PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ACL vererbbare Rechte, Probleme mit der Maske



dragonito
29.01.07, 13:45
Hallo Leute,

wir haben Probleme mit ACL in Verbindung mit den vererbbaren Verzeichnisrechten. Und zwar werden die Masken nicht korrekt gesetzt.

So setzen wir das derzeit:


setfacl -R -m d:user:thorsten:rwx,d:group:edv:rwx,d:user::rwx,d: group::rwx,d:other::rwx,d:mask:rwx test

ein getfacl auf ein erstelltes Verzeichnis gibt folgendes aus:

# file: 123test
# owner: rwillig
# group: edv
user::rwx
user:thorsten:rwx #effective:r-x
group::rwx #effective:r-x
group:edv:rwx #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:user:thorsten:rwx
default:group::rwx
default:group:edv:rwx
default:mask::rwx
default:other::rwx

Hat jemand ne Idee?

Lieben Gruß

Robin

PS: Verzeichnis wurde mit User rwillig erstellt.

temir
29.01.07, 14:33
Die default-ACL muss gesetzt werden, am besten für ein frisch erstelltes Verzeichnis. Etwa:


benutzer@linux:~/test-code> mkdir acl_test
benutzer@linux:~/test-code> getfacl acl_test/
# file: acl_test
# owner: benutzer
# group: users
user::rwx
group::r-x
other::r-x

benutzer@linux:~/test-code> setfacl -d -m g:users:rwx acl_test
benutzer@linux:~/test-code> getfacl acl_test/
# file: acl_test
# owner: benutzer
# group: users
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:users:rwx
default:mask::rwx
default:other::r-x

benutzer@linux:~/test-code> touch acl_test/test.txt
benutzer@linux:~/test-code> la acl_test/
insgesamt 8
drwxr-xr-x+ 2 benutzer users 21 29. Jan 14:29 .
drwxr-xr-x 4 benutzer users 142 29. Jan 14:28 ..
-rw-rw-r--+ 1 benutzer users 0 29. Jan 14:29 test.txt
benutzer@linux:~/test-code> mkdir acl_test/test2
benutzer@linux:~/test-code> la acl_test/
insgesamt 12
drwxr-xr-x+ 3 benutzer users 33 29. Jan 14:29 .
drwxr-xr-x 4 benutzer users 142 29. Jan 14:28 ..
drwxrwxr-x+ 2 benutzer users 6 29. Jan 14:29 test2
-rw-rw-r--+ 1 benutzer users 0 29. Jan 14:29 test.txt
benutzer@linux:~/test-code>

Jinto
29.01.07, 23:11
Weshalb die Masken? Es gibt nur eine einzige und diese muss entsprechend gesetzt sein.

dragonito
30.01.07, 08:54
Hi Temir,

wir haben Deinen Tipp ausprobiert, leider auch ohne Erfolg. Vielleicht sollte ich dazu sagen, das wir die ACLs über NFS fahren, gibt es da ne Besonderheit?

So siehts derzeit aus:



# file: test
# owner: root
# group: root
user::rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:thorsten:rwx
default:group::rwx
default:group:edv:rwx
default:mask::rwx
default:other::rwx


Datei und Unterordner aus dem Ordner test erstellt über eine NFS-Verbindung



# file: datei
# owner: thorsten
# group: edv
user::rw-
user:thorsten:rwx #effective:r--
group::rwx #effective:r--
group:edv:rwx #effective:r--
mask::r--
other::r--

# file: hallo
# owner: rwillig
# group: edv
user::rwx
user:thorsten:rwx #effective:r-x
group::rwx #effective:r-x
group:edv:rwx #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:user:thorsten:rwx
default:group::rwx
default:group:edv:rwx
default:mask::rwx
default:other::rwx


Schon irgendwie merkwürdig

Morfio
30.01.07, 09:16
Hi,

ich bin ein Kollege von dragonito. Dazu zu erwähnen ist, dass die ACLs lokal einwandfrei funktionieren, nur halt über NFS nicht bzw. über NFS ist die Default-Mask falsch.

Die Benutzer und Gruppen werden über NIS bereitgestellt und somit sind die uids und gids auf den Workstations korrekt. So langsam verzweifeln wir (:

Viele Grüße,

Morfio ...

Morfio
30.01.07, 09:18
Achso, dazu sei noch zu sagen: Im Kernel auf dem Server sind ACLs für NFS im Serverbetrieb drin und auf den Testworkstations für NFS in Clientbetrieb (jeweils Version 3). Als Distribution benutzen wir Ubuntu 6.06.

temir
30.01.07, 13:50
Laut manpages braucht man beim export auf dem Server, bzw. mount auf dem
Client gar nichts angeben = acls werden benutzt.
Habt Ihr schon versucht, dem MountPoint erst die richtigen ACLs zu verpassen, bevor gemountet wird?

Morfio
30.01.07, 14:45
Hi,

so, wie wir gerade herausgefunden haben, wird die globale umask vom Client ausgewertet. Stellen wir die auf 0000 (was ja 777 letztlich bedeutet), dann funktioniert es.

Als wir damit allerdings vor einiger Zeit herumgespielt haben, starteten die Gnome-Panel nicht mehr, mal abgesehen davon, dass es nicht sonderlich sinnvoll ist, eine solche umask zu nutzen. Gibt es vllt. eine sinnvollere Möglichkeit, ohne die umask zu setzen?

Morfio ...