[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: UUGRN uid/gid ranges
[Thread Prev] | [Thread Next]
- Subject: Re: UUGRN uid/gid ranges
- From: Philipp Schafft <lion@xxxxxxxxxxxxxxx>
- Date: Tue, 10 Dec 2019 14:48:10 +0000
- To: uugrn@xxxxxxxxxxxxxxx
Guten Nachmittag, On Tue, 2019-12-10 at 15:25 +0100, Marc Haber wrote: > On Tue, Dec 10, 2019 at 01:11:15PM +0000, Philipp Schafft wrote: > > Zur Dokumentation: In den Bereichen in denen ich damit zu tun habe, gibt > > es ueberall LDAP dafuer. Das hat den Vorteil, dass man praktisch jedes > > system dran pluggen kann. Auch solche Sachen wie Wikis, Addressbuecher, > > Telephone, ... > > Von der Sache her hast Du damit voellig Recht. Dennoch wuerde ich dem > Verein nicht dazu raten wollen, das ist ein riesengrosses Thema wo man > auch ganz schnell nach einer "richtigen" CA schreit, wenn man es secure > machen moechte. > Mittelfristig sicher nicht verkehrt auch Dinge zu lernen, aktuell wuerde > ich dieses maechtig grosse Fass lieber zu lassen. Und genau das ist halt was ich an LDAP mag, dass man das Fass soweit auf und zu machen kann wie man will. Dennoch ist so was natuerlich am sinnvollsten zu intrigieren, wenn man eh gerade neu macht... Davon abgesehen habe ich selbst ja gar nicht dazu geraten. Ich sage nur, dass ich damit gute Erfahrungen habe, gerade bei Organisationen in der Groesse der UUGRN. Gerade bei verteilten Systemen. Gerade bei mittlerer Heterogenitaet. > > > Eventuell sollte man das auch fuer System-Accounts machen, die sonst > > > selbst innerhalb einer Distribution dank dynamischer Zuweisung > > > zwangslaeufig auf unterschiedlichen uids/gids landen. > > > > Habe ich sehr gemischte Erfahrung mit. Ich denke, das haengt auch stark > > vom Heterogenitaetsgrad ab. Ich denke aber, das zumindestens einen Range > > festzulegen absolut sinnvoll ist. > > Debian nimmt halt bei adduser --system (und das wird in den > Maintainerscripts aufgerufen, wenn ein Paket einen Accoutn braucht) den > naechsten freien Account groesser als UID 100, und das finde ich nicht > toll. Aber ja, das richtig zu machen ist richtig Aufwand; der > entsprechende Bug gegen adduser duerfte von 2000 oder so sein. Ja. Dieses verhalten ist aber Debian spezifisch. Ein anderes OS koennte das anders machen. Dabei ist nicht mal sichergestellt, dass die betroffenen User auch gleich heissen. Zu Debian speziell: install scripts MUeSSEN damit klar kommen, dass der user bereits existiert. Sprich man kann das ganze aus schummeln, in dem man die zu erwartenden Benutzer vorher zuweist. Egal ob das jetzt etwas wie LDAP ist, oder einfach eine liste von standard Benutzern die mit standard IDs nach dem installieren aus einem kleinen Template vom admin erzeugt werden. Damit kann man ggf. auch dafuer sorgen, dass man einen range hat und zusaetzlich ein paar spezielle, aber nicht alle, user festlegt. Mit bestem Gruss, -- Philipp. (Rah of PH2) -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/