From: "Evgeny Sinelnikov" <sin@altlinux.ru>
To: "ALT Linux Team development discussions" <devel@lists.altlinux.org>
Subject: Re: [devel] libnss_role
Date: Mon, 17 Nov 2008 00:15:48 +0300
Message-ID: <921f6bb40811161315r18016f11nfdc3e7d07e6597e@mail.gmail.com> (raw)
In-Reply-To: <200811162249.05965.ledest@gmail.com>
16 ноября 2008 г. 23:49 пользователь Led <ledest@gmail.com> написал:
> On Sunday, 16 November 2008 22:45:17 Evgeny Sinelnikov wrote:
>> 16 ноября 2008 г. 23:26 пользователь Led <ledest@gmail.com> написал:
>> > On Sunday, 16 November 2008 22:06:40 Dmitriy M. Maslennikov wrote:
>> >> 16 ноября 2008 г. 22:58 пользователь Led <ledest@gmail.com> написал:
>> >> > Есть. Как я ни смотрел (и вдоль, и поперёк) - так и не увидел зачем
>> >> > там нужен nss-модуль. Мне кажется, что неколько утилит могли бы
>> >> > поддерживать этот ролевой уровень абстракции (с периодическим или по
>> >> > крону синком /etc/group и /etc/role
>> >>
>> >> По-моему, задача этого модуля как раз упразнить эти "несколько утилит
>> >> и синк по крону".
>> >
>> > Она решает задачу синхронизации /etc/role с /etc/group, если в последнем
>> > произршли изменения?
>>
>> Предполагается, что локальные идентификаторы обычно не меняются, иначе
>> придётся пробегать по всей файловой системе и изменять их вручную, в
>> этом случае можно и в /etc/role их изменить... Я подумаю как бы то
>> сделать с помощью утилиты, но в общем-то пока не вижу иного выхода,
>> чем вручную, впрочем как и для файловой системы...
>
> Ну, тогда зачем nss-модуль, если всё равно - "вручную"?
>
Я, конечно, пишу длинные письма, но обоснование я давал... :)
http://lists.altlinux.org/pipermail/devel/2008-November/163025.html
Модуль нужен чтобы сформировать так называемые nested groups, для
реализации локальной политики рабочей станции.
Преимущества у этого подхода два:
1. Локальное преимущество:
1.1. не нужно пробивать в утилитах настройки списки групп - достаточно
одной или нескольких групп-ролей.
1.2. легко добавить всех пользователей выбранной категории (роли) во
все нужные группы, не забыв никого
1.3. легко удалить всех нужных пользователей выбранной категории
(роли), не забыв никого (хотят тут есть вопрос об исключениях)
1.4. легко создать новую категорию (роль) пользователей и перемещать
пользователей из категории в категроию. При этом права категорий
(ролей) назначаются отдельно, поэтому легко ими оперировать...
1.5. появляется возможность задать политику по умолчанию, вносящую
привилегии от устанавливаемых приложений в заданные категории (admins,
power, users)
2. Глобальное преимущество:
2.1. Появляется возможность отделить локальную политику от глобальных
объектов. То есть не переносить необходимость хранения этих локальных
настроек на сервер, привязываясь к нему.
2.2. При этом, получается гибкий инструмент для предоставления
локальных привилегий глобальным группам путём включения этих
глобальных групп в локальные роли. То есть достаточно на любом
компьютере в сети внести группу global_users в группу users и члены
global_users получат все привилегии, что и локальные пользователи.
Причём, не заданные на сервере, а такие какие были настроены на этой
рабочей станции.
--
Sin (Sinelnikov Evgeny)
prev parent reply other threads:[~2008-11-16 21:15 UTC|newest]
Thread overview: 8+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-11-16 18:18 Dmitry V. Levin
2008-11-16 19:42 ` Dmitriy M. Maslennikov
2008-11-16 19:58 ` Led
2008-11-16 20:06 ` Dmitriy M. Maslennikov
2008-11-16 20:26 ` Led
2008-11-16 20:45 ` Evgeny Sinelnikov
2008-11-16 20:49 ` Led
2008-11-16 21:15 ` Evgeny Sinelnikov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=921f6bb40811161315r18016f11nfdc3e7d07e6597e@mail.gmail.com \
--to=sin@altlinux.ru \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git