abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 06:00 | Nová verze

Byla vydána nová verze 1.26 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Představení novinek také na YouTube.

Ladislav Hagara | Komentářů: 21
včera 03:00 | Nová verze

Po více než 3 měsících vývoje od vydání verze 2.12.0 byla vydána nová verze 3.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 169 vývojářů. Provedeno bylo více než 2 300 commitů. Přehled úprav a nových vlastností v seznamu změn. Proč verze 3.0.0 a ne 2.13.0? Není to kvůli triskaidekafobii. QEMU letos v březnu slavilo 15 let od oznámení verze 0.1 a to je dle vývojářů dobrý důvod pro novou major verzi. Vývojáři mají v plánu zvyšovat major verzi jednou ročně, vždy s prvním vydáním v daném roce.

Ladislav Hagara | Komentářů: 3
14.8. 22:11 | Bezpečnostní upozornění

Intel potvrdil (INTEL-SA-00161) další bezpečnostní problém ve svých procesorech. Problém byl pojmenován L1 Terminal Fault aneb L1TF. Popis problému přímo od Intelu na YouTube. Jedná se o CVE-2018-3615 (SGX), CVE-2018-3620 (OS/SMM) a CVE-2018-3646 (VMM). Další informace na stránce Foreshadow nebo přímo v dnešním commitu do Linuxu.

Ladislav Hagara | Komentářů: 13
14.8. 12:33 | IT novinky

Po více než 4 letech bylo vydáno RFC 8446 popisující verzi 1.3 protokolu TLS (Transport Layer Security). Popis novinek i historie TLS například v příspěvku na blogu Cloudflare.

Ladislav Hagara | Komentářů: 0
14.8. 11:11 | Zajímavý software

V roce 1998 uvedla společnost Tiger Electronics na trh elektronickou hračku, malého chlupatého tvora s velkýma ušima, Furby. Furby patřil k nejžádanějším hračkám. Během tří let se jich prodalo více než 40 milionů. Furby již tenkrát reagoval na světlo, zvuk, polohu, doteky a přítomnost dalších Furby. Sám mluvil a pohyboval se. Firmware uvnitř simuloval postupný vývoj a učení. Zdrojový kód tohoto firmwaru byl zveřejněn na Internet Archive [Hacker News].

Ladislav Hagara | Komentářů: 20
14.8. 02:00 | Nová verze

Australská společnost Blackmagic Design oznámila vydání verze 15 svého proprietárního softwaru pro editování videa a korekci barev DaVinci Resolve běžícího také na Linuxu. Představení nových vlastností na YouTube. Základní verze DaVinci Resolve je k dispozici zdarma. Plnou verzi DaVinci Resolve Studio lze koupit za 299 dolarů. Před rokem to bylo 995 dolarů.

Ladislav Hagara | Komentářů: 0
13.8. 21:00 | Zajímavý projekt

Cílem projektu DXVK bylo vytvořit vrstvu kompatibility mezi Direct3D 11 a Vulkanem a začlenění této vrstvy do Wine. Direct3D 10 nad Vulkanem bylo možné řešit mezikrokem pomocí vrstvy DXUP překládající Direct3D 10 na Direct3D 11. Vývojáři DXVK se rozhodli přímo podporovat Direct3D 10. Podpora byla začleněna do hlavní větve na GitHubu.

Ladislav Hagara | Komentářů: 4
13.8. 16:00 | Nová verze

Vyšla verze 3.10 přehrávače Audacious. Přináší oprav chyb a drobná vylepšení seznamů skladeb, vyhledávání či ikonek. Zároveň pokračují práce na novém uživatelském rozhraní využívajícím Qt namísto GTK+ – nejsou však hotovy, proto je vydání 3.10 pojmenováno „Not Quite There Yet“; až bude proces u konce, vyjde Audacious 4.

Fluttershy, yay! | Komentářů: 12
13.8. 02:00 | Nová verze

Linus Torvalds vydal Linux 4.18. Více o vývojovém cyklu v Jaderných novinách: začleňovací okno [1] a [2], statistiky. Finální přehled změn je k mání na webu Linux Kernel Newbies.

