Linux trustees - zkusenosti
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Pátek Červen 13 09:16:10 CEST 2003
On Fri, 13 Jun 2003, Vladimir Naprstek wrote:
> Moc by se mi libilo, kbyby i informace o opravnenich byla ulozena v
> LDAP. Pak by kompletni sprava uzivatele byla na jednom miste. Pokud
> byste neceho podobneho dosahl, byl bych moc rad, kdybyste se podelil o
> zkusenosti...
Toho se asi dosahne dost tezko a to nejmene ze tri duvodu:
1. pristupova prava musi kontrolovat jadro, a kdyz by se kvuli tomu
melo dotazovat LDAPu, tak to nebude nijak zvlast rychle a je
zadelano na osklive deadlocky (lze to nejak resit, ale uz to neni
tak elegantni)
2. nemame zadny univerzalne pouzitelny zpusob jak provazat zaznamy
v LDAPu se soubory ci jinymi objekty, ke kterym se ta prava vztahuji,
3. operace typu vytvoreni ci zruseni objektu (pripadne i dalsi)
se stavaji distribuovanymi transakcemi se vsemi problemy z toho
plynoucimi
Dovedu si predstavit, ze se do LDAPu ulozi nejaky vysokourovnovy profil
typu uzivatel U smi spoustet /usr/bin/nudnaaplikace, ale nesmi do
/use/games, ale pristupova prava pro kazdy soubor...to asi ne.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux