Smol LUG

Тема в разделе "Железный поток", создана пользователем hammer, 4 май 2008.

  1. Ivanhoe
    Оффлайн

    Ivanhoe Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    <div class='quotetop'>Цитата</div><div class='quotemain'>в лине точно также! в правах юзера добавляешь ему конкретную группу, к которой он должен относитца.[/quote]Не точно. Модель прав в линуксе плоская (есть рут и все остальные), а в винде - иерархичная. Отсутствие системного пользователя в линуксе требует постоянного повышения прав до рута для выполнения совершенно банальных действий типа смены пароля. И вылезают всякие костыли типа sudo. И приходится плодить пользователей и группы.</div>
  2. at_hacker
    Оффлайн

    at_hacker Новичок

    Credit:
    $793,31
    Book Reviews:
    0
    Юзер в юниксах может принадлежать только одной группе. И права на каталог имеют всего три уровня -- юзер, группа и все остальные. В виндах же юзер может входить в несколько групп, это раз, а во-вторых, на каталог можно дать права произвольному числу групп и даже произвольному числу конкретных пользователей, причём каждой группе и каждому пользователю набор прав можно дать свой. Это аццки упрощает раздачу прав.

    Например, у меня есть каталог www на серваке, который замаплен по SMB. Туда должен уметь записывать файлы юзер (my_user, допустим), заходящий по SMB и юзер, под которым работает Apache (юзер www). И больше никто.
    Но юзер my_user принадлежит группе smbusers, и когда он создаёт каталоги и файлы на SMB, то все эти каталоги имеют владельца my_user:smbusers. Права верхнего каталога при этом не наследуются, т.е. даже если я выставлю на каталог /usr/local/www нужные мне права, это ничего не даст.

    Приходится в конфиге самбы использовать грубый хак :) -- а именно выставлять force user = www, чтобы при обращении к этому каталогу по SMB заходящий юзер прикидывался не как my_user, а как www. А если бы в Самбе не было такой возможности, то пришлось бы курить бамбук -- желаемое вообще невозможно реализовать.

    В виндах бы это решилось очень просто -- дать права на запись в этот каталог пользователю www и группе smbusers, и сказать, что надо наследовать иерархию прав от верхнего каталога. И любой создаваемый каталог будет иметь права доступа на запись и для www и для группы smbusers.</div>
  3. Anonymous
    Оффлайн

    Anonymous Guest

    Credit:
    $
    Book Reviews:
    ну вот, в лине, добавляешь пользователю www - группу my_user.
    и любому новому юзеру добавляешь эту группу. И должно все быть нормально.
    для каталога www ставишь права - rw-rw-r--
  4. hammer
    Оффлайн

    hammer Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    2Поребрик +1... Вообще я citkit.ru встречал аналогичную тему для обсуждения - в результате решения различных задачек с правами пользователя в винде и в nix никто не победил - были предъявлены алгоритмы разрешения данных вопросв как для win так и для nix. Едисвенным отличием было, что в сложных и закрученных задачах win модель прав доступа к каталогам и файлам смотрелась более компактно. Но парочкой хитрых выкрутасов данный эффект достигался и в nix. Вобщем то все зависит от уровня знание той или иной системы. У nix оказался оч. важный + - в 90% случаев (хостинг, файловый сервер а-ля файлопомойка внутрисетевой ftp, и т.д.) не требуется закрученных решений, и для этого с лихвой хватает топорной и не заумной системой рапределения прав а-ля nix и все рабоатет на ура и просто как 100 рублей.
  5. _blackdog
    Оффлайн

    _blackdog Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    как у тебя только пальцы не отвалились такую ересь писать ;) На досуге посмотри /etc/group откроешь для себя много нового.
    достаточно твоего my_user добавить в группу www
    смотри внимательно
    Код:
    my_user@my_host$sudo groupadd www
    chown www:www /usr/local/www
    chmod 2775 /usr/local/www
    touch /usr/local/www/my_file
    ls -l /usr/local/www
    -rw-rw-r-- 1 my_user www 0 2008-06-25 00:03 my_file
    есть еще полезная команда umask</div></div>
  6. Launcher
    Оффлайн

