есть кое-что, чего я не могу понять в отношении безопасности в Linux.
У меня есть программное обеспечение, оно работает как служба для пользователя X, ему требуется RW для каталога Y, принадлежащего пользователю Z и группе C (оба находятся в LDAP) (это работает на отдельной виртуальной машине - и vm присоединяется к Керберос REALM). Каталог Y смонтирован по NFS. Используя posix ACL, я добавил пользователя X в каталог
У меня есть авторизация FreeIPA (kerberos), было бы разумно перенести пользователя X в kerberos и добавить его в группу C?
Каталог также используется для общего ресурса samba (клиенты Windows), поэтому к нему обращаются несколько пользователей, и они находятся в группе C.
Как мне подойти к учетным записям служб? Любое рекомендуемое чтение по этому поводу?
Конечно, вы можете создать такие учетные записи пользователей и групп в FreeIPA. Я предлагаю убедиться, что вы используете тот же UID / GID, домашний каталог и т. Д., Который будет использоваться в автономной системе, и помните, что такие учетные записи будут доступны на каждом компьютере в домене. Это означает, что если есть домашний каталог, он должен существовать на каждом компьютере в домене, который может использовать эту учетную запись службы. Например, вы можете создать пользователя и группу apache с UID / GID 48/48 и убедитесь, что его домашний каталог /usr/share/httpd существует путем установки httpd package для каждого члена домена, которому может потребоваться использовать этого пользователя и группу. Что вы бы сделали в любом случае, потому что это будет httpd, который будет использовать этого пользователя и группу!