NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Introduzione al System Administration - Gestione delle risorse dell'utente
Red Hat Enterprise Linux 4: Introduzione al System Administration
La creazione di nuovi account f� parte del lavoro di un amministratore di sistema. La gestione delle risorse di un utente rappresenta un compito essenziale. Per questo motivo, � necessario considerare tre punti:
Chi � in grado di accedere ai dati condivisi
Da dove si possono accedere questi dati
I limiti presenti per prevenire l'abuso di queste risorse
Le seguenti sezioni affrontano in modo abbreviato questi aspetti.
6.2.1. Personale in grado di accedere ai dati condivisi
L'accesso da parte di un utente di applicazioni, file o directory � determinato dai permessi in vigore.
In aggiunta, risulta essere utile se vengono applicati permessi diversi a seconda delle diverse classi di utenti. Per esempio, un 'temporary storage' condiviso dovrebbe essere in grado di prevenire la cancellazione accidentale (o maliziosa) dei file di un utente, da parte di altri utenti, permettendo un accesso completo dei file da parte del proprietario.
Un altro esempio � l'accesso assegnato alla home directory di un utente. Solo il proprietario della home directory dovrebbe essere in grado di creare o visualizzare i file. Gli altri utenti non dovrebbero essere in grado di ottenere l'accesso (se non diversamente richiesto dall'utente). Questa procedura aumenta la privacy dell'utente e previene la possibilit� di entrare in possesso di file personali.
Vi sono molteplici situazioni dove utenti multipli potrebbero aver bisogno di accedere alle stesse risorse presenti sulla macchina. In questo caso potrebbe essere necessario creare, con molta cautela, gruppi condivisi.
6.2.1.1. Gruppi condivisi e dati
Come accennato nella parte introduttiva, i gruppi sono delle entit� logiche che possono essere usati per raggruppare gli user account per determinati compiti.
Nella gestione degli utenti all'interno di una organizzazione, � sempre utile identificare i dati necessari a determinate sezioni, quali invece possono essere resi non disponibili e quali possono essere condivisi da tutti. Implementare questa struttura durante la creazione di un gruppo, insieme ai permessi appropriati per i dati condivisi, rappresenta una fase molto importante.
Per esempio, supponiamo che vi siano due account, uno rappresenta la sezione dei Crediti, che deve mantenere un elenco degli account che hanno pagamenti in sospeso. Tale sezione deve condividere lo stesso elenco con la sezione responsabile alle Riscossioni dei pagamenti. Se il personale di entrambi gli account viene inserito in un gruppo chiamato accounts, le informazioni possono essere posizionate all'interno di una directory condivisa (dove il gruppo accounts risulta essere proprietario), con il permesso di scrittura e lettura della directory per il gruppo stesso.
6.2.1.2. Determinazione della struttura del gruppo
Alcune delle sfide che si possono presentare agli amministratori durante la creazione di gruppi condivisi sono:
I gruppi da creare
Chi inserire nei gruppi
Il tipo di permessi che devono avere le risorse condivise
Un approccio ragionevole potrebbe essere molto utile. Una possibilit� potrebbe essere quella di riflettere la struttura della vostra organizzazione durante la creazione dei gruppi. Per esempio, si vi � una sezione responsabile alle finanze, allora potreste creare un gruppo chiamato finance, ed inserire tutto il personale della suddetta sezione all'interno di questo gruppo. Se le informazioni hanno un livello molto riservato, allora potete garantire al personale dirigenziale un permesso del tipo 'group-level', in modo da accedere alle directory e dati, inserendo il solo personale dirigenziale nel gruppo finance.
� consigliabile fare molta attenzione nel garantire i permessi agli utenti. In questo modo la possibilit� che le informazioni sensibili possano cadere in mani sbagliate risulta essere minore.
Seguendo questo consiglio durante la creazione della struttura del gruppo della vostra organizzazione, � possibile far fronte alla necessit� di accedere i dati condivisi in modo sicuro ed efficace.
6.2.2. Da dove si possono accedere i dati condivisi
Quando si condividono i dati tra utenti � normale usare un server centrale (o un gruppo di server) che rendono alcune directory disponibili ad altre macchine presenti nella rete. In questo modo i dati vengono conservati in un unico luogo; non � necessario sincronizzare i dati tra macchine multiple.
Prima di intraprendere questo approccio, dovete determinare i sistemi che possono accedere i dati conservati in modo centralizzato. Nel fare questo, prendete nota dei sistemi operativi usati dai sistemi. Queste informazioni hanno attinenza sulla vostra abilit� di implementare tale approccio, in quanto il vostro storage server deve essere in grado di servire i propri dati ad ogni sistema operativo in uso nella vostra organizzazione.
Sfortunatamente, quando i dati vengono condivisi tra diversi computer presenti su di una rete, � possibile che si verifichi un conflitto nella ownership dei file.
6.2.2.1. Problematiche inerenti la ownership globale
Vi sono diversi benefici nel conservare i dati in uno storage centralizzato, rendendo cos� possibile l'accesso degli stessi ai diversi computer presenti sulla rete. Tuttavia, immaginate per un momento che ogni computer possiede un elenco di user account gestito in modo locale. Cosa potrebbe accadere se gli elenchi degli utenti presenti sui sistemi, non coincidono con gli elenchi presenti sul server centrale? Oppure, se i suddetti elenchi presenti su ogni sistema non coincidono tra loro?
Tutto questo dipende soprattutto da come vengono implementati su ogni sistema i permessi per gli accessi e gli utenti, ma in alcuni casi � possibile che l'utente A su di un sistema, potrebbe essere conosciuto come utente B su di un altro sistema. Questo potrebbe rappresentare un problema quando si condividono dati tra i sistemi in questione, l'utente potrebbe accedere ai dati su entrambi i sistemi sia come utente A che come utente B.
Per questa ragione, molte organizzazioni usano una specie di database centrale. Ci� assicura che non si verifichino sovrapposizioni tra elenchi degli utenti presenti sui vari sistemi.
6.2.2.2. Home Directory
Un'altro problema che un amministratore di sistema pu� affrontare, � quello di decidere se gli utenti possono avere home directory centralizzate.
Il vantaggio primario nel centralizzare le home directory su di un server collegato ad una rete, � rappresentato dal fatto che se un utente esegue un log in su di una macchina, egli � sar�in grado di accedere ai file nella propria home directory.
Lo svantaggio invece � rappresentato dal fatto che se la rete subisce una interruzione, gli utenti presenti nell'organizzazione saranno impossibilitati ad accedere i prori file. In alcune situazioni (come quella che si potrebbe verificare in una organizzazione che f� ampio uso di computer portatili), avere delle home directory centralizzate potrebbe non rappresentare la migliore soluzione. Tale soluzione per� potrebbe risultare la migliore alternativa, per questo motivo implementatela, anche perch� essasemplificherebbe molto il vostro lavoro.
6.2.3. Limiti implementati per prevenire l'abuso delle risorse
L'accurata organizzazione dei gruppi e l'assegnazione dei permessi per le risorse condivise, rappresenta una delle fasi molto delicate che un amministratore di sistema deve affrontare, in modo da prevenire l'abuso delle risorse da parte degli utenti all'interno di una organizzazione. Cos� facendo, gli utenti non autorizzati ad accedere informazioni sensibili, verr� negato l'accesso.
Non importa come si comporta la vostra organizzazione, la migliore difesa � rappresentata dalla continua vigilanza del sistema da parte dell'amministratore di sistema. Mantenere alto il controllo vi eviter� spiacevoli sorprese.