uzivatele a prava

[Martin Pokorny]

Matus UHLAR - fantomas napsal(a):

>
>Ja som chcel predovsetkym ukazat, ze aj ked sa niektore riesenia zdaju
>najlepsie, casto vobec nie su nevyhnutne ani nepridavaju na efektivite a
>prehladnosti. 
>
>  
>
>>Mejme skupiny S1..Sx, adresare A1..Ax, uzivatele U1..Ux a pozadavek:
>>A1 = S1 bez pristupu, S2 cteni, S3 cteni/zapis do stavajich/zakaz mazat 
>>a vytvaret, S4 vse,
>>A2 = S1 cteni/zapis/zakaz mazat, S2 vse, S3 bez pristupu
>>... atd.
>>K datu D1-D100 jsou uzivatele nejak prideleni do skupin a ted:
>>- odejte U50 a prijde misto neho D101, prebira jeho praci, musi mit 
>>pravo k jeho souborum
>>- U40 prejde ze skupiny S1 do S3
>>...atd.
>>Kazda skupina napr. 20 uzivatelu.
>>
>>U cca 300 uzivatelu a cca na 20 zakladnich skupin  reflektujicich roli 
>>uzivatelu ve firme neznam _prehlednejsi_ a jednodussi zpusob, nez 
>>veskera prava vztahovat ke skupinam a uzivatele pak rozhazovat po 
>>skupinach. Samozrejme je pak uzivatel clenem hodne skupin - linuxovych 
>>standardnich 16 je dost malo.
>>    
>>
>
>Jednoznacne, takto to vsak vobec neodporuje unixovskej filozofii
>pridelovania prav ani tomu, ako by to clovek riesil na unixe - pre rozne
>ulohy vytvarat skupiny a pouzivatelov priradovat do nich.
>  
>
Jenze to neresi toto:
a) U101 se nedostane do souboru vytvorenych odejitym uzivatelem D50. 
Admin musi vsechna prava prepsat. Nebo se pletu?
b) Kdyz kdokoli vytvori soubor v adresari, kam ma plny pristup cela 
skupina, tak je stejne jen "jeho". Bez zmeny prav do nej nikdo nezapise. 
Nebo se pletu?
c) U40, po prechodu ze grp S1 do S3 ztrati pristup do adr. A1. Jenze ma 
stale zcela pristupne soubory, co vytvoril (neb je jejich vlastnik), 
prestoze by spravne nemel - neodpovida to nastavenym pravum. Nebo se pletu?

Je mi jasne, ze to nadefinovat standardnimi prostredky linuxu lze, 
problem je udrzba, aby v tom nebyl za chvili bordel. A prave cistota a 
prehlednost byla v jenom z prvnim prispevku (uz nevim koho) vyzdvihovana 
a ja proste nevidim, jak ji prakticky udrzet. Teorie o perfektne 
vyskolenych uzivatelich jsou jen zatim akademicke fantazie administratoru.

>  
>
>>Co je na techto pozadavcich nestandardniho? Co je na snaze udrzet 
>>pruhlednou vazbu zarizeni-skupina a skupina-uzivatel zvracenoho nebo 
>>logicky spatneho?
>>    
>>
>
>nic. v unize by som to tiez (asi) riesil takto
>  
>
... jsem rad :-)

>>A hlavne, jak mam zajistit reseni techto pozadavku bez dolepovani acl a
>>studia zdrojaku - tudiz, jak byste to resil vy - jednuduseji a
>>prehledneji, kdyz jsou ta linuxova prava tak skvela a problemy jsou jen
>>hloupost adminu?
>>    
>>
>
>To som nepovedal, prosim neprekrucajte moje slova. Povedal som ze na 99%
>pripadov staci unixova filozofia.
>  
>
Nic neprekrucuji, ale jedna se debata vedla o zakladnich pravech a ne 
nadstavbach (ja to taky nakonec resim sambou), ale hlavne 1% .... to 
jsou spis vyjimky, nebo mozna dokonce vyjimky z vyjimek a ne realny 
provoz. Tim tedy neprimo rikate, ze na bezny realny provoz (viz ukazka v 
uvodu) staci linuxova filozofie a  s tim jednoduse (zatim :-)  ) 
nesouhlasim.

>Je mi jasne, ze ak mame 100 pouzivatelov a 100 roznych ukonov/suborov,
>pricom jednotlivi pouzivatelia maju prava vykonavat rozne kombinacie ukonov
>(citat a zapisovat do roznych suborov), bez ACL to bude zrejme strach a
>hroza. Otazka vsak je, preco by take mnozstvo pouzivatelov malo mat pravo na
>tolko roznych kombinacii ukonov... 
>
>Vo firmach sa pouzivatelia vacsinou rozdeluju do hierarchickych oddeleni, a
>kazdy clovek nepracuje naraz v roznych oddeleniach. Toto je (mozno) struktura
>mozgovych synapsii ale nie organizacnej struktury...
>
>  
>
Naprosty souhlas.

M.