* [devel] Policy по назначению gid для системных групп
@ 2012-11-02 13:10 Андрей Черепанов
2012-11-02 22:53 ` Dmitry V. Levin
2012-11-23 23:20 ` Vitaly Lipatov
0 siblings, 2 replies; 12+ messages in thread
From: Андрей Черепанов @ 2012-11-02 13:10 UTC (permalink / raw)
To: devel
Маппинг групп при аутентификации через LDAP выявил проблему разных gid
для одной системной группы на разных машинах. Как я понимаю, этот вопрос
отсуждался в 2004 году и привёл к драфту policy
http://www.altlinux.org/Pseudo_User_Policy
Предлагаю вернуться к обсуждению и всё-таки договориться и принять policy.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-02 13:10 [devel] Policy по назначению gid для системных групп Андрей Черепанов
@ 2012-11-02 22:53 ` Dmitry V. Levin
2012-11-03 5:31 ` Денис Смирнов
2012-11-03 8:37 ` Sergey Vlasov
2012-11-23 23:20 ` Vitaly Lipatov
1 sibling, 2 replies; 12+ messages in thread
From: Dmitry V. Levin @ 2012-11-02 22:53 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1332 bytes --]
On Fri, Nov 02, 2012 at 05:10:34PM +0400, Андрей Черепанов wrote:
> Маппинг групп при аутентификации через
> LDAP выявил проблему разных gid для одной
> системной группы на разных машинах. Как я
> понимаю, этот вопрос отсуждался в 2004 году
> и привёл к драфту policy
> http://www.altlinux.org/Pseudo_User_Policy
Там написано, что "идея создавать служебные аккаунты динамически при
установке пакета сама по себе чревата несовместимостью uid/gid различных
инсталляций, что создаёт вполне реальные проблемы с резервным копированием
(восстановлением данных в контексте другого сервера)".
К сожалению, там не расшифровано, каким образом из несовпадения uid/gid в
разных системах вытекают "вполне реальные проблемы", поскольку совершенно
не очевидно, какие именно типовые сценарии резервного копирования имел в
виду автор.
С другой стороны, там в конце есть ссылки на разные интересные обсуждения,
которые имеет смысл посмотреть.
В сухом остатке, реализовать враппер с логикой
useradd "user with specified uid if that uid is available, or with any
other available uid if that uid is already taken" и соответствующий
макрос к нему выглядит делом несложным, а вот как эффективно реализовать
единый реестр всех этих uid'ов, никто не предложил. Может, завести
для этого страницу на wiki? :)
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-02 22:53 ` Dmitry V. Levin
@ 2012-11-03 5:31 ` Денис Смирнов
2012-11-03 15:16 ` Dmitry V. Levin
2012-11-03 8:37 ` Sergey Vlasov
1 sibling, 1 reply; 12+ messages in thread
From: Денис Смирнов @ 2012-11-03 5:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 664 bytes --]
On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:
DVL> В сухом остатке, реализовать враппер с логикой
DVL> useradd "user with specified uid if that uid is available, or with any
DVL> other available uid if that uid is already taken" и соответствующий
DVL> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
DVL> единый реестр всех этих uid'ов, никто не предложил. Может, завести
DVL> для этого страницу на wiki? :)
Может сделать пакет с этими двумя таблицами (group<->gid, user<->uid)?
--
С уважением, Денис
http://mithraen.ru/
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-02 22:53 ` Dmitry V. Levin
2012-11-03 5:31 ` Денис Смирнов
@ 2012-11-03 8:37 ` Sergey Vlasov
2012-11-03 18:50 ` Андрей Черепанов
1 sibling, 1 reply; 12+ messages in thread
From: Sergey Vlasov @ 2012-11-03 8:37 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 3274 bytes --]
On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:
> > http://www.altlinux.org/Pseudo_User_Policy
>
> Там написано, что "идея создавать служебные аккаунты динамически при
> установке пакета сама по себе чревата несовместимостью uid/gid различных
> инсталляций, что создаёт вполне реальные проблемы с резервным копированием
> (восстановлением данных в контексте другого сервера)".
>
> К сожалению, там не расшифровано, каким образом из несовпадения uid/gid в
> разных системах вытекают "вполне реальные проблемы", поскольку совершенно
> не очевидно, какие именно типовые сценарии резервного копирования имел в
> виду автор.
>
> С другой стороны, там в конце есть ссылки на разные интересные обсуждения,
> которые имеет смысл посмотреть.
Можно ещё посмотреть, что в этой области делают в других
дистрибутивах.
Например, в Fedora официальная текущая политика пока что не
предусматривает статическое назначение uid/gid:
http://fedoraproject.org/wiki/Packaging:UsersAndGroups
Однако у них ещё есть пакет fedora-usermgmt, с помощью которого можно
обеспечить одинаковые uid/gid на разных машинах, но только после
предварительной настройки со стороны администратора (что в случае,
если пакеты, использующие fedora-usermgmt, устанавливаются в процессе
установки системы, приводит к необходимости подсовывать инсталятору
собственный репозиторий с пакетом, содержащим нужные настройки).
http://fedoraproject.org/wiki/PackageUserCreation
(там внизу несколько ссылок на обсуждения этого вопроса). Без
дополнительных настроек идентификаторы остаются динамическими.
