[devel] Проблемы привилегий и ролей

Пт Фев 22 17:30:01 MSK 2008

2008/2/22 Led <ledest на gmail.com>:
> Friday, 22 February 2008 15:43:34 Evgeny Sinelnikov написав:
>
>
> > Здравствуйте,
>  >
>  > 2008/2/22 Michael Shigorin <mike на osdn.org.ua>:
>  > > On Fri, Feb 22, 2008 at 01:29:42AM +0300, Dmitry V. Levin wrote:
>  > >  > Какая может быть пользая от такого упрощения?
>  > >
>  > >  Насколько понимаю, предлагается объезд отсутствия иерархических
>  > >  групп в POSIX для случаев, когда одной группы мало, а набор групп
>  > >  повторяется для существенного числа пользователей и лучше бы
>  > >  регулировался именно как "отдельно набор, отдельно список
>  > >  пользователей".
>  >
>  > Фактически, да. Эти наборы, я назвал собственно ролями, для которых
>  > попытался найти схему расширения в зависимости от списка
>  > установленного ПО, добавляющего новые группы. Эти группы,
>  > как правило, можно назвать привилегиями.
>  >
>  > Предполагается, как минимум, две политики по отношению привилегий,
>  > предоставляемых вновь установленным ПО, к текущим ролям:
>  > 1) Привилегии назначаются вручную - то как это уже сейчас работает при
>  > использовании групп
>  > 2) Привилегии, при первой установке пакета, добавляются в определённую
>  > роль. При этом, после перелогина, все кому назначена эта роль получают
>  > новую привилегию.
>
>  А вот "роли из пакетов" - пожалуйста, не надо. Не хватало, чтобы
>  пакеты "администрировали систему" и разрешали что-то целым группам,
>  подгруппам и группировкам.

Что значит не надо? В этом их основная цель и задумка. Пожалуйста, прочтите
внимательно то, что я описывал на примере настройки samba usershare:
http://lists.altlinux.org/pipermail/devel/2008-February/070036.html
Смысл как раз в том, чтобы после установки пакета, который должен что-то
предоставить пользователю, это было сразу получено, а не требовало
дополнительных действий. Иначе толку от этого будет не так уж много.
Вообще ещё раз попытаюсь объяснить смысл "роли из пакета":
1) Устанавливаем пакет, ну скажем тот же vdr, с которого я начал весь этот
разговор.
2) Этот пакет скажем будеть создавать группу vdr.
3) Хотелось бы чтобы для этого пакета, который используется с конкретной целью,
не приходилось после установки пакета лезть в /etc/group и добавлять
нужных пользователей
4.1) При использовании модуля ролей это можно улучшить, предоставив возможность
добавления нужной привилегии к роли. Тогда не придётся искать всех
пользователей, а
будет достаточно только изменить роль. Это первая политика, о которой я говорил.
4.2) При автоматическом внесении привилегии в заданную роль во время установки,
новая привилегия сразу появится у пользователей с соотвествующей ролью. Это
вторая политика о которой я говорил.

Какую лучше политику использовать, нужно решать в зависимости от приложения.
Тем не менее. Если исходить из задачи использования компьютера, как
средства, эти
политики внешне отличаются следующим:
Будет у меня всё работать после установки пакета или нужно будет ещё
где-то пошаманить?

Вы же предлагаетет исключительно шаманить. В этом я с вами не
согласен. Например,
устанавливая тот же vdr, я планирую его использовать и обычно планирую, чтобы им
пользовались все. Чтобы кому-то это запретить мне в любом случае нужно
что-то настраивать.
Но зачем вынуждать себя что-то настраивать, ещё и для того, чтобы
что-то разрешить,
причём всегда? Бывают случаи, конечно... Но это отдельные случаи...
Для них как раз
1 вариант политики и предусмотрен.

-- 
Sin (Sinelnikov Evgeny)