PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Defaultrechte und weiterte ACL's



zwilland
14.07.08, 10:53
Hallo zusammen,

ich habe ein Problem bei der vererbung von Rechten, oder besser gesagt
bei den Vorgaben wie ein User mit welchen Rechten und gruppenzugehörigkeit ein Verzeichnis oder ein file erstellen kann.bisher dachte ich ja, dass die vorgabe mit:
setfacl -d -m ... vergeben wird, das ist aber offensichtlich falsch.

Kurze beschreibung:
Es soll die gruppe vorlagen mit r-x und gruppe vorlagen_admin mit rwx
auf das Verz. VOL1\Daten\Vorlagen zugreifen. Die files und Verz. im
Ordner Vorlagen sollen ausser der MG's von grp vorlagen_admin nicht
verändert werden dürfen.
Funktioniert auch so weit wenn die Verz. oder files z.b. von root direkt
am Server erstellt werden. Greift jetzt ein User über Samba von einem
Windows Client auf Vorlagen zu, der MG von vorlagen_admin ist und erstellt
unterhalb von Vorlagen\EDV ein Verzeichnis, dann können genau in dem Verz.
die MG's von vorlagen (die ja eigentlich nur lesen darauf zugreifen sollen)
hier wieder schreibend zugreifen. Also stimmt in meiner Nachfolgenden
Rechtevergabe etwas nicht.


--1 Auszug aus der smb.conf
[Daten]
path = /VOL1/Daten
valid users = @daten, @g_1sicav, @vorlagen, @vorlagen_admin
force group = daten
browseable = no
read only = No
inherit acls = Yes



--2(Auf der Fileebene ist der Gesamte Ordern Vorlagen nach unten
Eigentümer = root mit grp root:rwx,o---)

--Jetzt werden die Gruppen auf das Verz. gesetzt:
# setfacl -R -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/

--danach werden die defaultreche für neue Verz. und files vergeben:
# setfacl -R -d -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/

--zum schluss nochmal -m damit die Rechte sofort durchgesetzt werden:
# setfacl -R -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/


Ergebnis:
Gruppe vorlagen hat Zugriff unterhalb von Vorlagen/ mit :rx und Gruppe vorlagen_admin mit :rwx, solange vorlagen_admin nichts neues reinschreibt.


Wenn jemand den Fehler sieht, dann bitte melden! In der man setfacl steht eigentlich deutlich unter Options, dass Vorgaben mit dem Parameter -d eingestellt werden.


Grüße

Andreas

L00NIX
14.07.08, 11:00
Hi.

Also an den Vorlagen-Gruppen sehe ich jetzt nichts Falsches. Allerdings gibt es da scheinbar noch die Gruppe "daten" (force group) und was hat die für Rechte?

Übrigens:
Vererbung von Rechten gibt es unter UNIX nicht, dass kann nur Windows. Was du meinst sind die Rechte, die aus der Default ACL mit reinkopiert werden, wenn neue Dateien angelegt werden.
Hieraus ergibt sich nämlich auch das "Problem", wenn Dateien oder Verzeichnisse innerhalb der gleichen Partition verschoben (also "umgehängt") werden die Rechte behalten. Deswegen immer kopieren, dann löschen, damit die Default-ACLs angewendet werden.

Gruß
L00NIX

zwilland
14.07.08, 18:19
Hi.

Also an den Vorlagen-Gruppen sehe ich jetzt nichts Falsches. Allerdings gibt es da scheinbar noch die Gruppe "daten" (force group) und was hat die für Rechte?

Übrigens:
Vererbung von Rechten gibt es unter UNIX nicht, dass kann nur Windows. Was du meinst sind die Rechte, die aus der Default ACL mit reinkopiert werden, wenn neue Dateien angelegt werden.
Hieraus ergibt sich nämlich auch das "Problem", wenn Dateien oder Verzeichnisse innerhalb der gleichen Partition verschoben (also "umgehängt") werden die Rechte behalten. Deswegen immer kopieren, dann löschen, damit die Default-ACLs angewendet werden.

Gruß
L00NIX

hi,

vielen Dank für deine Zeilen, also die gruppe daten hat eigentlich keine speziellen Rechte, da ich in der smb.conf sektion ausser dass die gruppe daten eingetragen werden soll, nichts angebe wie z.B.
force directory mode =; force create mode =
create mask = oder directory mask =

Ich hätte auch schon einmal mit setfacl -R -b alle erweiterten ACL's gelöscht
und neu erstellt. Deswegen verstehe ich auch nicht wo die Rechte herkommen.

Hier alle Acl eintäge auf der fileebene noch:

hcmfs3:/ # getfacl VOL1/ --all-effective
# file: VOL1/
# owner: root
# group: users
user::rwx
group::r-x
other::r--

hcmfs3:/ # getfacl VOL1/Daten/ --all-effective
# file: VOL1/Daten/
# owner: root
# group: daten
user::rwx
group::r-x
other::rwx

hcmfs3:/ # getfacl VOL1/Daten/Vorlagen --all-effective
# file: VOL1/Daten/Vorlagen
# owner: root
# group: root
user::rwx
group::rwx #effective:rwx
group:vorlagen:r-x #effective:r-x
group:vorlagen_admin:rwx #effective:rwx
mask::rwx
other::r-x
default:user::rwx
default:group::rwx #effective:rwx
default:group:vorlagen:r-x #effective:r-x
default:group:vorlagen_admin:rwx#effective:rwx
default:mask::rwx
default:other::r-x


(das System hier erkennt innerhalb von d e f a u l t : o t h e r : : r - x
in der letzten Zeile natürlich ein Symbol, also ist keine Absicht von mir)




Gruß


Andreas

L00NIX
14.07.08, 20:17
Die ACLs sehen bis auf die seltsamen Effektivbereichtigungen in Ordnung aus.

Wie sehen sie aus, wenn ein Windows-Client dort Dateien angelegt oder verändert hat?