Linux trustees - zkusenosti
Jan Havlicek
havlicek na vse.cz
Pátek Červen 13 15:23:06 CEST 2003
Pavel Kankovsky wrote:
>
> On Fri, 13 Jun 2003, Vladimir Naprstek wrote:
>
> > Takhle uplne jsem to nemyslel. Puvodni tazatel mluvil o pouziti s
> > webovymi sluzbami - a to mne zajima.
>
> Puvodni tazatel mluvil o tom, ze chtel vyresit pristupova prava k souborum
> publikovanym pres HTTP. Ja vim, ze web services je dalsi moderni gumovy
> buzzword, co se na navlect skoro na cokoli, ale v tomto kontextu i ta
> pruzna guma trochu skrti. :)
>
> Nicmene i kdyz budeme uvazovat ty webove sluzby, tak jsou ty pripominky,
> co jsem uvedl, v zasade relevantni (byt lze snaze hledat zpusoby, jak to
> resit).
Hoho.. no trochu se diskuse odchylila od puvodniho zameru. Zkusim to
zopakovat po lopate.
<SOUC_STAV>
Uzivatele maji osobni WWW stranky wetsinou pod Novell NetWare se vsemi
dusledky z toho plynoucimi. WWW server pod NetWarem neni zrovna idealni,
neda s eskriptovat, neda se resit dynamicke prekodovani cestiny atd...
Dale pod NetWarem jedou nektere weby kateder a fakult. Nektere dalsi
jedou pod ruznymi Unix systemy s ruznymi adresami. Pro pracovistni weby
pod NetWarem nejde moc delat name based virtualy.
Kazdy uzivatel ma ucet v eDirectory stromu, pristupny pres LDAP. Mam k
dispozici vse, co potrebuji k autorizaci k Unixu (username, overeni
hesla, POSIX UID a GID.
</SOUC_STAV>
A ted idea. Linux. Apache. Na nem ma kazdy uzivatel svuj adresar s
osobnim webem. Krome toho tu jsou adresare s rekneme "skupinovymi" weby,
kam ale potrebuje mit prava zmeny vice lidi, pricemz skupiny lidi co se
staraji o ruzne stranky jsou casto ruzne se protinajici.
Existuje nekolik malo lokalnich uzivatelu (root, httpd...) a ostatni
uzivatele se autorizuji prostrednictvim LDAP.
Jde o to, ze do osobnich adresaru si predstavuji, ze kazdy uzivatel bude
mit prava rwx------ a uzivatel httpd (lokalne zalozeny) bude pres
trustees mit vsude prava cist.
U skupinovych adresaru je to slozitejsi, protoze definovat ty nahodne
lidi do unix skupin a neustakle kontrolovat, ze se v adresari vyskytuji
spravne skupoiny neni zrovna vhodne. Proro by do techto adresaru
uzivatel httpd mel prava cist (vpodstate by toto pravo dedil z korene
nejakeho www stromu) a jednotlivi uzivatele by mely nastavena prava na
vse do daneho adresare - no a tady je zakopany hafan, nac jsem se ptal.
Mohu pres trustees nastavit prava uzivatelum, kteri nejsou v lokalnich
souborech, ale v LDAP? Prava jsou ulozeny tak jak to predpoklada dana
implementace trustees.
Nechtel jsem ty prava cpat do LDAP. Sice by to bylo zajimave, ale v
reseni ktere predpokaldam tech individualnich prav nebvude zase tak moc
a asi by sel naskriptovat nejaky soubor, ktery by jejich pripadnou
udrzbu usnadnoval.
Co se tyce Webservices tak si pod tim predstavuju DAV a pristup pres
ekvivalentni sluzbu v MS produktech a nijak se nezenu do vyuzivani ji.
Predpokladam, ze by tam ty lidi chodili pres SCP (WinSCP).
Jinak reseni, kdy by ty prava byly primo v LDAP, resp. v eDirectory asi
existuje, dodava ho primo Novell, ale neni zrovna levne a to ani pro
skoly.
Honza
--
<PRE> _______ ____
\___ | | |
Jan Havlicek _ \ | _ \ /
Vysoka Skola Ekonomicka |-| _\_| |__|_|__O__||__B<
University of Economics |-|---| +++ __________|)
Prague CZ |-| | ++ ______________|)
E-mail HAVLICEK na VSE.CZ |=|_|___|___________________|==|
-( + )<>-|-|( + )--( + )--\\\
Keep smiling ---------------------------------
</PRE>
Další informace o konferenci Linux