[devel] Проблемы привилегий и ролей

Evgeny Sinelnikov =?iso-8859-1?q?sin_=CE=C1_altlinux=2Eru?=
Чт Фев 21 10:47:48 MSK 2008


2008/2/21 Ildar Mulyukov <ildar на altlinux.ru>:

> On 21.02.2008 12:36:45, Ildar Mulyukov wrote:
> > On 21.02.2008 11:03:19, Evgeny Sinelnikov wrote:
> > > Типичным решением этой проблемы является ...
> >
> > А ACL такие вещи не умеет?
>
> Имел в виду следующее:
> Вроде как какой-то (POSIX?) стандарт на ACL существует. Возможно, там
> уже прописано что-то подобное, и, возможно, существует реализация.
>

Я не знаю таких частей в POSIX, но могу ещё посмотреть... Реализации
вероятно есть, но все они так или иначе - расширение стандарта. Вообще все
фишки дистрибутивов, в том числе и наши, это произведения на тему расширения
стандарта. Данное предложение, на самом деле, расширяет возможности
дистрибутива стандартными средствами. Я бы с трудом назвал его расширением
именно стандарта. Rsbac, в таком случае - мега нестандартное расширение :)
Если говорить про ACL, то это только список прав на действия над объектом.
То есть то, на основе чего проверяются полномочия по уже заданым
привилегиям. Я же писал о решении по расширению возможностей предоставления
стандартных привилегий. То, что  является набором групп назначенных
пользователю. То, на основе чего вычисляются по ACL итоговые полномочия. ACL
здесь не мешают, но и никак не помогают.
Например, группа sambа, назначается тем, кто умеет писать в каталог
/var/lib/samba/usershare, настроим для этого самбу как показано
здесь<http://gentoo.ovibes.net/nautilus-share/mediawiki-1.4.4/index.php/Accueil>.
Да, на этот каталог можно добавить ACL, а можно добавлять пользователей в
группу samba вручную. Одно от другого, по факту необходимости выполнять
дополнительные действия, никак не отличимо. И то, и другое крайне не удобно.
Хочется сделать так:

   - назначаем роли users привилегию samba, по умолчанию
   - при добавлении новых пользователей они автоматически добавляются в
   группу users, а поскольку группе users, как роли, назначена привилегия
   samba, то она автоматически к ним применяется
   - при установке пакета предоставляющего эту привилегию, она назначется
   роли users. И все, кто входят группу users автоматически, после перелогина,
   получают эту привилегию
   - при желании изментить политику привилегии samba, она передаётся
   другой роли или назначается отдельным пользователям как группа

-- 
Sin (Sinelnikov Evgeny)
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20080221/22f4e937/attachment-0002.html>


Подробная информация о списке рассылки Devel