LINUX.ORG.RU

NSS — интересный модуль, позволяющий добавлять группы в группы

 , ,


0

0

Модуль libnss_role реализует возможность добавления групп в группы, что упрощает некоторые задачи администрирования системы.

Например, можно создать группу users и добавить ее в группы audio, cdwriter, serial и др. Всех пользователей системы добавить в нее, а не перечислять эти группы каждый раз заново при создании пользователя.

Расширяя пример, можно создать группу admins и включить ее в группы users и wheel, тогда администраторы автоматически получат все группы, которые получают пользователи, а группу wheel — дополнительно к ним.

>>> Страничка проекта



Проверено: Shaman007 ()

Прикольно. Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

VoDA ★★
()

Интересная идея.. Для школ и вузов - самое оно будет.

DiGital
()
Ответ на: комментарий от anonymous

должно быть везде реализовано, я думаю Убунтоиды этим займутся...

anonymous
()

Давно пора было сделать. Определённо полезное улучшение.

Rapt0r
()
Ответ на: комментарий от Laz

>Удобная штука, странно, что появилась она только сейчас.

В Линуксе много чего нужного и удобного до сих пор нет. Например дефрагметатора.

Sherak ★☆
()

О, ну слава ${Богу}!

Отлчиная вещь.

Oloremo
()

А зачем цифровые идишники? Что то не пойму плюсов, зато вот минусов сразу горка - а если группы приходят из лдапа? Или если я группу, пришедшую через winbind, хочу ролью назначить? Есть мнения?

anonymous
()
Ответ на: комментарий от VoDA

Группа в группе.

>Прикольно. Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

Поясните свою мысль. Сейчас можно хранить информацию о вложенных группах в LDAP?

Как новый модуль обрабатывает рекурсию? Например в users входят personel, в personel users.

Camel ★★★★★
()
Ответ на: Группа в группе. от Camel

> Как новый модуль обрабатывает рекурсию? Например в users входят personel, в personel users.

Обрабатывает самым очевидным образом. Рекурсия работает.

rlz
() автор топика
Ответ на: комментарий от anonymous

> А зачем цифровые идишники? Что то не пойму плюсов, зато вот минусов сразу горка - а если группы приходят из лдапа? Или если я группу, пришедшую через winbind, хочу ролью назначить? Есть мнения?

Чтобы не надо было мучаться с переименованием групп, поскольку это разрешено. Группы из ldap приходят с постоянными идентификаторами. С winbind действительно будут проблемы, он он вообще проблемный, так как чужероден для linux вообще.

rlz
() автор топика

> можно создать группу admins и включить ее в группы users и wheel

А группу users в admins включить можно?

anonymous
()

>что упрощает некоторые задачи администрирования системы

не упрощает, а усложняет.

borisych ★★★★★
()

ТО, что бы ло сделано еще в Windows NT 3.5 (возможно и в 3.1, ее я уже не застал).
Ничего нового в плане администрирования эта штука не дает, но удобства добавляет.

andreyu ★★★★★
()
Ответ на: комментарий от anonymous

> А группу users в admins включить можно?

Теоретически - можно. Хотя на практике видется весьма странным.

rlz
() автор топика

А по моему тупак это.

Но если кому-то нужно, я не возражаю.

anonymous
()

Красивое и простое решение. Зачёт.

Demon37 ★★★★
()
Ответ на: комментарий от rlz

Оставим в стороне степень родства нативной линуксовой библиотеки временно, а посмотрим с другой стороны на это дело - группы лично я переименовываю раз в столетие - нафиг оно мне надо? А вот распространить подобный файлик по сети на множество компьютеров вполне реальная задача. Ну а группы могут на разных компьютерах разный gid иметь. А могут, соответственно, одинаковый. Вывод прост - надо оставить выбор за конечным пользователем и добавить утилитки для перегона туда сюда. Как то так.

Кстати роадмап интересный : ) Но существует сомнение, что это вообще все надо делать. Зачем делать какую то там DB, когда есть LDAP?? Чтобы угробить время разработки на то, что уже давно и прекрасно работает да еще и идеально подходит под задачи организации управления сетевыми сервисами?

anonymous
()
Ответ на: комментарий от VoDA

> Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

Я уже перестал это делать, а вы ещё только мечтаете %)

const86 ★★★★★
()
Ответ на: комментарий от Sherak

> В Линуксе много чего нужного и удобного до сих пор нет. Например дефрагметатора.

Дефрагментатор не нужен.

pashazz ★★★★
()
Ответ на: комментарий от anonymous

> Оставим в стороне степень родства нативной линуксовой библиотеки временно, а посмотрим с другой стороны на это дело - группы лично я переименовываю раз в столетие - нафиг оно мне надо? А вот распространить подобный файлик по сети на множество компьютеров вполне реальная задача. Ну а группы могут на разных компьютерах разный gid иметь. А могут, соответственно, одинаковый. Вывод прост - надо оставить выбор за конечным пользователем и добавить утилитки для перегона туда сюда. Как то так.

> Кстати роадмап интересный : ) Но существует сомнение, что это вообще все надо делать. Зачем делать какую то там DB, когда есть LDAP?? Чтобы угробить время разработки на то, что уже давно и прекрасно работает да еще и идеально подходит под задачи организации управления сетевыми сервисами?

Знаете, сильно напрягает отсутствие триггеров и транзакций, и, как следствие, невозможность обеспечить целостность.

rlz
() автор топика
Ответ на: комментарий от anonymous

LDAP - это не DB, а довольно старый протокол, для которого почти нет нормальных клиентских библиотек под C/C++ (их многопоточных используют ту, что mozldap)...

