Linux trustees - zkusenosti

Jan Havlicek havlicek na vse.cz
Čtvrtek Červen 12 15:46:36 CEST 2003


Milan Kerslager wrote:
> 
> On Wed, Jun 11, 2003 at 04:23:09PM +0200, Jan Havlicek wrote:
> > Milan Kerslager wrote:
> > >
> > > On Tue, Jun 10, 2003 at 09:18:36PM +0200, Jan Havlicek wrote:
> > > > Zdravim
> > > >
> > > > Zajimalo by me, jestli ma nekdo zkusenosti s provozem Linux trustees -
> > > > http://trustees.sourceforge.net/. Radi bysme udelali na linux u hosting
> > > > server pro WWW stranky vseho mozneho, kdy by se uzivatele autorizovali
> > > > dynamicky proti LDAP na NetWare serveru (to naz experimentalne funguje).
> > >
> > > Trustees bych nepouzival, protoze do jadra smeruje http://acl.bestbits.at
> >
> > *** Vim o nich. Na prvni zbezne prohlednuti se mi Trustees libili o neco
> > vice, jednak pro ulozeni opravneni v texovem souboru a druhak pro
> > dedicnost prav smerem dolu ve strome adresaru.
> 
> Hmm, je to ale otazka poctu chyb ve zdojacich. I kdyz BestBits jsou
> znamy dlouho a dlouho se pouzivaji (a doporucuji), zda se, ze jeste na
> jare byly ve stavu, ktery nelze oznacit za produktivni (a tudiz to byla
> spise hracka nez seriozni nastroj, kdyz to neproslo stress testy jadra).
> 
> > > > No ale trik je v tom, ze je zadouci nastavit prava o neco elegantneji,
> > > > nez klasicke schema umozznuje. Liux trustees vypada jako vhodny nastroj.
> > > > Nejsem si ale jisty, jak to bude fungopvat ve spojeni s tema uzivatelema
> > > > v LDAP, predpokladam, ze soubory by uploadovaly pres SCP.
> > >
> > > LDAP != ACL na FS
> >
> > *** Pokud toto ma znamenat, ze LDAP nezajistuje ACL na FS pak to pro me
> > neni nova informace. Pokud to ma znamenat, ze pouziti LDAP pro
> > autentizaci uzivatelu _VYLUCUJE_ pouziti ACL na FS rad bych vedel proc
> > nebo nejaky trochu hlubsi rozbor.
> 
> LDAP server si uklada databazi do vlastnich struktur na disku a sam ridi
> pristup k informacim. ACL slouzi pro omezeni pristupu k souborum na FS,
> takze sice muzete LDAP serveru (tj. programu) sebrat prava pristupu do
> jeho datovych struktur, ale tim asi moc neziskate (protoze aby se ACL
> uplatnila pri pristupu do LDAP, musel by LDAP server delat auutorizaci
> proti systemove databazi hesel a autorizovat pristupujiciho uzivatele se
> vsim vsudy, tj. udelat z nej realneho systemoveho usera).
> 
> LDAP se spise pouziva bud pro ulozeni jmen, telefonu a adres nebo i jako
> databaze systemovych uzivatelu (tj. loginname + heslo). Pokud mate v
> LDAP databazi uzivatelu systemu, pak pri prihlaseni (a overeni hesla)
> jeste neni znamo, jestli to dopadne dobre, takze vsechny pozadavky
> prichazeji bez rozliseni uzivatele (na urovni systemu a moznosti
> aplikace rozdilnych ACL).

A jeste pridam rekaci od Yenji:

LDAP nevylucuje pouziti ACL na FS - LDAP je o necem uplne jinem.
To je jako byste rekl ze SMTP vylucuje pouziti ACL na FS. LDAP je
jmenna/adresarova sluzba, ACL jsou pristupova prava.

-Y.

***

Jejda.. ted jsme se do toho pekne zamotali, puvodcem jsemasi ja, zrejme
jsem nerekl uplne dobre oc mi jde. Zkusikm to znovu:

<Predpoklad>
Vim k cemu slouzi LDAP. Nechci mit LDAP server na ty masine, kde chci
mit ACL. Nechci omezovat LDAP server pomoci ACL.
</Predpoklad>

Jde mi o to, ze LDAP server na NetWare 6 bude mit v eDirectory uzivatele
NW site. Ja chci, aby tito uzivatele mohli pouzivat i sluzby Linux
serveru, konkretne pro HTTP server, takz epotrebuju, aby se tito
uzivatele mohli prihlasit k linuxu pomoci informaci z LDAP (tj.
_NEBUDOU_ v lokalnich souborech). To pres PAM lze zaridit a mame i
odzkouseno.

No a dale chci pomoci nejakeho ACL nastroje temto uzivatelum z LDAP
pridelit pristupova prava na adresare ve filesystemu, protoze klasicke
unix schema je pro nektere pripady, ktere potrebuju resit rekneme prilis
tezkopadne (i kdyz zcela nepouzitelne asi ne, ale se spravou skupin by
to pak bylo dost peklo).

Otazky byly dve:

1) Zkusenosti s Linux Trustees (a dostal jsem jak odpoved kladnou tak
varujici, vyber je na me)
2) Lze pomoci ACL toolu nastavovat prava uzivatelum,kteri jsou zalozeni
v LDAP databazi (navic bezici na jinem stroji)? V tomto pripade si
Yenjovu odpoved vykladam tak, ze obecne lze.

No nakonec si to stejne budu muset zkusit sam, chtel jsem se hlavne
vyhnout tapani slepou ulickou, ktere uz pripadne nekdo udelal prede
mnou.

***

Stejne diky

Honza



-- 
<PRE>                         _______          ____
                              \___   |        |    |
 Jan Havlicek              _      \  |   _     \  /
 Vysoka Skola Ekonomicka  |-|   _\_| |__|_|__O__||__B<
 University of Economics  |-|---| +++     __________|)
 Prague CZ                |-|   | ++  ______________|)
 E-mail HAVLICEK na VSE.CZ |=|_|___|___________________|==|
                           -( + )<>-|-|( + )--( + )--\\\
 Keep smiling            ---------------------------------
</PRE>


Další informace o konferenci Linux