Sitzung: Jeden Freitag in der Vorlesungszeit ab 16 Uhr c. t. im MAR 0.005. In der vorlesungsfreien Zeit unregelmäßig (Jemensch da?). Macht mit!

Tubit-AFS: Unterschied zwischen den Versionen

(Link auf tubit)
K (Einfphrung, Struktur)
Zeile 1: Zeile 1:
Dieser Artikel soll in die Rechteverwaltung des AFS einführen...
+
Dieser Artikel soll in die Rechteverwaltung des AFS einführen und mehr und mehr Informationen zum AFS sammeln.
 +
 
 +
 
 +
= Rechteverwaltung =
  
 
== Access-Lists / ACLs ==
 
== Access-Lists / ACLs ==

Version vom 17. Februar 2009, 11:52 Uhr

Dieser Artikel soll in die Rechteverwaltung des AFS einführen und mehr und mehr Informationen zum AFS sammeln.


Rechteverwaltung

Access-Lists / ACLs

Zusätzlich zu den Unix-Permissions bestimmen bei AFS die Accesslists auf den Verzeichnissen, wer worauf zugreifen darf.

Dabei wird unterschiedlichen 'Gruppen' eine Liste von Rechten eingeräumt. Dabei können mehrere Gruppen ganz unterschiedliche Rechte auf einem Verzeichnis haben, das Verzeichnis muss nicht mehr explizit einer Gruppe gehören.


Welche Rechte gibt es?

Für Verzeichnisse:

  • l (lookup) permission:
Erlaubt das durchsuchen und auflisten - benötigt um auf Unterverzeichnisse zuzugreifenaccess sub-directories
  • i (insert) permission:
Erlaubt das Anlegen von Dateien und direkten Unterverzeichnissen
  • d (delete) permission:
Erlaubt analog das Löschen von Dateien und Unterverzeichnissen
  • a (administer) permission:
Erlaubt das Ändern der ACL.

Für Dateien:

  • r (read) permission:
Erlaubt Zugriff auf den Inhalt der Datei und die Datei-Details (long listing)
  • w (write) permission:
Erlaubt das Ändern des Dateiinhaltes von Dateien in dem Verzeichnis und chmod'.
  • k (lock) permission:
Erlaubt das locken von Dateien in diesem Verzeichnis.


Diese Rechte werden jeweils auf das Verzeichnis gesetzt und gelten dann für alle Dateien darin. Abstufungen auf Dateiebene sind dann wie bei UNIX üblich ber chmod/chown zu machen.


Gruppen

Folgende Gruppen sollten immer verfügbar sein:

  • system:anyuser
Jeder Benutzer weltweit, der irgendwie auf die AFS-Zelle zugriff hat. Vorsicht: Es gibt keine Einschränkung wer das ist
  • system:authuser
Ein authentifizierter Benutzer der auf die Zelle zugreifen darf
  • system:administrators
AFS-Administratoren ( z.B. tubit)

Anzeigen der ACL's

Die initiale ACL sieht so aus:

$ cd ~
$ fs listacl
Access list for . is
Normal rights:
  system:backup rl
  system:administrators a
  svc-w3 l
  <tubit-userid> rlidwka

Wie man erkennen kann, darf das Backup lesen und auflisten, administratoren die Rechte ändern und der Nutzer svc-w3 auflisten. Der Eigentümer hat alle Rechte. (Letzte Zeile)

Setzen von ACL's

Möchte man beispielsweise ein Unterverzeichnis zum Lesen für alle freigeben, muss man zunächst das Listen des Homes erlauben und dann für das Unterverzeichnis List und Read erlauben:

$ cd ~
$ fs setacl  -dir .  -acl system:authuser l
$ cd <Verzeichnis>
$ fs setacl  -dir .  -acl system:authuser rl

Es ergibt sich in <Verzeichnis> folgendes Bild:

$ cd <Verzeichnis>
$ fs listacl
Access list for . is
Normal rights:
  system:backup rl
  system:administrators a
  system:authuser rl
  svc-w3 l
  <tubit-userid> rlidwka


Links

Siehe auch:


Quellen