В общем, конкретные реализации LDAP подходят не всегда идеально и не под все задачи...

mastersin
()
Ответ на: комментарий от rlz

>> А зачем цифровые идишники? Что то не пойму плюсов, зато вот минусов сразу горка - а если группы приходят из лдапа? Или если я группу, пришедшую через winbind, хочу ролью назначить? Есть мнения?

> Чтобы не надо было мучаться с переименованием групп, поскольку это разрешено. Группы из ldap приходят с постоянными идентификаторами. С winbind действительно будут проблемы, он он вообще проблемный, так как чужероден для linux вообще.

Поскольку цифровых имён не бывает, я думаю, что в следующей версии я поддержу возможности работы с именами. Но, в общем случае, та задача, под которую изначально написан модуль, предполагает, что идентификаторы одинаковы на всех компьютерах. Даже с winbind этого можно добиться несколькими способами.

mastersin
()
Ответ на: комментарий от anonymous

SElinux не в состоянии разрешить то, что запрещено стандартным posix слоем. В общем - не в тему.

anonymous
()
Ответ на: комментарий от anonymous

> Оставим в стороне степень родства нативной линуксовой библиотеки временно, а посмотрим с другой стороны на это дело - группы лично я переименовываю раз в столетие - нафиг оно мне надо? А вот распространить подобный файлик по сети на множество компьютеров вполне реальная задача. Ну а группы могут на разных компьютерах разный gid иметь. А могут, соответственно, одинаковый. Вывод прост - надо оставить выбор за конечным пользователем и добавить утилитки для перегона туда сюда. Как то так.

http://www.tartarus.ru/ticket/49

rlz
() автор топика

Удобная штука, опробуем. :) Странно, что раньше было нельзя так сделать.

Flaming ★★
()
Ответ на: комментарий от rlz

>Знаете, сильно напрягает отсутствие триггеров и транзакций, и, как следствие, невозможность обеспечить целостность.

Используй правильный ЛДАП, Люк! (а не всякое опенЛДАПное поделие) )))

anonymous
()
Ответ на: комментарий от anonymous

> Используй правильный ЛДАП, Люк! (а не всякое опенЛДАПное поделие) )))

К этому заявлению неплохо было бы добавить указание на проект свободной реализации "правильного" LDAP-сервера.

rlz
() автор топика
Ответ на: комментарий от rlz

>К этому заявлению неплохо было бы добавить указание на проект свободной реализации "правильного" LDAP-сервера.

а я не сказал, что "правильный ЛДАП" - это обязательно GPL. ;)

anonymous
()
Ответ на: комментарий от anonymous

> а я не сказал, что "правильный ЛДАП" - это обязательно GPL. ;)

Вот как раз по причине отсутствия реализации нормального свободного LDAP-сервера мы и отказались использовать этот протокол в своей работе.

rlz
() автор топика
Ответ на: комментарий от papay


Мдаа .... а ведь больше __12__ лет орали что виндовые вложенные группы - суксЪ(С) :)


Эй линуксовые - а ну марш на MS сайт учиться зачем оно и как применять :-)))))

anonymous
()
Ответ на: комментарий от andreyu

>>ТО, что бы ло сделано еще в Windows NT 3.5 (возможно и в 3.1, ее я уже не застал). Ничего нового в плане администрирования эта штука не дает, но удобства добавляет.

В виндовснт всегда было плохо с администрированием. Особенно удаленным. Многие вещи там реализованы черезжопу, особенно работа с юзерами/групами в части раздачи, отьема и контроля прав. Не знал что теперь это модно называть "новшествами".

Изначальная политика никсов - одна группа->один ресурс->один уровень доступа. Кстати в первых книжках,что шли с нт этот никсовый принцип распределения прав был рекомендован к употреблению. Список юзеров ,имеющих доступ к ресурсу можно получить двумя элементарными (для адепта никсов разумеется) операциями. А теперь предтсавим что группы вложенные. Намного стало удобнее?

anonymous
()
Ответ на: комментарий от anonymous

>>Используй правильный ЛДАП, Люк! (а не всякое опенЛДАПное поделие) )))

Не поверишь. Если немножко подумать, найдеццо куча решений распространения настроек/паролей/прав без использования всяких там лдапов. Но под линя. А вот под вендой без лдапа туго. Факт. Да и с лдапом там полный АД.

anonymous
()

Отличная новость! Часто нет реальной необходимости в acl, ldap и всяких selinux, а "классический" вариант раздачи привелегий не удобен.

legolegs ★★★★★
()
Ответ на: комментарий от anonymous

> В виндовснт всегда было плохо с администрированием.

С точностью до наоборот, правда не по дефолту. Больше возможностей может быть хуже только в кривых уках.


Эх, когда они уже этот posix угрёбищный перепишут... Или дропнут его поддержку вообще...

anonymous
()
Ответ на: комментарий от anonymous

>Изначальная политика никсов - одна группа->один ресурс->один уровень доступа

Что-то не видно в современных дистрибутивах отдельных групп на _каждый_ ресурс. Наверно потому, что уж очень дохренищща получается, администрировать неудобно.

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

>Изначальная политика никсов - одна группа->один ресурс->один уровень доступа

Угу, только в последнее время все чаще возникают ситуации, когда к одному ресурсу (файлу) надо обеспечить различный доступ для разных групп юзеров.

У меня щас вообще проблема, как организовать правовой доступ к файловой помойке из программы с кучей ейных виртуальных юзеров... pultler

anonymous
()
Ответ на: комментарий от anonymous

Освойте ACL. Несколько усложняет контроль, но имхо проще чем рекурсивно отлавливать множественное вхождение юзера в список доступа.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.