:) Почитаем что там и как ))

Прикольно. Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

Интересная идея.. Для школ и вузов - самое оно будет.

Удобная штука, странно, что появилась она только сейчас.

Давно не хватало этой вещи! Спасибо авторам!

Нужно!

должно быть везде реализовано, я думаю Убунтоиды этим займутся...

Анонимусы, вы меня удивляете ...

http://git.etersoft.ru/people/sin/packages/libnss-role.git/
           ^^^^^^^^^^^

Респект!   

Давно пора было сделать. Определённо полезное улучшение.

>Удобная штука, странно, что появилась она только сейчас.

В Линуксе много чего нужного и удобного до сих пор нет. Например дефрагметатора.

Q-in-Q

О, ну слава ${Богу}!

Отлчиная вещь.

А зачем цифровые идишники? Что то не пойму плюсов, зато вот минусов сразу горка - а если группы приходят из лдапа? Или если я группу, пришедшую через winbind, хочу ролью назначить? Есть мнения?

Группа в группе.

>Прикольно. Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

Поясните свою мысль. Сейчас можно хранить информацию о вложенных группах в LDAP?

Как новый модуль обрабатывает рекурсию? Например в users входят personel, в personel users.

а никак

ему пофиг что и куда входит

> Как новый модуль обрабатывает рекурсию? Например в users входят personel, в personel users.

Обрабатывает самым очевидным образом. Рекурсия работает.

> А зачем цифровые идишники? Что то не пойму плюсов, зато вот минусов сразу горка - а если группы приходят из лдапа? Или если я группу, пришедшую через winbind, хочу ролью назначить? Есть мнения?

Чтобы не надо было мучаться с переименованием групп, поскольку это разрешено. Группы из ldap приходят с постоянными идентификаторами. С winbind действительно будут проблемы, он он вообще проблемный, так как чужероден для linux вообще.

> можно создать группу admins и включить ее в группы users и wheel

А группу users в admins включить можно?

А чем acl не угодил?

>что упрощает некоторые задачи администрирования системы

не упрощает, а усложняет.

ТО, что бы ло сделано еще в Windows NT 3.5 (возможно и в 3.1, ее я уже не застал).
Ничего нового в плане администрирования эта штука не дает, но удобства добавляет.

А при чём сдесь acl?

> А группу users в admins включить можно?

Теоретически - можно. Хотя на практике видется весьма странным.

А по моему тупак это.

Но если кому-то нужно, я не возражаю.

Красивое и простое решение. Зачёт.

Оставим в стороне степень родства нативной линуксовой библиотеки временно, а посмотрим с другой стороны на это дело - группы лично я переименовываю раз в столетие - нафиг оно мне надо? А вот распространить подобный файлик по сети на множество компьютеров вполне реальная задача. Ну а группы могут на разных компьютерах разный gid иметь. А могут, соответственно, одинаковый. Вывод прост - надо оставить выбор за конечным пользователем и добавить утилитки для перегона туда сюда. Как то так.

Кстати роадмап интересный : ) Но существует сомнение, что это вообще все надо делать. Зачем делать какую то там DB, когда есть LDAP?? Чтобы угробить время разработки на то, что уже давно и прекрасно работает да еще и идеально подходит под задачи организации управления сетевыми сервисами?

> Скоро еще и до использования LDAP для хранения пользователей в серверных дистрах дело дойдет :)

Я уже перестал это делать, а вы ещё только мечтаете %)

> В Линуксе много чего нужного и удобного до сих пор нет. Например дефрагметатора.

Дефрагментатор не нужен.

> Оставим в стороне степень родства нативной линуксовой библиотеки временно, а посмотрим с другой стороны на это дело - группы лично я переименовываю раз в столетие - нафиг оно мне надо? А вот распространить подобный файлик по сети на множество компьютеров вполне реальная задача. Ну а группы могут на разных компьютерах разный gid иметь. А могут, соответственно, одинаковый. Вывод прост - надо оставить выбор за конечным пользователем и добавить утилитки для перегона туда сюда. Как то так.

> Кстати роадмап интересный : ) Но существует сомнение, что это вообще все надо делать. Зачем делать какую то там DB, когда есть LDAP?? Чтобы угробить время разработки на то, что уже давно и прекрасно работает да еще и идеально подходит под задачи организации управления сетевыми сервисами?

Знаете, сильно напрягает отсутствие триггеров и транзакций, и, как следствие, невозможность обеспечить целостность.

LDAP - это не DB, а довольно старый протокол, для которого почти нет нормальных клиентских библиотек под C/C++ (их многопоточных используют ту, что mozldap)...

В общем, конкретные реализации LDAP подходят не всегда идеально и не под все задачи...

>> А зачем цифровые идишники? Что то не пойму плюсов, зато вот минусов сразу горка - а если группы приходят из лдапа? Или если я группу, пришедшую через winbind, хочу ролью назначить? Есть мнения?

> Чтобы не надо было мучаться с переименованием групп, поскольку это разрешено. Группы из ldap приходят с постоянными идентификаторами. С winbind действительно будут проблемы, он он вообще проблемный, так как чужероден для linux вообще.

Поскольку цифровых имён не бывает, я думаю, что в следующей версии я поддержу возможности работы с именами. Но, в общем случае, та задача, под которую изначально написан модуль, предполагает, что идентификаторы одинаковы на всех компьютерах. Даже с winbind этого можно добиться несколькими способами.

ай ай ай.... Пацаны ниасилили SELinux.

SElinux не в состоянии разрешить то, что запрещено стандартным posix слоем. В общем - не в тему.

> Оставим в стороне степень родства нативной линуксовой библиотеки временно, а посмотрим с другой стороны на это дело - группы лично я переименовываю раз в столетие - нафиг оно мне надо? А вот распространить подобный файлик по сети на множество компьютеров вполне реальная задача. Ну а группы могут на разных компьютерах разный gid иметь. А могут, соответственно, одинаковый. Вывод прост - надо оставить выбор за конечным пользователем и добавить утилитки для перегона туда сюда. Как то так.

http://www.tartarus.ru/ticket/49

Удобная штука, опробуем. :) Странно, что раньше было нельзя так сделать.

>Знаете, сильно напрягает отсутствие триггеров и транзакций, и, как следствие, невозможность обеспечить целостность.

Используй правильный ЛДАП, Люк! (а не всякое опенЛДАПное поделие) )))

> Используй правильный ЛДАП, Люк! (а не всякое опенЛДАПное поделие) )))

К этому заявлению неплохо было бы добавить указание на проект свободной реализации "правильного" LDAP-сервера.

>К этому заявлению неплохо было бы добавить указание на проект свободной реализации "правильного" LDAP-сервера.

а я не сказал, что "правильный ЛДАП" - это обязательно GPL. ;)

> а я не сказал, что "правильный ЛДАП" - это обязательно GPL. ;)

Вот как раз по причине отсутствия реализации нормального свободного LDAP-сервера мы и отказались использовать этот протокол в своей работе.

реально правильный подход, ИМХО

Мдаа .... а ведь больше __12__ лет орали что виндовые вложенные группы - суксЪ(С) :)


Эй линуксовые - а ну марш на MS сайт учиться зачем оно и как применять :-)))))

>>ТО, что бы ло сделано еще в Windows NT 3.5 (возможно и в 3.1, ее я уже не застал). Ничего нового в плане администрирования эта штука не дает, но удобства добавляет.

В виндовснт всегда было плохо с администрированием. Особенно удаленным. Многие вещи там реализованы черезжопу, особенно работа с юзерами/групами в части раздачи, отьема и контроля прав. Не знал что теперь это модно называть "новшествами".

Изначальная политика никсов - одна группа->один ресурс->один уровень доступа. Кстати в первых книжках,что шли с нт этот никсовый принцип распределения прав был рекомендован к употреблению. Список юзеров ,имеющих доступ к ресурсу можно получить двумя элементарными (для адепта никсов разумеется) операциями. А теперь предтсавим что группы вложенные. Намного стало удобнее?

>>Используй правильный ЛДАП, Люк! (а не всякое опенЛДАПное поделие) )))

Не поверишь. Если немножко подумать, найдеццо куча решений распространения настроек/паролей/прав без использования всяких там лдапов. Но под линя. А вот под вендой без лдапа туго. Факт. Да и с лдапом там полный АД.

Отличная новость! Часто нет реальной необходимости в acl, ldap и всяких selinux, а "классический" вариант раздачи привелегий не удобен.

> В виндовснт всегда было плохо с администрированием.

С точностью до наоборот, правда не по дефолту. Больше возможностей может быть хуже только в кривых уках.


Эх, когда они уже этот posix угрёбищный перепишут... Или дропнут его поддержку вообще...

>Изначальная политика никсов - одна группа->один ресурс->один уровень доступа

Что-то не видно в современных дистрибутивах отдельных групп на _каждый_ ресурс. Наверно потому, что уж очень дохренищща получается, администрировать неудобно.

>Изначальная политика никсов - одна группа->один ресурс->один уровень доступа

Угу, только в последнее время все чаще возникают ситуации, когда к одному ресурсу (файлу) надо обеспечить различный доступ для разных групп юзеров.

У меня щас вообще проблема, как организовать правовой доступ к файловой помойке из программы с кучей ейных виртуальных юзеров... pultler

Освойте ACL. Несколько усложняет контроль, но имхо проще чем рекурсивно отлавливать множественное вхождение юзера в список доступа.