[devel] Управление группами пользователя
Evgeny Sinelnikov
=?iso-8859-1?q?sin_=CE=C1_info=2Esgu=2Eru?=
Пт Ноя 14 22:28:42 MSK 2008
14 ноября 2008 г. 22:11 пользователь Dmitriy M. Maslennikov
<maslennikovdm на gmail.com> написал:
> 14 ноября 2008 г. 21:49 пользователь Alexander Bokovoy
> <ab на altlinux.org> написал:
>> Можно отвечать по существу, а не заниматься флеймом?
>>
>> Я прочитал обоснование, которое в качестве примеров приводит типичные
>> примеры администрирования однообразных машин в организациях. Нигде там
>> не приведен use case, который специфичен для одного компьютера, везде
>> речь идет об "администрировании большого парка компьютеров и большого
>> числа пользователей". Указанные задачи хорошо решаются с помощью уже
>> существующего решения (LDAP/nss_ldap и RFC 2307bis) около пяти-шести
>> лет.
> А теперь прочитайте мое первое сообщение. Там предложение, где это
> можно применить в AltLinux при отсутствии "большого парка" и прочего.
Подтверждаю и привожу ниже ;)
14 ноября 2008 г. 19:53 пользователь Dmitriy M. Maslennikov
<maslennikovdm на gmail.com> написал:
> Для нормальной работы пользователям в Linux необходимо являться членом
> некоторых групп, например cdwriter, audio.
>
> Сейчас модуль альтератора создающий пользователей добавляет их в эти
> группы автоматически. Этот список жестко забит в исходниках модуля и
> не позволяет управлять этим процессом.
>
Было бы неплохо в этом плане определить несколько групп (в нашей
терминологии ролей) и прибить их гвоздями. А остальные группы, которые
расчитаны на предоставление тех или иных привилегий просто вносить в
эти группы по мере необходимости и в зависимости от выбранной
политики.
Например, я считаю, что после установки virtualbox vboxusers мог бы
автоматически вноситься в группу users, а с помощью дополнительной
ручки, напрмиер conrtrol, мог бы переключаться. Варианты переключения
с именем и описанием, я и называю отдельной политикой.
Пример номер два. Анаолгично тому как vboxusers может вноситься, по
умолчанию, в группу users, группа tcpdump может вноситься в группу
admins и также переключаться политикой.
Политики по умолчанию могут различаться и сами по себе иметь разный
смысл. То есть кроме простой группировки групп (в нашей терминологии
привилегий) на десктопе, мы получаем архитектуру, которая прозрачно
ложится на расширение для работы в рамках сети, когда глобальные
группы вносятся в локальные роли, получая тем самым весь набор нужных
привилегий, которые применяются на данном компьютере в настройках его
политик.
--
Sin (Sinelnikov Evgeny)
Подробная информация о списке рассылки Devel