На самом деле проблема выросла из того, что LSB предусматривает для
статически назначаемых идентификаторов пользователей лишь диапазон
0-99, а диапазон 100-499 предназначается для динамического назначения:
http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/uidrange.html
Однако диапазона 0-99 уже давно не хватает. В RHEL 6 решили
проигнорировать написанное в LSB "should" и расширили диапазон
статических идентификаторов до 0-199, при этом динамические
идентификаторы назначаются в диапазоне 200-499, но сверху вниз, а
статические идентификаторы, назначаемые локальным администратором,
предлагается назначать начиная с 300.
https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Migration_Planning_Guide/ch07s06.html
> В сухом остатке, реализовать враппер с логикой
> useradd "user with specified uid if that uid is available, or with any
> other available uid if that uid is already taken" и соответствующий
> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
> единый реестр всех этих uid'ов, никто не предложил. Может, завести
> для этого страницу на wiki? :)
Собственно, в Fedora так и сделано:
http://fedoraproject.org/wiki/PackageUserRegistry
Но там это относительные идентификаторы для fedora-usermgmt;
выделением диапазона для статических идентификаторов должен заниматься
администратор, либо может быть использован пакет
fedora-usermgmt-default-fedora-setup, в котором по умолчанию в
качестве баового идентификатора устанавливается 300 (однако без
переключения альтернатив идентификаторы всё равно останутся
динамическими).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-03 5:31 ` Денис Смирнов
@ 2012-11-03 15:16 ` Dmitry V. Levin
0 siblings, 0 replies; 12+ messages in thread
From: Dmitry V. Levin @ 2012-11-03 15:16 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 770 bytes --]
On Sat, Nov 03, 2012 at 09:31:12AM +0400, Денис Смирнов wrote:
> On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:
>
> DVL> В сухом остатке, реализовать враппер с логикой
> DVL> useradd "user with specified uid if that uid is available, or with any
> DVL> other available uid if that uid is already taken" и соответствующий
> DVL> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
> DVL> единый реестр всех этих uid'ов, никто не предложил. Может, завести
> DVL> для этого страницу на wiki? :)
>
> Может сделать пакет с этими двумя таблицами (group<->gid, user<->uid)?
Такой пакет уже существует, его зовут setup, с файлами
/usr/share/base-passwd/*. Но вносить туда изменения мейнтейнерам
неудобно.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-03 8:37 ` Sergey Vlasov
@ 2012-11-03 18:50 ` Андрей Черепанов
2012-11-03 21:30 ` Sergey Vlasov
0 siblings, 1 reply; 12+ messages in thread
From: Андрей Черепанов @ 2012-11-03 18:50 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: Text/Plain, Size: 394 bytes --]
3 ноября 2012 Sergey Vlasov написал:
> Например, в Fedora официальная текущая политика пока что не
> предусматривает статическое назначение uid/gid:
>
> http://fedoraproject.org/wiki/Packaging:UsersAndGroups
Официально, конечно нет, но в пакетах (том же nss-pam-ldapd демону назначают
группу ldap с фиксированным gid) прибивают gid гвоздями.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-03 18:50 ` Андрей Черепанов
@ 2012-11-03 21:30 ` Sergey Vlasov
0 siblings, 0 replies; 12+ messages in thread
From: Sergey Vlasov @ 2012-11-03 21:30 UTC (permalink / raw)
To: devel
[-- Attachment #1: Type: text/plain, Size: 748 bytes --]
On Sat, Nov 03, 2012 at 10:50:50PM +0400, Андрей Черепанов wrote:
> 3 ноября 2012 Sergey Vlasov написал:
> > Например, в Fedora официальная текущая политика пока что не
> > предусматривает статическое назначение uid/gid:
> >
> > http://fedoraproject.org/wiki/Packaging:UsersAndGroups
> Официально, конечно нет, но в пакетах (том же nss-pam-ldapd демону назначают
> группу ldap с фиксированным gid) прибивают gid гвоздями.
Это, видимо, как раз пакет из тех, которые "равнее" (и идентификатор
там из статического диапазона 0-99). В изначальном обсуждении там
упоминается разница между Fedora Core и Fedora Extras, которую с тех
пор вроде бы отменили, но, получается, не совсем (и в любом случае
диапазона 0-99 на всех не хватит).
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-02 13:10 [devel] Policy по назначению gid для системных групп Андрей Черепанов
2012-11-02 22:53 ` Dmitry V. Levin
@ 2012-11-23 23:20 ` Vitaly Lipatov
2012-11-29 15:12 ` Андрей Черепанов
1 sibling, 1 reply; 12+ messages in thread
From: Vitaly Lipatov @ 2012-11-23 23:20 UTC (permalink / raw)
To: ALT Linux Team development discussions
Андрей Черепанов писал 2012-11-02 17:10:
> Маппинг групп при аутентификации через LDAP выявил проблему разных
> gid для одной системной группы на разных машинах. Как я понимаю, этот
На всякий случай напомню про libnss-role, который позволяет мапить
глобальные группы (из LDAP) в локальные (принятые
в конкретной системе):
http://tartarus.ru/projects/libnss-role/wiki
--
С уважением,
Виталий Липатов,
Etersoft
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-23 23:20 ` Vitaly Lipatov
@ 2012-11-29 15:12 ` Андрей Черепанов
2012-11-29 15:14 ` Dmitriy Kruglikov
0 siblings, 1 reply; 12+ messages in thread
From: Андрей Черепанов @ 2012-11-29 15:12 UTC (permalink / raw)
To: devel
24.11.2012 03:20, Vitaly Lipatov пишет:
> Андрей Черепанов писал 2012-11-02 17:10:
>> Маппинг групп при аутентификации через LDAP выявил проблему разных
>> gid для одной системной группы на разных машинах. Как я понимаю, этот
> На всякий случай напомню про libnss-role, который позволяет мапить
> глобальные группы (из LDAP) в локальные (принятые
> в конкретной системе):
> http://tartarus.ru/projects/libnss-role/wiki
Нужна прокладка, адаптирующаяся к местным системным gid.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-29 15:12 ` Андрей Черепанов
@ 2012-11-29 15:14 ` Dmitriy Kruglikov
2012-11-30 7:44 ` Андрей Черепанов
0 siblings, 1 reply; 12+ messages in thread
From: Dmitriy Kruglikov @ 2012-11-29 15:14 UTC (permalink / raw)
To: ALT Linux Team development discussions
29 ноября 2012 г., 17:12 пользователь Андрей Черепанов написал:
> Нужна прокладка, адаптирующаяся к местным системным gid.
Может быть имеет смысл загнать в LDAP системные группы с такими же gidNumber ?
Чтоб прокладок не плодит ....
--
Best regards,
Dmitriy Kruglikov.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-29 15:14 ` Dmitriy Kruglikov
@ 2012-11-30 7:44 ` Андрей Черепанов
2012-11-30 7:50 ` Dmitriy Kruglikov
0 siblings, 1 reply; 12+ messages in thread
From: Андрей Черепанов @ 2012-11-30 7:44 UTC (permalink / raw)
To: devel
29.11.2012 19:14, Dmitriy Kruglikov пишет:
> 29 ноября 2012 г., 17:12 пользователь Андрей Черепанов написал:
>
>> Нужна прокладка, адаптирующаяся к местным системным gid.
> Может быть имеет смысл загнать в LDAP системные группы с такими же gidNumber ?
> Чтоб прокладок не плодит ....
Они и так уже загоняются. Но свой gidNumber получают из серверного
/etc/group, в котором gid могут отличаться от тех, что есть на том или
ином десктопе.
Соответственно, нужна прокладка между прибитым gidNumber и _именем_
группы на десктопе. Виталий предложил половину решения, когда мы можем
обеспечить одинаковый gid псевдогруппы на любой машине. Но маппирование
осуществляется по местным gid, которые нужно определять и прописывать
затем _вручную_.
--
Андрей Черепанов
ALT Linux
cas@altlinux.ru
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] Policy по назначению gid для системных групп
2012-11-30 7:44 ` Андрей Черепанов
@ 2012-11-30 7:50 ` Dmitriy Kruglikov
0 siblings, 0 replies; 12+ messages in thread
From: Dmitriy Kruglikov @ 2012-11-30 7:50 UTC (permalink / raw)
To: ALT Linux Team development discussions
30 ноября 2012 г., 9:44 пользователь Андрей Черепанов написал:
> Они и так уже загоняются. Но свой gidNumber получают из серверного
> /etc/group, в котором gid могут отличаться от тех, что есть на том или ином
> десктопе.
>
Они не должны отличаться.
Или принудительно приводиться к полиси.
Естественно, с предупреждением и возможностью отказаться.
А городить прокладки к подпоркам - тупиковое направление эволюции...
Если копнуть не очень глубоко, то окажется, что подавляющее
большинство gidNumber уже
стабилизировано.
Привести остальные к нужному состоянию, и обойтись без прокладок.
--
Best regards,
Dmitriy Kruglikov.
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2012-11-30 7:50 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2012-11-02 13:10 [devel] Policy по назначению gid для системных групп Андрей Черепанов
2012-11-02 22:53 ` Dmitry V. Levin
2012-11-03 5:31 ` Денис Смирнов
2012-11-03 15:16 ` Dmitry V. Levin
2012-11-03 8:37 ` Sergey Vlasov
2012-11-03 18:50 ` Андрей Черепанов
2012-11-03 21:30 ` Sergey Vlasov
2012-11-23 23:20 ` Vitaly Lipatov
2012-11-29 15:12 ` Андрей Черепанов
2012-11-29 15:14 ` Dmitriy Kruglikov
2012-11-30 7:44 ` Андрей Черепанов
2012-11-30 7:50 ` Dmitriy Kruglikov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git