Fluttershy, yay! | Komentářů: 5
13.8. 01:00 | Pozvánky

Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze. Prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.

xkucf03 | Komentářů: 0
Používáte zařízení („chromebook“, „chromebox“ či tablet) s ChromeOS?
 (7%)
 (4%)
 (12%)
 (77%)
Celkem 179 hlasů
 Komentářů: 9, poslední 14.8. 21:03
    Rozcestník

    OpenAFS – uživatel

    15. 2. 2012 | Michal Švamberg | Návody | 5978×

    V tomto díle se budeme věnovat čerstvě vytvořenému uživateli z minulého dílu. Založíme mu volume, nastavíme mu jednoduché zálohování a ukážeme, jak si může vytvořit vlastní skupinu.

    Obsah

    Uživatelský volume

    link

    Takto založíme uživatelský volume, který pojmenujeme user.svamberg podle jeho loginu. Pro provedení operace nezapomeňte na  kinit a aklog vaší správcovské identity:

    ~$ vos create afsfs.foo.bar /vicepa user.svamberg
    Volume 536870921 created on partition /vicepa of afsfs.foo.bar
    

    V pátem díle jsme si ukazovali typickou strukturu AFS, ve které se nachází adresář users:

    Path

    Ve skutečnosti půjde o malý samostatný volume users, do kterého budeme připojovat uživatelské volumy. Výhodou tohoto „drobení“ je, že až budeme připojovat další uživatelský volume, nebudeme muset releasovat celý základní volume root.cell, ale pouze volume users. Ten vytvoříme včetně RO kopie (pro příkaz vos addsite vizte sedmý díl ) a připojíme do  /afs/foo.bar/:

    ~$ vos create afsfs.foo.bar /vicepa users
    Volume 536870930 created on partition /vicepa of afsfs.foo.bar
    
    ~$ vos addsite afsfs.foo.bar /vicepa users
    Added replication site afsfs.foo.bar /vicepa for volume users
    
    ~$ vos release users
    Released volume users successfully
    
    ~$ fs mkmount /afs/.foo.bar/users users
    
    ~$ ls /afs/foo.bar
    users
    

    Máme tedy připojen volume users do volumu root.cell, a přestože jsme jej připojili do RW cesty (použili jsme tečkovanou cestu), objevil se mount point i v netečkované cestě. To je dáno tím, že jsme pro volume root.cell ještě nevytvořili RO kopii. Opět nadefinujeme lokaci, kam umístíme RO kopii (v našem virtuálu máme jen jednu partition) a provedeme její release:

    ~$ vos addsite afsfs.foo.bar /vicepa root.cell
    Added replication site afsfs.foo.bar /vicepa for volume root.cell
    
    ~$ vos release root.cell
    Released volume root.cell successfully
    

    Tím jsme vytvořili RO kopii pro cestu /afs/foo.bar/, na první pohled se nic nezměnilo, protože již existující obsah RW, který nám byl již nabízen, se okopíroval do RO a začal se v této cestě ukazovat. A taky zcela určitě opět zafungovala cache klienta, které bude chvilku trvat než zjistí změnu. Nás to trápit nemusí, obsahy jsou stejné a my máme jinou práci, musíme připojit ještě uživatelský volume user.svamberg.

    Při vytváření AFS stromu by jste se měli vyvarovat místům, kde se vám budou hromadit mount pointy. Rozdíl je hlavně v tom, zda chcete zjistit pouze jméno (ls) nebo i další informace (ls -l). Nejvíce je to pak vidět při použití souborových manažerů. Takovým typickým adresářem s mnoha mount pointy je část s domovskými adresáři uživatelů. Samozřejmě záleží na počtu vašich uživatelů, my si ukázkově uděláme rozhození podle prvního písmenka z loginu. Předpřipravíme si tedy adresáře (jako shell byl použit bash):

    ~$ cd /afs/.foo.bar/users
    
    /afs/.foo.bar/users$ mkdir `echo {a..z}`
    
    /afs/.foo.bar/users$ ls
    a  b  c  d  e  f  g  h  i  j  k  l  m  n  o  p  q  r  s  t  u  v  w  x  y  z
    

