From: "Evgeny Sinelnikov" <sin@altlinux.ru>
To: "ALT Linux Team development discussions" <devel@lists.altlinux.org>
Subject: Re: [devel] Проблемы привилегий и ролей
Date: Fri, 22 Feb 2008 12:35:19 +0300
Message-ID: <921f6bb40802220135w57179618n1aa4dbcc31cde196@mail.gmail.com> (raw)
In-Reply-To: <47BE7AC1.7080403@altlinux.com>
2008/2/22 Anton Farygin <rider@altlinux.com>:
> Led пишет:
>
>
> > Friday, 22 February 2008 00:51:43 Evgeny Sinelnikov написав:
> >> 2008/2/22 Dmitry V. Levin <ldv@altlinux.org>:
> >>> On Thu, Feb 21, 2008 at 09:25:34AM +0300, Evgeny Sinelnikov wrote:
> >>> [...]
> >>>
> >>>> 3) При входе в систему, кроме стандартных групп из /etc/group, новый
> >>>> модуль
> >>>>
> >>> > добавляет пользователю дополнительные привилегии (тоже группы) из
> >>> > файла /etc/roles:
> >>> > users: xgrp, cdwriter
> >>> > wheel: webmaster, kqemu
> >>> > То есть, всем, кто входят в группу users, будут дополнительно
> >>> > назначены xgrp и cdwriter, а всем, кто входит в группу wheel -
> >>> > webmaster и kqemu.
> >>>
> >>> Т.е. предлагается грубая система разграничения доступа по супергруппам
> >>> взамен тонкого разграничения доступа по группам.
> >>> Какая может быть пользая от такого упрощения?
> >> Исходная схема по группам не упраздняется, а расширяется схемой по
> >> супергруппам.
> >> Для демонстрации снова привожу свой пример:
> >> Группа sambа, назначается тем, кто умеет писать в каталог
> >> /var/lib/samba/usershare, настроим для этого самбу как показано здесь
> >> (http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil)
> >> . Да, на этот каталог можно добавить ACL, а можно добавлять
> >> пользователей в группу samba вручную. Одно от другого, по факту
> >> необходимости выполнять дополнительные действия, никак не отличимо. И
> >> то, и другое крайне не удобно. Хочется сделать так:
> >>
> >> * назначаем роли users привилегию samba, по умолчанию
> >> * при добавлении новых пользователей они автоматически добавляются
> >> в группу users, а поскольку группе users, как роли, назначена
> >> привилегия samba, то она автоматически к ним применяется
> >> * при установке пакета предоставляющего эту привилегию, она
> >> назначется роли users. И все, кто входят группу users автоматически,
> >> после перелогина, получают эту привилегию
> >> * при желании изментить политику привилегии samba, она передаётся
> >> другой роли или назначается отдельным пользователям как группа
> >
> > Звучит вроде бы и логично, но... ИМХО теряется чёткий контроль...
> >
>
> Да, путаница будет довольно большая.
>
Ну, это кому как... Кому не кажется не удобным, каждый раз при установке новой
программы, добавлять себя в группу, тому будет путаница. Кому не кажется не
удобным, при добавлении нового пользователя, вспоминать в какие группы его нужно
не забыть добавить, чтобы не оказалось, что у него нет прав на действия, которые
есть у старых пользователей, тому будет путаница. Кому не кажется не удобным
повторять все эти действия на каждой вновь установленной машине для каждого
вновь созданного пользователя, тому будет путаница. Вот только для большинства
применений на десктопе это не путаница, а возможность избавить себя от лишних
действий.
Кстати, я полагаю, что схема с файлом при таком исходе будет менее удобна,
поскольку это потребует явной зависимости от пакета libnss_role, для всех
желающих им воспользоватся даже опционально. Чтобы этого избежать
проще запускать скрипт. Но тут возникает вопрос. Как, в этом случае, отличить
ситуацию, когда мы в первый раз устанавливаем пакет от ситуациии, когда пакет
обновляется? Насколько я помню это можно сделать на уровне условий в
пост-скриптах rpm. Есть ли по этому поводу идеи?
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2008-02-22 9:35 UTC|newest]
Thread overview: 21+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-02-21 5:27 ` Хихин Руслан
2008-02-21 18:19 ` Хихин Руслан
2008-02-21 21:30 ` Evgeny Sinelnikov
2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
2008-02-21 23:46 ` Led
2008-02-22 7:33 ` Anton Farygin
2008-02-22 9:35 ` Evgeny Sinelnikov [this message]
2008-02-22 13:24 ` Денис Смирнов
2008-02-22 11:13 ` Michael Shigorin
2008-02-22 13:43 ` Evgeny Sinelnikov
2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
2008-02-22 14:30 ` Evgeny Sinelnikov
2008-02-23 5:01 ` Хихин Руслан
2008-02-22 13:23 ` Денис Смирнов
2008-02-23 5:04 ` Хихин Руслан
2008-02-21 6:36 ` Ildar Mulyukov
2008-02-21 6:45 ` Ildar Mulyukov
2008-02-21 10:11 ` Alexey Shabalin
2008-02-21 11:33 ` Eugene Ostapets
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=921f6bb40802220135w57179618n1aa4dbcc31cde196@mail.gmail.com \
--to=sin@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git