    Launcher Active Member

    Пол:
    Мужской
    Credit:
    $797,00
    Book Reviews:
    0
    Алексей, по ходу дела тебе надо покурить маны хорошенько. Виндовая система прав доступа на файло нервно курит, при попытке сравнения с *nix системой прав доступа на файло.</div>
  7. vovaivanov
    Оффлайн

    vovaivanov Новичок

    Credit:
    $771,00
    Book Reviews:
    0
    Это почему же она курит? Не вижу в ней каких либо минусов по сравнению с юниксовой.
    Вот кстати еще один момент...
    [attachment=2326:11.GIF]</div>
  8. Anonymous
    Оффлайн

    Anonymous Guest

    Credit:
    $
    Book Reviews:
    ага, и будешь ты тут разбиратца выставлять разрешения, можно запутатца очень сильно!

    проще rw-rw-r--
  9. vovaivanov
    Оффлайн

    vovaivanov Новичок

    Credit:
    $771,00
    Book Reviews:
    0
    В виндах тоже можно просто выставлять. Я просто не понимаю где тут винда курит, и что она курит?</div>
  10. leo
    Оффлайн

    leo Новичок

    Credit:
    $723,53
    Book Reviews:
    0
    хто-то из вас курит.. ибо нефик сравнивать.. нравица политики виндовые (особенно доменные - так юзайте, желаю удачи в нелёгком труде по их установке и дальнейшему корректированию), *nix тож имеет как полижительные, так и отрицат моменты.. тут всё проще немного т.к на серверной оси нужны права либо максимальные, рутовые, либо минимальные пользовательские, как бы среднего не дано. точнее дано, но усложнеется немного задача.. .
  11. vovaivanov
    Оффлайн

    vovaivanov Новичок

    Credit:
    $771,00
    Book Reviews:
    0
    Кстати если приплести к нашему разговору еще и доменные групповые политики, то как мне кажется винда тут обладает огромнейшими преимуществами.</div>
  12. leo
    Оффлайн

    leo Новичок

    Credit:
    $723,53
    Book Reviews:
    0
    vovaivanov, ну как сказать, вот если у тебя еесть домен из 50 машин, и ты хочешь применить доменную политику на них, применяешь, а потом выясняется , что 2 машины эту политику неполучили.. ступор, размышления, а если это политика была ещё и на разрешение, то скажем юзверя тупо не пускает на логин (запрещено полит домена), а что б это всё вернуть надо на остальных 48 вернуть всё "взад" :) и пропытаца раздать политику ещё раз.. так что штука это удобная, но уж очень сложна при возникновении внештатных ситуаций.
  13. vovaivanov
    Оффлайн

    vovaivanov Новичок

    Credit:
    $771,00
    Book Reviews:
    0
    Мне думается что это уже больше вопрос прямизны рук, нежели удобств групповых политик :)</div>
  14. leo
    Оффлайн

    leo Новичок

    Credit:
    $723,53
    Book Reviews:
    0
    vovaivanov, да как бы не первый раз ;) просто задачи порою приходилось решать нетривиальные..
  15. hammer
    Оффлайн

    hammer Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    Уважаемый! Perl в зубы + visudo + vigr + usermod + ... пр. и сделать можно на порядок больше возможностей чем вы тут в своем скрине перечислили. Так что давайте без комментариев про "кривизну рук". *Nix система прав по истине очень мощная, главное уметь её использовать. В виндовой слабо разбираюсь, но то что я тут увидел реализуется небольшими знаниями Perl и системными утилитами *nix.
    ЗЫ Можите заявить что это костыль, но у меня аналогичные вещи работают самописно а у вас есть уже готовые (Windows) - то какая разница как данные возможности реализованы, если конечному пользователю пофиг?
    ЗЗЫ Цитаты из букваря Perl для работы с файлами и каталогами приводить или сами в google?</div>
  16. vovaivanov
    Оффлайн

