[devel] Проблемы привилегий и ролей
Evgeny Sinelnikov
=?iso-8859-1?q?sin_=CE=C1_altlinux=2Eru?=
Пт Фев 22 17:30:01 MSK 2008
2008/2/22 Led <ledest на gmail.com>:
> Friday, 22 February 2008 15:43:34 Evgeny Sinelnikov написав:
>
>
> > Здравствуйте,
> >
> > 2008/2/22 Michael Shigorin <mike на osdn.org.ua>:
> > > On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
> > > > Какая может быть пользая от такого упрощения?
> > >
> > > Насколько понимаю, предлагается объезд отсутствия иерархических
> > > групп в POSIX для случаев, когда одной группы мало, а набор групп
> > > повторяется для существенного числа пользователей и лучше бы
> > > регулировался именно как "отдельно набор, отдельно список
> > > пользователей".
> >
> > Фактически, да. Эти наборы, я назвал собственно ролями, для которых
> > попытался найти схему расширения в зависимости от списка
> > установленного ПО, добавляющего новые группы. Эти группы,
> > как правило, можно назвать привилегиями.
> >
> > Предполагается, как минимум, две политики по отношению привилегий,
> > предоставляемых вновь установленным ПО, к текущим ролям:
> > 1) Привилегии назначаются вручную - то как это уже сейчас работает при
> > использовании групп
> > 2) Привилегии, при первой установке пакета, добавляются в определённую
> > роль. При этом, после перелогина, все кому назначена эта роль получают
> > новую привилегию.
>
> А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
> пакеты "администрировали систему" и разрешали что-то целым группам,
> подгруппам и группировкам.
Что значит не надо? В этом их основная цель и задумка. Пожалуйста, прочтите
внимательно то, что я описывал на примере настройки samba usershare:
http://lists.altlinux.org/pipermail/devel/2008-February/070036.html
Смысл как раз в том, чтобы после установки пакета, который должен что-то
предоставить пользователю, это было сразу получено, а не требовало
дополнительных действий. Иначе толку от этого будет не так уж много.
Вообще ещё раз попытаюсь объяснить смысл "роли из пакета":
1) Устанавливаем пакет, ну скажем тот же vdr, с которого я начал весь этот
разговор.
2) Этот пакет скажем будеть создавать группу vdr.
3) Хотелось бы чтобы для этого пакета, который используется с конкретной целью,
не приходилось после установки пакета лезть в /etc/group и добавлять
нужных пользователей
4.1) При использовании модуля ролей это можно улучшить, предоставив возможность
добавления нужной привилегии к роли. Тогда не придётся искать всех
пользователей, а
будет достаточно только изменить роль. Это первая политика, о которой я говорил.
4.2) При автоматическом внесении привилегии в заданную роль во время установки,
новая привилегия сразу появится у пользователей с соотвествующей ролью. Это
вторая политика о которой я говорил.
Какую лучше политику использовать, нужно решать в зависимости от приложения.
Тем не менее. Если исходить из задачи использования компьютера, как
средства, эти
политики внешне отличаются следующим:
Будет у меня всё работать после установки пакета или нужно будет ещё
где-то пошаманить?
Вы же предлагаетет исключительно шаманить. В этом я с вами не
согласен. Например,
устанавливая тот же vdr, я планирую его использовать и обычно планирую, чтобы им
пользовались все. Чтобы кому-то это запретить мне в любом случае нужно
что-то настраивать.
Но зачем вынуждать себя что-то настраивать, ещё и для того, чтобы
что-то разрешить,
причём всегда? Бывают случаи, конечно... Но это отдельные случаи...
Для них как раз
1 вариант политики и предусмотрен.
--
Sin (Sinelnikov Evgeny)
Подробная информация о списке рассылки Devel