LDAP + EXT3 ACL

0

0

Где бы прочитать, как настроить доступ пользователям в LDAP к файловой системе Ext3?

Я уже выяснил, что ядро умеет работать с ACL на ext3, что PAM может работать с LDAP. Но мне до сих пор так и неясно, как все настроить от начала и до конца.

Может статья какая есть на эту тему?

XFS не предлагать - она не FS по умолчанию в RedHAT.
Тренируюсь на Gentoo для понимания процесса, ставить буду на RHEL.

Ссылка

←	Заставить Lucene искать в SVN

список задач пользователя

→

доступ будет осуществляться из Java-приложения (продукт Oracle Secure Enterprise Search) к локальной файловой системе.

~~ArsenShnurkov~~ ★
(06.12.08 16:27:22 MSK) автор топика

Ссылка

Ну делаешь аутентификацию к системе через ldap+pam, и как бы все.

Redfoxnet ★
(06.12.08 17:04:16 MSK)

Ответ на: комментарий от Redfoxnet 06.12.08 17:04:16 MSK

к какой системе? к ядру или к java-программе?

я так понимаю, что к обеим. Сильно помогли бы конкретные команды - что и как сделать...

~~ArsenShnurkov~~ ★
(06.12.08 18:27:13 MSK) автор топика

Ответ на: комментарий от ArsenShnurkov 06.12.08 18:27:13 MSK

Зачем крутить к ядру? Настрой PAM, чтобы пользователи из LDAP могли логинится в систему и тогда можно будет управлять их правами как и тех, кто записан в passwd.

Redfoxnet ★
(06.12.08 18:45:26 MSK)

Ответ на: комментарий от Redfoxnet 06.12.08 18:45:26 MSK

думаю pam не поможет, ибо джавушное приложение будет выполнятся от имени юзера, который запускает сервер приложений.
Хотя я не знаю, может эта оракловская весчь дочерние процессы от юзверей пускает - тогда должно работать, если pam сделать. статей тьма, хоть на опеннете

cyclope ★
(07.12.08 10:52:06 MSK)

ну дебилы.. причем здесь PAM?
написано же нужно LDAP -> ACL -> EXT3
это означает:
LDAP -> NSS -> ACL EXT3
все!

anonymous
(08.12.08 06:32:43 MSK)

Ответ на: комментарий от cyclope 07.12.08 10:52:06 MSK

Поидее должен от юзверей.

Redfoxnet ★
(08.12.08 08:04:05 MSK)

Ответ на: комментарий от anonymous 08.12.08 06:32:43 MSK

аноним - ты баран. Какого хера в даном слоучае розделять libpam от libnss ?
Во вторых, ты уверен, что апликуха вообще имеет права на смену юзверя....

cyclope ★
(08.12.08 09:48:10 MSK)

Ответ на: комментарий от Redfoxnet 08.12.08 08:04:05 MSK

Не знаю, как по идее, а по документации Oracle SES сначала считывает ACL к себе в базу, а в момент поиска выдает или не выдает результаты на основе данных из базы и текущего пользователя.

serra
(08.12.08 10:40:29 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.12.08 06:32:43 MSK

Если NSS это вот это:
http://www.mozilla.org/projects/security/pki/nss/
то я не понял, где там поддержка LDAP, так как в списке фич говорится в основном про всякие сертификаты и прочий SSL...

~~ArsenShnurkov~~ ★
(08.12.08 10:47:08 MSK) автор топика

Ответ на: комментарий от ArsenShnurkov 08.12.08 10:47:08 MSK

http://en.wikipedia.org/wiki/Name_Service_Switch

serra
(08.12.08 10:51:00 MSK)

Ссылка

Ответ на: комментарий от cyclope 08.12.08 09:48:10 MSK

cyclop ты точно дальше одного глаза не видишь)
ldap+nss дает uid gid пользователей в систему, без этого ни ACL ни смена пользователей работать не будут .. вернее только то что будет в passwd.
так что там насчет баранов?

anonymous
(09.12.08 06:47:34 MSK)

Ответ на: комментарий от anonymous 09.12.08 06:47:34 MSK

насчёт одного глаза понял)
теперь рассказываю, что вижу вторым:
апликуха, дабы получить привилегию выполнения действий от имени юзера, сама будучу запущеной не от рута, нуждается в порождении процесса от имени этого юзверя  - а тут уже без pam к ldap не пролезишь. nss за это не отвечает.
итог - нужно и то, и другое

cyclope ★
(09.12.08 09:36:51 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Заставить Lucene искать в SVN

Admin

список задач пользователя

→

Похожие темы