    A každý uživatelský volume připojíme do patřičného umístění:

    /afs/.foo.bar/users$ fs mkmount s/svamberg user.svamberg
    

    Nastavení práv

    link

    Čerstvě vytvořený volume vždy obsahuje pouze oprávnění pro skupinu system:administrators. Je tedy potřeba nastavit práva tak, aby uživatel mohl do svého volumu zapisovat. Uživateli ale nedáme rovnou celý volume, ale vytvoříme v něm 3 adresáře:

    /afs/.foo.bar/users$ cd s/svamberg
    
    /afs/.foo.bar/users/s/svamberg$ mkdir home mail public
    

    Adresář home mu přidělíme jako domovský, který může používat na různých strojích. Do tohoto adresáře nastavíme oprávnění pouze pro  něj a přidáme mu právo ADMINISTER (popis práv najdete v  šestém díle) tak, aby si oprávnění mohl upravovat. Při té příležitosti odebereme oprávnění skupině system:administrators, nebude tak plést uživatele a zároveň donutí správce si rozmyslet, zda opravdu chtějí šahat uživatelům do dat. To sice stále mohou, ale napřed by si znova museli povolit přístup. V tomto případě záleží na politice organizace.

    /afs/.foo.bar/users/s/svamberg$ fs listacl home
    Access list for home is
    Normal rights:
      system:administrators rlidwka
    
    /afs/.foo.bar/users/s/svamberg$ fs setacl home svamberg all system:administrators none
    
    /afs/.foo.bar/users/s/svamberg$ fs listacl home
    Access list for home is
    Normal rights:
      svamberg rlidwka
    

    Pro adresář public nastavíme oprávnění tak, aby tam mohl číst kdokoliv. Na tyto adresáře můžete nasměrovat webový server a dát tak uživatelům snadnou možnost vytvářet stránky nebo dávat něco ke stažení. Přitom jim zůstane ochráněn domovský adresář. Tentokrát správcovskou skupinu vyměníme za system:anyuser:

    /afs/.foo.bar/users/s/svamberg$ fs listacl public
    Access list for public is
    Normal rights:
      system:administrators rlidwka
    
    /afs/.foo.bar/users/s/svamberg$ fs setacl public svamberg all system:administrators none system:anyuser read
    
    /afs/.foo.bar/users/s/svamberg$ fs listacl public
    Access list for public is
    Normal rights:
      system:anyuser rl
      svamberg rlidwka
    

    S adresářem mail se nebudeme zabývat, ale může sloužit jako úložiště pro mailbox. Do něj může mít pak přístup pouze mailový server, ale pošta se bude započítávat do kvóty uživatele. Pokud máte raději oddělenou kvótu pro maily, je možné vytvořit například volume mail.svamberg a připojit jej místo adresáře. Obdobně lze postupovat pro adresář public, ale nedoporučoval bych to. A chybí nám nastavit oprávnění pro kořen uživatelova volumu, zde stačí aby měla skupina system:anyuser pouze právo lookup, uživateli nastavíme jen čtení, nechceme přeci, aby nám do struktury zasahoval. Nastavení oprávnění na 'all' pro skupinu system:administrators ponecháme, protože je budeme využívat pro správcovské operace v budoucnu:

    /afs/.foo.bar/users/s/svamberg$ fs setacl . svamberg read system:anyuser l
    

    Zbývá nastavit práva v podadresářích (abecední struktuře) volumu users. Rozumné by bylo to udělat hned po připojení čerstvě vytvořeného volumu, ale ukážeme si, jak si poradit i s tímto případem. Protože příkazy pro práci s ACL neumí rekurzi, musíme si pomoci externím programem. Pro tyto operace se výborně hodí find a v návodech k AFS jej potkáte relativně často. My chceme projít jen aktuální adresář a všechny jeho přímé podadresáře (-maxdepth 1), hledáme pouze adresáře (-type d), protože práva lze nastavit jen na adresář a vypneme optimalizaci (-noleaf), protože může působit potíže, viz man find:

    /afs/.foo.bar/users/s/svamberg$ cd /afs/.foo.bar/users
    
    /afs/.foo.bar/users$ find . -noleaf -maxdepth 1 -type d -exec fs setacl {} system:anyuser l \;
    
    /afs/.foo.bar/users$ fs listacl .
    Access list for . is
    Normal rights:
      system:administrators rlidwka
      system:anyuser l
    

    Opět jsme použili pouze právo lookup, protože zde není plánováno nic na čtení, chceme pouze dát šanci procházet se po adresářové struktuře. Tím bychom měli mít zajištěno, že po celé délce cesty až do public se dostane kdokoliv, zároveň se dostane do svých adresářů i uživatel.

