[devel] Policy по назначению gid для системных групп

[devel] Policy по назначению gid для системных групп

[Андрей Черепанов]

Маппинг групп при аутентификации через LDAP выявил проблему разных gid 
для одной системной группы на разных машинах. Как я понимаю, этот вопрос 
отсуждался в 2004 году и привёл к драфту policy
http://www.altlinux.org/Pseudo_User_Policy

Предлагаю вернуться к обсуждению и всё-таки договориться и принять policy.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [devel] Policy по назначению gid для системных групп

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1332 bytes --]

On Fri, Nov 02, 2012 at 05:10:34PM +0400, Андрей Черепанов wrote:
> Маппинг групп при аутентификации через 
> LDAP выявил проблему разных gid для одной 
> системной группы на разных машинах. Как я 
> понимаю, этот вопрос отсуждался в 2004 году 
> и привёл к драфту policy
> http://www.altlinux.org/Pseudo_User_Policy

Там написано, что "идея создавать служебные аккаунты динамически при
установке пакета сама по себе чревата несовместимостью uid/gid различных
инсталляций, что создаёт вполне реальные проблемы с резервным копированием
(восстановлением данных в контексте другого сервера)".

К сожалению, там не расшифровано, каким образом из несовпадения uid/gid в
разных системах вытекают "вполне реальные проблемы", поскольку совершенно
не очевидно, какие именно типовые сценарии резервного копирования имел в
виду автор.

С другой стороны, там в конце есть ссылки на разные интересные обсуждения,
которые имеет смысл посмотреть.

В сухом остатке, реализовать враппер с логикой
useradd "user with specified uid if that uid is available, or with any
other available uid if that uid is already taken" и соответствующий
макрос к нему выглядит делом несложным, а вот как эффективно реализовать
единый реестр всех этих uid'ов, никто не предложил.  Может, завести
для этого страницу на wiki? :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Policy по назначению gid для системных групп

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 664 bytes --]

On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:

DVL> В сухом остатке, реализовать враппер с логикой
DVL> useradd "user with specified uid if that uid is available, or with any
DVL> other available uid if that uid is already taken" и соответствующий
DVL> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
DVL> единый реестр всех этих uid'ов, никто не предложил.  Может, завести
DVL> для этого страницу на wiki? :)

Может сделать пакет с этими двумя таблицами (group<->gid, user<->uid)?

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Policy по назначению gid для системных групп

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 3274 bytes --]

On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:
> > http://www.altlinux.org/Pseudo_User_Policy
> 
> Там написано, что "идея создавать служебные аккаунты динамически при
> установке пакета сама по себе чревата несовместимостью uid/gid различных
> инсталляций, что создаёт вполне реальные проблемы с резервным копированием
> (восстановлением данных в контексте другого сервера)".
> 
> К сожалению, там не расшифровано, каким образом из несовпадения uid/gid в
> разных системах вытекают "вполне реальные проблемы", поскольку совершенно
> не очевидно, какие именно типовые сценарии резервного копирования имел в
> виду автор.
> 
> С другой стороны, там в конце есть ссылки на разные интересные обсуждения,
> которые имеет смысл посмотреть.

Можно ещё посмотреть, что в этой области делают в других
дистрибутивах.

Например, в Fedora официальная текущая политика пока что не
предусматривает статическое назначение uid/gid:

  http://fedoraproject.org/wiki/Packaging:UsersAndGroups

Однако у них ещё есть пакет fedora-usermgmt, с помощью которого можно
обеспечить одинаковые uid/gid на разных машинах, но только после
предварительной настройки со стороны администратора (что в случае,
если пакеты, использующие fedora-usermgmt, устанавливаются в процессе
установки системы, приводит к необходимости подсовывать инсталятору
собственный репозиторий с пакетом, содержащим нужные настройки).

  http://fedoraproject.org/wiki/PackageUserCreation

(там внизу несколько ссылок на обсуждения этого вопроса).  Без
дополнительных настроек идентификаторы остаются динамическими.

На самом деле проблема выросла из того, что LSB предусматривает для
статически назначаемых идентификаторов пользователей лишь диапазон
0-99, а диапазон 100-499 предназначается для динамического назначения:

  http://refspecs.linuxfoundation.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/uidrange.html

Однако диапазона 0-99 уже давно не хватает.  В RHEL 6 решили
проигнорировать написанное в LSB "should" и расширили диапазон
статических идентификаторов до 0-199, при этом динамические
идентификаторы назначаются в диапазоне 200-499, но сверху вниз, а
статические идентификаторы, назначаемые локальным администратором,
предлагается назначать начиная с 300.

  https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Migration_Planning_Guide/ch07s06.html

> В сухом остатке, реализовать враппер с логикой
> useradd "user with specified uid if that uid is available, or with any
> other available uid if that uid is already taken" и соответствующий
> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
> единый реестр всех этих uid'ов, никто не предложил.  Может, завести
> для этого страницу на wiki? :)

Собственно, в Fedora так и сделано:

  http://fedoraproject.org/wiki/PackageUserRegistry

Но там это относительные идентификаторы для fedora-usermgmt;
выделением диапазона для статических идентификаторов должен заниматься
администратор, либо может быть использован пакет
fedora-usermgmt-default-fedora-setup, в котором по умолчанию в
качестве баового идентификатора устанавливается 300 (однако без
переключения альтернатив идентификаторы всё равно останутся
динамическими).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Policy по назначению gid для системных групп

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 770 bytes --]

On Sat, Nov 03, 2012 at 09:31:12AM +0400, Денис Смирнов wrote:
> On Sat, Nov 03, 2012 at 02:53:11AM +0400, Dmitry V. Levin wrote:
> 
> DVL> В сухом остатке, реализовать враппер с логикой
> DVL> useradd "user with specified uid if that uid is available, or with any
> DVL> other available uid if that uid is already taken" и соответствующий
> DVL> макрос к нему выглядит делом несложным, а вот как эффективно реализовать
> DVL> единый реестр всех этих uid'ов, никто не предложил.  Может, завести
> DVL> для этого страницу на wiki? :)
> 
> Может сделать пакет с этими двумя таблицами (group<->gid, user<->uid)?

Такой пакет уже существует, его зовут setup, с файлами
/usr/share/base-passwd/*.  Но вносить туда изменения мейнтейнерам
неудобно.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Policy по назначению gid для системных групп

[Андрей Черепанов]

[-- Attachment #1: Type: Text/Plain, Size: 394 bytes --]

3 ноября 2012 Sergey Vlasov написал:
> Например, в Fedora официальная текущая политика пока что не
> предусматривает статическое назначение uid/gid:
> 
>   http://fedoraproject.org/wiki/Packaging:UsersAndGroups
Официально, конечно нет, но в пакетах (том же nss-pam-ldapd демону назначают 
группу ldap с фиксированным gid) прибивают gid гвоздями.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Policy по назначению gid для системных групп

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 748 bytes --]

On Sat, Nov 03, 2012 at 10:50:50PM +0400, Андрей Черепанов wrote:
> 3 ноября 2012 Sergey Vlasov написал:
> > Например, в Fedora официальная текущая политика пока что не
> > предусматривает статическое назначение uid/gid:
> > 
> >   http://fedoraproject.org/wiki/Packaging:UsersAndGroups
> Официально, конечно нет, но в пакетах (том же nss-pam-ldapd демону назначают 
> группу ldap с фиксированным gid) прибивают gid гвоздями.

Это, видимо, как раз пакет из тех, которые "равнее" (и идентификатор
там из статического диапазона 0-99).  В изначальном обсуждении там
упоминается разница между Fedora Core и Fedora Extras, которую с тех
пор вроде бы отменили, но, получается, не совсем (и в любом случае
диапазона 0-99 на всех не хватит).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] Policy по назначению gid для системных групп

[Vitaly Lipatov]

Андрей Черепанов писал 2012-11-02 17:10:
> Маппинг групп при аутентификации через LDAP выявил проблему разных
> gid для одной системной группы на разных машинах. Как я понимаю, этот
На всякий случай напомню про libnss-role, который позволяет мапить 
глобальные группы (из LDAP) в локальные (принятые
в конкретной системе):
http://tartarus.ru/projects/libnss-role/wiki
-- 
С уважением,
Виталий Липатов,
Etersoft

Re: [devel] Policy по назначению gid для системных групп

[Андрей Черепанов]

24.11.2012 03:20, Vitaly Lipatov пишет:
> Андрей Черепанов писал 2012-11-02 17:10:
>> Маппинг групп при аутентификации через LDAP выявил проблему разных
>> gid для одной системной группы на разных машинах. Как я понимаю, этот
> На всякий случай напомню про libnss-role, который позволяет мапить
> глобальные группы (из LDAP) в локальные (принятые
> в конкретной системе):
> http://tartarus.ru/projects/libnss-role/wiki
Нужна прокладка, адаптирующаяся к местным системным gid.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [devel] Policy по назначению gid для системных групп

[Dmitriy Kruglikov]

29 ноября 2012 г., 17:12 пользователь Андрей Черепанов написал:

> Нужна прокладка, адаптирующаяся к местным системным gid.
Может быть имеет смысл загнать в LDAP системные группы с такими же gidNumber ?
Чтоб прокладок не плодит ....



-- 
Best regards,
 Dmitriy Kruglikov.

Re: [devel] Policy по назначению gid для системных групп

[Андрей Черепанов]

29.11.2012 19:14, Dmitriy Kruglikov пишет:
> 29 ноября 2012 г., 17:12 пользователь Андрей Черепанов написал:
>
>> Нужна прокладка, адаптирующаяся к местным системным gid.
> Может быть имеет смысл загнать в LDAP системные группы с такими же gidNumber ?
> Чтоб прокладок не плодит ....
Они и так уже загоняются. Но свой gidNumber получают из серверного 
/etc/group, в котором gid могут отличаться от тех, что есть на том или 
ином десктопе.

Соответственно, нужна прокладка между прибитым gidNumber и _именем_ 
группы на десктопе. Виталий предложил половину решения, когда мы можем 
обеспечить одинаковый gid псевдогруппы на любой машине. Но маппирование 
осуществляется по местным gid, которые нужно определять и прописывать 
затем _вручную_.

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [devel] Policy по назначению gid для системных групп

[Dmitriy Kruglikov]

30 ноября 2012 г., 9:44 пользователь Андрей Черепанов  написал:

> Они и так уже загоняются. Но свой gidNumber получают из серверного
> /etc/group, в котором gid могут отличаться от тех, что есть на том или ином
> десктопе.
>
Они не должны отличаться.
Или принудительно приводиться к полиси.
Естественно, с предупреждением и возможностью отказаться.
А городить прокладки к подпоркам - тупиковое направление эволюции...

Если копнуть не очень глубоко, то окажется, что подавляющее
большинство gidNumber уже
стабилизировано.
Привести остальные к нужному состоянию, и обойтись без прокладок.

-- 
Best regards,
 Dmitriy Kruglikov.