.d. Для этого нужно определиться с форматом добавляемых
файлов. Например, таким:
/etc/role.d/application:
#name:pivilegies_gids:users_uids
user:510:
где, 510 - это gid важный для приложения application, например samba.
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 18:19 ` Хихин Руслан
@ 2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
` (2 more replies)
1 sibling, 3 replies; 21+ messages in thread
From: Dmitry V. Levin @ 2008-02-21 22:29 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 631 bytes --]
On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
[...]
> 3) При входе в систему, кроме стандартных групп из /etc/group, новый модуль
> добавляет пользователю дополнительные привилегии (тоже группы) из файла
> /etc/roles:
> users: xgrp, cdwriter
> wheel: webmaster, kqemu
> То есть, всем, кто входят в группу users, будут дополнительно назначены xgrp
> и cdwriter, а всем, кто входит в группу wheel - webmaster и kqemu.
Т.е. предлагается грубая система разграничения доступа по супергруппам
взамен тонкого разграничения доступа по группам.
Какая может быть пользая от такого упрощения?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 22:29 ` Dmitry V. Levin
@ 2008-02-21 22:51 ` Evgeny Sinelnikov
2008-02-21 23:46 ` Led
2008-02-22 11:13 ` Michael Shigorin
2008-02-22 13:23 ` Денис Смирнов
2 siblings, 1 reply; 21+ messages in thread
From: Evgeny Sinelnikov @ 2008-02-21 22:51 UTC (permalink / raw)
To: ALT Linux Team development discussions
2008/2/22 Dmitry V. Levin <ldv@altlinux.org>:
> On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
> [...]
>
> > 3) При входе в систему, кроме стандартных групп из /etc/group, новый модуль
> > добавляет пользователю дополнительные привилегии (тоже группы) из файла
> > /etc/roles:
> > users: xgrp, cdwriter
> > wheel: webmaster, kqemu
> > То есть, всем, кто входят в группу users, будут дополнительно назначены xgrp
> > и cdwriter, а всем, кто входит в группу wheel - webmaster и kqemu.
>
> Т.е. предлагается грубая система разграничения доступа по супергруппам
> взамен тонкого разграничения доступа по группам.
> Какая может быть пользая от такого упрощения?
Исходная схема по группам не упраздняется, а расширяется схемой по
супергруппам.
Для демонстрации снова привожу свой пример:
Группа sambа, назначается тем, кто умеет писать в каталог
/var/lib/samba/usershare, настроим для этого самбу как показано здесь
(http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil).
Да, на этот каталог можно добавить ACL, а можно добавлять
пользователей в группу samba вручную. Одно от другого, по факту
необходимости выполнять дополнительные действия, никак не отличимо. И
то, и другое крайне не удобно. Хочется сделать так:
* назначаем роли users привилегию samba, по умолчанию
* при добавлении новых пользователей они автоматически добавляются
в группу users, а поскольку группе users, как роли, назначена
привилегия samba, то она автоматически к ним применяется
* при установке пакета предоставляющего эту привилегию, она
назначется роли users. И все, кто входят группу users автоматически,
после перелогина, получают эту привилегию
* при желании изментить политику привилегии samba, она передаётся
другой роли или назначается отдельным пользователям как группа
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 22:51 ` Evgeny Sinelnikov
@ 2008-02-21 23:46 ` Led
2008-02-22 7:33 ` Anton Farygin
0 siblings, 1 reply; 21+ messages in thread
From: Led @ 2008-02-21 23:46 UTC (permalink / raw)
To: ALT Linux Team development discussions
Friday, 22 February 2008 00:51:43 Evgeny Sinelnikov написав:
> 2008/2/22 Dmitry V. Levin <ldv@altlinux.org>:
> > On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
> > [...]
> >
> > > 3) При входе в систему, кроме стандартных групп из /etc/group, новый
> > > модуль
> > >
> > > добавляет пользователю дополнительные привилегии (тоже группы) из
> > > файла /etc/roles:
> > > users: xgrp, cdwriter
> > > wheel: webmaster, kqemu
> > > То есть, всем, кто входят в группу users, будут дополнительно
> > > назначены xgrp и cdwriter, а всем, кто входит в группу wheel -
> > > webmaster и kqemu.
