From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mikhailnov@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00
 autolearn=unavailable autolearn_force=no version=3.4.1
To: Evgeny Sinelnikov <sin@altlinux.org>,
 Mikhail Novosyolov <mikhailnov@altlinux.org>
References: <CAK42-GqieHA6dGkX2=koagSUTF+z=A2noiMkj5_h8kobxrAR+w@mail.gmail.com>
 <CAK42-GqjrO45hWpXxsq+91NhX+9AdxO9W0GHNSZ1751ujS5SSA@mail.gmail.com>
 <CAK42-GqS-c7YnntyL1Twxcpwq1t4gWwHSzHsNnWfha6Ok9Hx0A@mail.gmail.com>
 <6bc0e860-59d6-80e6-5f2e-aa376bbb053b@dumalogiyamail.ru>
 <CAK42-GpjPVtwTFoAwwqt0t4m5nn8jHccSR=7EwO59vMjhbfsvw@mail.gmail.com>
From: Mikhail Novosyolov <mikhailnov@altlinux.org>
Message-ID: <ae5d9587-aa14-1c53-24a1-c280e96054eb@dumalogiyamail.ru>
Date: Thu, 28 Nov 2019 16:56:03 +0300
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101
 Thunderbird/68.2.1
MIME-Version: 1.0
In-Reply-To: <CAK42-GpjPVtwTFoAwwqt0t4m5nn8jHccSR=7EwO59vMjhbfsvw@mail.gmail.com>
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 8bit
Content-Language: ru-RU
Cc: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] =?utf-8?b?0J3QtdC70L7QutCw0LvRjNC90YvQuSDQstCw0YDQuNCw?=
 =?utf-8?b?0L3RgiDQvdCw0YHRgtGA0L7QtdC6IFBBTSAoc3lzdGVtLWF1dGgg0Lggc3lz?=
 =?utf-8?q?tem-policy=29?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 28 Nov 2019 13:56:14 -0000
Archived-At: <http://lore.altlinux.org/devel/ae5d9587-aa14-1c53-24a1-c280e96054eb@dumalogiyamail.ru/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Добрый вечер!

28.11.2019 08:52, Evgeny Sinelnikov пишет:
> Доброе утро!
>
> чт, 28 нояб. 2019 г. в 05:14, Mikhail Novosyolov <mikhailnov@altlinux.org>:
>> 27.11.2019 22:16, Evgeny Sinelnikov пишет:
>>> <...>
>>>>> <...>
>>>>> Настройка system-policy расширяемая и включает в себя, по умолчанию,
>>>>> две политики - local и global.
>>>>>
>>>>> ~ # control system-policy help
>>>>> global: global session policy with mkhomedir
>>>>> local: local session policy
>>>>> ~ # control system-policy summary
>>>>> system session policy type
>>>>> ~ # control system-policy help
>>>>> global: global session policy with mkhomedir
>>>>> local: local session policy
>>>>> ~ # control system-policy
>>>>> local
>>>>>
>>>>> По сути, первая от второй отличается только одним - наличием модуля
>>>>> pam_mkhomedir.so
>>>>>
>>>>> ~ # cat /etc/pam.d/system-policy-local
>>>>> #%PAM-1.0
>>>>> session         required        pam_mktemp.so
>>>>> session         required        pam_limits.so
>>>>> ~ # cat /etc/pam.d/system-policy-global
>>>>> #%PAM-1.0
>>>>> session         required        pam_mktemp.so
>>>>> session         required        pam_mkhomedir.so silent
>>>>> session         required        pam_limits.so
>>>>>
>>>>> <...>
>>>>>
>> Хотелось бы поинтересоваться, рассматривали ли вы вопрос pam_mkhomedir
>> vs pam_oddjob_mkhomedir?
> Рассматривали. Пока не определились.
>
>> Использовать dbus для создания домашней директории из-под pam кажется
>> совсем перебором, но то, что это решает проблемы с контекстами selinux
>> (https://access.redhat.com/discussions/903523#comment-766163), весьма
>> разумно.
> Нет, я не думаю, что это сильно перебор. Сейчас dbus везде. Ну, просто
> везде. NetworkManager - это dbus, udisks2 - тоже, polkit - снова...
Разумно... Спасибо за ответ. Это не будет нормально работать при логине, 
когда система не запущена, но такое может быть разве что в chroot, так 
что почти не актуально.
> В штуках сейчас этих попугаев, как раз, тридцать восемь у меня:
> $ LC_ALL=C apt-cache whatdepends libdbus | grep "Depends:
> <libdbus-1.so.3()(64bit)>" | wc -l
> 38
>
> Ну, и да... Именно вопрос selinux для RedHat был ключевым в данном случае.
>
> В нашем случае. Вот прям сейчас. Сделан pam_oddjob_gpupdate, взят за
> основу pam_oddjob_mkhomedir и отпилен от основного проекта:
> https://github.com/altlinux/oddjob-gpupdate
> http://git.altlinux.org/people/sin/packages/oddjob-gpupdate.git
Круто! Но разобраться в этом очень сложно, т.к. не сохранена 
оригинальная история git, невозможно понять, какие изменения были сделаны.
> Это модуль, позволяющий запускать из-под пользователя инструмент по
> обновлению групповых политик с правами администратора. Служба oddjob
> используется в данном случае для двух задач:
> - для запуска процесса обновления групповых политик во время логина;
> - для ручного запуска обновления групповых политик пользователем.
>
> Сам gpupdate разрабатывается отдельно и готовится вместе в
> oddjob-gpupdate уехать в сизиф.
>
> Собственно, ради гибкого управления настройками этих модулей нам и
> понадобился новый, гибкий control-метод system-policy, тесно увязанный
> с уже существующим control-методом system-auth.
А authconfig не рассматривали? Я почти не смотрел control, в нем 
какие-то скрипты для редактирования конфигов pam, не придете ли вы с ним 
к authconfig - куче слабо предсказуемых if..else?