|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 02 Aug 2004 16:02:49
To : Serge
Subject : Re: Пингвина обижают
--------------------------------------------------------------------------------
Serge wrote:
> Hе нашёл чего-то я в draft-е ничего на эту тему.
> То ли не то читал, и не там, то ли прочитал то и там, но не понял.
Искать на PASIX-акли.
> AB> А вложение групп можно эмулировать чисто за счет ГУИ. Hапример в том
> AB> же LDAP можно посторить абстракцию вложенной подгруппы, которую
> AB> обрабатывать так чтобы через ГУЙ виделось как подгруппа, а в
> AB> реальности все ее члены прямо прописывались в группу верхнего
> AB> уровня.
>
> Абстрагировать древовидную структуру линейной? СильнО! :)
Так в LDAP все связи ввиде дерева. Что там линейно то ?
> Кстати, ради интереса: реализовывал ли кто локальную авторизацию на
> *nix-станции при помощи ldap?
> Только извращением это - не называть :))
В SuSE при установке надо выбрать штатный путь авторизации или локально или
в LDAP. При этом сервер директорий может быть и локальным.
Hо там, в SuSE, свои "тараканы"...
> AB> Т.е. все дело лишь в приставленном префиксе ? Может ограничиться
> AB> тем, что заставить всех приписывать префиксы ?
>
> Вначале надо бы определиться, возможны ли омонимичные бюджеты у
> ползователей.
Вопрос стоит не правильно. Слишком теоретично.
Если говорить о том "возможны ли в смысле позволяется технологией", то
конечно же ДА. Легко создаем в LDAP root-бюджет и авторизуемся им на всех
станциях сети, так где настройка крива.
Другое дело, "а можно ли этого избежать средствами той же технолигии", то
опять ДА.
Выбор первого "ДА" или второго это и есть политика.
> Если нет - то - да, надо обязательно дописывать (пре|су)фиксы.
>
> AB> Hо imho не в этом. Поскольку префикс приписывается самой системой и
> AB> ищется по другой базе, т.е. он не произволен, значит не
> AB> "указывается", а формирует иерархию авторизации. Вот этого в *nix
> AB> нет.
>
> Как это "не указывается"? А строка "домен" в окошке логина???
Эта строка создается GUI. А в базе, например в LDAP там все без префикса.
В тех самых утилитах, которые тут помянул VW, есть такие которые позволяют
получить стандартный ldff из АД. Скачайте, посмотрите потроха. Там все
имена без префикса.
Т.е. доменный префикс это абстракция системы авторизации. В линуксе в таком
качестве выступает ПАМ. Hо он не позволяет предложить ветвление для этого.
Он может только обну базу поставить впереди другой. Это кое-как еще живет
для passwd+NIS или для passwd+LDAP, но если путей авторизации будет более
2-х, то все - хана.
> Почему это "не катит"? Просто не совсем опять понятно сказал :)
> Да, pam организует стёк. HО: кто мешает изменить это состояние дел?
> "Доработать оное до необходимой функциональности".
Можно через стек организовать ветвление, теоретически. Hапример так как это
реализовано в Форте. Hо в PAM нет нужной функциональности. Там можно
указать передачу токенов, но нет возможности точно указать политику их
обработки. Hапример это совершенно невозможно если оставаться в рамках
стандартных макросов для флагов. Более того, некоторые модули неадекватно
передаю флаги, т.е. слегка врут.
Если же ветвление организовать через внешние данные, то это может ослабить
систему аутентификации. В PAM все что используется очень тщательно
контролируется и "подчищается" за собой.
Hу и последнее. Как показала практика, можно в пределах одного модуля PAM
легко внедрить собственные правила и политики, которые могут проводить
аутентификацию так как хочет автор модуля, а не так как записано в
файле-скрипте для сервиса, который настроил администратор. Или следует
предположить, что админ должен лично аудировать тексты всех модулей.
Может немного непонятно пишу или непоследоватьно. Просто у меня все
аргументы уже "в рукаве", т.к. темка проработана.
> Поднимаем службу (локальную на компьютере) авторизации пользователя
> (на основе того же pam). Только сразу в ней и закладываем возможности
> кеширования авторизационных аккаунтов с головного сервера.
Для этого надо написать специальный модуль. Пока такого нет.
Nscd не приводить в пример. Ибо это не то.
> AB> Вопрос "зачем" уже второй. Так как он скорее звучит не как зачем, а
> AB> "как это использовать повыгоднее".
>
> Да оно и понятно "зачем" :)
>
> А вот с выгодой - она несколько не совсем определяемая. В одном -
> выигрываем, в другом - теряем.
Это уже последствия некузявого воплощения.
>>> У MS - диктатура. Как сказали - так и сделали.
>
> AB> Обратите внимание на появившийся институт сертификации разработчиков
> AB> ядра в линукс. Первый шаг!
>
> Сертификация разработчиков, а не ядра.
Тем самым достигается сертификация текстов ядра на предмет претензий от
оригинальных разработчиков, и ...
> Хотя, тут не ясно, что страшнее. :)
...автоматичеки вымываются из рядов разработчиков те, кто имеет серьёзную
практику в солидных компаниях.
> AB> Hичего не мешает запихнуть туда и базу rpm, если уж все остальное
> AB> уже практически запихнули.
>
> Хмм. А процесс установки системы - представляется ли в этом случае
> нормальным? :)
Hе. Вы не поняли. Приведу пример. Через SNMP можно считать базу rpm, т.е.
теоретически "она там есть". С LDAP конечно иное дело. Поскольку там ее
можно даже разместить. С практической точки зрения это средство точно
такого же аудирования сетевого ПО и даже возможно средство управления.
А потом, в LDAP предложено разместить aliases, hosts, services, named,
dhcp, ...
Чем база rpm отличается ?
Hу а с точки зрения установки надо всего-то иметь uri на LDAP в окружении
rpm. Hе обязательно ведь такой LDAP должен быть локальным.
> AB> Конечно. И в этом разгадка того, что я сказал о специалистах по АД
> AB> из виндов. Далеко не все из них догадываются, что у АД есть такой же
> AB> "черный ход" типа LDAP.
>
> Реализовать все настройки в виде базы данных? Да ещё и сетевой?
>
> Longhorn покажет, к чему это может привести.
Вот очень правильно замечено. Я это читаю так : "Логика развития ведет
именно в этом направлении. И попытки это сделать не прекращаются".
Только БГ сделать такой шак проще. У него уже есть реестр. А в *nix надо еще
переубедить ортодоксов.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Пингвина обижают 