> >
> > Т.е. предлагается грубая система разграничения доступа по супергруппам
> > взамен тонкого разграничения доступа по группам.
> > Какая может быть пользая от такого упрощения?
>
> Исходная схема по группам не упраздняется, а расширяется схемой по
> супергруппам.
> Для демонстрации снова привожу свой пример:
> Группа sambа, назначается тем, кто умеет писать в каталог
> /var/lib/samba/usershare, настроим для этого самбу как показано здесь
> (http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil)
>. Да, на этот каталог можно добавить ACL, а можно добавлять
> пользователей в группу samba вручную. Одно от другого, по факту
> необходимости выполнять дополнительные действия, никак не отличимо. И
> то, и другое крайне не удобно. Хочется сделать так:
>
> * назначаем роли users привилегию samba, по умолчанию
> * при добавлении новых пользователей они автоматически добавляются
> в группу users, а поскольку группе users, как роли, назначена
> привилегия samba, то она автоматически к ним применяется
> * при установке пакета предоставляющего эту привилегию, она
> назначется роли users. И все, кто входят группу users автоматически,
> после перелогина, получают эту привилегию
> * при желании изментить политику привилегии samba, она передаётся
> другой роли или назначается отдельным пользователям как группа
Звучит вроде бы и логично, но... ИМХО теряется чёткий контроль...
--
Led
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 23:46 ` Led
@ 2008-02-22 7:33 ` Anton Farygin
2008-02-22 9:35 ` Evgeny Sinelnikov
2008-02-22 13:24 ` Денис Смирнов
0 siblings, 2 replies; 21+ messages in thread
From: Anton Farygin @ 2008-02-22 7:33 UTC (permalink / raw)
To: ALT Linux Team development discussions
Led пишет:
> Friday, 22 February 2008 00:51:43 Evgeny Sinelnikov написав:
>> 2008/2/22 Dmitry V. Levin <ldv@altlinux.org>:
>>> On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
>>> [...]
>>>
>>>> 3) При входе в систему, кроме стандартных групп из /etc/group, новый
>>>> модуль
>>>>
>>> > добавляет пользователю дополнительные привилегии (тоже группы) из
>>> > файла /etc/roles:
>>> > users: xgrp, cdwriter
>>> > wheel: webmaster, kqemu
>>> > То есть, всем, кто входят в группу users, будут дополнительно
>>> > назначены xgrp и cdwriter, а всем, кто входит в группу wheel -
>>> > webmaster и kqemu.
>>>
>>> Т.е. предлагается грубая система разграничения доступа по супергруппам
>>> взамен тонкого разграничения доступа по группам.
>>> Какая может быть пользая от такого упрощения?
>> Исходная схема по группам не упраздняется, а расширяется схемой по
>> супергруппам.
>> Для демонстрации снова привожу свой пример:
>> Группа sambа, назначается тем, кто умеет писать в каталог
>> /var/lib/samba/usershare, настроим для этого самбу как показано здесь
>> (http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil)
>> . Да, на этот каталог можно добавить ACL, а можно добавлять
>> пользователей в группу samba вручную. Одно от другого, по факту
>> необходимости выполнять дополнительные действия, никак не отличимо. И
>> то, и другое крайне не удобно. Хочется сделать так:
>>
>> * назначаем роли users привилегию samba, по умолчанию
>> * при добавлении новых пользователей они автоматически добавляются
>> в группу users, а поскольку группе users, как роли, назначена
>> привилегия samba, то она автоматически к ним применяется
>> * при установке пакета предоставляющего эту привилегию, она
>> назначется роли users. И все, кто входят группу users автоматически,
>> после перелогина, получают эту привилегию
>> * при желании изментить политику привилегии samba, она передаётся
>> другой роли или назначается отдельным пользователям как группа
>
> Звучит вроде бы и логично, но... ИМХО теряется чёткий контроль...
>
Да, путаница будет довольно большая.
