Hallo,

ich probiere über die ACLs zu konfigurieren wer Zugriff auf Ordner bzw. deren Virtuellen Machinen hat.

Zu erst habe ich Probiert über



setfacl -d -m group:vmware:rwx,other:--- Virtual_Machines/
nur den usern, die in der Gruppe vmware sind, Zugriffsrechte zu geben.


Ausgabe von getfacl:



getfacl Virtual_Machines/

# file: Virtual_Machines
# owner: root
# group: vmware
user::rwx
group::rwx
other::---
default:user::rwx
default:group::rwx
default:group:vmware:rwx
default:mask::rwx
default:other::---


Nehme ich aber nun dem Ordner Virtual_Machines alle Rechte mit chmod a-rwx und melde mich dann mit einem user an der in der Gruppe vmware ist an, kann ich nicht in das Verzeichnis wechseln.
Ich bekomm nur ein Permission denied.

Später sollen nur bestimmte Gruppen mit bestimmten Rechten auf bestimme Virtuelle Machinen Zugriff haben.

Gibt es dafür eine Lösung? Vielen dank für eure Hilfe.

Mit freundlichen Grüßen
Newton1987

Querverweis vergessen?

http://www.linux-forum.de/acl-und-vmware-14967.html

Default ACL - gilt für künftig angelegte Files/Dirs/subDirs
'normal ACL' (bzw. chmod) - gilt für hier und jetzt ;)

Querverweis vergessen?

http://www.linux-forum.de/acl-und-vmware-14967.html
Oh Sorry, hab ich vergessen.



Default ACL - gilt für künftig angelegte Files/Dirs/subDirs
'normal ACL' (bzw. chmod) - gilt für hier und jetzt ;)

Ok, aber man kann dann die 'normalen ACLs' wo anders ändern oder? Wenn ja, wo?

Die rechte sollen dann später so verteilt werden, dass bestimmte User in bestimmten Gruppen nur auf bestimmte Virtuelle Machinen zugreiffen können.

...
Ok, aber man kann dann die 'normalen ACLs' wo anders ändern oder? Wenn ja, wo?

Die rechte sollen dann später so verteilt werden, dass bestimmte User in bestimmten Gruppen nur auf bestimmte Virtuelle Machinen zugreiffen können.


man getfacl
man setfacl

ist alles, was du brauchst. Default ACLs hast du mit einem "-d" gesetzt. Ohne == "normal".

Hallo,

das Probleme ist gelöst!

Durch das setzten von


setfacl -m group:vmware:rwx Virtual_Machines

werden die ACL's erweitert und können so auf User,Gruppen und Other erweiter werden. In diesem fall wird die Gruppe vmware mit den rechten rwx hinzugefügt.

Jetzt dürfen nur die User in das Verzeichnis die auch in der Gruppe vmware sind.

Die kann man natürlich beliebig editieren wie man möchte.

War einfacher als ich gedacht habe.

Hallo,

es gibt doch noch ein Problem.

Die ACL's wurden wie gewünscht erstellt. Legen ich nun einen Ordner Manuell an werden die ACL's auch übernommen.

Nun kommt das Problem:

Erstelle ich eine Virtuelle Maschine mit der VMware Server Console so wird der Ordner erstellt aber mit Falschen ACL's.

Diese sehen wie folgt aus:



# file: server/data/vm/vmware/Virtual_Machines/WinXP_Pro_fsp_Test
# owner: fsp
# group: vmware
user::rwx
group::---
group:vmware:rwx #effective:r-x
mask::r-x
other::---
default:user::rwx
default:group::---
default:group:vmware:rwx
default:mask::rwx
default:other::---

Bei der erstellung wird die mask verändert. Dies soll nicht sein da diese einstellung für alle User und Gruppen gelten deswegen auch das #effective:r-x

Weiß jemand woran das liegt und eventuell auch wie man dieses Problem lösen kann?

Querverweis:
http://www.linux-forum.de/acl-und-vmware-14967.html

Mit freundlichen Grüßen
Newton1987

In der Konsole:


umask 007 *Geheimtip! :-))
vmware-server-console (wird sie so aufgerufen?)

Hallo,

also mit umask funktioniert es nicht. Am ende der Erstellung setzt die VMware-Server-Console einen chmod auf den Ordner. Diese überschreiben dann die default acl.

Der umask einträg habe ich auch schon geändert, aber dies war nicht die Lösung.

Hallo,

also mit umask funktioniert es nicht. Am ende der Erstellung setzt die VMware-Server-Console einen chmod auf den Ordner. Diese überschreiben dann die default acl.

Der umask einträg habe ich auch schon geändert, aber dies war nicht die Lösung.
Die Server-Console macht einen chmod? - Wusste es nicht, denn bis dato habe nur Erfahrung mit der VMWare WS. Bei der WS musste ich mal die chmods für die Dateien einer VM korrigieren, seit dem stimmen sie nur bei den Log-Files nicht (hier nach der Benutzung mit dem User ddd):


eee@linux:/home/VMware/XP_SP2> la
insgesamt 5526356
drwxrwxr-x+ 2 eee users 4096 17. Mai 09:08 .
drwxrwxr-x+ 8 eee users 112 17. Mai 09:16 ..
-rw-r--r--+ 1 ddd users 58820 15. Apr 21:27 vmware-0.log
-rw-rw-r--+ 1 eee users 66440 31. Mär 13:36 vmware-1.log
-rw-rw-r--+ 1 eee users 74753 30. Mär 23:00 vmware-2.log
-rw-r--r--+ 1 ddd users 69105 12. Mai 17:52 vmware.log
-rw-rw-r--+ 1 eee users 5658640384 12. Mai 17:52 XP_SP2.mdk
-rw-rw-r--+ 1 eee users 8684 12. Mai 17:52 XP_SP2.nvram
-rw-rw-r--+ 1 eee users 0 1. Feb 2007 XP_SP2.vmsd
-rw-rw-r--+ 1 eee users 2541 12. Mai 14:12 XP_SP2.vmx
-rw-rw-r--+ 1 eee users 261 26. Aug 2007 XP_SP2.vmxf

eee@linux:/home/VMware/XP_SP2> getfacl .
# file: .
# owner: eee
# group: users
user::rwx
group::rwx
other::r-x
default:user::rwx
default:group::rwx
default:group:users:rwx
default:mask::rwx
default:other::r-x

Habe mal kurz zu dem Thema 'gegoogelt', leider lässt sich per Google keine Option für das config-File finden, mit der man den chmod beeinflussen könnte.
Vielleicht wird dir im Forum auf vmware.com geholfen?

EDIT:
wenn man es nicht per config abstellen kann, könnte man noch auf fam zurückgreifen:
bei der Änderung der VM-Directory den 'richtigen' chmod/setfacl ausführen.
Allerdings hat man dann eben einen Daemon mehr laufen...