Re: UUGRN uid/gid ranges

From: Philipp Schafft <lion_at_lion.leolix.org>
Date: Tue, 10 Dec 2019 14:48:10 +0000
Guten Nachmittag,

On Tue, 2019-12-10 at 15:25 +0100, Marc Haber wrote:
> On Tue, Dec 10, 2019 at 01:11:15PM +0000, Philipp Schafft wrote:
> > Zur Dokumentation: In den Bereichen in denen ich damit zu tun habe, gibt
> > es überall LDAP dafür. Das hat den Vorteil, dass man praktisch jedes
> > system dran pluggen kann. Auch solche Sachen wie Wikis, Addressbücher,
> > Telephone, ...
> 
> Von der Sache her hast Du damit völlig Recht. Dennoch würde ich dem
> Verein nicht dazu raten wollen, das ist ein riesengroßes Thema wo man
> auch ganz schnell nach einer "richtigen" CA schreit, wenn man es secure
> machen möchte.


> Mittelfristig sicher nicht verkehrt auch Dinge zu lernen, aktuell würde
> ich dieses mächtig große Fass lieber zu lassen.

Und genau das ist halt was ich an LDAP mag, dass man das Fass soweit auf
und zu machen kann wie man will.

Dennoch ist so was natürlich am sinnvollsten zu intrigieren, wenn man eh
gerade neu macht...

Davon abgesehen habe ich selbst ja gar nicht dazu geraten. Ich sage nur,
dass ich damit gute Erfahrungen habe, gerade bei Organisationen in der
Größe der UUGRN. Gerade bei verteilten Systemen. Gerade bei mittlerer
Heterogenität.


> > > Eventuell sollte man das auch für System-Accounts machen, die sonst
> > > selbst innerhalb einer Distribution dank dynamischer Zuweisung
> > > zwangsläufig auf unterschiedlichen uids/gids landen.
> > 
> > Habe ich sehr gemischte Erfahrung mit. Ich denke, das hängt auch stark
> > vom Heterogenitätsgrad ab. Ich denke aber, das zumindestens einen Range
> > festzulegen absolut sinnvoll ist.
> 
> Debian nimmt halt bei adduser --system (und das wird in den
> Maintainerscripts aufgerufen, wenn ein Paket einen Accoutn braucht) den
> nächsten freien Account größer als UID 100, und das finde ich nicht
> toll. Aber ja, das richtig zu machen ist richtig Aufwand; der
> entsprechende Bug gegen adduser dürfte von 2000 oder so sein.

Ja. Dieses verhalten ist aber Debian spezifisch. Ein anderes OS könnte
das anders machen. Dabei ist nicht mal sichergestellt, dass die
betroffenen User auch gleich heißen.

Zu Debian speziell: install scripts MÜSSEN damit klar kommen, dass der
user bereits existiert. Sprich man kann das ganze aus schummeln, in dem
man die zu erwartenden Benutzer vorher zuweist. Egal ob das jetzt etwas
wie LDAP ist, oder einfach eine liste von standard Benutzern die mit
standard IDs nach dem installieren aus einem kleinen Template vom admin
erzeugt werden.

Damit kann man ggf. auch dafür sorgen, dass man einen range hat und
zusätzlich ein paar spezielle, aber nicht alle, user festlegt.

Mit bestem Gruß,

-- 
Philipp.
 (Rah of PH2)

-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Received on 10.12.2019

This archive was generated by hypermail 2.3.0 : 10.12.2019 CET