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 7:33 ` Anton Farygin
@ 2008-02-22 9:35 ` Evgeny Sinelnikov
2008-02-22 13:24 ` Денис Смирнов
1 sibling, 0 replies; 21+ messages in thread
From: Evgeny Sinelnikov @ 2008-02-22 9:35 UTC (permalink / raw)
To: ALT Linux Team development discussions
2008/2/22 Anton Farygin <rider@altlinux.com>:
> Led пишет:
>
>
> > Friday, 22 February 2008 00:51:43 Evgeny Sinelnikov написав:
> >> 2008/2/22 Dmitry V. Levin <ldv@altlinux.org>:
> >>> On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
> >>> [...]
> >>>
> >>>> 3) При входе в систему, кроме стандартных групп из /etc/group, новый
> >>>> модуль
> >>>>
> >>> > добавляет пользователю дополнительные привилегии (тоже группы) из
> >>> > файла /etc/roles:
> >>> > users: xgrp, cdwriter
> >>> > wheel: webmaster, kqemu
> >>> > То есть, всем, кто входят в группу users, будут дополнительно
> >>> > назначены xgrp и cdwriter, а всем, кто входит в группу wheel -
> >>> > webmaster и kqemu.
> >>>
> >>> Т.е. предлагается грубая система разграничения доступа по супергруппам
> >>> взамен тонкого разграничения доступа по группам.
> >>> Какая может быть пользая от такого упрощения?
> >> Исходная схема по группам не упраздняется, а расширяется схемой по
> >> супергруппам.
> >> Для демонстрации снова привожу свой пример:
> >> Группа sambа, назначается тем, кто умеет писать в каталог
> >> /var/lib/samba/usershare, настроим для этого самбу как показано здесь
> >> (http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil)
> >> . Да, на этот каталог можно добавить ACL, а можно добавлять
> >> пользователей в группу samba вручную. Одно от другого, по факту
> >> необходимости выполнять дополнительные действия, никак не отличимо. И
> >> то, и другое крайне не удобно. Хочется сделать так:
> >>
> >> * назначаем роли users привилегию samba, по умолчанию
> >> * при добавлении новых пользователей они автоматически добавляются
> >> в группу users, а поскольку группе users, как роли, назначена
> >> привилегия samba, то она автоматически к ним применяется
> >> * при установке пакета предоставляющего эту привилегию, она
> >> назначется роли users. И все, кто входят группу users автоматически,
> >> после перелогина, получают эту привилегию
> >> * при желании изментить политику привилегии samba, она передаётся
> >> другой роли или назначается отдельным пользователям как группа
> >
> > Звучит вроде бы и логично, но... ИМХО теряется чёткий контроль...
> >
>
> Да, путаница будет довольно большая.
>
Ну, это кому как... Кому не кажется не удобным, каждый раз при установке новой
программы, добавлять себя в группу, тому будет путаница. Кому не кажется не
удобным, при добавлении нового пользователя, вспоминать в какие группы его нужно
не забыть добавить, чтобы не оказалось, что у него нет прав на действия, которые
есть у старых пользователей, тому будет путаница. Кому не кажется не удобным
повторять все эти действия на каждой вновь установленной машине для каждого
вновь созданного пользователя, тому будет путаница. Вот только для большинства
применений на десктопе это не путаница, а возможность избавить себя от лишних
действий.
Кстати, я полагаю, что схема с файлом при таком исходе будет менее удобна,
поскольку это потребует явной зависимости от пакета libnss_role, для всех
желающих им воспользоватся даже опционально. Чтобы этого избежать
проще запускать скрипт. Но тут возникает вопрос. Как, в этом случае, отличить
ситуацию, когда мы в первый раз устанавливаем пакет от ситуациии, когда пакет
обновляется? Насколько я помню это можно сделать на уровне условий в
пост-скриптах rpm. Есть ли по этому поводу идеи?
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
@ 2008-02-22 11:13 ` Michael Shigorin
2008-02-22 13:43 ` Evgeny Sinelnikov
2008-02-22 13:23 ` Денис Смирнов
2 siblings, 1 reply; 21+ messages in thread
From: Michael Shigorin @ 2008-02-22 11:13 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> Какая может быть пользая от такого упрощения?
Насколько понимаю, предлагается объезд отсутствия иерархических
групп в POSIX для случаев, когда одной группы мало, а набор групп
повторяется для существенного числа пользователей и лучше бы
регулировался именно как "отдельно набор, отдельно список
пользователей".
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
2008-02-22 11:13 ` Michael Shigorin
@ 2008-02-22 13:23 ` Денис Смирнов
2008-02-23 5:04 ` Хихин Руслан
2 siblings, 1 reply; 21+ messages in thread
From: Денис Смирнов @ 2008-02-22 13:23 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 1142 bytes --]
On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
>> 3) При входе в систему, кроме стандартных групп из /etc/group, новый модуль
>> добавляет пользователю дополнительные привилегии (тоже группы) из файла
>> /etc/roles:
>> users: xgrp, cdwriter
>> wheel: webmaster, kqemu
>> То есть, всем, кто входят в группу users, будут дополнительно назначены xgrp
>> и cdwriter, а всем, кто входит в группу wheel - webmaster и kqemu.
DVL> Т.е. предлагается грубая система разграничения доступа по супергруппам
DVL> взамен тонкого разграничения доступа по группам.
DVL> Какая может быть пользая от такого упрощения?
Исключительно если это дополнительная подсистема.
Можно эту идею сформулировать иначе -- отношения вида requires между
группами. Если группа a requires b, и некий user входит в группа a, он
автоматически входит в группу b.
Это позволяет добавив пользователя один раз в группу desktop знать, что
отдельно xgrp, cdwriter и прочее аналогичное ему прописывать не придется.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 7:33 ` Anton Farygin
2008-02-22 9:35 ` Evgeny Sinelnikov
@ 2008-02-22 13:24 ` Денис Смирнов
1 sibling, 0 replies; 21+ messages in thread
From: Денис Смирнов @ 2008-02-22 13:24 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 271 bytes --]
On Fri, Feb 22, 2008 at 10:33:21AM +0300, Anton Farygin wrote:
AF> Да, путаница будет довольно большая.
А где она будет проявляться?
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 11:13 ` Michael Shigorin
@ 2008-02-22 13:43 ` Evgeny Sinelnikov
2008-02-22 13:57 ` Led
0 siblings, 1 reply; 21+ messages in thread
From: Evgeny Sinelnikov @ 2008-02-22 13:43 UTC (permalink / raw)
To: ALT Linux Team development discussions
Здравствуйте,
2008/2/22 Michael Shigorin <mike@osdn.org.ua>:
> On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> > Какая может быть пользая от такого упрощения?
>
> Насколько понимаю, предлагается объезд отсутствия иерархических
> групп в POSIX для случаев, когда одной группы мало, а набор групп
> повторяется для существенного числа пользователей и лучше бы
> регулировался именно как "отдельно набор, отдельно список
> пользователей".
>
Фактически, да. Эти наборы, я назвал собственно ролями, для которых
попытался найти схему расширения в зависимости от списка
установленного ПО, добавляющего новые группы. Эти группы,
как правило, можно назвать привилегиями.
Предполагается, как минимум, две политики по отношению привилегий,
предоставляемых вновь установленным ПО, к текущим ролям:
1) Привилегии назначаются вручную - то как это уже сейчас работает при
использовании групп
2) Привилегии, при первой установке пакета, добавляются в определённую
роль. При этом, после перелогина, все кому назначена эта роль получают
новую привилегию.
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 13:43 ` Evgeny Sinelnikov
@ 2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
` (2 more replies)
0 siblings, 3 replies; 21+ messages in thread
From: Led @ 2008-02-22 13:57 UTC (permalink / raw)
To: ALT Linux Team development discussions
Friday, 22 February 2008 15:43:34 Evgeny Sinelnikov написав:
> Здравствуйте,
>
> 2008/2/22 Michael Shigorin <mike@osdn.org.ua>:
> > On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> > > Какая может быть пользая от такого упрощения?
> >
> > Насколько понимаю, предлагается объезд отсутствия иерархических
> > групп в POSIX для случаев, когда одной группы мало, а набор групп
> > повторяется для существенного числа пользователей и лучше бы
> > регулировался именно как "отдельно набор, отдельно список
> > пользователей".
>
> Фактически, да. Эти наборы, я назвал собственно ролями, для которых
> попытался найти схему расширения в зависимости от списка
> установленного ПО, добавляющего новые группы. Эти группы,
> как правило, можно назвать привилегиями.
>
> Предполагается, как минимум, две политики по отношению привилегий,
> предоставляемых вновь установленным ПО, к текущим ролям:
> 1) Привилегии назначаются вручную - то как это уже сейчас работает при
> использовании групп
> 2) Привилегии, при первой установке пакета, добавляются в определённую
> роль. При этом, после перелогина, все кому назначена эта роль получают
> новую привилегию.
А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
пакеты "администрировали систему" и разрешали что-то целым группам,
подгруппам и группировкам.
--
Led
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 13:57 ` Led
@ 2008-02-22 14:01 ` Mikhail Gusarov
2008-02-22 14:30 ` Evgeny Sinelnikov
2008-02-23 5:01 ` Хихин Руслан
2 siblings, 0 replies; 21+ messages in thread
From: Mikhail Gusarov @ 2008-02-22 14:01 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 827 bytes --]
Twas brillig at 15:57:30 22.02.2008 UTC+02 when Led did gyre and gimble:
L> А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
L> пакеты "администрировали систему" и разрешали что-то целым группам,
L> подгруппам и группировкам.
Прямо криминальные новости представляются: "Шайка ruby-пакетов незаконно
захватила /usr/lib/python и требует повышения привилегий и выпуска
postfix из чрута, обещая деинсталлировать по одному питоньему модулю в
день пока условия не будут выполнены".
--
[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
@ 2008-02-22 14:30 ` Evgeny Sinelnikov
2008-02-23 5:01 ` Хихин Руслан
2 siblings, 0 replies; 21+ messages in thread
From: Evgeny Sinelnikov @ 2008-02-22 14:30 UTC (permalink / raw)
To: ALT Linux Team development discussions
2008/2/22 Led <ledest@gmail.com>:
> Friday, 22 February 2008 15:43:34 Evgeny Sinelnikov написав:
>
>
> > Здравствуйте,
> >
> > 2008/2/22 Michael Shigorin <mike@osdn.org.ua>:
> > > On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> > > > Какая может быть пользая от такого упрощения?
> > >
> > > Насколько понимаю, предлагается объезд отсутствия иерархических
> > > групп в POSIX для случаев, когда одной группы мало, а набор групп
> > > повторяется для существенного числа пользователей и лучше бы
> > > регулировался именно как "отдельно набор, отдельно список
> > > пользователей".
> >
> > Фактически, да. Эти наборы, я назвал собственно ролями, для которых
> > попытался найти схему расширения в зависимости от списка
> > установленного ПО, добавляющего новые группы. Эти группы,
> > как правило, можно назвать привилегиями.
> >
> > Предполагается, как минимум, две политики по отношению привилегий,
> > предоставляемых вновь установленным ПО, к текущим ролям:
> > 1) Привилегии назначаются вручную - то как это уже сейчас работает при
> > использовании групп
> > 2) Привилегии, при первой установке пакета, добавляются в определённую
> > роль. При этом, после перелогина, все кому назначена эта роль получают
> > новую привилегию.
>
> А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
> пакеты "администрировали систему" и разрешали что-то целым группам,
> подгруппам и группировкам.
Что значит не надо? В этом их основная цель и задумка. Пожалуйста, прочтите
внимательно то, что я описывал на примере настройки samba usershare:
http://lists.altlinux.org/pipermail/devel/2008-February/070036.html
Смысл как раз в том, чтобы после установки пакета, который должен что-то
предоставить пользователю, это было сразу получено, а не требовало
дополнительных действий. Иначе толку от этого будет не так уж много.
Вообще ещё раз попытаюсь объяснить смысл "роли из пакета":
1) Устанавливаем пакет, ну скажем тот же vdr, с которого я начал весь этот
разговор.
2) Этот пакет скажем будеть создавать группу vdr.
