From: "Evgeny Sinelnikov" <sin@altlinux.ru>
To: "ALT Linux Team development discussions" <devel@lists.altlinux.org>
Subject: Re: [devel] Проблемы привилегий и ролей
Date: Fri, 22 Feb 2008 17:30:01 +0300
Message-ID: <921f6bb40802220630u5f5ad56es9614319c8966d4e4@mail.gmail.com> (raw)
In-Reply-To: <200802221557.30309.ledest@gmail.com>
2008/2/22 Led <ledest@gmail.com>:
> Friday, 22 February 2008 15:43:34 Evgeny Sinelnikov написав:
>
>
> > Здравствуйте,
> >
> > 2008/2/22 Michael Shigorin <mike@osdn.org.ua>:
> > > On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> > > > Какая может быть пользая от такого упрощения?
> > >
> > > Насколько понимаю, предлагается объезд отсутствия иерархических
> > > групп в POSIX для случаев, когда одной группы мало, а набор групп
> > > повторяется для существенного числа пользователей и лучше бы
> > > регулировался именно как "отдельно набор, отдельно список
> > > пользователей".
> >
> > Фактически, да. Эти наборы, я назвал собственно ролями, для которых
> > попытался найти схему расширения в зависимости от списка
> > установленного ПО, добавляющего новые группы. Эти группы,
> > как правило, можно назвать привилегиями.
> >
> > Предполагается, как минимум, две политики по отношению привилегий,
> > предоставляемых вновь установленным ПО, к текущим ролям:
> > 1) Привилегии назначаются вручную - то как это уже сейчас работает при
> > использовании групп
> > 2) Привилегии, при первой установке пакета, добавляются в определённую
> > роль. При этом, после перелогина, все кому назначена эта роль получают
> > новую привилегию.
>
> А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
> пакеты "администрировали систему" и разрешали что-то целым группам,
> подгруппам и группировкам.
Что значит не надо? В этом их основная цель и задумка. Пожалуйста, прочтите
внимательно то, что я описывал на примере настройки samba usershare:
http://lists.altlinux.org/pipermail/devel/2008-February/070036.html
Смысл как раз в том, чтобы после установки пакета, который должен что-то
предоставить пользователю, это было сразу получено, а не требовало
дополнительных действий. Иначе толку от этого будет не так уж много.
Вообще ещё раз попытаюсь объяснить смысл "роли из пакета":
1) Устанавливаем пакет, ну скажем тот же vdr, с которого я начал весь этот
разговор.
2) Этот пакет скажем будеть создавать группу vdr.
3) Хотелось бы чтобы для этого пакета, который используется с конкретной целью,
не приходилось после установки пакета лезть в /etc/group и добавлять
нужных пользователей
4.1) При использовании модуля ролей это можно улучшить, предоставив возможность
добавления нужной привилегии к роли. Тогда не придётся искать всех
пользователей, а
будет достаточно только изменить роль. Это первая политика, о которой я говорил.
4.2) При автоматическом внесении привилегии в заданную роль во время установки,
новая привилегия сразу появится у пользователей с соотвествующей ролью. Это
вторая политика о которой я говорил.
Какую лучше политику использовать, нужно решать в зависимости от приложения.
Тем не менее. Если исходить из задачи использования компьютера, как
средства, эти
политики внешне отличаются следующим:
Будет у меня всё работать после установки пакета или нужно будет ещё
где-то пошаманить?
Вы же предлагаетет исключительно шаманить. В этом я с вами не
согласен. Например,
устанавливая тот же vdr, я планирую его использовать и обычно планирую, чтобы им
пользовались все. Чтобы кому-то это запретить мне в любом случае нужно
что-то настраивать.
Но зачем вынуждать себя что-то настраивать, ещё и для того, чтобы
что-то разрешить,
причём всегда? Бывают случаи, конечно... Но это отдельные случаи...
Для них как раз
1 вариант политики и предусмотрен.
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2008-02-22 14:30 UTC|newest]
Thread overview: 21+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-02-21 5:27 ` Хихин Руслан
2008-02-21 18:19 ` Хихин Руслан
2008-02-21 21:30 ` Evgeny Sinelnikov
2008-02-21 22:29 ` Dmitry V. Levin
2008-02-21 22:51 ` Evgeny Sinelnikov
2008-02-21 23:46 ` Led
2008-02-22 7:33 ` Anton Farygin
2008-02-22 9:35 ` Evgeny Sinelnikov
2008-02-22 13:24 ` Денис Смирнов
2008-02-22 11:13 ` Michael Shigorin
2008-02-22 13:43 ` Evgeny Sinelnikov
2008-02-22 13:57 ` Led
2008-02-22 14:01 ` Mikhail Gusarov
2008-02-22 14:30 ` Evgeny Sinelnikov [this message]
2008-02-23 5:01 ` Хихин Руслан
2008-02-22 13:23 ` Денис Смирнов
2008-02-23 5:04 ` Хихин Руслан
2008-02-21 6:36 ` Ildar Mulyukov
2008-02-21 6:45 ` Ildar Mulyukov
2008-02-21 10:11 ` Alexey Shabalin
2008-02-21 11:33 ` Eugene Ostapets
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=921f6bb40802220630u5f5ad56es9614319c8966d4e4@mail.gmail.com \
--to=sin@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git