proNovell

Имею: установленный Novell Client 2.0 SP2 на OpenSUSE 11.2.

Проблема: захожу под обычным пользователем в систему (user), в его сессии с помощью новеловского клиента подключаюсь к NW6.5/5.1-серверам с именем nwuser. Получаю буквы-линки (аля диски) в домашнем каталоге user-а. После чего, переключившись в локальной машине в root-а, имею возможность зайти под ним в домашний каталог user-а (правильно), а дальше могу перейти в смонтированные в его домашний каталог сетевые буквы-линки (неправильно!) Т.е., локальный админ имеет возможность зайти в чужие сетевые каталоги! Это есть очень нехорошо.

В аналогичной ситуации на терминальном вендовом сервере локальный админ чужих сетевых каталогов (дисков) вообще не видит. Вот это поведение совершенно правильное - ты локальный админ на сервере, и чужие удалённые ресурсы тебе не должны быть доступны, в принципе.

Я понимаю, это сказывается идеология никса, такая у него модель безопасности, точно такая же ситуация и с доступом к ресурсам, смонтированным по самбе. Поэтому сабж у меня не совсем корректный. Но как-то неуютненько...

маленько не в тему но добавлю что различие в модели безопасности так же вызывает некоторые проблемы в приживлении Pervasive SQL к NSS.

Имхо даже если юзеров Linux LUM'пенизировать - древовидный eDir тяжело накладывать на плоскую структуру passwd/group.

А что при смене пользователя Linux , сессия не сбрасывается что ли???
я так понимаю user вышел, зашёл root... (в выни это же происходит, а потом поновой регистрация Novell)
правда если под user были ещё и подняты привелегий root , то и в винде тоже самой происходит, ведь регистрация в Novell не изменялась....
Возможно я что то не так понял, поправьте меня...
(В выни я могу запустить FarManager с правами Администратора из под сеанса простого пользователя который при регистрации получил сетевые ресурсы Novell, и так же иметь к ним доступ)

Бурылов Александр писал(а):А что при смене пользователя Linux , сессия не сбрасывается что ли???

Я не меняю пользователя, а, н-р, просто захожу удалённо по ssh root-ом. И он (root) имеет доступ к сетевым каталогам другого пользователя.

Бурылов Александр писал(а):я так понимаю user вышел, зашёл root... (в выни это же происходит, а потом поновой регистрация Novell)

В простом Win2000/XP - да, так. Но в терминальных серверах Win2003/2008, Vista и Win7 теперь можно иметь активными сразу несколько пользователей одновременно (в XP, к примеру, нельзя было с одной машины иметь подключения от имени разных пользователей к одному и тому же домену, то же самое с новеловским клиентом - его установка выключала возможность сделать переключение юзера). Теперь же даже не на терминальных серверах - Vista и Win7 - можно иметь разные одновременные сессии к одному и тому же домену/дереву. Но при этом никто не имеет доступа к чужим сетевым дискам, они per session.

Бурылов Александр писал(а):правда если под user были ещё и подняты привелегий root , то и в винде тоже самой происходит, ведь регистрация в Novell не изменялась....

Нет, это не так. Попробуйте в венде, зайдя обычным пользователем, подключить сетевые новеловские диски (или войти в домен - неважно). После чего запустите какой-нибудь шелл (FAR, TC,...) от имени локального администратора - в нём вы НЕ увидите чужие диски, они доступны только тому пользователю, той сессии, которые их подключали/монтировали. Это принципиальный момент.

Бурылов Александр писал(а):Возможно я что то не так понял, поправьте меня...

Поправляю

Бурылов Александр писал(а):(В выни я могу запустить FarManager с правами Администратора из под сеанса простого пользователя который при регистрации получил сетевые ресурсы Novell, и так же иметь к ним доступ)

НЕТ! Не получите! Проверьте, это несложно. Так было всегда, это, собственно и есть безопасность по вендовски - у них доступ к удалённому ресурсу ограничен пользовательской сессией, в которой был открыт этот доступ. И эта вендовая модель разграничения прав, в данном случае, правильнее и безопаснее линухового подхода, где локальный root может залезть на чужие сетевые ресурсы.

что он в линухе таки самый главный и может делать все. Поэтому и предлагают использовать его по-реже.
Ведь когда из root'а делаешь su userXX - он ведь даже пароль юзера не спрашивает - типа а зачем?

Павел Гарбар писал(а):что он в линухе таки самый главный и может делать все. Поэтому и предлагают использовать его по-реже.
Ведь когда из root'а делаешь su userXX - он ведь даже пароль юзера не спрашивает - типа а зачем?

вот вот - сам хотел написать .

su user из под рута пароль не просит

а runas /user:user cmd

хоть из-под локального админа но пароль хочет