Chyba v NFS? Co s tim?

[Michal Ludvig]

Milan Kuchta wrote:

> >takova chybicka v navrhu NFS, rekl bych. Kdyz je uzivatel root na svem
> >stroji a ma pripojen sdileny disk ze serveru, nic mu nebrani dat 
> >'su nekdojiny' a razem ma pristup do libovolneho adresare, at uz pouziju
> 
> Myslim, ze spatny navrh na vasi strane. Prvni zasada pri pouziti NFS (a nejen
> jeho) rika, vzdy uzivateli zpristupnovat jen ty zdroje co nutne potrebuje.

Maji sdileny adresar /home, ktery se pripoji na kazdy comp. Ja vim, ze to
neni idealni, ale jak jinak to zaridit, aby clovek mohl sedet prakticky
kdekoliv a mel porad stejny home? K tomu prave smerovala moje otazka - jak
to udelat, aby to nemuselo byt takhle blbe. Ze je to spatny navrh je mi
jasne, ale nic lepsiho po ruce nebylo.

> No nevim, mozna zkusit network block device od Pavla Machka, s tim ovsem
> nemam zkusenosti:-(

To jsem taky studoval, ale nejak jsem neprisel na to, cim by mi to
pomohlo. Zase by se autorizovalo podle UID, ktery si kazdy muze libovolne
zmenit.

> >umoznuje nejakou jinou autorizaci na serveru nez jednoduse podle UID?
> >Ne(vy)resil uz nekdo tanto problem?
> 
> Treba pouzit distrubuovany fs jako coda. Ovsem, take bez zaruky. Osobne bych
> Vam navrhl si lepe nakonfigurovat NFS, ktere, at tomu nemusite verit, muze
> byt pri spravne konfiguraci i relativne bezpecne.

No fajn, ale jak bezpecne? Chtel bych se tady dobrat nejake konkretni
rady; ze "by to chtelo zmenit" to vim taky.

Nepomohl by necemu Kerberos? Ja o tom vim jen ze existuje a ze
server vydava jakesi tickety, ktere se pouzivaji pri pristupu k
jednotlivym zdrojum. Ale umi podle toho ten server autorizovat pristupy k
NFS? A oznacuje ten ticket uzivatele opravdu jednoznacne?

Michal Ludvig