Linux trustees - zkusenosti

Jan Havlicek havlicek na vse.cz
Pátek Červen 13 15:23:06 CEST 2003 

Pavel Kankovsky wrote:
> 
> On Fri, 13 Jun 2003, Vladimir Naprstek wrote:
> 
> > Takhle uplne jsem to nemyslel. Puvodni tazatel mluvil o pouziti  s
> > webovymi sluzbami - a to mne zajima.
> 
> Puvodni tazatel mluvil o tom, ze chtel vyresit pristupova prava k souborum
> publikovanym pres HTTP. Ja vim, ze web services je dalsi moderni gumovy
> buzzword, co se na navlect skoro na cokoli, ale v tomto kontextu i ta
> pruzna guma trochu skrti. :)
> 
> Nicmene i kdyz budeme uvazovat ty webove sluzby, tak jsou ty pripominky,
> co jsem uvedl, v zasade relevantni (byt lze snaze hledat zpusoby, jak to
> resit).

Hoho.. no trochu se diskuse odchylila od puvodniho zameru. Zkusim to
zopakovat po lopate.

<SOUC_STAV>
Uzivatele maji osobni WWW stranky wetsinou pod Novell NetWare se vsemi
dusledky z toho plynoucimi. WWW server pod NetWarem neni zrovna idealni,
neda s eskriptovat, neda se resit dynamicke prekodovani cestiny atd...
Dale pod NetWarem jedou nektere weby kateder a fakult. Nektere dalsi
jedou pod ruznymi Unix systemy s ruznymi adresami. Pro pracovistni weby
pod NetWarem nejde moc delat name based virtualy.

Kazdy uzivatel ma ucet v eDirectory stromu, pristupny pres LDAP. Mam k
dispozici vse, co potrebuji k autorizaci k Unixu (username, overeni
hesla, POSIX UID a GID.
</SOUC_STAV>

A ted idea. Linux. Apache. Na nem ma kazdy uzivatel svuj adresar s
osobnim webem. Krome toho tu jsou adresare s rekneme "skupinovymi" weby,
kam ale potrebuje mit prava zmeny vice lidi, pricemz skupiny lidi co se
staraji o ruzne stranky jsou casto ruzne se protinajici.

Existuje nekolik malo lokalnich uzivatelu (root, httpd...) a ostatni
uzivatele se autorizuji prostrednictvim LDAP. 

Jde o to, ze do osobnich adresaru si predstavuji, ze kazdy uzivatel bude
mit prava rwx------ a uzivatel httpd (lokalne zalozeny) bude pres
trustees mit vsude prava cist.

U skupinovych adresaru je to slozitejsi, protoze definovat ty nahodne
lidi do unix skupin a neustakle kontrolovat, ze se v adresari vyskytuji
spravne skupoiny neni zrovna vhodne. Proro by do techto adresaru
uzivatel httpd mel prava cist (vpodstate by toto pravo dedil z korene
nejakeho www stromu) a jednotlivi uzivatele by mely nastavena prava na
vse do daneho adresare - no a tady je zakopany hafan, nac jsem se ptal.
Mohu pres trustees nastavit prava uzivatelum, kteri nejsou v lokalnich
souborech, ale v LDAP? Prava jsou ulozeny tak jak to predpoklada dana
implementace trustees. 


Nechtel jsem ty prava cpat do LDAP. Sice by to bylo zajimave, ale v
reseni ktere predpokaldam tech  individualnich prav nebvude zase tak moc
a asi by sel naskriptovat nejaky soubor, ktery by jejich pripadnou
udrzbu usnadnoval.

Co se tyce Webservices tak si pod tim predstavuju DAV a pristup pres
ekvivalentni sluzbu v MS produktech a nijak se nezenu do vyuzivani ji.
Predpokladam, ze by tam ty lidi chodili pres SCP (WinSCP).

Jinak reseni, kdy by ty prava byly primo v LDAP, resp. v eDirectory asi
existuje, dodava ho primo Novell, ale neni zrovna levne a to ani pro
skoly.

Honza



-- 
<PRE>                         _______          ____
                              \___   |        |    |
 Jan Havlicek              _      \  |   _     \  /
 Vysoka Skola Ekonomicka  |-|   _\_| |__|_|__O__||__B<
 University of Economics  |-|---| +++     __________|)
 Prague CZ                |-|   | ++  ______________|)
 E-mail HAVLICEK na VSE.CZ |=|_|___|___________________|==|
                           -( + )<>-|-|( + )--( + )--\\\
 Keep smiling            ---------------------------------
</PRE>

Další informace o konferenci Linux