win sharing
проще всего завести у себя еще одного юзера, и пришаринге дать права только этому юзеру. дальше сказать, чтобы коннектились этим юзером
или поставить ftp-сервак и дать конкретному логину конкретные права
все равно также извратно получается...
А как, по твоему, выглядел бы неизвратный способ, если бы существовал?
мне менее извратно - у меня уже ftp стоит
<имя компа>\<имя юзера>
Например, SUPERPUPER\Vasya
Добавляешь его в список народа , которому раздаешь права доступа, у всех убираешь все...(себе не забудь оставить)... Добавленному хрюнделю выдаешь любые права, какие твоя душа возжелает... Вуаля...
Например, SUPERPUPER\Vasya
Добавляешь его в список народа , которому раздаешь права доступа, у всех убираешь все...(себе не забудь оставить)... Добавленному хрюнделю выдаешь любые права, какие твоя душа возжелает... Вуаля...
в данной ситуации меня в первую очередь не устраивает то, что система прав централизована. Для того, чтобы предоставить доступ к какой-то фигульке, я должен завести глобального юзера.
Самое фиговое, что при удалении диры (убирания доступа для этого юзера) надо не забыть грохнуть юзера опять же в центральном репозитории.
для данной задачи хватило бы выдачи подписанного мной "сертификата" в котором было написано, что такому-то юзеру предоставляются доступ к такому-то ресурсу.
При подсоединение, дира проверяет, что у подсоединяемого юзера есть такой "сертификат".
Самое фиговое, что при удалении диры (убирания доступа для этого юзера) надо не забыть грохнуть юзера опять же в центральном репозитории.
для данной задачи хватило бы выдачи подписанного мной "сертификата" в котором было написано, что такому-то юзеру предоставляются доступ к такому-то ресурсу.
При подсоединение, дира проверяет, что у подсоединяемого юзера есть такой "сертификат".
разве такое возможно без Active Directory?
по крайней мере у меня такая фича задисейблина (конкретно задисейблена возможность выбрать другой компьютер)
по крайней мере у меня такая фича задисейблина (конкретно задисейблена возможность выбрать другой компьютер)
Да, хотелось бы типа unix nfs export. Без создания юзеров.
ftp-сервера на самом деле бывают разные, в том числе висящие на высоких портах и со своей базой пользователей - т.е. глобальности может не быть уже сейчас
немножко подумать и доделать - и будет счастье
немножко подумать и доделать - и будет счастье
это я знаю, но все равно же надо заводить глобального юзера, но теперь уже глобального для всего ftp-сервера
Нужен не ftp, а samba-доступ.
зачем? запускай со своими привилегиями
Абсолютно прав! 
Олажался. Только локал юзером проблему решать... А жаль, с Актив Директори красивее получалось...
Олажался. Только локал юзером проблему решать... А жаль, с Актив Директори красивее получалось...я имел ввиду, что все равно у ftp-сервера есть центральный репозиторий в котором лежат все "юзеры", и завести "юзера" на уровне одной папки не получится, не получится также привязать время жизни "юзера" к времени жизни папки
но насколько я понимаю, даже если Active Directory есть, то оба компа должны находится в одном "пространстве" Active Directory.
т.е. два "вражеских" (например, из разных офисов) компа все равно подружить не получится
т.е. два "вражеских" (например, из разных офисов) компа все равно подружить не получится
время жизни "юзера" == время жизни серверного процесса
чем такая модель не устраивает?
чем такая модель не устраивает?
а если комп ребутнуть, то права пропадут? так это не хорошо.
зы
в общем случае, мне нравится схема в которой каждый "агент" (в данном случае, дира, внешний юзер, права юзера на диру) живут максимально независимой жизнью от всего остального мира.
ззы
Чем плоха предложенная тобой модель.
Допустим приношу я винчестер с работы домой и включаю в домашний комп, и получается мне надо как-то проэкспортировать юзеров с винчестера в центральное хранилище.
зы
в общем случае, мне нравится схема в которой каждый "агент" (в данном случае, дира, внешний юзер, права юзера на диру) живут максимально независимой жизнью от всего остального мира.
ззы
Чем плоха предложенная тобой модель.
Допустим приношу я винчестер с работы домой и включаю в домашний комп, и получается мне надо как-то проэкспортировать юзеров с винчестера в центральное хранилище.
> а если комп ребутнуть, то права пропадут? так это не хорошо
persistent storage таки нужен выходит. почему бы не использовать файловую систему?
и удобные средства для пользователей запускать сервисы. cron почти подходит.
> Допустим приношу я винчестер с работы домой и включаю в домашний
> комп, и получается мне надо как-то проэкспортировать юзеров с
> винчестера в центральное хранилище.
Нах? Те юзера на работе остались. В любом случае - всех вкусных фичей сразу не получить. Нужно по частям!
persistent storage таки нужен выходит. почему бы не использовать файловую систему?
и удобные средства для пользователей запускать сервисы. cron почти подходит.
> Допустим приношу я винчестер с работы домой и включаю в домашний
> комп, и получается мне надо как-то проэкспортировать юзеров с
> винчестера в центральное хранилище.
Нах? Те юзера на работе остались. В любом случае - всех вкусных фичей сразу не получить. Нужно по частям!
1. юзер сейчас не хранится в файловой системе, там хранится только идентификатор
2. в честь чего это сервер должен хранить информацию о каждом юзере, пусть ее лучше юзер хранит, а то вдруг сервер лопнет от всех этих юзеров.
> Нах? Те юзера на работе остались.
А если челы с работы хотят приконнектится к этому винчестеру, даже когда он стоит у меня в домашнем компе?
> В любом случае - всех вкусных фичей сразу не получить. Нужно по частям!
Кто это сказал? и почему нельзя получить всё, сразу и как можно больше?
2. в честь чего это сервер должен хранить информацию о каждом юзере, пусть ее лучше юзер хранит, а то вдруг сервер лопнет от всех этих юзеров.
> Нах? Те юзера на работе остались.
А если челы с работы хотят приконнектится к этому винчестеру, даже когда он стоит у меня в домашнем компе?
> В любом случае - всех вкусных фичей сразу не получить. Нужно по частям!
Кто это сказал? и почему нельзя получить всё, сразу и как можно больше?
> 1. юзер сейчас не хранится в файловой системе, там хранится только
> идентификатор
а где же секреты для аутентификации и информация о привилегиях?
> 2. в честь чего это сервер должен хранить информацию о каждом юзере,
см. выше
> А если челы с работы хотят приконнектится к этому винчестеру, даже
> когда он стоит у меня в домашнем компе?
Значит, необходимая информация должна быть перенесена, т.е., должна оказаться на том же винчестере.
> Кто это сказал?
я говорю
> и почему нельзя получить всё, сразу и как можно больше?
чем далее откладывается результат, тем меньше стимулов для работы
> идентификатор
а где же секреты для аутентификации и информация о привилегиях?
> 2. в честь чего это сервер должен хранить информацию о каждом юзере,
см. выше
> А если челы с работы хотят приконнектится к этому винчестеру, даже
> когда он стоит у меня в домашнем компе?
Значит, необходимая информация должна быть перенесена, т.е., должна оказаться на том же винчестере.
> Кто это сказал?
я говорю
> и почему нельзя получить всё, сразу и как можно больше?
чем далее откладывается результат, тем меньше стимулов для работы
> а где же секреты для аутентификации и информация о привилегиях?
в сертификате, который выдали внешнему юзеру
> Значит, необходимая информация должна быть перенесена, т.е., должна оказаться на том же винчестере.
так остается проблема как экспортировать эту информацию в центральное хранилище, и когда ее оттуда убивать?
> чем далее откладывается результат, тем меньше стимулов для работы
хорошим это не заканчивается
в сертификате, который выдали внешнему юзеру
> Значит, необходимая информация должна быть перенесена, т.е., должна оказаться на том же винчестере.
так остается проблема как экспортировать эту информацию в центральное хранилище, и когда ее оттуда убивать?
> чем далее откладывается результат, тем меньше стимулов для работы
хорошим это не заканчивается
> в сертификате, который выдали внешнему юзеру
интересная идея, но для жизни IMHO малопригодная:
1. сертификат будет длинный, голосом его уже например не передать, и на бумажке писать долго и трудно
2. трудно придумать способ кодирования информации о привилегиях, учитывая, что к моменту предъявления сертификата данные, к части из которых должен быть предоставлен доступ, уже будут изменены
(например, набор пар вида (имя файла, права доступа) не катит, так как ты можешь потом передумать, а сертификат уже подписан).
> как экспортировать эту информацию в центральное хранилище, и когда
> ее оттуда убивать
что есть центральное хранилище и для чего нужно
файловая система и есть хранилище, иногда центральное, иногда разделяемое, иногда распределённое etc.
> хорошим это не заканчивается
что именно?
интересная идея, но для жизни IMHO малопригодная:
1. сертификат будет длинный, голосом его уже например не передать, и на бумажке писать долго и трудно
2. трудно придумать способ кодирования информации о привилегиях, учитывая, что к моменту предъявления сертификата данные, к части из которых должен быть предоставлен доступ, уже будут изменены
(например, набор пар вида (имя файла, права доступа) не катит, так как ты можешь потом передумать, а сертификат уже подписан).
> как экспортировать эту информацию в центральное хранилище, и когда
> ее оттуда убивать
что есть центральное хранилище и для чего нужно
файловая система и есть хранилище, иногда центральное, иногда разделяемое, иногда распределённое etc.
> хорошим это не заканчивается
что именно?
> 1. сертификат будет длинный, голосом его уже например не передать, и на бумажке писать долго и трудно
а железки на что? пусть они и передают, хоть голубиной почтой.
> 2. трудно придумать способ кодирования информации о привилегиях, учитывая, что к моменту предъявления сертификата данные, к части из которых должен быть предоставлен доступ, уже будут изменены
(например, набор пар вида (имя файла, права доступа) не катит, так как ты можешь потом передумать, а сертификат уже подписан).
Т.е. что делать, если хочется отменить права конкретному пользователю?
Заставить всех коннектящихся к дире, перерегистрить сертификаты.
а железки на что? пусть они и передают, хоть голубиной почтой.
> 2. трудно придумать способ кодирования информации о привилегиях, учитывая, что к моменту предъявления сертификата данные, к части из которых должен быть предоставлен доступ, уже будут изменены
(например, набор пар вида (имя файла, права доступа) не катит, так как ты можешь потом передумать, а сертификат уже подписан).
Т.е. что делать, если хочется отменить права конкретному пользователю?
Заставить всех коннектящихся к дире, перерегистрить сертификаты.
> а железки на что? пусть они и передают, хоть голубиной почтой.
то есть уже необходимо наличие доверенного канала достаточной толщины => ограничение области применения твоего механизма
> Заставить всех коннектящихся к дире, перерегистрить сертификаты.
Информацию о том, что сертификатам больше не верить, уже нужно будет хранить локально. Заставлять всех - может быть очень накладно, тогда придётся хранить статус каждого сертификата отдельно.
то есть уже необходимо наличие доверенного канала достаточной толщины => ограничение области применения твоего механизма
> Заставить всех коннектящихся к дире, перерегистрить сертификаты.
Информацию о том, что сертификатам больше не верить, уже нужно будет хранить локально. Заставлять всех - может быть очень накладно, тогда придётся хранить статус каждого сертификата отдельно.
зачем доверенный канал? сертификат же подписанный, причем не доступен ни ключ на чтение, ни на запись.
Этот сертификат вообще можно публиковать на общее обозрение (идентификатор пользователя в сертификате есть).
> Информацию о том, что сертификатам больше не верить, уже нужно будет хранить локально. Заставлять всех - может быть очень накладно, тогда придётся хранить статус каждого сертификата отдельно.
надо хранить только дату последней перерегистрации для данной диры. И все сертификаты более ранние проверять отдельно.
Этот сертификат вообще можно публиковать на общее обозрение (идентификатор пользователя в сертификате есть).
> Информацию о том, что сертификатам больше не верить, уже нужно будет хранить локально. Заставлять всех - может быть очень накладно, тогда придётся хранить статус каждого сертификата отдельно.
надо хранить только дату последней перерегистрации для данной диры. И все сертификаты более ранние проверять отдельно.
ты подразумеваешь, что у твоих пользователей уже будут ключи, которыми ты будешь шифровать сертификаты? это подразумевает развитую PKI. Иными словами, сведение сложной задачи к очень сложной (был у меня опыт внедрения pgp в маленькой конторе, оказалось, что идея криптографии с открытым ключом выше понимания народа, причём народа не простого, а типа программеров, студентов ВМК:) )
> И все сертификаты более ранние проверять отдельно.
И типа при каждом изменении - массовый перегенерёж сертификатов и распространение их?
> И все сертификаты более ранние проверять отдельно.
И типа при каждом изменении - массовый перегенерёж сертификатов и распространение их?
так мы обсуждаем, что мы хотим в идеале? или то, в чем мы барахтаемся?
в идеале у каждого чела висит (или висят) bluetooth-брелок с тем же pgp-ключом.
> И все сертификаты более ранние проверять отдельно.
И типа при каждом изменении - массовый перегенерёж сертификатов и распространение их?
Это только если мы сильно ошиблись при выдаче одно из сертификатов, и сейчас хотим быро вернуть все обратно.
А так мы просто должны были выдать временный сертификат (сертификат в котором записано время жизни)
в идеале у каждого чела висит (или висят) bluetooth-брелок с тем же pgp-ключом.
> И все сертификаты более ранние проверять отдельно.
И типа при каждом изменении - массовый перегенерёж сертификатов и распространение их?
Это только если мы сильно ошиблись при выдаче одно из сертификатов, и сейчас хотим быро вернуть все обратно.
А так мы просто должны были выдать временный сертификат (сертификат в котором записано время жизни)
мне бы для компа каталог расшарить...
так в том-то и проблема, что нормальными средствами - это не получается
> в идеале у каждого чела висит (или висят) bluetooth-брелок с тем же
> pgp-ключом.
Ты ещё скажи, что они внутрь имплантированны
Меня интересует средство, пригодное для реального мира.
А про твои идеи население этого мира скажет "слишком извратно" и пойдет по старинке ftp-сервера поднимать
> pgp-ключом.
Ты ещё скажи, что они внутрь имплантированны
Меня интересует средство, пригодное для реального мира.
А про твои идеи население этого мира скажет "слишком извратно" и пойдет по старинке ftp-сервера поднимать
> Ты ещё скажи, что они внутрь имплантированны
А что? я бы не отказался бы от имплантированного винта на несколько терабайт....
А что? я бы не отказался бы от имплантированного винта на несколько терабайт....
он у тебя есть
только с доступом нормальным к нему проблемы у обычных людей
разарботчик был недружественен к конечному юзеру
только с доступом нормальным к нему проблемы у обычных людей
разарботчик был недружественен к конечному юзеру
нету, мозг это не винчестер.
мозг - это ассоциативная память, а винчестер тем и удобнее, что на нем легко запоминать большой объем сырых данных
мозг - это ассоциативная память, а винчестер тем и удобнее, что на нем легко запоминать большой объем сырых данных
я же говорю - с доступом проблемы
интерфейс кривой
интерфейс кривой
надо баг-репорт написать...
надо
Пожалейте , они итак с этим проектом в свое время намучались.
так это был только запуск проекта. А где его сопровождение? отладка? выпуск новых версий?
> я бы не отказался бы от имплантированного винта на несколько терабайт....
как ты представляешь себе процесс ввода/вывода?
как ты представляешь себе процесс ввода/вывода?
из реального (возможно при нынешнем уровне техники):
комп -> человек
вывод данных с винчестера на сетчатку глаза (контактную линзу, очки)
человек -> комп
снятие биомоторики
из не совсем реального (недоступное при данном уровне технике, но не противоречащее текущему представлению о мире)
подключить в "адресное пространство" человека еще одно "устройство".
Т.е. так же как мы сейчас ощущаем руку, ногу и т.д., по такому же принципу подключить внешнее устройство.
Здесь интересно, сможет ли таким новым устройством воспользоватся взрослый человек, у которого уже сформировалось "ощущения себя". или увидеть новое устройство получится только у ребенка...
комп -> человек
вывод данных с винчестера на сетчатку глаза (контактную линзу, очки)
человек -> комп
снятие биомоторики
из не совсем реального (недоступное при данном уровне технике, но не противоречащее текущему представлению о мире)
подключить в "адресное пространство" человека еще одно "устройство".
Т.е. так же как мы сейчас ощущаем руку, ногу и т.д., по такому же принципу подключить внешнее устройство.
Здесь интересно, сможет ли таким новым устройством воспользоватся взрослый человек, у которого уже сформировалось "ощущения себя". или увидеть новое устройство получится только у ребенка...
Можно через групповую политику (но сразу для всех шар).
Оставить комментарий
valy37
Как сделать шару для определенного юзера с определенного компа. Или просто для определенного компа. win xp.