3) Хотелось бы чтобы для этого пакета, который используется с конкретной целью,
не приходилось после установки пакета лезть в /etc/group и добавлять
нужных пользователей
4.1) При использовании модуля ролей это можно улучшить, предоставив возможность
добавления нужной привилегии к роли. Тогда не придётся искать всех
пользователей, а
будет достаточно только изменить роль. Это первая политика, о которой я говорил.
4.2) При автоматическом внесении привилегии в заданную роль во время установки,
новая привилегия сразу появится у пользователей с соотвествующей ролью. Это
вторая политика о которой я говорил.
Какую лучше политику использовать, нужно решать в зависимости от приложения.
Тем не менее. Если исходить из задачи использования компьютера, как
средства, эти
политики внешне отличаются следующим:
Будет у меня всё работать после установки пакета или нужно будет ещё
где-то пошаманить?
Вы же предлагаетет исключительно шаманить. В этом я с вами не
согласен. Например,
устанавливая тот же vdr, я планирую его использовать и обычно планирую, чтобы им
пользовались все. Чтобы кому-то это запретить мне в любом случае нужно
что-то настраивать.
Но зачем вынуждать себя что-то настраивать, ещё и для того, чтобы
что-то разрешить,
причём всегда? Бывают случаи, конечно... Но это отдельные случаи...
Для них как раз
1 вариант политики и предусмотрен.
--
Sin (Sinelnikov Evgeny)
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
2008-02-22 14:30 ` Evgeny Sinelnikov
@ 2008-02-23 5:01 ` Хихин Руслан
2 siblings, 0 replies; 21+ messages in thread
From: Хихин Руслан @ 2008-02-23 5:01 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 554 bytes --]
Здравствуйте Led
В сообщении от 22 февраля 2008 Led написал(a):
> А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
> пакеты "администрировали систему" и разрешали что-то целым группам,
> подгруппам и группировкам.
Можно расшифровать по-разному :
1. Не надо с помощью пакета создавать роль (без наполнения конкретными
пользователями).
Почему - надо :)
2.Не надо из пакета включать вользователя в роль
Да - согласен. Как и в группу
3. Не надо c помощью пакета группу включать в роль
Не согласен :)
--
С уважением Хихин Руслан
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [devel] Проблемы привилегий и ролей
2008-02-22 13:23 ` Денис Смирнов
@ 2008-02-23 5:04 ` Хихин Руслан
0 siblings, 0 replies; 21+ messages in thread
From: Хихин Руслан @ 2008-02-23 5:04 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 414 bytes --]
Здравствуйте Денис Смирнов
В сообщении от 22 февраля 2008 Денис Смирнов написал(a):
> On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> Это позволяет добавив пользователя один раз в группу desktop знать,
> что
> отдельно xgrp, cdwriter и прочее аналогичное ему прописывать не
> придется.
Ну или группа Учитель и группа Ученик. (Взрослый и Ребёнок и т.д.) :)
--
С уважением Хихин Руслан
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 21+ messages in thread
end of thread, other threads:[~2008-02-23 5:04 UTC | newest]
Thread overview: 21+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-02-21 5:27 ` [devel] Проблемы привилегий и ролей Хихин Руслан
2008-02-21 18:19 ` Хихин Руслан
2008-02-21 21:30 ` Evgeny Sinelnikov
2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
2008-02-21 23:46 ` Led
2008-02-22 7:33 ` Anton Farygin
2008-02-22 9:35 ` Evgeny Sinelnikov
2008-02-22 13:24 ` Денис Смирнов
2008-02-22 11:13 ` Michael Shigorin
2008-02-22 13:43 ` Evgeny Sinelnikov
2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
2008-02-22 14:30 ` Evgeny Sinelnikov
2008-02-23 5:01 ` Хихин Руслан
2008-02-22 13:23 ` Денис Смирнов
2008-02-23 5:04 ` Хихин Руслан
2008-02-21 6:36 ` Ildar Mulyukov
2008-02-21 6:45 ` Ildar Mulyukov
2008-02-21 10:11 ` Alexey Shabalin
2008-02-21 11:33 ` Eugene Ostapets
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git