LINUX.ORG.RU
ФорумAdmin

LDAP + EXT3 ACL


0

0

Где бы прочитать, как настроить доступ пользователям в LDAP к файловой системе Ext3?

Я уже выяснил, что ядро умеет работать с ACL на ext3, что PAM может работать с LDAP. Но мне до сих пор так и неясно, как все настроить от начала и до конца.

Может статья какая есть на эту тему?

XFS не предлагать - она не FS по умолчанию в RedHAT.
Тренируюсь на Gentoo для понимания процесса, ставить буду на RHEL.

доступ будет осуществляться из Java-приложения (продукт Oracle Secure Enterprise Search) к локальной файловой системе.

ArsenShnurkov
() автор топика
Ответ на: комментарий от Redfoxnet

к какой системе? к ядру или к java-программе?

я так понимаю, что к обеим. Сильно помогли бы конкретные команды - что и как сделать...

ArsenShnurkov
() автор топика
Ответ на: комментарий от ArsenShnurkov

Зачем крутить к ядру? Настрой PAM, чтобы пользователи из LDAP могли логинится в систему и тогда можно будет управлять их правами как и тех, кто записан в passwd.

Redfoxnet
()
Ответ на: комментарий от Redfoxnet

думаю pam не поможет, ибо джавушное приложение будет выполнятся от имени юзера, который запускает сервер приложений.
Хотя я не знаю, может эта оракловская весчь дочерние процессы от юзверей пускает - тогда должно работать, если pam сделать. статей тьма, хоть на опеннете

cyclope
()

ну дебилы.. причем здесь PAM?
написано же нужно LDAP -> ACL -> EXT3
это означает:
LDAP -> NSS -> ACL EXT3
все!

anonymous
()
Ответ на: комментарий от anonymous

аноним - ты баран. Какого хера в даном слоучае розделять libpam от libnss ?
Во вторых, ты уверен, что апликуха вообще имеет права на смену юзверя.... 

cyclope
()
Ответ на: комментарий от Redfoxnet

Не знаю, как по идее, а по документации Oracle SES сначала считывает ACL к себе в базу, а в момент поиска выдает или не выдает результаты на основе данных из базы и текущего пользователя.

serra
()
Ответ на: комментарий от cyclope

cyclop ты точно дальше одного глаза не видишь)
ldap+nss дает uid gid пользователей в систему, без этого ни ACL ни смена пользователей работать не будут .. вернее только то что будет в passwd.
так что там насчет баранов?

anonymous
()
Ответ на: комментарий от anonymous

насчёт одного глаза понял)
теперь рассказываю, что вижу вторым:
апликуха, дабы получить привилегию выполнения действий от имени юзера, сама будучу запущеной не от рута, нуждается в порождении процесса от имени этого юзверя  - а тут уже без pam к ldap не пролезишь. nss за это не отвечает.
итог - нужно и то, и другое

cyclope
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.