    Uživatelské skupiny

    link

    AFS umožňuje nativně uživateli vytvářet a spravovat vlastní skupiny, které se používají pro nastavování ACL v AFS stromu. Díky tomu mohou sami uživatelé efektivně spravovat přístupová práva ke svým datům. Takovou vlastnost mají jen některé souborové systémy a jde o velmi užitečnou záležitost. Každý uživatel si může vytvořit své vlastní skupiny, podmínkou je, aby před jménem skupiny byl jeho login oddělený dvojtečkou. Takže pro mého uživatele svamberg si mohu vytvořit skupinu svamberg:project. Napřed zrušíme identitu administrátora a získáme uživatelovu identitu, se kterou si požadovanou skupinu vytvoříme:

    ~$ unlog; kdestroy
    
    ~$ kinit svamberg ; aklog
    Password for svamberg@FOO.BAR:
    
    ~$ pts creategroup svamberg:project
    group svamberg:project has id -1001
    

    Pokud se pokusím vytvořit skupinu pro někoho jiného i existujícího, získám chybu:

    ~$ pts creategroup afsadmin:project
    pts: Badly formed name (group prefix doesn't match owner?) ; unable to create group afsadmin:project
    

    Vypsat si skupiny, které vlastním, nelze příkazem pts listentries, který známe od administrátora, ale můžeme použít pts listowned:

    ~$ pts listentries
    Name                          ID  Owner Creator
    pts: Permission denied ; unable to list entries
    
    ~$ pts listowned svamberg
    Groups owned by svamberg (id: 1001) are:
      svamberg:project
    

    Přidání do skupiny už známe a protože jde o vlastní skupinu, opět na to budeme mít oprávnění. Protože nemáme žádného rozumného uživatele, přidáme do svamberg:project skupiny uživatele svamberg.admin. Předtím si zahrajeme na zlého a zkusíme se přidat do  system:administrators:

    ~$ pts adduser -user svamberg -group system:administrators
    pts: Permission denied ; unable to add user svamberg to group system:administrators 
    
    ~$ pts adduser -user svamberg.admin -group svamberg:project
    
    ~$ pts membership svamberg:project
    Members of svamberg:project (id: -1001) are:
      svamberg.admin
    

    Přidávat sám sebe do skupiny by mělo význam, kdyby skupinu využíval i někdo jiný než vy sami. Pokud to bude jen ve vašich vlastních datech, pak to postrádá smysl, protože vy sám budete mít vždy více oprávnění než skupina. To vychází z předpokladu, že o přístupech chcete rozhodovat sami a nikoliv to nechávat na někom ze skupiny.

    Teď už jen pro skupinu nastavit práva tam, kde si projekt založíme. A jako uživatel máme práva jen na jednom místě:

    ~$ mkdir /afs/foo.bar/users/s/svamberg/public/project
    
    ~$ cd /afs/foo.bar/users/s/svamberg/public/project
    
    /afs/foo.bar/users/s/svamberg/public/project$ fs listacl 
    Access list for . is
    Normal rights:
      system:anyuser rl
      svamberg rlidwka
    
    /afs/foo.bar/users/s/svamberg/public/project$ fs setacl . svamberg:project rliwk
    
    fs listacl
    Access list for . is
    Normal rights:
      svamberg:project rliwk
      system:anyuser rl
      svamberg rlidwka
    
