zwilland
14.07.08, 09:53
Hallo zusammen,
ich habe ein Problem bei der vererbung von Rechten, oder besser gesagt
bei den Vorgaben wie ein User mit welchen Rechten und gruppenzugehörigkeit ein Verzeichnis oder ein file erstellen kann.bisher dachte ich ja, dass die vorgabe mit:
setfacl -d -m ... vergeben wird, das ist aber offensichtlich falsch.
Kurze beschreibung:
Es soll die gruppe vorlagen mit r-x und gruppe vorlagen_admin mit rwx
auf das Verz. VOL1\Daten\Vorlagen zugreifen. Die files und Verz. im
Ordner Vorlagen sollen ausser der MG's von grp vorlagen_admin nicht
verändert werden dürfen.
Funktioniert auch so weit wenn die Verz. oder files z.b. von root direkt
am Server erstellt werden. Greift jetzt ein User über Samba von einem
Windows Client auf Vorlagen zu, der MG von vorlagen_admin ist und erstellt
unterhalb von Vorlagen\EDV ein Verzeichnis, dann können genau in dem Verz.
die MG's von vorlagen (die ja eigentlich nur lesen darauf zugreifen sollen)
hier wieder schreibend zugreifen. Also stimmt in meiner Nachfolgenden
Rechtevergabe etwas nicht.
--1 Auszug aus der smb.conf
[Daten]
path = /VOL1/Daten
valid users = @daten, @g_1sicav, @vorlagen, @vorlagen_admin
force group = daten
browseable = no
read only = No
inherit acls = Yes
--2(Auf der Fileebene ist der Gesamte Ordern Vorlagen nach unten
Eigentümer = root mit grp root:rwx,o---)
--Jetzt werden die Gruppen auf das Verz. gesetzt:
# setfacl -R -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/
--danach werden die defaultreche für neue Verz. und files vergeben:
# setfacl -R -d -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/
--zum schluss nochmal -m damit die Rechte sofort durchgesetzt werden:
# setfacl -R -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/
Ergebnis:
Gruppe vorlagen hat Zugriff unterhalb von Vorlagen/ mit :rx und Gruppe vorlagen_admin mit :rwx, solange vorlagen_admin nichts neues reinschreibt.
Wenn jemand den Fehler sieht, dann bitte melden! In der man setfacl steht eigentlich deutlich unter Options, dass Vorgaben mit dem Parameter -d eingestellt werden.
Grüße
Andreas
ich habe ein Problem bei der vererbung von Rechten, oder besser gesagt
bei den Vorgaben wie ein User mit welchen Rechten und gruppenzugehörigkeit ein Verzeichnis oder ein file erstellen kann.bisher dachte ich ja, dass die vorgabe mit:
setfacl -d -m ... vergeben wird, das ist aber offensichtlich falsch.
Kurze beschreibung:
Es soll die gruppe vorlagen mit r-x und gruppe vorlagen_admin mit rwx
auf das Verz. VOL1\Daten\Vorlagen zugreifen. Die files und Verz. im
Ordner Vorlagen sollen ausser der MG's von grp vorlagen_admin nicht
verändert werden dürfen.
Funktioniert auch so weit wenn die Verz. oder files z.b. von root direkt
am Server erstellt werden. Greift jetzt ein User über Samba von einem
Windows Client auf Vorlagen zu, der MG von vorlagen_admin ist und erstellt
unterhalb von Vorlagen\EDV ein Verzeichnis, dann können genau in dem Verz.
die MG's von vorlagen (die ja eigentlich nur lesen darauf zugreifen sollen)
hier wieder schreibend zugreifen. Also stimmt in meiner Nachfolgenden
Rechtevergabe etwas nicht.
--1 Auszug aus der smb.conf
[Daten]
path = /VOL1/Daten
valid users = @daten, @g_1sicav, @vorlagen, @vorlagen_admin
force group = daten
browseable = no
read only = No
inherit acls = Yes
--2(Auf der Fileebene ist der Gesamte Ordern Vorlagen nach unten
Eigentümer = root mit grp root:rwx,o---)
--Jetzt werden die Gruppen auf das Verz. gesetzt:
# setfacl -R -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/
--danach werden die defaultreche für neue Verz. und files vergeben:
# setfacl -R -d -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/
--zum schluss nochmal -m damit die Rechte sofort durchgesetzt werden:
# setfacl -R -m g:vorlagen:r-x,g:vorlagen_admin:rwx,o--- Vorlagen/
Ergebnis:
Gruppe vorlagen hat Zugriff unterhalb von Vorlagen/ mit :rx und Gruppe vorlagen_admin mit :rwx, solange vorlagen_admin nichts neues reinschreibt.
Wenn jemand den Fehler sieht, dann bitte melden! In der man setfacl steht eigentlich deutlich unter Options, dass Vorgaben mit dem Parameter -d eingestellt werden.
Grüße
Andreas