[devel] Проблемы привилегий и ролей

Evgeny Sinelnikov =?iso-8859-1?q?sin_=CE=C1_altlinux=2Eru?=
Чт Фев 21 08:03:19 MSK 2008


Здравствуйте

2008/2/20 Anton Farygin <rider на altlinux.com>:

> Dmitry V. Levin пишет:
> > On Wed, Feb 20, 2008 at 07:56:02PM +0300, Anton Farygin wrote:
> >> Dmitry V. Levin пишет:
> >>> On Wed, Feb 20, 2008 at 07:42:41PM +0300, Вячеслав Диконов wrote:
> >>>> В Срд, 20/02/2008 в 11:10 +0400, Sergey Y. Afonin пишет:
> >>>>> On Wednesday 20 February 2008, Вячеслав Диконов wrote:
> >>>>>
> >>>>>> Потому что ее еще надо создать и включить в нее всех
> пользователей-людей,
> >>>>> А почему всех ?
> >>>> Потому что включать комп в режиме спутникового ресивера хотят все
> члены
> >>>> семьи, и потому что нет смысла дополнительно усложнять сложно
> >>>> устроенное. Настольный комп с VDR и так еж с ужом.
> >>> Этот VDR без X'ов вообще работает?
> >> Как правило - нет.
> >
> > Существует ли смысл давать пользователю, у которого нет прав запустить X
> > сервер на рабочей станции, права управлять каталогами VDR?
>
> Если это VDR сервер - то стоит.
>
> Но в нормальных системах VDR это решается на уровне клиент-серверной
> архитектуры. Здесь - не знаю, я не знаком с обсуждаемым продуктом.
>
> На мой взгляд - не стоит, всегда можно сделать группу. Это ничего не
> стоит, как и включить в эту группу всех пользователей, которым к ней
> нужен доступ.
>

Затронутая здесь тема, имеет глубокие корни в особенностях стандартных
средств Unix для предоставления прав. Семантически группы в Unix играют роль
привилегий, которые можно назначить/запретить отдельному пользователю. Но
объёмы растут и число привилегий умноженное даже на пару-тройку локальных
пользователей в системе (про сетевых я пока даже не говорю, хотя стоит)
превращается немыслимое для администрирования число, особенно если
полученный результат умножить ещё на пару-тройку домашних компьютеров.

Типичным решением этой проблемы является создание шаблонов, которым
назначаются привилегии - ролей. Иначе говоря, это можно представить либо
введением объекта роль, либо расширением позволяющим вносить группы в
группы. Роли, в данном случае назначаются пользователям, а стандартные
группы, определяющие привилегии, ролям. Является ли при этом сама роль
группой или нет, означает можно ли это решение назвать группами в группах
или нет. Для реализации этого решения необходимо расширить список
стандартных nss модулей для групп дополнительным. Этот модуль должен
расширять привилегии, при вычислении итогового списка групп, назначаемых
пользователю по его ролям. При  добавлении новых пакетов, желающих расширить
список привилегий, этот модуль будет учитывать дополнительные привилегии,
регистрируемые этими пакетами по какой-либо стандартной схеме. Например,
файлом в спец. каталоге /etc/roles.d. Такое решение может не только помочь
для администрирования локальных пользователей, но и помочь с предоставлением
прав для сетевых, которым достаточно выдать однажды роль.


-- 
Sin (Sinelnikov Evgeny)
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20080221/3c2d6ab8/attachment-0002.html>


Подробная информация о списке рассылки Devel