Linux trustees - zkusenosti

[Petr Kubicek]

On Fri, Jun 13, 2003 at 04:24:18PM +0200, Dan Ohnesorg wrote:
> Dne Fri, Jun 13, 2003 at 03:23:06PM +0200, Jan Havlicek napsal:
> 
> > U skupinovych adresaru je to slozitejsi, protoze definovat ty nahodne
> > lidi do unix skupin a neustakle kontrolovat, ze se v adresari vyskytuji
> > spravne skupoiny neni zrovna vhodne. Proro by do techto adresaru
> > uzivatel httpd mel prava cist (vpodstate by toto pravo dedil z korene
> > nejakeho www stromu) a jednotlivi uzivatele by mely nastavena prava na
> > vse do daneho adresare - no a tady je zakopany hafan, nac jsem se ptal.
> > Mohu pres trustees nastavit prava uzivatelum, kteri nejsou v lokalnich
> > souborech, ale v LDAP? Prava jsou ulozeny tak jak to predpoklada dana
> > implementace trustees. 
> 
> No ja bych je daval do LDAP skupin a adresarum prava podle tech ldap skupin.
> Jinak z hlediska ACL je uplne jedno, jestli je uzivatel lokalni nebo v LDAP,
> v ACL bude ulozeny UID/GID a jaky k nemu pritece pres nejake dalsi sluzby
> uzivatel je ACL jedno.
> 
> > Jinak reseni, kdy by ty prava byly primo v LDAP, resp. v eDirectory asi
> > existuje, dodava ho primo Novell, ale neni zrovna levne a to ani pro
> > skoly.
> 
> Tohle snad ani to eDirectory neumi, ale videl jsem to u CA, nicmene cenu
> neznam. Kdyby tak nekdo udelal GNU verzi NDS, to by bylo krasne. Sprava prav
> v jejich pojeti mi fakt moc chybi. Ale kdyz tak o tom premyslim, NDS ma
> souborova prava asi taky jen na disku u tech souboru. Prece kdyz mam volume
> offline, tak nemuzu zobrazit trustees uzivatelu na tom disku.
> 

vzdyt to IMHO nejde, proc by meli byt prava ulozena jinde nez
na FS. LDAP udela skupiny uzivatele atd., ale jak muzu do
jakekoliv adresarove sluzby nacpat prava pro objekty na FS.
Kdyz se budu vyhybat pouziti uzivatelu a vse budu delat pres
skupiny, tak marne hledam i priklad pouziti asi ten patek
13-teho.

petr