From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <47BE7AC1.7080403@altlinux.com> Date: Fri, 22 Feb 2008 10:33:21 +0300 From: Anton Farygin User-Agent: Thunderbird 2.0.0.6 (X11/20070804) MIME-Version: 1.0 To: ALT Linux Team development discussions References: <921f6bb40802202103y65c513ecvca6eb7d1bd823c97@mail.gmail.com> <20080221222942.GC24048@wo.int.altlinux.org> <921f6bb40802211451w488e8da2uce823f900487900f@mail.gmail.com> <200802220146.48422.ledest@gmail.com> In-Reply-To: <200802220146.48422.ledest@gmail.com> Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] =?koi8-r?b?8NLPwszFzdkg0NLJ18nMxcfJyiDJINLPzMXK?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.9 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 22 Feb 2008 07:33:26 -0000 Archived-At: List-Archive: List-Post: Led пишет: > Friday, 22 February 2008 00:51:43 Evgeny Sinelnikov написав: >> 2008/2/22 Dmitry V. Levin : >>> On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote: >>> [...] >>> >>>> 3) При входе в систему, кроме стандартных групп из /etc/group, новый >>>> модуль >>>> >>> > добавляет пользователю дополнительные привилегии (тоже группы) из >>> > файла /etc/roles: >>> > users: xgrp, cdwriter >>> > wheel: webmaster, kqemu >>> > То есть, всем, кто входят в группу users, будут дополнительно >>> > назначены xgrp и cdwriter, а всем, кто входит в группу wheel - >>> > webmaster и kqemu. >>> >>> Т.е. предлагается грубая система разграничения доступа по супергруппам >>> взамен тонкого разграничения доступа по группам. >>> Какая может быть пользая от такого упрощения? >> Исходная схема по группам не упраздняется, а расширяется схемой по >> супергруппам. >> Для демонстрации снова привожу свой пример: >> Группа sambа, назначается тем, кто умеет писать в каталог >> /var/lib/samba/usershare, настроим для этого самбу как показано здесь >> (http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil) >> . Да, на этот каталог можно добавить ACL, а можно добавлять >> пользователей в группу samba вручную. Одно от другого, по факту >> необходимости выполнять дополнительные действия, никак не отличимо. И >> то, и другое крайне не удобно. Хочется сделать так: >> >> * назначаем роли users привилегию samba, по умолчанию >> * при добавлении новых пользователей они автоматически добавляются >> в группу users, а поскольку группе users, как роли, назначена >> привилегия samba, то она автоматически к ним применяется >> * при установке пакета предоставляющего эту привилегию, она >> назначется роли users. И все, кто входят группу users автоматически, >> после перелогина, получают эту привилегию >> * при желании изментить политику привилегии samba, она передаётся >> другой роли или назначается отдельным пользователям как группа > > Звучит вроде бы и логично, но... ИМХО теряется чёткий контроль... > Да, путаница будет довольно большая.