    vovaivanov Новичок

    Credit:
    $771,00
    Book Reviews:
    0
    С этого и надо было начинать...</div>
  17. at_hacker
    Оффлайн

    at_hacker Новичок

    Credit:
    $793,31
    Book Reviews:
    0
    Грабли в том, что мне НЕ надо, чтобы этот юзер входил в группу www. Мне надо дать ему права записи на конкретный каталог.</div>
  18. at_hacker
    Оффлайн

    at_hacker Новичок

    Credit:
    $793,31
    Book Reviews:
    0
    Не вкурил, какое отношение права доступа на файло имеет отношение к групповым политикам :) У них, как бы, сильно разная область применения.</div>
  19. at_hacker
    Оффлайн

    at_hacker Новичок

    Credit:
    $793,31
    Book Reviews:
    0
    То, что делают групповые политики в виндовом домене, не реализуется на текущий момент НИКАКИМИ самописными скриптами и утилитами Unix. Групповые политики служат для централизованного управления в том числе и РАБОЧИМИ СТАНЦИЯМИ. Обещают их полную поддержку только в 4-ой Самбе, да и то ещё вопрос, в каком объёме это будет сделано.

    Ну, для примера -- на всех рабочих компах нужно оторвать возможность лазить в панель управления, оторвать возможность менять и даже смотреть сетевые настройки, выстроить совершенно чёткую структуру меню "Пуск", убрав оттуда ряд пунктов, задать прокси-сервер и ntp-сервер для всех юзеров домена, чтобы не прописывать это руками на всех компах. Готов выслушать твои предложения по поводу реализации всего этого с помощью перловых скриптов и утилит unix :)</div>
  20. _blackdog
    Оффлайн

    _blackdog Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    ну, дело хозяйское.
    можно создать промежуточную группу, а можно почитать man acl</div>
  21. hammer
    Оффлайн

    hammer Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    Наверное в полном. Надо чаще следить за новостями -).
    http://media.prnewswire.com/en/jsp/include...onentid=3930832
    Feb 21, 2008 10:45 ET
    С вышеуказанной даты все исходные коды и спецификации протокола сетевого взаимодейсвия MS открыты для всех (см. MSDN).

    ЗЫ Немного запоздавше, но все же, предшествуя вышеупомянотому шагу, MS ещё в октябре 2007 года за деньги (порядка 10 тыс. евро) готовы были предоставить полную информацию о своих сетевых протоколах.
    http://europa.eu/rapid/pressReleasesAction...;guiLanguage=en.</div>
  22. Ivanhoe
    Оффлайн

    Ivanhoe Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    Ога, осталось реализовать. Формат doc даже до его открытия стопицот раз расковыряли и описан был, а опенофис все равно не может его полностью нормально поддерживать.
  23. hammer
    Оффлайн

    hammer Новичок

    Credit:
    $0,00
    Book Reviews:
    0
  24. Ivanhoe
    Оффлайн

    Ivanhoe Новичок

    Credit:
    $0,00
    Book Reviews:
    0
    А-ля "в Wine веализован WinAPI, Windows не нужен" :) ))
  25. vovaivanov
    Оффлайн

    vovaivanov Новичок

    Credit:
    $771,00
    Book Reviews:
    0
    Для начала следует задуматься сколько требуется времени для реализации контроллера домена в Windows 2003 и в samba.
    Затем следует задуматься какова должна быть квалификация админа в обоих случаях, которому необходимо поднять этот контроллер домен.

    После этого, цитируемые слова выглядят как минимум смешно.</div>

Поделиться этой страницей