On Sun, 15 Feb 2009, Tristan wrote:

> (autor Tomy M.
>>>> W 98SE sieć LAN działał duuuużo lepiej (szybciej i bez
>>>> problemów) poza tym można było udostępniać foldery
>>>> z indywidualnie ustawionymi hasłami w XP to NIEMOŻLIWE
>>>> i NIE DA SIĘ TEGO ZROBIĆ W ŻADNEN SPOSÓB ...
>>> Wydaje ci się. Da się i jest możliwe. Można przydzielać dowolnie ACL-e.

ACL wymaga autoryzacji *na użytkownika*.
Nie *na hasło*.

>> Mało wiesz. NIE DA SIĘ.
>
> Mało wiesz, da się.

No to napisz JAK.
Jak udostępnić pojedynczy zasob oraz jak udostępnić grupę zasobów
(katalog ze zbiorami na początek), aby *nie dawał* *żadnych*
uprawnień do systemu, w szczególności nie wymagał zakładania
użytkownika w systemie - lecz pozwalał na dostęp "na hasło".

>> Niemożliwe jest takie ustawie dostępu
>> aby dostęp do określonego folderu miał KAŻDY kto zna hasło.
>
> A po co każdy kto zna hasło? Ustawiam ACLe na konkretnych userów.

Za krótka wyobraźnia?
Po to, żeby użytkownikow nie zakładać fafset skoro nie trzeba.
Przede wszystkim taka autoryzacja (przez użytkownika) nie może
być *bardzo* prosto ograniczona do przykładu którego żąda
Tommy - czyli przykładowego jednego katalogu (i tylko niego).

>> W systemie NT każdy kto ma mieć dostęp do czegokolwiek MUSI
>> mieć zalożone KONTO.
>
> Ano. Na tym polegają normalne systemy. Są konta i uprawnienia dla danych
> kont. A nie że każdy może grzebać po wszystkim...

Ale normalne systemy to mają jeszcze mechanizmy który nazywają się
"proxy", "protected access" (kontrolowany przez system w zakresie
odpalania dedykowanej aplikacji) i inne takie, pozwalajace prosto
zorganizować dostęp do tego, do czego NIE WARTO zakładać uzyszkodnika.
No i na początek normalne systemy to konta mają do innych celów
niż uzytkowników (w jednym koncie może być więcej użytkowników,
nie mylić z grupami użytkowników i identyfikatorami tychże).
:P
Tak, mam na myśli VMS w roli "normalnego systemu" - niestety
na pecetach nie działa, chyba że przez emulację. FYI: tak,
MS$ kupił od Digitala część zespołu inżynierów od VMSa :>
ACLe są, kiedy będzie proxy ;)

>> i do tego osoba która się loguje MUSI WIEDZIEĆ na jakie
>> konto się zalogować i jakiego hasła użyć.
>
> Nie, ta osoba loguje się na swoje konto i to konto ma uprawnienia do danego
> zasobu, a do innego nie ma.

I z tym jest problem.
Wystarczy jakiś *inny użytkownik* pacan ustawi *zbędny* dostęp "dla
wszystkich" (a ściślej - dla tego użytkownika, zaś różne wersję "upraszczania
życia użyszkodnikowi bo po co ma wiedzieć" znakomicie ułatwiają "daj
gościom i spokój") i już jest dostęp do innych rzeczy.

Przy dostępie "na hasło" jest prosto - żądający dostępu musi znać
TYLKO nazwę zasobu (ze ścieżką) i hasło.
A jednocześnie to hasło nie daje (i to z 100% skutecznością nie daje)
żadnych innych dostępów - bo przywiązane jest TYLKO do tego zasobu.

> Ale jak ja patrzę na jakość? Przecie nie mówię, że są cudowne, ale że XP
> a 98 to przeskok ogromny.

"Przeskokowi" nie zaprzeczam.
To, że brak autoryzacji *zasobu* "na hasło" (bez użyszkodnika) jest
istotny jest oddzielną sprawą i tylko do tego się wetknąłem.
Nawet, jakby z uzasadnionych powodów taka autoryzacja wymagała
"bycia administratorem".

pzdr, Gotfryd