लिनक्स मशीनों पर यूआईडी / जीआईडी ​​को सिंक्रनाइज़ करने का क्या फायदा है?


24

इससे पहले कि मैं अपने अलग-अलग लिनक्स मशीनों में यूआईडी / जीआईडी ​​के सिंक्रनाइज़ेशन के बारे में गहराई से पता लगाऊं, मैं जानना चाहूंगा कि वास्तव में क्या लाभ है?

मुझे पता है कि यह फ़ाइल सिंक्रनाइज़ेशन को अपेक्षाकृत आसान रखता है (क्योंकि स्वामित्व "स्वाभाविक रूप से" बरकरार है)। हालांकि यह ट्रांसमिशन सेवा के आधार पर भी प्राप्त किया जा सकता है।

क्या कुछ और है जो लगातार यूआईडी / जीआईडी ​​से लाभान्वित होंगे?


4
जब uid / gid को बदलते हैं, तो अभिलेखागार (टार फाइल्स, आदि) को अपडेट करने के लिए मत भूलें, और उन फाइलों को भी भ्रमित करें जो uidname / groupnames के बजाय संख्यात्मक आईडी का उपयोग कर सकते हैं।
ओलिवियर दुलक

जवाबों:


31

तकनीकी ऋण

नीचे दिए गए कारणों के लिए, तकनीकी ऋण के संचय से बचने के लिए इस समस्या को जल्द हल करना बहुत सरल है । यहां तक ​​कि अगर आप अपने आप को इस स्थिति में पहले से ही पाते हैं, तो निकट भविष्य में इससे बेहतर होगा कि आप इसे जारी रखें।

संजालित फाइल सिस्टम

यह प्रश्न स्थानीय फाइल सिस्टम के साथ मशीनों के बीच फ़ाइलों को स्थानांतरित करने के संकीर्ण दायरे पर केंद्रित है, जो मशीन विशिष्ट स्वामित्व वाले राज्यों के लिए अनुमति देता है।

आपके यूआईडी / जीआईडी ​​मैपिंग को सिंक में रखने की कोशिश करने के लिए नेटवर्क फाइल किए गए विचार आसानी से सबसे बड़े मामले हैं, क्योंकि आप आमतौर पर उस "प्राप्त अन्यथा" को फेंक सकते हैं, जब आपने उस तस्वीर को दर्ज करने के क्षण का उल्लेख किया था। निश्चित रूप से, आपके पास अभी इन होस्ट के बीच साझा की गई फाइल सिस्टम नहीं हो सकती है ... लेकिन भविष्य के बारे में क्या? क्या आप ईमानदारी से कह सकते हैं कि आपके मौजूदा मेजबानों, या भविष्य में बनाए जाने वाले मेजबानों के बीच शुरू की जा रही नेटवर्क फाइल के लिए कोई उपयोग मामला नहीं होगा? यह अन्यथा सोचने के लिए बहुत आगे की सोच नहीं है।

मान लें कि /homeएक नेटवर्कयुक्त फ़ाइल सिस्टम है जो निम्नलिखित उदाहरणों के बीच host1और साझा host2किया गया है।

