PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Berechtigungs- "Wirrwarr" / ACL + Posix Berechtigungen



Sosch
08.09.11, 13:39
Hallo,

ich habe von meinem Anleiter eine (Übrungs-)Aufgabe bekommen die mich zur Verzweiflung bringt.
Und zwar soll es auf einem System eine Gruppe "admins" geben. Die kommt später noch ins Spiel.
Ein paar Anweisungen habe ich bekommen:

1. Die Home Verzeichnisse der einzelnen User sollen folgende Posix Berechtigung haben: drwx------

2. Alle neu angelegten Dateien und Verzeichnisse eines Users sollen volle Berechtigung für den Besitzer erhalten (rwx, bzw rw-), Gruppenmitglieder und die Anderen sollen keine Berechtigung haben.

3. Für die o.g. Gruppe "Admins" sollen dann noch ACLs definiert werden, und zwar:
Alle Home Verzeichnisse sollen für die Gruppenmitglieder der Gruppe "Admins" einsehbar sein, ohne Schreibrechte. Ein Verzeichnis "Admins", welches jeder User in sein Homeverzeichnis beim Anlegen verpasst bekommt, soll default ACLs erhalten die den Usern der Gruppe "admins" erlaubt, die Dateien und alle Unterordner einzusehen.

Danach werden User angelegt mit der Gruppe "admins" als sekundäre Gruppe.


Mein Lösungsansatz war für die Homelaufwerke eine standard Umask anzulegen und zwar: 077, damit es mit der unter 1. übereinstimmt (drwx------)

punkt 2. habe ich per Eintrag in /etc/profile festgelegt, sollte klappen.

aber 3.:
Wenn ich nun z.b. per setfacl -d -m g:admins:rx /home die anforderungen m.m.n erfülle sieht ein getfacl auf eins der danach erstellten home verzeichnisse wie folgt aus:

# file: home/tim/
# owner: tim
# group: users
user::rwx
group::r-x #effective:---
group:admins:r-x #effective:---
mask::---
other::---
default:user::rwx
default:group::r-x
default:group:admins:r-x
default:mask::r-x
default:other::r-x

Die Mask wird automatisch auf --- gesetzt und ist nun vorrangig. Folglich kann der User nicht mehr auf sein eigenes Homeverzeichnis zugreifen, genau wie andere erstellte User mit der sekundären "admins" Gruppe (die admins-Gruppe als primär einzustellen bringt übrigens auch nicht den gewünschten Erfolg)

Hat sich hier irgend jemand schon einmal eingehend mit der Berechtigungsgeschichte auseinandergesetzt und hat einen Lösungsweg parat?
Das einzige was mir einfiel ist die Umask statt 077 auf 027 zu setzen. Dies ist ja aber nicht der gewünschte Weg der Aufgabe, wenn ich es richtig verstanden habe.

Help please :( :)


Edit: Wir arbeiten in der Firma mit SLES11

muell200
08.09.11, 13:58
erstmal willkommen



Hat sich hier irgend jemand schon einmal eingehend mit der Berechtigungsgeschichte auseinandergesetzt und hat einen Lösungsweg parat?
Das einzige was mir einfiel ist die Umask statt 077 auf 027 zu setzen. Dies ist ja aber nicht der gewünschte Weg der Aufgabe, wenn ich es richtig verstanden habe.


auf den erstenblick wurde ich sagen, das die gruppenrechte blockieren

versuche folgendes:
gruppe auf z.b.: root aendern und die rechte auf: 750

bisti
09.09.11, 07:03
Versuche die Maske per Hand, mithilfe des setfacl-Kommando festzusetzen:



setfacl -m m:rx /home