<br><br><div class="gmail_quote">2008/2/21 Ildar Mulyukov <<a href="mailto:ildar@altlinux.ru">ildar@altlinux.ru</a>>:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On 21.02.2008 12:36:45, Ildar Mulyukov wrote:<br>
> On 21.02.2008 11:03:19, Evgeny Sinelnikov wrote:<br>
> > Типичным решением этой проблемы является ...<br>
><br>
> А ACL такие вещи не умеет?<br>
<br>
</div>Имел в виду следующее:<br>
Вроде как какой-то (POSIX?) стандарт на ACL существует. Возможно, там<br>
уже прописано что-то подобное, и, возможно, существует реализация.<br>
</blockquote><div><br>Я не знаю таких частей в POSIX, но могу ещё посмотреть... Реализации вероятно есть, но все они так или иначе - расширение стандарта. Вообще все фишки дистрибутивов, в том числе и наши, это произведения на тему расширения стандарта. Данное предложение, на самом деле, расширяет возможности дистрибутива стандартными средствами. Я бы с трудом назвал его расширением именно стандарта. Rsbac, в таком случае - мега нестандартное расширение :)<br>
Если говорить про ACL, то это только список прав на действия над объектом. То есть то, на основе чего проверяются полномочия по уже заданым привилегиям. Я же писал о решении по расширению возможностей предоставления стандартных привилегий. То, что является набором групп назначенных пользователю. То, на основе чего вычисляются по ACL итоговые полномочия. ACL здесь не мешают, но и никак не помогают.<br>
Например, группа sambа, назначается тем, кто умеет писать в каталог /var/lib/samba/usershare, настроим для этого самбу как показано <a href="http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil">здесь</a>. Да, на этот каталог можно добавить ACL, а можно добавлять пользователей в группу samba вручную. Одно от другого, по факту необходимости выполнять дополнительные действия, никак не отличимо. И то, и другое крайне не удобно. Хочется сделать так:<br>
<ul><li>назначаем роли users привилегию samba, по умолчанию</li><li>при добавлении новых пользователей они автоматически добавляются в группу users, а поскольку группе users, как роли, назначена привилегия samba, то она автоматически к ним применяется<br>
</li><li>при установке пакета предоставляющего эту привилегию, она назначется роли users. И все, кто входят группу users автоматически, после перелогина, получают эту привилегию</li><li>при желании изментить политику привилегии samba, она передаётся другой роли или назначается отдельным пользователям как группа<br>
</li></ul></div></div>-- <br>Sin (Sinelnikov Evgeny)