  • असहमति की अनुमति : /home/user1प्रत्येक प्रणाली पर एक अलग उपयोगकर्ता के स्वामित्व में है। यह एक उपयोगकर्ता को सिस्टम में अपने होम डायरेक्टरी को लगातार एक्सेस या संशोधित करने में सक्षम बनाता है।
  • चाउन वार्स : उपयोगकर्ता के लिए टिकट जमा करने के लिए यह अनुरोध करना बहुत आम है कि उनके घर की निर्देशिका की अनुमति एक विशिष्ट प्रणाली पर तय की जाए। इस समस्या को हल host2करने पर अनुमतियाँ टूट जाती हैं host1। कभी-कभी किसी के पीछे कदम रखने से पहले इनमें से कई टिकटों पर काम किया जा सकता है और यह महसूस किया जाता है कि एक युद्ध चल रहा है। एकमात्र समाधान असहमति आईडी मैपिंग को ठीक करना है। जिससे होता है...
  • यूआईडी / जीआईडी ​​रीबैलेंसिंग नरक : आईडी को सही करने की जटिलता बाद में कई मशीनों में एकल उपयोगकर्ता को सही करने के लिए शामिल रीमैपिंग की संख्या से तेजी से बढ़ जाती है । ( user1आईडी की है user2, लेकिन user2आईडी है user17... और यह क्लस्टर में सिर्फ पहली प्रणाली है) अब आप समस्या को ठीक करने के लिए प्रतीक्षा करते हैं, इन जंजीरों को और अधिक जटिल हो सकता है, अक्सर कई सर्वरों पर एप्लिकेशन के डाउनटाइम की आवश्यकता होती है सिंक में चीजों को ठीक से प्राप्त करने के लिए।
  • सुरक्षा समस्याओं : user2पर host2के रूप में ही यूआईडी है user1पर host1, उन्हें लिखने के लिए अनुमति देता है /home/user1पर host2की जानकारी के बिना user1। इन परिवर्तनों का मूल्यांकन तब host1की अनुमतियों के साथ किया जाता है user1। क्या गलत होने की सम्भावना है? (यदि user1कोई ऐप उपयोगकर्ता है, तो कोई व्यक्ति ईश्वर को खोज सकता है कि वह योग्य है और परिवर्तन करेगा । यह एक समय सिद्ध तथ्य है।)

अन्य परिदृश्य हैं, और ये सबसे आम लोगों के उदाहरण हैं।

नाम हमेशा एक विकल्प नहीं होते हैं

संख्यात्मक आईडी के खिलाफ लिखी गई कोई भी स्क्रिप्ट या कॉन्फिग फाइल आपके वातावरण के भीतर स्वाभाविक रूप से अस्थिर हो जाती है। आम तौर पर एक समस्या नहीं है क्योंकि ज्यादातर लोग इन्हें हार्डकोड नहीं करते हैं जब तक कि वे बिल्कुल आवश्यक न हों ... लेकिन कभी-कभी जिस उपकरण के साथ आप काम कर रहे हैं वह आपको मामले में कोई विकल्प नहीं देता है। इन स्थितियों में, आप को बनाए रखने के लिए मजबूर कर रहे हैं n स्क्रिप्ट या विन्यास फाइल के विभिन्न संस्करणों।

उदाहरण: pam_succeed_ifआप के क्षेत्र का उपयोग करने की अनुमति देता है user, uidऔर gid... एक "समूह" विकल्प स्पष्ट रूप से अनुपस्थित है। यदि आप एक स्थिति में जहाँ कई सिस्टम समूह आधारित पहुँच प्रतिबंध के कुछ फार्म को लागू करने की उम्मीद की गई थी में रखा गया था, तो आप चाहते हैं n पीएएम कॉन्फ़िगरेशन में कई भिन्नताएं। (या कम से कम एक GID जिससे आपको टकरावों से बचना है)

केंद्रीकृत प्रबंधन

natxo के जवाब में यह अच्छी तरह से कवर किया गया है।


मुझे यकीन नहीं है कि यह कहना सही है कि किसी नेटवर्केड फाइलसिस्टम का उपयोग करना अलग-अलग यूड के साथ मुद्दों को ठीक करने से रोकता है, मुझे कम से कम एक फाइलसिस्टम पता है जो एक यूआईडी मैप का समर्थन करता है जो आपको यह निर्दिष्ट करने की अनुमति देता है कि कौन से समूह और उपयोगकर्ता विभिन्न मशीनों पर मेल खाते हैं।
21

@Vality थे कि आमतौर पर उपलब्ध समाधान, मैं अभी भी इसे एक स्केलेबल कहने में संकोच करूंगा।
एंड्रयू बी

मैं सहमत हूं, मैं नहीं चाहता था कि ओपी को लगता है कि यह असंभव है, मैं आपके सुझाव से काफी हद तक सहमत हूं कि सबसे अच्छा समाधान उन्हें सिंक में रख रहा है।
वैधता

धन्यवाद! दुर्भाग्य से "जल्दी शुरू" लंबे समय से चला गया है। जबकि मुझे पता है कि कुछ ldap / kerberos कॉन्फ़िगरेशन कुछ ऐसा है जिसे मैं यहाँ शामिल करना चाहूँगा जहाँ मैं काम करता हूँ, लेकिन यह अब नहीं होगा। कुछ अन्य कारणों से मुझे इंटरऑपरेटिंग सिस्टम में यूआईडी / जीआईडी ​​के उपयोग में विशेष रुचि थी। जैसा मैंने कहा कि फाइल-ट्रांसफरिंग एक मुद्दा है (जिसमें वर्तमान में "यह काम करता है" स्थिति है), यही कारण है कि मैं जानना चाहता था कि क्या अन्य चीजें (जैसा कि आपने उल्लेख किया है) भी यूआईडी से प्रभावित हैं। क्या आप उन "अन्य परिदृश्यों" के कुछ कीवर्ड जोड़ सकते हैं? यह एक शानदार जवाब होगा!
एलेक्स

@alex खैर, मेरा मतलब नेटवर्क फाइल सिस्टम समस्याओं के संदर्भ में "अन्य परिदृश्य" था। कोई फर्क नहीं पड़ता कि आप कितने देर से खेल रहे हैं, समस्या केवल तब तक बढ़ती रहती है जब तक कि वह बिना पढ़े न रह जाए। यदि हमारे द्वारा प्रदान किए गए कारण पर्याप्त नहीं हैं, तो संभवत: यह मदद करेगा यदि आपने उन "अन्य कारणों" की आपूर्ति करके अपने प्रश्न को थोड़ा और बढ़ा दिया है। अब तक दिए गए जवाब मेरी राय में बहुत अच्छे हैं। यदि आप प्रबंधन को मनाने की कोशिश कर रहे हैं, तो हमें उन पर सही काम करने के लिए नहीं है।
एंड्रयू बी

18

एक बार जब आप एक निश्चित आकार तक पहुँच जाते हैं (और यह हमेशा आपके विचार से अधिक जल्दी होता है) तो आप महसूस करेंगे कि आपके पासवर्ड को बदलना या सभी मेजबानों पर किसी के लिए अक्षम करना एक PITA है। इसलिए लोग LDAP डेटाबेस (या NIS के साथ सिस्टम का उपयोग करते हैं, लेकिन ऐसा नहीं करते हैं, आजकल सुरक्षित नहीं) जैसे कि ओपनडैप या आजकल का उत्कृष्ट फ्रीपा।

आप एक केंद्रीय डेटाबेस में सभी खातों / समूहों की जानकारी रखते हैं, सभी होस्ट उस जानकारी को साझा करते हैं। आप वहां से कई और चीजें कर सकते हैं: फाइल की अनुमति के लिए उपयोगकर्ताओं की जानकारी का उपयोग करें, निश्चित रूप से, लेकिन उन सभी अनुप्रयोगों के लिए वर्चुअल उपयोगकर्ता भी बनाएं जिनके पास आपके उपयोगकर्ता बनाने के लिए ldap बाइंडिंग है और साथ ही बहुत सारे वेब एप्लिकेशन का उपयोग कर सकते हैं अपने उपयोगकर्ता डेटाबेस के लिए ldap), एक केंद्रीय sudo नियम डेटाबेस बनाए रखें, अपने ऑटोफ़ोर्स पर्यावरण को वितरित करें, अपने dns क्षेत्र को रखें, ...

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.