    /afs/foo.bar/users/s/svamberg/public/project$ echo "dokumentace" > project.txt
    

    Teď si můžeme vyzkoušet, že to funguje podle oprávnění. Všichni jej mohou číst, pokud bychom to nechtěli, tak to už zrušit umíme, zapisovat do něj můžeme my sami a naše skupina, která ovšem nemá oprávnění mazat (chybí ji 'd'). Sebe jsme právě vyzkoušeli vytvořením dokumentu, zrušíme si oprávnění a vyzkoušíme to jako anonymní uživatel:

    /afs/foo.bar/users/s/svamberg/public/project$ unlog
    
    /afs/foo.bar/users/s/svamberg/public/project$ cat project.txt 
    dokumentace
    
    /afs/foo.bar/users/s/svamberg/public/project$ echo "bububu" > strasidlo.txt
    bash: strasidlo.txt: Permission denied
    
    /afs/foo.bar/users/s/svamberg/public/project$ rm -f project.txt
    rm: cannot remove `project.txt': Permission denied
    

    Přihlásíme se tedy jako uživatel patřící do skupiny a vyzkoušíme, zda můžeme přidávat soubory a jak to dopadne s mazáním:

    /afs/foo.bar/users/s/svamberg/public/project$ kinit svamberg/admin
    Password for svamberg/admin@FOO.BAR:
    
    /afs/foo.bar/users/s/svamberg/public/project$ aklog
    
    /afs/foo.bar/users/s/svamberg/public/project$ echo "prace" > TODO
    
    /afs/foo.bar/users/s/svamberg/public/project$ rm -f TODO
    rm: cannot remove `TODO': Permission denied
    

    I když jako administrátor jsme ve skupině system:administrators máme zde defaultně pouze právo LOOKUP (l) a instantní právo ADMINISTER (a), a to bez ohledu na to, co je v oprávněních nastaveno. A tak si mohu dovolit i takový nehezký zásah, kdy si dočasně přidám oprávnění:

    /afs/foo.bar/users/s/svamberg/public/project$ fs setacl . svamberg.admin all
    
    /afs/foo.bar/users/s/svamberg/public/project$ rm -f TODO
    
    /afs/foo.bar/users/s/svamberg/public/project$ fs setacl . svamberg.admin none
    

    Takto se postupuje, pokud potřebujete něco upravit tam, kde práva nemáte. Uživatel má ve svém domovském prostoru právo 'a', tudíž i v případě, kdy se přidáte, může vás odstranit. To by ale pro správce nebylo zrovna nejlepší, proto má skupina system:administrators „instantní“ oprávnění 'a' pro úpravu ACL a procházení adresářovou strukturou 'l'. Ale ani administrátor nemůže změny provádět v RO nebo BK (backup) volumech.

    Závěr

    link

    Práva v nově vzniklém adresáři se vždy zdědí z nadřazeného, ale platí to pouze v rámci daného volumu. Každý volume se tváří jako malý souborový systém a při svém založení obsahuje pouze kořen, proto je vhodné po připojení volumu práva zkontrolovat a případně upravit. Uživateli jsme volume pěkně předpřipravili a jeho práva se budou dědit správně.

    Nastavení domovského volumu uživatele je jen ukázkové. Můžete si jej upravit dle svých zvyklostí a potřeb. Avšak ještě než s úpravami začnete vyčkejte do dílu o zálohování, kde si s uživatelským volumem ještě trochu pohrajeme.

    Možnosti nastavení oprávnění a vlastních skupin dělá z AFS vhodný souborový systém i pro organizace s velkým počtem uživatelů. Uživatelé se ale musejí tuto výhodu naučit používat ve svůj prospěch.

    Centrum informatizace a výpočetní techniky pro Západočeskou univerzitu v Plzni buduje a provozuje od roku 1996 prostředí Orion založené na  autentizačním systému Kerberos a distribuovaném síťovém souborovém systému AFS s více než 22 tisíci aktivních uživatelů.
           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    15.2.2012 16:43 loki
    Rozbalit Rozbalit vše Re: OpenAFS – uživatel
    Pekny clanek. Btw nejste vy nejakej ten "von"? ;-)
    15.2.2012 21:12 List | skóre: 27
    Rozbalit Rozbalit vše Re: OpenAFS – uživatel
    Děkuji. Možná pár let zpátky s těmito pány
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.