Vladimir V. Kamarzin пишет:
On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:AA> Да. Но тогда у нас получается что есть специализированный, _заранее_ AA> заданный пользователь, являющийся вебмастером... Эээ, ну я подумал что вы так и хотите сделать.AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним AA> вебсервером могло управлять несколько человек). AA> Наиболее заманчиво здесь использовать группы (одна точка управления: AA> пользователь либо входит в группу webmaster, либо нет). Но при AA> практической реализации (группа webmaster уже создаётся) -- упёрся в AA> права на объекты ФС... Получается не очень красиво: для делгирования прав на веб-приложение, надо выставить группу webmaster объектам фс, при этом для предоставления прав на запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
Может более осмысленно наоборот: включить вебмастера в группу _webserver (+ группы соответствующие конкретным серверам)? Тогда вебсервер не будет иметь права вебмастера...
Минусы:1. При этом мы теряем единую точку управления (пользователя придётся включать в несколько групп, но эта задача поддаётся автоматизации).
2. Группу _webserver придётся переименовывать (т. к. в неё будут входить реальные пользователи).
Если использовать вариант с группой, надо разруливать через acl-и.
Хотелось бы этого избежать.
AA> А если мы примем, что что вебмастер -- это _любой_ пользователь AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я AA> не вижу решения без привлечения sudo. Для single-hosting вариант с юзером webmaster по-моему весьма неплох.AA> ИМХО: вариант плох тем, что появляется некий аля-root которому AA> потребуется своя структура поддержки. Для root она сложилась AA> исторически. Здесь же -- её придётся создавать... Вариант с группой AA> выглядит красивее.В случае virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой AA> настройки vhost-ов (установка/настройка приложений например) требуется AA> создавать/редактировать файлы там. Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать непосредственно править конфиги в /etc/http*. С другой стороны, можно на это дело нарисовать control facility ;) Будет нечто вроде control httpd-configs restricted | webmaster
Принято. ;-) -- С уважением. Алексей.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins