Linux trustees - zkusenosti

Milan Kerslager milan.kerslager na pslib.cz
Středa Červen 11 19:43:22 CEST 2003 

On Wed, Jun 11, 2003 at 04:23:09PM +0200, Jan Havlicek wrote:
> Milan Kerslager wrote:
> > 
> > On Tue, Jun 10, 2003 at 09:18:36PM +0200, Jan Havlicek wrote:
> > > Zdravim
> > >
> > > Zajimalo by me, jestli ma nekdo zkusenosti s provozem Linux trustees -
> > > http://trustees.sourceforge.net/. Radi bysme udelali na linux u hosting
> > > server pro WWW stranky vseho mozneho, kdy by se uzivatele autorizovali
> > > dynamicky proti LDAP na NetWare serveru (to naz experimentalne funguje).
> > 
> > Trustees bych nepouzival, protoze do jadra smeruje http://acl.bestbits.at
> 
> *** Vim o nich. Na prvni zbezne prohlednuti se mi Trustees libili o neco
> vice, jednak pro ulozeni opravneni v texovem souboru a druhak pro
> dedicnost prav smerem dolu ve strome adresaru. 

Hmm, je to ale otazka poctu chyb ve zdojacich. I kdyz BestBits jsou
znamy dlouho a dlouho se pouzivaji (a doporucuji), zda se, ze jeste na
jare byly ve stavu, ktery nelze oznacit za produktivni (a tudiz to byla
spise hracka nez seriozni nastroj, kdyz to neproslo stress testy jadra).

> > > No ale trik je v tom, ze je zadouci nastavit prava o neco elegantneji,
> > > nez klasicke schema umozznuje. Liux trustees vypada jako vhodny nastroj.
> > > Nejsem si ale jisty, jak to bude fungopvat ve spojeni s tema uzivatelema
> > > v LDAP, predpokladam, ze soubory by uploadovaly pres SCP.
> > 
> > LDAP != ACL na FS
> 
> *** Pokud toto ma znamenat, ze LDAP nezajistuje ACL na FS pak to pro me
> neni nova informace. Pokud to ma znamenat, ze pouziti LDAP pro
> autentizaci uzivatelu _VYLUCUJE_ pouziti ACL na FS rad bych vedel proc
> nebo nejaky trochu hlubsi rozbor. 

LDAP server si uklada databazi do vlastnich struktur na disku a sam ridi
pristup k informacim. ACL slouzi pro omezeni pristupu k souborum na FS,
takze sice muzete LDAP serveru (tj. programu) sebrat prava pristupu do
jeho datovych struktur, ale tim asi moc neziskate (protoze aby se ACL
uplatnila pri pristupu do LDAP, musel by LDAP server delat auutorizaci
proti systemove databazi hesel a autorizovat pristupujiciho uzivatele se
vsim vsudy, tj. udelat z nej realneho systemoveho usera).

LDAP se spise pouziva bud pro ulozeni jmen, telefonu a adres nebo i jako
databaze systemovych uzivatelu (tj. loginname + heslo). Pokud mate v
LDAP databazi uzivatelu systemu, pak pri prihlaseni (a overeni hesla)
jeste neni znamo, jestli to dopadne dobre, takze vsechny pozadavky
prichazeji bez rozliseni uzivatele (na urovni systemu a moznosti
aplikace rozdilnych ACL).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Linux