Identificadores de projeto

O identificador de projeto é um identificador administrativo usado para identificar trabalho relacionado. Pode-se dizer que o identificador de projeto é uma tag de carga de trabalho equivalente aos identificadores de usuário e grupo. Um usuário ou grupo pertence a um ou mais projetos. Esses projetos podem ser usados para representar as cargas de trabalho nas quais o usuário (ou grupo de usuários) tem permissão para participar. Essa associação pode então ser a base do chargeback que é baseado, por exemplo, em uso ou alocações iniciais de recursos. Embora um usuário tenha de ser atribuído a um projeto padrão, os processos que o usuário inicia podem ser associados a qualquer projeto de qual o usuário seja um membro.

Determinação do projeto padrão de um usuário

Para efetuar log-in no sistema, um usuário tem de ser atribuído a um projeto padrão. Um usuário é automaticamente um membro desse projeto padrão, mesmo que o usuário não esteja na lista de usuários ou de grupo especificada nesse projeto.

Uma vez que cada processo no sistema possui associação ao projeto, é necessário um algoritmo para atribuir um projeto padrão ao log-in ou outro processo inicial. O algoritmo é documentado na página man getprojent(3C). O sistema segue as etapas ordenadas para determinar o projeto padrão. Se nenhum projeto for localizado, o log-in de usuário, ou a solicitação para iniciar um processo, será negado.

O sistema segue seqüencialmente estas etapas para determinar o projeto padrão de um usuário:

1. Se o usuário tiver uma entrada com um atributo project definido no banco de dados de atributos de usuário estendido /etc/user_attr, o valor do atributo project será o projeto padrão. Consulte a página man user_attr(4).

2. Se um projeto com o nome user.user-id estiver presente no banco de dados de project, esse projeto será o projeto padrão. Consulte a página man project(4) para obter mais informações.

3. Se um projeto com o nome group. group-name estiver presente no banco de dados de project, onde group-name é o nome do grupo padrão para o usuário, como especificado no arquivo passwd, esse projeto será o projeto padrão. Para obter informações sobre o arquivo passwd, consulte a página man passwd(4).

4. Se o projeto especial default estiver presente no banco de dados de project, esse projeto será o projeto padrão.

Esta lógica é fornecida pela função de biblioteca getdefaultproj. () Para obter mais informações, consulte a página man getprojent(3PROJECT).

Definição de atributos de usuário com os comandos useradd , usermod e passmgmt

Você pode usar os seguintes comandos com a opção -K e um par key=value para definir atributos de usuário em arquivos locais:

passmgmt

Modificar informações de usuário

useradd

Definir projeto padrão para usuário

usermod

Modificar informações de usuário

Arquivos locais incluem o seguinte:

• /etc/group

• /etc/passwd

• /etc/project

• /etc/shadow

• /etc/user_attr

Se um serviço de nomes de rede, como NIS, estiver sendo usado para suplementar o arquivo local com entradas adicionais, estes comandos não podem alterar informações fornecidas pelo serviço de nomes de rede. No entanto, os comandos verificam o seguinte em relação ao bando de dados de serviço de nomes externo:

• Exclusividade do nome de usuário (ou função)

• Exclusividade do ID de usuário

• Existência de quaisquer nomes de grupo especificados

Para obter mais informações, consulte as páginas man passmgmt(1M), useradd(1M), usermod(1M) e user_attr(4).

Banco de dados de project

Você pode armazenar dados de projeto em um arquivo local, em um mapa de projeto do Serviço de informação de rede (NIS), ou em um serviço de diretório de Protocolo de acesso a pastas leves (LDAP). O arquivo /etc/project ou o serviço de identificação é usado no log-in e por todas as solicitações para gerenciamento de conta pelo Módulo de autenticação plugável (PAM) para vincular um usuário a um projeto padrão.

Subsistema de PAM

Operações que alteram ou definem identidade incluem login em um sistema, chamar um comando rcp ou rsh, usando ftp, ou usandosu. Quando uma operação envolve alterar ou definir uma identidade, um conjunto de módulos configuráveis é usado para fornecer autenticação, gerenciamento de conta, gerenciamento de credenciais e gerenciamento de sessão.

O módulo PAM de gerenciamento de conta para projetos é documentado na página man pam_projects(5) Para uma visão geral de PAM, consulte o Capítulo 17, Using PAM, no System Administration Guide: Security Services.

Configuração de Serviços de Identificação

O gerenciamento de recursos oferece suporte a bancos de dados de project de serviço de identificação. O local em que o banco de dados de project é armazenado é definido no arquivo /etc/nsswitch.conf. Por padrão, files é listado primeiro, mas as fontes podem ser listadas em qualquer ordem.

project: files [nis] [ldap]

Se mais de uma fonte para informações de projeto estiver listada, o arquivo nsswitch.conf direcionará a rotina para iniciar a procura de informações na primeira fonte listada e em seguida pesquisará fontes subseqüentes.

Para obter mais informações sobre o arquivo /etc/nsswitch.conf, consulte o Capítulo 2, The Name Service Switch (Overview), no System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) e em nsswitch.conf(4).

Formato de arquivo /etc/project local

Se você selecionar files como fonte do banco de dados de project no arquivo nsswitch.conf, o processo de log-in procurará informações do projeto no arquivo /etc/project. Para obter mais informações, consulte as páginas man projects(1) e project(4).

O arquivo project contém uma entrada de uma linha da seguinte forma para cada projeto reconhecido pelo sistema:

projname:projid:comment:user-list:group-list:attributes

Os campos são definidos como a seguir:

projname

O nome do projeto. O nome deve ser uma sequência formada por caracteres alfanuméricos, caractere sublinhado (_), hifens (-) e pontos (.). O ponto, que é reservado para projetos com significado especial para o sistema operacional, podem somente ser usados nos nomes de projetos padrão para usuários. projname não pode conter dois-pontos (: ) ou caracteres de mudança de linha.

projid

O ID numérico exclusivo do projeto (PROJID) dentro do sistema. O valor máximo do campo projid é UID_MAX ( 2147483647).

comment

Uma descrição do projeto.

user-list

Uma lista separada por vírgulas de usuários que têm permissão para o projeto.

Curingas podem ser usados neste campo. Um asterisco (*) permite que todos os usuários se unam ao projeto. Um ponto de exclamação seguido por um asterisco (!*) exclui todos os usuários do projeto. Um ponto de exclamação (!) seguido por um nome de usuário exclui do projeto o usuário especificado.

group-list

Uma lista separada por vírgulas de grupos de usuários que tem permissão para o projeto.

Curingas podem ser usados neste campo. Um asterisco (*) permite que todos os grupos se unam ao projeto. Um ponto de exclamação seguido por um asterisco (!*) exclui todos os grupos do projeto. Um ponto de exclamação (!) seguido por um nome de grupo exclui do projeto o grupo especificado.

attributes

Uma lista de pares de nome-valor separada por ponto-e-vírgula, como controles de recursos (consulte o Capítulo 6, Controles de Recursos (Visão Geral)). name é uma sequência arbitrária que especifica o atributo relacionado a objeto, e value é o valor opcional para esse atributo.

name[=value]

No par nome-valor, nomes são limitados a letras, dígitos, sublinhados e pontos. Um ponto é convencionalmente usado como um separador entre as categorias e subcategorias do controle de recursos (rctl). O primeiro caractere de um nome de atributo deve ser uma letra. O nome diferencia maiúsculas de minúsculas.

Valores podem ser estruturados pelo uso de vírgulas e parênteses para estabelecer precedência.

Um ponto-e-vírgula é usado para separar pares nome-valor. Um ponto-e vírgula não pode ser usado em uma definição de valor. Dois-pontos é usado para separar campos de projeto. Dois-pontos não pode ser usado em uma definição de valor.

Este exemplo mostra o arquivo padrão /etc/project:

system:0:System:::
user.root:1:Super-User:::
noproject:2:No Project:::
default:3::::
group.staff:10::::

Este exemplo mostra o arquivo padrão /etc/project com entradas de projeto adicionadas no fim:

system:0:System:::
user.root:1:Super-User:::
noproject:2:No Project:::
default:3::::
group.staff:10::::
user.ml:2424:Lyle Personal:::
booksite:4113:Book Auction Project:ml,mp,jtd,kjh::

Você também pode adicionar controles de recursos e atributos ao arquivo /etc/project :

• Para adicionar controles de recursos para um projeto, consulte Configuração de controles de recursos.

• Para definir um limite de recursos da memória física para um projeto usando o resource capping daemon descrito em rcapd(1M), consulte Atributo para limitar o uso da memória física em projetos.

• Para adicionar um atributo project.pool à entrada de um projeto, consulte Criação da configuração.

Configuração de projeto para NIS

Se estiver usando NIS, você pode especificar no arquivo /etc/nsswitch.conf a procura de projetos nos mapas de projeto NIS:

project: nis files 

Os mapas NIS, project.byname ou project.bynumber , têm a mesma forma que o arquivo /etc/project:

projname:projid:comment:user-list:group-list:attributes

Para obter mais informações, consulte o Capítulo 4, Network Information Service (NIS) (Overview), no System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

Configuração de projeto para LDAP

Se estiver usando LDAP, você pode especificar no arquivo /etc/nsswitch.conf que procure projetos no banco de dados de project de LDAP:

project: ldap files

Para obter mais informações sobre LDAP, consulte o Capítulo 8, Introduction to LDAP Naming Services (Overview/Reference), no System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) . Para obter mais informações sobre o esquema para entradas de projeto em um banco de dados de LDAP, consulte Solaris Schemas no System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .