24/06/05, messie from [ Jerzy Kolosowski ] ...

w gameplan jest wpis zeby zajac sie kontami. Moge to zrobic, tylko powiedzcie mi jak to ma dokladnie wygladac, bo ja kiedys usiadlem nawet i zaczelem to rozrysowywac, ale troche sie pogubilem. Moja koncepcja jest taka, zeby konta rozdzielic na rozne tabele, pocztowe do jednej, shelowe do innej itd.

veto! KISS! :) takie rzeczy robi się spokojnie czy to w postfiksie czy w nssie za pomocą views i grantów (mysql dorobił się już views i grantów na poziomie relacji, prawda?).

Dzieki temu w mysql mozna bedzie dac konto lms-maindaemon dla dowolnego daemona mailowego z obsluga mysql z dostepem tylko do tabelek aliasow i kont wirtualek, i nie martwic sie o bezpieczenstwo.

jeśli chodzi o ukrywanie skrótów haseł to w pg mam zrobione dwie schemy dla użytkowników: public i authroot. publiczna schema to view na tabelę z polem hasła zastąpionym nullem. do authroot hasło jest tylko w plikach o uprawnieniach takich jak /etc/shadow, ssl na połączeniach do bazy lub baza na localhoscie.

obawiam się, że rozwiązanie tego problemu w przypadku mysqla jest niemożliwe, ale mogę się mylić :)

Pozatem jakie konta powinno obslugiwac i jakie dane przechowywac? Dla shella to wszystkie pozycje z passwd i shadow (wsparcie dla nss-mysql i nss-psql)... a dla innych? Piszcie pomysly a ja to postaram sie przekonwertowac z idei na dzialajacy system :)

tak jak napisałem: accounts - jak jest, ew. dodatkowe pola jeśli potrzebne. potem: revoke all on accounts from public; grant all on accounts to lms_user; create view accounts_for_mail as select [potrzebne kolumny] from accounts; grant select on accounts_for_mail to postfix_user; create view accounts_for_ftp as select [potrzebne kolumny] from accounts; grant select on accounts_for_ftp to proftpd_user; ...i tak dalej.