-- Marcin Owsiany <porridge@debian.org> http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216
--- Begin Message ---
- To: Marcin Owsiany <porridge@debian.org>
- Subject: Re: FTP, ACL i wirtualni uzytkownicy
- From: "R.M.M" <rmm79@op.pl>
- Date: Tue, 03 Aug 2010 16:33:22 +0200
- Message-id: <4C5828B2.1040906@op.pl>
- In-reply-to: <20100803135115.GB447@beczulka>
- References: <4C56F32A.3020900@op.pl> <20100802190241.0abcb121@gokiburi> <20100803135115.GB447@beczulka>
W dniu 2010-08-03 15:51, Marcin Owsiany pisze:On Mon, Aug 02, 2010 at 07:02:41PM +0200, Krzysztof Kaczmar wrote:Dnia 2010-08-02, o godz. 18:32:42 "R.M.M"<rmm79@op.pl> napisał(a):oferowane przez systemy plikow listy kontroli dostepu operuja na uzytkownikach systemowych. Jak zatem zdefiniowac dostep do pliku czy katalogu dla uzytkownika wirtualnego zdefiniowanego np. w bazie danych?Czy ktos z Was spotkal sie z jakimis rozwiazaniami tego problemu?http://en.wikipedia.org/wiki/Name_Service_Switch $ apt-cache search '^libnss-.*(sql|ldap)' libnss-ldap - NSS module for using LDAP as a naming service libnss-mysql-bg - NSS module for using MySQL as a naming service libnss-mysql - NSS module for MySQL libnss-pgsql2 - NSS module for using PostgreSQL as a naming service libnss-ldapd - NSS module for using LDAP as a naming serviceWarto zauważyć, że taki użytkownik mimo wszystko będzie "systemowy" w sensie konieczności posiadania własnego UID. Innego wyjścia nie ma, jeśli chcesz polegać na ochronie dawanej przez jądro (w którym znajduje się sterownik systemu plików).To akurat nie jest w moim przypadku przeszkoda. Istotne, ze mi sie tacy uzytkownicy nie beda "mieszac" z kontami stricte systemowymi. Poza tym NSS+PAM+moduly pozwalaja obsluzyc rozne scenariusze autoryzacji, ktorych poczatkowo nie bralem nawet pod uwage, a ktore maja sporo zalet w porownaniu do rozwiazania obslugiwanego przez konkretna usluge.Alternatywą może być przejście na ochronę dawaną przez aplikację - w Twoim przypadku serwer FTP o ile się nie mylę. Czy jakiś serwer FTP oferuje coś takiego to już inna sprawa.To byl moj pierwotny pomysl, ale niestety nic konkretnego na ten temat nie znalazlem. W przypadku pojedynczej uslugi pewnie daloby sie ja tez szybciej skonfigurowac. Z czystej ciekawosci rzucilbym okiem na takie rozwiazanie, jesli ktos bylby chetny podzielic sie informacjami na jego temat.-- R.M.M
--- End Message ---