/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Eget deb repos, begrænse adgang
Fra : Morten P


Dato : 26-12-09 10:52

Jeg har nu fået bygget mit eget repos og lagt det på en offentlig server.
I source listen på de enkelte computere der skal have opdateringer derfra
har jeg så angivet ssh://server... og lagt deres nøgler i i authoorized_keys

Alright, så langt så godt.

Men... nogle af mine kunder skal kun have adgang til pakke A og B, men
bestemt ikke til X og Y.

Det bliver meget meget rodet hvis jeg skal til at lægge dem i unix grupper
og styre rettigheder på filerne.

Er der mon ikke en bedre/rigtig måde at definere hvem der har adgang til
hvilke pakker?



 
 
Thorbjørn Ravn Ande~ (26-12-2009)
Kommentar
Fra : Thorbjørn Ravn Ande~


Dato : 26-12-09 10:55

Morten P skrev:
> Jeg har nu fået bygget mit eget repos og lagt det på en offentlig server.
> I source listen på de enkelte computere der skal have opdateringer derfra
> har jeg så angivet ssh://server... og lagt deres nøgler i i authoorized_keys
>
> Alright, så langt så godt.
>
> Men... nogle af mine kunder skal kun have adgang til pakke A og B, men
> bestemt ikke til X og Y.

Separate repositories.

--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"

Morten P (26-12-2009)
Kommentar
Fra : Morten P


Dato : 26-12-09 11:08


>> Men... nogle af mine kunder skal kun have adgang til pakke A og B, men
>> bestemt ikke til X og Y.
>
> Separate repositories.

Der er en mappe i roden jeg bare kalder 'binary'

Det du siger er at jeg f.eks. skal lave følgende struktur:

/all/binary/...
/kunde_a/binary/...
/kunde_b/binary/...
/kunde_c/binary/...

Og så have separate brugere og rettigheder på bibliotekerne kunde_x ?



Thorbjørn Ravn Ander~ (26-12-2009)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 26-12-09 11:23

Morten P skrev:
>>> Men... nogle af mine kunder skal kun have adgang til pakke A og B, men
>>> bestemt ikke til X og Y.
>> Separate repositories.
>
> Der er en mappe i roden jeg bare kalder 'binary'
>
> Det du siger er at jeg f.eks. skal lave følgende struktur:
>
> /all/binary/...
> /kunde_a/binary/...
> /kunde_b/binary/...
> /kunde_c/binary/...
>
> Og så have separate brugere og rettigheder på bibliotekerne kunde_x ?

Skil dem ad, gerne fysisk.

--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"

Morten P (26-12-2009)
Kommentar
Fra : Morten P


Dato : 26-12-09 13:38

>> /all/binary/...
>> /kunde_a/binary/...
>> /kunde_b/binary/...
>> /kunde_c/binary/...
>>
>> Og så have separate brugere og rettigheder på bibliotekerne kunde_x ?
>
> Skil dem ad, gerne fysisk.


Nu kan jeg ikke følge dig mere, er de ikke adkilt fysisk ved at ligge i hver
deres kunde mappe?



Thorbjørn Ravn Ander~ (26-12-2009)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 26-12-09 13:57

Morten P skrev:
>>> /all/binary/...
>>> /kunde_a/binary/...
>>> /kunde_b/binary/...
>>> /kunde_c/binary/...
>>>
>>> Og så have separate brugere og rettigheder på bibliotekerne kunde_x ?
>> Skil dem ad, gerne fysisk.
>
>
> Nu kan jeg ikke følge dig mere, er de ikke adkilt fysisk ved at ligge i hver
> deres kunde mappe?

Hvis du vil lave et repository skal man kunne tilgå det via http (hvis
jeg har forstået dig rigtigt). Hvordan laver du brugerstyring der?

--
Thorbjørn Ravn Andersen "...plus... Tubular Bells!"

Morten P (26-12-2009)
Kommentar
Fra : Morten P


Dato : 26-12-09 15:33

>> Nu kan jeg ikke følge dig mere, er de ikke adkilt fysisk ved at ligge i
>> hver deres kunde mappe?
>
> Hvis du vil lave et repository skal man kunne tilgå det via http (hvis jeg
> har forstået dig rigtigt). Hvordan laver du brugerstyring der?

Ahh, nej:

"I source listen på de enkelte computere der skal have opdateringer derfra
har jeg så angivet ssh://server... og lagt deres nøgler i i authoorized_keys
"


Jeg har lagt det udenfor Apache og de kommer til at anvende key pairs til at
tilgå reposet

Men mon ikke vi er enige nu?
Når de ligger i hver deres mappe og med hver deres bruger, så er jeg vel ret
godt dækket ind.



Morten P (26-12-2009)
Kommentar
Fra : Morten P


Dato : 26-12-09 19:06

> Jeg har lagt det udenfor Apache og de kommer til at anvende key pairs til
> at tilgå reposet


But then again... Ønsker man virkeligt at ens brugere har deres egen konto
på ens server?

Det var på Debians egne sider at den løsning stod beskrevet som den
"rigtige", bla. fordi data overføres krypteret.

Umiddelbart burde jeg nok gå tilbage til http løsningen og let styre
adgangen i hver deres mappe...

Men da jeg prøvede det kunne jeg SLET ikek på apt til at forstå den skulle
spørge om user/pass. Den gik bare i permission denied mode...

Nogen der ved hvordan man får apt til at logge på en digest beskyttet mappe?



Michael Rasmussen (26-12-2009)
Kommentar
Fra : Michael Rasmussen


Dato : 26-12-09 19:37

On Sat, 26 Dec 2009 19:06:05 +0100
"Morten P" <spam@spam.spam> wrote:

> Men da jeg prøvede det kunne jeg SLET ikek på apt til at forstå den skulle
> spørge om user/pass. Den gik bare i permission denied mode...
>
> Nogen der ved hvordan man får apt til at logge på en digest beskyttet mappe?
>
Hvad man at installere dit repository bagved en proxy server, og så
anvende APT's http::Proxy settings.

"http::Proxy http://[[user][:pass]@]host[:port]/"
eller
"https::Proxy http://[[user][:pass]@]host[:port]/"

--
Hilsen/Regards
Michael Rasmussen
http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xE3E80917
A computer is like air conditioning: it becomes useless when you open
windows.


Morten P (26-12-2009)
Kommentar
Fra : Morten P


Dato : 26-12-09 21:20


> Nogen der ved hvordan man får apt til at logge på en digest beskyttet
> mappe?
>
Hvad man at installere dit repository bagved en proxy server, og så
anvende APT's http::Proxy settings.

Det virker lidt ekstremt at skulle sætte en proxy server op bare for det,
men har lige googlet på 'apt auth' m.fl. og det ser vittterligt ikke ud til
at kunne lade sig gøre uden en proxy

Hvis nogen kender en løsning så sig lige til inden jeg går igang med at rode
med proxy servere




Andreas Plesner Jaco~ (26-12-2009)
Kommentar
Fra : Andreas Plesner Jaco~


Dato : 26-12-09 23:38

On 2009-12-26, Morten P <spam@spam.spam> wrote:
>
>> Hvad man at installere dit repository bagved en proxy server, og så
>> anvende APT's http::Proxy settings.
>
> Det virker lidt ekstremt at skulle sætte en proxy server op bare for det,
> men har lige googlet på 'apt auth' m.fl. og det ser vittterligt ikke ud til
> at kunne lade sig gøre uden en proxy
>
> Hvis nogen kender en løsning så sig lige til inden jeg går igang med at rode
> med proxy servere

Jeg kan heller ikke lige gennemskue, hvorfor der skulle blandes en
proxy ind i det, kan man ikke blot angive username:password i
deb-url'en?

--
Andreas

Morten P (27-12-2009)
Kommentar
Fra : Morten P


Dato : 27-12-09 08:38


"Andreas Plesner Jacobsen" <apj@daarligstil.dk> wrote in message
news:slrnhjd433.f2o.apj@irq.hestdesign.com...

> Jeg kan heller ikke lige gennemskue, hvorfor der skulle blandes en
> proxy ind i det, kan man ikke blot angive username:password i
> deb-url'en?

Den virker ikke så begejstret for det:


deb user:pass@http://security.ubuntu.com/ubuntu karmic-security multiverse


E: The method driver /usr/lib/apt/methods/user could not be found.


Der er vel ikke rigtigt andre måder at skrive det på?



Klaus Alexander Seis~ (27-12-2009)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 27-12-09 09:38

Morten P skrev:

> deb user:pass@http://security.ubuntu.com/ubuntu karmic-security multiverse
>
>    […]
>
> Der er vel ikke rigtigt andre måder at skrive det på?

RFC 1738 angiver “//<user>:<password>@<host>:<port>/<url-path>”:

· http://www.w3.org/Addressing/rfc1738.txt

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

Jacob Sparre Anderse~ (04-01-2010)
Kommentar
Fra : Jacob Sparre Anderse~


Dato : 04-01-10 09:17

Morten skrev:

> Men... nogle af mine kunder skal kun have adgang til pakke A og B, men
> bestemt ikke til X og Y.

Det Nokia/Ovi gør med Maemo er at hver kunde får en unik hexadecimal
nøgle, der skal bruges som en del af »distribution«-feltet i
»/etc/apt/sources.list«:

deb http://your.repository/ distribution/HEX-KEY main

Jeg må dog tilstå at jeg ikke ved hvordan de har implementeret det på
serveren.

God fornøjelse,

Jacob
--
"... and everybody hates the jews."

Henning Wangerin (26-04-2010)
Kommentar
Fra : Henning Wangerin


Dato : 26-04-10 19:38

Jacob Sparre Andersen wrote:
> Morten skrev:
>
>> Men... nogle af mine kunder skal kun have adgang til pakke A og B, men
>> bestemt ikke til X og Y.
>
> Det Nokia/Ovi gør med Maemo er at hver kunde får en unik hexadecimal
> nøgle, der skal bruges som en del af »distribution«-feltet i
> »/etc/apt/sources.list«:
>
> deb http://your.repository/ distribution/HEX-KEY main
>
> Jeg må dog tilstå at jeg ikke ved hvordan de har implementeret det på
> serveren.

Den del vil være rimelig nem at styre - ihverfald hvis der ikke er en
grusom stor mænge brugere:

Lav er script der håndterer første sub-dir i repos, som serverer de
relevante filer.

Mappe strukturen på web-serveren vil jo være noget der ligner:

$DOCUMENT_ROOT/dist/1111/main

Hvis $DOCUMENT_ROOT/dist håndteres af fx et php-script kan scriptet
finde de relevante filer frem efter behov.

Jeg har ikke lige en implementation, men jeg benytter mig af noget der
ligner lidt en en helt anden sammenhæng, så jeg er overbevist om at det
er muligt.

/Henning

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408914
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste