Revamp LTSP: Rechteverwaltung mit ACL's: Unterschied zwischen den Versionen
(Diese Seite wurde zum Übersetzen freigegeben) |
(übersetzung löschen) |
||
| Zeile 1: | Zeile 1: | ||
| − | |||
| − | |||
| − | |||
Um die Berechtigungen feiner zu steuern können acl's verwendet werden. | Um die Berechtigungen feiner zu steuern können acl's verwendet werden. | ||
| − | |||
<code>acl</code> muss dazu als mount option angegeben werden (in der <code>fstab</code> eintragen). | <code>acl</code> muss dazu als mount option angegeben werden (in der <code>fstab</code> eintragen). | ||
| − | |||
ACL's werden von NFS Version 3 "normal" unterstützt. | ACL's werden von NFS Version 3 "normal" unterstützt. | ||
| − | = Verwendung = | + | == Verwendung == |
| − | |||
Wenn eine ACL gesetzt ist wird dies in der Ausgabe von <code>ls -l</code> durch ein zusätzliches "+" bei den Berechtigungen angezeigt.<br />E.g.: | Wenn eine ACL gesetzt ist wird dies in der Ausgabe von <code>ls -l</code> durch ein zusätzliches "+" bei den Berechtigungen angezeigt.<br />E.g.: | ||
| − | |||
<pre>$ ls -l | <pre>$ ls -l | ||
total 16 | total 16 | ||
| Zeile 21: | Zeile 14: | ||
Mit <code>getfacl <datei></code> können die detaillierten Zugangsinformationen angezeigt werden. | Mit <code>getfacl <datei></code> können die detaillierten Zugangsinformationen angezeigt werden. | ||
| − | |||
Mit <code>setfacl ...</code> werden ACL's gesetzt.<br />E.g.: | Mit <code>setfacl ...</code> werden ACL's gesetzt.<br />E.g.: | ||
| − | |||
<pre>$ setfacl -m g:revamp:r-x Datei</pre> | <pre>$ setfacl -m g:revamp:r-x Datei</pre> | ||
Setzen von "read" und "execute" für die Gruppe revamp für Datei. | Setzen von "read" und "execute" für die Gruppe revamp für Datei. | ||
| − | = Umsetzung = | + | == Umsetzung == |
| − | |||
Unter <code>/data/..</code> wurde es folgendermassen umgesetzt. | Unter <code>/data/..</code> wurde es folgendermassen umgesetzt. | ||
| − | |||
Ziel ist es "Wildwuchs" auf den Obersten Ebenen zu verhindern. | Ziel ist es "Wildwuchs" auf den Obersten Ebenen zu verhindern. | ||
| − | |||
Daher sollen dort lediglich Mitglieder der Gruppe struktur Schreibrechte haben. | Daher sollen dort lediglich Mitglieder der Gruppe struktur Schreibrechte haben. | ||
| − | |||
Mitglieder der Gruppe revamp sollen Leserecht haben. | Mitglieder der Gruppe revamp sollen Leserecht haben. | ||
| − | |||
Allen anderen sollen, grundsätzlich, keinen Zugriff haben. Bis auf allfällige Ausnahmen wie ein allgemeiner Download ordner, der sowieso regelmässig bereinigt wird. | Allen anderen sollen, grundsätzlich, keinen Zugriff haben. Bis auf allfällige Ausnahmen wie ein allgemeiner Download ordner, der sowieso regelmässig bereinigt wird. | ||
| − | |||
Eine solche Umsetzung ist mit den "normalen" Berechtigungen nicht möglich. | Eine solche Umsetzung ist mit den "normalen" Berechtigungen nicht möglich. | ||
| − | |||
''Bemerkung: "Default" ACL's werden automatisch vererbt. Diese müssen jedoch zusätzlich gesetzt werden.'' | ''Bemerkung: "Default" ACL's werden automatisch vererbt. Diese müssen jedoch zusätzlich gesetzt werden.'' | ||
| − | |||
Unter <code>/data/</code>: | Unter <code>/data/</code>: | ||
| − | |||
<pre>$ ls -ld | <pre>$ ls -ld | ||
drwxrws--x+ 6 revamp struktur 4096 Mar 17 15:52 .</pre> | drwxrws--x+ 6 revamp struktur 4096 Mar 17 15:52 .</pre> | ||
| Zeile 79: | Zeile 61: | ||
drwxrws---+ 2 revamp struktur 4096 Mar 11 13:16 KundInnen</pre> | drwxrws---+ 2 revamp struktur 4096 Mar 11 13:16 KundInnen</pre> | ||
| − | |||
''Bemerkung: Unter /data/ müssen Änderungen an den ACL's u. U. mit dem Benutzer <code>revamp</code> ausgeführt werden.: <code>sudo -u revamp setfacl ...</code>'' | ''Bemerkung: Unter /data/ müssen Änderungen an den ACL's u. U. mit dem Benutzer <code>revamp</code> ausgeführt werden.: <code>sudo -u revamp setfacl ...</code>'' | ||
| − | |||
[[Category: LTSP]][[Category: Systemadministration]] | [[Category: LTSP]][[Category: Systemadministration]] | ||
| − | |||
Aktuelle Version vom 15. September 2015, 15:26 Uhr
Um die Berechtigungen feiner zu steuern können acl's verwendet werden.
acl muss dazu als mount option angegeben werden (in der fstab eintragen).
ACL's werden von NFS Version 3 "normal" unterstützt.
Verwendung
Wenn eine ACL gesetzt ist wird dies in der Ausgabe von ls -l durch ein zusätzliches "+" bei den Berechtigungen angezeigt.
E.g.:
$ ls -l total 16 drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage
Mit getfacl <datei> können die detaillierten Zugangsinformationen angezeigt werden.
Mit setfacl ... werden ACL's gesetzt.
E.g.:
$ setfacl -m g:revamp:r-x Datei
Setzen von "read" und "execute" für die Gruppe revamp für Datei.
Umsetzung
Unter /data/.. wurde es folgendermassen umgesetzt.
Ziel ist es "Wildwuchs" auf den Obersten Ebenen zu verhindern.
Daher sollen dort lediglich Mitglieder der Gruppe struktur Schreibrechte haben.
Mitglieder der Gruppe revamp sollen Leserecht haben.
Allen anderen sollen, grundsätzlich, keinen Zugriff haben. Bis auf allfällige Ausnahmen wie ein allgemeiner Download ordner, der sowieso regelmässig bereinigt wird.
Eine solche Umsetzung ist mit den "normalen" Berechtigungen nicht möglich.
Bemerkung: "Default" ACL's werden automatisch vererbt. Diese müssen jedoch zusätzlich gesetzt werden.
Unter /data/:
$ ls -ld drwxrws--x+ 6 revamp struktur 4096 Mar 17 15:52 .
$ getfacl . # file: . # owner: revamp # group: struktur # flags: -s- user::rwx group::rwx group:revamp:r-x mask::rwx other::--x default:user::rwx default:group::rwx default:group:revamp:r-x default:mask::rwx default:other::---
$ ls -l total 16 drwxrws---+ 3 revamp struktur 4096 Mar 11 13:13 Ablage drwxrwsrwx 2 revamp revamp 4096 Mar 12 15:42 Download drwxrws---+ 3 revamp struktur 4096 Mar 18 14:07 Intern drwxrws---+ 2 revamp struktur 4096 Mar 11 13:16 KundInnen
Bemerkung: Unter /data/ müssen Änderungen an den ACL's u. U. mit dem Benutzer revamp ausgeführt werden.: sudo -u revamp setfacl ...
