Проблема с мандатным управлением доступа

Сообщения
4
#1
Добрый день! Подскажите пожалуйста, в чем может быть проблема. (Использую 1.6 Смоленск.)
Имеется три уровня и три категории:

0:уровень_0
1:уровень_1
2:уровень_2

0:категория_1
1:категория_2
2:категория_4
1) Создаю пользователя biba и задаю ему мандатные атрибуты sudo pdpl-user -l 0:2 -i 0 -c 0:3 biba (ограничение категорий по 0:3 позволит дать доступ для категории 1 и категории 2)
2) Создаю в файловой системе директорию в которой будет файл file1 с аналогичными метками,что и у директории dirbiba (дискретка chmod -R 777 dirbiba)

cd /
sudo mkdir dirbiba
sudo pdpl-file 2:0:1:ccnr dirbiba
cd /dirbiba
sudo touch file1
sudo pdpl-file 2:0:1 file1
cd /
chmod -R 777 dirbiba
Пытаюсь от пользователя biba вывести содержимое файла sudo -u biba cat /dirbiba/file1 && echo "FAIL: 1" || echo "OK: 0" , но мне выдает следующее: операция не позволена
 
Сообщения
4
#4
Пользователь состоит в группе astra-consol?

Нет, так как пользователь создавался через команду useradd ( нет доп. информации, назначенного пароля и пр.) Сейчас пользователь был добавлен в группу astra-console, но при попытке открыть файл выдало тоже самое - операция не позволена.
добавлялся пользователь так: sudo usermod -G astra-console biba
 
Сообщения
4
#5
Файл вне консоли открывается?
Не проверялось, так как пользователь создавался через команду useradd ( нет доп. информации, назначенного пароля и пр.). Основная суть как раз таки в реализации открытия файла от другого пользователя. Не знаю что может мешать, так как дискретка отключена, теперь пользователь имеет доступ к консоли(astra-console) но операция не позволена
 

CrashBldash

New member
Сообщения
252
#6
А вашему новому пользователю biba можно делать sudo?
Покажите /etc/sudoers и id пользователя biba
 
Сообщения
4
#7
А вашему новому пользователю biba можно делать sudo?
Покажите /etc/sudoers и id пользователя biba
Команда sudo предоставляет возможность пользователям выполнять команды от имени суперпользователя root либо других пользователей, а мне это совершенно не нужно. Задача что бы biba делал свои дела исходя из тех прав,что ему даровано. Суть в мандатном разграничении доступа. Из установленных категорий и уровней он директорию и файл видит, дискретка на максимум, следовательно и читать/писать/исполнять он тоже может. Доп.привелегий biba никто не даст,он обычный юзер.

Не знаю правильно ли открыто то, что вы просили
 

Вложения

  • 85.3 КБ Просмотры: 812
  • 250.4 КБ Просмотры: 811
  • 186.7 КБ Просмотры: 828