Linux trustees - zkusenosti

[Pavel Kankovsky]

On Fri, 13 Jun 2003, Vladimir Naprstek wrote:

> Moc by se mi libilo, kbyby i informace o opravnenich byla ulozena v 
> LDAP. Pak by kompletni sprava uzivatele byla na jednom miste. Pokud 
> byste neceho podobneho dosahl, byl bych moc rad, kdybyste se podelil o 
> zkusenosti...

Toho se asi dosahne dost tezko a to nejmene ze tri duvodu:

1. pristupova prava musi kontrolovat jadro, a kdyz by se kvuli tomu
   melo dotazovat LDAPu, tak to nebude nijak zvlast rychle a je
   zadelano na osklive deadlocky (lze to nejak resit, ale uz to neni
   tak elegantni)

2. nemame zadny univerzalne pouzitelny zpusob jak provazat zaznamy
   v LDAPu se soubory ci jinymi objekty, ke kterym se ta prava vztahuji,

3. operace typu vytvoreni ci zruseni objektu (pripadne i dalsi)
   se stavaji distribuovanymi transakcemi se vsemi problemy z toho
   plynoucimi

Dovedu si predstavit, ze se do LDAPu ulozi nejaky vysokourovnovy profil
typu uzivatel U smi spoustet /usr/bin/nudnaaplikace, ale nesmi do
/use/games, ale pristupova prava pro kazdy soubor...to asi ne.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."