Kommentare zu: Benutzerverwaltung unter Linux/Unix

Von: nikov

nikov — Thu, 16 Oct 2008 23:45:37 +0000

Da fehlt mir doch Kategorie 3
root ohne ssh , deshalb ein Admin-Login-Account für su per ssh.
Alle andreren User kriegen eh als shell /bin/false :)

nix fuer ungut ;)

Von: Joerg M.

Joerg M. — Fri, 10 Oct 2008 19:27:51 +0000

Nummern sollten nie eine Bedeutung haben. Ausserdem ist das als Ordnungskriterium viel zu unflexibel, da eindimensional. Und: Will man die uid auch aendern, wenn aus einem Indianer ein Häuptling geworden ist ;) Irgendwann passt die UID kaum noch. User und Gruppen in den LDAP, Klassifizierung der User ueber Gruppen.

Definitiv zweite Gruppe.

Von: Timo Zimmermann

Timo Zimmermann — Thu, 09 Oct 2008 06:51:59 +0000

zur letzten Gruppe. Es arbeitet nur einer an meinen Systemen und das bin ich :)

Von: Dirk Deimeke

Dirk Deimeke — Wed, 08 Oct 2008 15:23:13 +0000

Meistens ist es so, dass in Unternehmen Personalnummern verteilt werden, wenn man sich daraus jetzt ein UID/GID-Schema bastelt, kann jeder auf Anhieb sagen, welcher User welche ID bekommen hat.

Ausserdem kann man auf Anhieb sagen, ob ein realer User oder ein Systemprozess an irgendwas beteiligt war.

Von: Joern

Joern — Wed, 08 Oct 2008 15:12:12 +0000

@Dirk Deimeke: Warum reicht eine UID/GID nicht für die Einordnung aus?

@Sascha Vogt: Wenn man UIDs einteilt, schaffte man eine Kategorisierung, die man auch mit Gruppen erledigen könnte. Warum das doppeln?

Von: Sil53r Surf3r

Sil53r Surf3r — Wed, 08 Oct 2008 12:00:53 +0000

Ich zähle zur ersten Hälfte. Wir haben wenige Accounts auf den Systemen und nur in extremen Ausnahmefällen externe. Dennoch sind die vorhandenen aus Konsistenzgründen festgelegt. In unseren Fall – kleines Team, vergleichweise hohe Anzahl Server – ist das sinnvoll und durchführbar.

Von: Sirko Zidlewitz

Sirko Zidlewitz — Wed, 08 Oct 2008 11:21:31 +0000

Wir haben im bytecamp eine Abstraktions-Schicht drübergelegt, müssen uns um die numerischen UID/GID also nicht mehr kümmern. Jeder Kunde/Reseller gehört auf den Webservern der gleichen Gruppe an und kann mehrere Accounts haben. Für die Gruppen ist nur Quota aktiviert, für die User Quota und auch ACLs.

Von: Brux

Brux — Wed, 08 Oct 2008 10:32:43 +0000

Ab einer gewissen Größe geht es nur mit dem Chaos-System. Alles andere ist nur für Leute mit viel, viel Zeit oder überzogener deutscher Gründlichkeit. Schon der Aufwand , zusätzlich noch eine Tabelle zu pflegen mit allen ID/GIDs ist nicht gerechtfertigt. Der Server soll meine Arbeit machen, nicht ich seine.

Von: rmb

rmb — Wed, 08 Oct 2008 06:57:43 +0000

zur ersten Fraktion, damit es fuer mich und andere uebersichtlicher ist!

Von: Sascha Schmidt

Sascha Schmidt — Wed, 08 Oct 2008 06:12:24 +0000

Ich gehöre zu der Fraktion die sich keine Gedanken um UIDs/GIDs machen WILL :-) Die UID/GID sind für mich nur ein Mittel zum Zweck. Und zwar für die Rechverwaltung. Wenn man ein zentralisiertes Benutzermanagement aufsetzt welches z.B. auf MS DS basiert hat man eh kaum noch Einfluss auf die Vergabe von IDs.

Obwohl ich ja ehrlich gesagt sagen muss dass ich die Argumente von Sascha Vogt sehr gut nachvollziehen kann. Die Dinge die er anführt sind auch nicht außer acht zu lassen. Mich persönlich interessiert an den ID-Vergaben eher die automatisierbarkeit. Man kann durch “Ranges” Benutzergruppen eher durch Scripte trennen bzw. verarbeiten als wenn man das “Chaos-System” nutzt.

Wenn man jedoch sowieso überall eine strikte Trennung von Benutzer- und Rollenaccounts hat dann sollte das auch wieder egal sein.

Von daher lebe ich lieber in Welt Nr.2 und gebe mich möglichst wenig mit IDs ab.