[Comm] Членство во множестве групп

[Dmitriy M. Maslennikov]

8 ноября 2008 г. 10:42 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov на gmail.com> написал:
> Попробовать ввести "лишние группы" в одну группу, а потом в эту группу
> ввести пользователя.
> Сам не пробовал... Если получится, хвастайтесь ...
> По идее, должно сработать, но не гарантирую...
>
> P.S. Думаю, не нужно уточнять, что в группе не должно быть больше
> 16-ти подгрупп,
> а эта сводная группа не должна превышать номер 16 в списке групп пользователя.
Ничего не выйдет. Что там написано в каком файле никого не волнует.
Ядро отслеживает только список групп процесса. Они наследуются. Софт
для входа в систему может определять группы пользователя любым
способом (через файл /etc/groups -- просто традиция), и запускает шелл
пользователя с полученными идентификаторами групп, которые в
дальнейшем просто наследуются. Поэтому всякие фокусы вроде группы в
группе -- всего лишь помощь админу в задании групп пользователя, ядро
же видит только линейный список идентификаторов. И весь софт, которого
не обучили иному специально -- тоже.

Проблема NFS в том, что в нем по стандарту клиент сам отсылает
идентификаторы групп пользователя на сервер, чтобы тот мог управлять
правами. 16 групп -- ограничение протокола. Веселые проблемы возникают
когда пользователи и группы на клиенте и сервере не синхронизированы.
Кроме того, по указанной ссылке сказано, что сейчас есть возможность
использовать Kerberos (GSSAPI) для аутентификации и в этом случае
сервер сам будет получать группы пользователя. Для этого придется
настроить KDC сервер и всех клиентов на работу с ним.

Чтобы постоянно не мучаться с синхронизацией авторизационной
информации очень рекомендую вынести ее в центральное хранилище,
например в LDAP-сервер.

Есть как минимум один проект облегчающий настройку Kerberos+LDAP --
FreeIPA. Он есть в Fedora. Alt в качестве клиента к нему нам вполне
удавалось подключить.

-- 
Dmitriy M. Maslennikov
rlz на etersoft.ru
rlz на altlinux.org
maslennikovdm на gmail.com
master на armory.ru