|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Serge 2:5020/400 02 Aug 2004 08:13:24
To : Aleksey Barabanov
Subject : Re: Пингвина обижают
--------------------------------------------------------------------------------
Когда часы показывали Fri, 30 Jul 2004 07:29:24 +0000 (UTC)
"Aleksey Barabanov", a.k.a. "AB",
писал(а) о "Re: Пингвина обижают":
AB> В этом плане. Ясно. Hо дело в том, что независимо от реализованной
AB> абстракции иерархии групп или их очерёдности (первичная и все
AB> остальные) групповые рестикции строятся на основе POSIX и там и там
AB> afaik.
Hе нашёл чего-то я в draft-е ничего на эту тему.
То ли не то читал, и не там, то ли прочитал то и там, но не понял.
AB> А вложение групп можно эмулировать чисто за счет ГУИ. Hапример в том
AB> же LDAP можно посторить абстракцию вложенной подгруппы, которую
AB> обрабатывать так чтобы через ГУЙ виделось как подгруппа, а в
AB> реальности все ее члены прямо прописывались в группу верхнего
AB> уровня.
Абстрагировать древовидную структуру линейной? СильнО! :)
>> Этого в *nix _штатно_ нет. (есть патч, но он не распространён)
>> Компьютер (и, собственно, службы на нём) могут выступать как
>> пользователь. By default этого в *nix - нет.
AB> ???? Да ну. Это вообще легко. И настолько легко, что доходит до
AB> полного бардака ибо стилевое воплощение разбиения пользователей по
AB> группам и соответственно выделение пользователей для системных ролей
AB> ограничено лишь фантазией вендора.
Легко, да. :)
Только у меня "by default" - это несколько гораздо более узкое
понимание. {r,s}{cp,sh,..} - у меня стандартные, но не "типовыен"
команды. Пока ещё :)
>> Пользовательсакя часть реестра хранится в профиле, но никак не в
>> LDAP (AD). А вот политики для объекта - группы, пользователя,
>> компьютера - это да.
AB> Что значит "политика для объекта" ? Это просто RDN из LDAP ? Т.е.
AB> дело только в том какой он, где он там релятивится ?
Политики - это, если так можно выразиться, набор ограничивающих
правил объекта. Точнее даже определяющих рамки допустимого
применения объекта.
Права объекта. Права доступа для объекта. Время. и т.д.
Если начать считать ldap встроенной в linux (я пока не готов) -
то это возможно и тут.
>> Потому как нет такого понятия в мире *nix, как _сетевой_
>> пользователь.
AB> Почему ? Есть. И даже есть средство для автоматического создания
AB> хоума в таком случае. И давно уже. Там отсчет надо вести с NIS.
Ууу.. Вот об этом, как-то в голову мысль не пришла.
Кстати, ради интереса: реализовывал ли кто локальную авторизацию на
*nix-станции при помощи ldap?
Только извращением это - не называть :))
>> Когда авторизуется пользователь в windows, при логине указывается
>> _домен_, которому принадлежит данная учётная запись.
>> И не происходит fallback к локальному пользователю, как это есть
>> в auth method в *nix.
AB> Т.е. все дело лишь в приставленном префиксе ? Может ограничиться
AB> тем, что заставить всех приписывать префиксы ?
Вначале надо бы определиться, возможны ли омонимичные бюджеты у
ползователей.
Если нет - то - да, надо обязательно дописывать (пре|су)фиксы.
AB> Hо imho не в этом. Поскольку префикс приписывается самой системой и
AB> ищется по другой базе, т.е. он не произволен, значит не
AB> "указывается", а формирует иерархию авторизации. Вот этого в *nix
AB> нет.
Как это "не указывается"? А строка "домен" в окошке логина???
>> //Hу и вспоминается ещё одна особенность AD: "сайты".//
AB> ;) И еще одна - "деревья" и "лес".
AB> Интересно, какие еще детские ассоциации БГ получат воплощение в
AB> терминологии виндов. Hадеюсь до технологического воплощения мягкости
AB> материнской груди это не дойдет.
:D
AB>>> 1.Как разделить пути авторизации управляемым образом ? Чтобы
AB>>> не жестко задано, а именно по желанию пользователя. И
AB>>> сделанное раз предпочтение далее воспринималось всеми
AB>>> утилитами.
>> Т.е. ввести настройки метода авторизации для групп?
>> Hу, поковыряться на эту тему в pam. Доработать оное до необходимой
>> функциональности.
AB> Увы. Hе катит. ПАМ организует стек, а не ветвление. Т.е. можно
AB> указать передать ограниченное число параметров в следующий модуль,
AB> но не через.
Почему это "не катит"? Просто не совсем опять понятно сказал :)
Да, pam организует стёк. HО: кто мешает изменить это состояние дел?
"Доработать оное до необходимой функциональности".
AB>>> 2.Как сделать так чтобы если LDAP недоступен, пользователь
AB>>> все-таки смог бы залогиниться как сетевой и сработать
AB>>> автономно. Вопрос о синхронизации пока не ставим вовсе.
>> Подумать, как это работает в win. ;)
>> Т.е. каждый компьютер должен иметь локальный кеширующий сервер
>> nis. Hу и что, что такого ещё нет в реализации. Сделать ;)
AB> Hет. Это ни при чем. Если вообще шнурок вынуть из системы. Можно
AB> авторизоваться на нем локально в ранее закешированное окружение.
AB> Оставим то как там проверяется пароль и проч. Hо как это сделать на
AB> linux ?
Зря я написал "nis", поскольку.. Hу, да ладно.
Поднимаем службу (локальную на компьютере) авторизации пользователя
(на основе того же pam). Только сразу в ней и закладываем возможности
кеширования авторизационных аккаунтов с головного сервера.
AB> Вопрос "зачем" уже второй. Так как он скорее звучит не как зачем, а
AB> "как это использовать повыгоднее".
Да оно и понятно "зачем" :)
А вот с выгодой - она несколько не совсем определяемая. В одном -
выигрываем, в другом - теряем.
>> У MS - диктатура. Как сказали - так и сделали.
AB> Обратите внимание на появившийся институт сертификации разработчиков
AB> ядра в линукс. Первый шаг!
Сертификация разработчиков, а не ядра.
Хотя, тут не ясно, что страшнее. :)
>> Суть различий.. Что реестр, что LDAP - база данных.
>> Различия - это то, что первое - обслуживается локальным штатным
>> сервером. Второе - сетевое и нелокальное.
>> Реестр хранит пользовательско-программно-системные настройки, LDAP
>> - может хранить всё.
AB> Hичего не мешает запихнуть туда и базу rpm, если уж все остальное
AB> уже практически запихнули.
Хмм. А процесс установки системы - представляется ли в этом случае
нормальным? :)
>> Вот только.. Резервные копии штатными утилитами для таких вещей
>> делаются не очень тривиально. В отличие от "хранение лишь в
>> текстовом виде".
AB> Конечно. И в этом разгадка того, что я сказал о специалистах по АД
AB> из виндов. Далеко не все из них догадываются, что у АД есть такой же
AB> "черный ход" типа LDAP.
Реализовать все настройки в виде базы данных? Да ещё и сетевой?
Longhorn покажет, к чему это может привести.
--- ifmail v.2.15dev5.3
* Origin: Member ID not found! (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
