форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Авторизация и аутентификация / Linux)
Изначальное сообщение		[ Отслеживать ]

"Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
Сообщение от F1restorm (ok) on 06-Апр-11, 11:24
Есть настроенные Kerberos 5 и NFS 4. В Kerberos есть пользователи user1 и user2. На компьютере A есть каталог /share_a, на компьютере B есть каталог /share_b с доступом по NFS. Как и где создать группу group и поместить в нее user1 и user2, чтобы: - share_a дать rx доступ для group? - share_b дать rwx доступ для group?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
Сообщение от Zl0 (ok) on 06-Апр-11, 16:58
Вообще везде системы должны знать эти группы c одинаковыми gid, для этих целей ldap используется, что бы вот так не гадать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
	Сообщение от F1restorm (ok) on 06-Апр-11, 17:26
	> Вообще везде системы должны знать эти группы c одинаковыми gid, для этих > целей ldap используется, что бы вот так не гадать. Как для NFSv4-ресурса назначить права доступа в ACL для группы из LDAP? И как это сделать с авторизацией через Kerberos 5? Важно, что права нужно назначить группе пользователей (существующей централизованно, например, в LDAP), а не по отдельности всем пользователям из группы. Дайте, пожалуйста, более полный ответ, чтобы я смог разобраться. Просто указание мне на LDAP не поможет, т.к. я догадываюсь при помощи чего это все делать, а вот деталей не понимаю. Документацию читал и аналогичная задача в Windows + AD мной решается мгновенно, а нужно в UNIX подобной ОС и без Samba.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+1 +/–
	Сообщение от Zl0 (ok) on 06-Апр-11, 18:23
	У нас сделано проще на уровне posix group, т.е на ресурсе где у вас export вы ставите права на папки которые экспортируете. Т.е в вашем случае делает chown -R user:group share_a ну сhmod правильный, аналогично со вторым экспортом. Естественно обе машины и клиенты должны знать gid этой группы. Ну и экспорт правильным для примера:   /share_a gss/krb5p(rw,root_squash,no_subtree_check,nohide) Если уж действительно нужны acl то нужно смотреть сюда http://www.citi.umich.edu/projects/nfsv4/linux/
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
	Сообщение от F1restorm (ok) on 06-Апр-11, 20:15
	> У нас сделано проще на уровне posix group... Получается, что kerberos при этом для групп не работает, т.к. в обычную группу пользователя kerberos добавить нельзя? Или я что-то не понимаю?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
Сообщение от F1restorm (ok) on 06-Апр-11, 20:50
1. Как несколько принципалов Kerberos 5 объединить в группу и полученной группе дать права на ресурс NFSv4 через ACL? 2. Если пользователей LDAP объединить в группу LDAP, то как полученной группе дать права на ресурс NFSv4 через ACL? 3. Если реализовать п.2, то можно ли для пользователей сделать аутентификацию через Kerberos 5, а не LDAP?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
	Сообщение от Zl0 (ok) on 06-Апр-11, 23:56
	> 1. Как несколько принципалов Kerberos 5 объединить в группу и полученной группе > дать права на ресурс NFSv4 через ACL? > 2. Если пользователей LDAP объединить в группу LDAP, то как полученной группе > дать права на ресурс NFSv4 через ACL? > 3. Если реализовать п.2, то можно ли для пользователей сделать аутентификацию через > Kerberos 5, а не LDAP? Не путайте понятия, керберос здесь только для аутентификации, для авторизации используются уже группы из ldap.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
	Сообщение от F1restorm (ok) on 07-Апр-11, 09:51
	> Не путайте понятия, керберос здесь только для аутентификации... Я знаю разницу между аутентификацией и авторизацией. > ...для авторизации используются уже группы из ldap. Звучит многообещающе. Расскажите, пожалуйста, как именно они используются? Очень хорошо было бы получить ответ на вопрос №2 из предыдущего сообщения. Попробую еще раз объяснить, что хочу получить. Для начала, как это реализуется в Windows + AD. В AD создается группа, в которую помещаются пользователи. Далее, на различные ресурсы этой группе назначаются различные права. В результате, пользователь входящий в эту группу, при обращении к ресурсу, получает права назначенные группе в которую он входит. Важным моментом является то, что для назначения новому пользователю множества прав, достаточно поместить его в эту группу и все, а не назначать права на всех ресурсах по отдельности. Я хочу получить тоже самое, но без Windows, AD и Samba, а при помощи Kerberos 5 + LDAP для NFSv4, ssh, Apache и т.п. Как это сделать?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Права доступа на каталог (NFSv4) для группы (Kerberos5)"	+/–
Сообщение от F1restorm (ok) on 19-Апр-11, 17:52
Разместил этот вопрос на многих форумах, но так никто и не смог толком ответить. Не уже ли ни кто не решает подобных задач? Как тогда достигается Single Sign-On в UNIX0like системах? Лишь частично?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема