Hallo, hätte folgende (nicht-reale) Situation: Es gibt eine Linux-Maschine, auf der ca. 1000 User einen Shell-Zugang haben. Es gibt einen Systemadministrator mit Root-Rechten. 100 User müssen Projekte erstellen, deren Kleingruppen aus ca. 5 Personen bestehen. Natürlich sollen jetzt die anderen 95 Personen nicht in den Ordner mit der Projektarbeit gelangen können, in dem die Arbeit der 5 Personen liegt. Jetzt meine Frage: Gibt es eine Möglichkeit, die Berechtigungen so zu setzen, dass nur Kleingruppenmitglieder Zugang zu dem Ordner haben? Mir ist klar, dass dies mittels Gruppengliederung möglich ist, allerdings kann dies nur Root durchführen. Aber können "normale User" denn nicht nur gewisse Personen aus einem Ordner explizit aussperren oder anderen dies genehmigen? Vermutlich ist dies nicht möglich, aber welche Möglichkeiten gibt es? Kann dies mittels eigener/externer Programme realisiert werden? Danke für jede Meinung/Idee! mfg, Michael -- .-. Web: www.michael-prokop.at /V\ Copyleft of this Mail by Michael Prokop /( )\ Anonymität im Internet ist, wenn Du keinen ^ ^ kennst, aber alle Dich.
* Michael Prokop schrieb am 06.Okt.2001:
hätte folgende (nicht-reale) Situation: Es gibt eine Linux-Maschine, auf der ca. 1000 User einen Shell-Zugang haben. Es gibt einen Systemadministrator mit Root-Rechten. 100 User müssen Projekte erstellen, deren Kleingruppen aus ca. 5 Personen bestehen. Natürlich sollen jetzt die anderen 95 Personen nicht in den Ordner mit der Projektarbeit gelangen können, in dem die Arbeit der 5 Personen liegt.
Jetzt meine Frage: Gibt es eine Möglichkeit, die Berechtigungen so zu setzen, dass nur Kleingruppenmitglieder Zugang zu dem Ordner haben? Mir ist klar, dass dies mittels Gruppengliederung möglich ist, allerdings kann dies nur Root durchführen. Aber können "normale User" denn nicht nur gewisse Personen aus einem Ordner explizit aussperren oder anderen dies genehmigen?
Nur root kann die Gruppe anlegen und auch sagen, wer dazu gehört, aber jeder User darf seine eigene Dateien irgendeiner Gruppe zuordnen, vorrausgesetzt, er ist selber Mitglied dieser Gruppe. Siehe hierzu man chgrp So kann jeder User seine Datei einer Kleingruppe, desse Mitglied er ist, geben und mit chmod kann er die Rechte so setzen, daß alle Gruppenmitglieder lesen und schreiben dürfen und alle anderen nicht. chmod 660 datei(en) Mit Ordnern ist es nicht viel anderes. Hier darf auch jeder User, der einen Ordner anlegt die Gurppe des Ordners festlegen. Wenn er denn Anderen in diesem Ordner kein Ausführungsrecht geben, dann dürfen sie in diesem Ordner gar nichts, noch nicht mal hineinwechseln. chmod 770 Verzeichniss(e) Ob jemand ein Verzeichniss anlegen darf oder nicht, ist die Frage, ob er Schreibrechte im übergeordneten Verzeichniss hat. Sollten nur bestimmte User solche Verzeichnisse anlegen dürfen, so kannst Du diese User in einer eigenen Gruppe zusammenfassen und dieser Gruppe das Schreibrecht auf das Übergeordnete Verzeichniss geben. Allerdings mußt Du allen anderen das Lese- und vor allem das Ausführungsrecht auf diese Übergeordnete Verzeichniss geben. Sonst können sie nicht in die Untergeordenten Verzeichnisse gelangen. Bernd -- ACK = ACKnowledge = Zustimmung | NAC = No ACknowledge = keine Zustimmung DAU = Dümmster Anzunehmender User | LOL = Laughing Out Loud = Lautes Lachen IIRC = If I Remember Correctly = Falls ich mich richtig erinnere OT = Off Topic = Am Thema (der Liste) vorbei |Zufallssignatur 11
Hallo Bernd, Saturday, October 06, 2001, 3:15:08 PM, you wrote: [snip]
Nur root kann die Gruppe anlegen und auch sagen, wer dazu gehört, aber jeder User darf seine eigene Dateien irgendeiner Gruppe zuordnen, vorrausgesetzt, er ist selber Mitglied dieser Gruppe.
Siehe hierzu man chgrp
[snip] Danke dir für die ausführliche Antwort! Ich habe es mir so gedacht... Das Problem ist leider nur, dass ich als "Nicht-Root" diese Gruppen nicht konfigurieren kann. Ich finde das als extremen Nachteil gegenüber den Berechtigungen unter Windows :-( Das bedeutet also kurzgesagt, ich kann als nicht-root diese Einstellungen nicht vornehmen, wenn ich nur einer Gruppe angehöre, oder? -- mfg, Michael Prokop www.michael-prokop.at
Hi Michael On Sat, Oct 06, 2001 at 03:50:19PM +0200, Michael Prokop wrote:
Danke dir für die ausführliche Antwort! Ich habe es mir so gedacht... Das Problem ist leider nur, dass ich als "Nicht-Root" diese Gruppen nicht konfigurieren kann. Ich finde das als extremen Nachteil gegenüber den Berechtigungen unter Windows :-(
diese Diskussion ist schon mehrere tausend mal geführt worden und führt zu nichts, nur soviel, ich empfinde es nicht als Nachteil.
Das bedeutet also kurzgesagt, ich kann als nicht-root diese Einstellungen nicht vornehmen, wenn ich nur einer Gruppe angehöre, oder?
da es soetwas wie das administrieren-erlaubt-bit in Unix permissions auf gängigen linux filesystemen nicht gibt, nein. -- MfG. Falk
Hallo, Saturday, October 06, 2001, 4:39:49 PM, you wrote:
Danke dir für die ausführliche Antwort! Ich habe es mir so gedacht... Das Problem ist leider nur, dass ich als "Nicht-Root" diese Gruppen nicht konfigurieren kann. Ich finde das als extremen Nachteil gegenüber den Berechtigungen unter Windows :-(
diese Diskussion ist schon mehrere tausend mal geführt worden und führt zu nichts, nur soviel, ich empfinde es nicht als Nachteil.
Ich wollte überhaupt nichts in Richtung Diskussion anstellen... Es sind halt 2 komplett verschiedene Konzepte.
Das bedeutet also kurzgesagt, ich kann als nicht-root diese Einstellungen nicht vornehmen, wenn ich nur einer Gruppe angehöre, oder?
da es soetwas wie das administrieren-erlaubt-bit in Unix permissions auf gängigen linux filesystemen nicht gibt, nein.
Danke! -- mfg, Michael Prokop www.michael-prokop.at
* Michael Prokop schrieb am 06.Okt.2001:
Saturday, October 06, 2001, 3:15:08 PM, you wrote:
you bin in diesem Fall ich.
Nur root kann die Gruppe anlegen und auch sagen, wer dazu gehört, aber jeder User darf seine eigene Dateien irgendeiner Gruppe zuordnen, vorrausgesetzt, er ist selber Mitglied dieser Gruppe.
Siehe hierzu man chgrp
Danke dir für die ausführliche Antwort! Ich habe es mir so gedacht... Das Problem ist leider nur, dass ich als "Nicht-Root" diese Gruppen nicht konfigurieren kann. Ich finde das als extremen Nachteil gegenüber den Berechtigungen unter Windows :-(
Keine Ahnung, ich kenne Windows nicht.
Das bedeutet also kurzgesagt, ich kann als nicht-root diese Einstellungen nicht vornehmen, wenn ich nur einer Gruppe angehöre, oder?
Wenn das so ist, denn ja, obwohl ich es sehr merkwürdig finde, daß Du nur zu einer Gruppe gehörst. Sprech doch mal mit Deinem Superuser. Es ist seine Aufgabe das System zu Deiner Zufriedenheit einzurichten. Wenn er es nicht will, dann frage ihm, warum nicht. Bernd -- Welches Buch ist zu empfehlen? Schon mal bei SuSE vorbeigesehen? http://www.suse.de/de/produkte/buecher/index.html oder die Empfehlungen der SuSE-Entwickler auf dem eigenen Rechner? file:///usr/shar/doc/sdb/de/html/literatur.html |Zufallssignatur 5
Hallo Bernd, Saturday, October 06, 2001, 4:41:22 PM, you wrote:
Keine Ahnung, ich kenne Windows nicht.
:-) Ich beneide dich :-)
Das bedeutet also kurzgesagt, ich kann als nicht-root diese Einstellungen nicht vornehmen, wenn ich nur einer Gruppe angehöre, oder?
Wenn das so ist, denn ja, obwohl ich es sehr merkwürdig finde, daß Du nur zu einer Gruppe gehörst. Sprech doch mal mit Deinem Superuser. Es ist seine Aufgabe das System zu Deiner Zufriedenheit einzurichten. Wenn er es nicht will, dann frage ihm, warum nicht.
Naja, das Problem ist, dass dieser Sysadmin eigentlich seinen Job nicht wirklich verdient ;-) Nein, im Ernst, leider ist der nicht wirklich entgegenkommend.... ich hoffe trotzdem, dass sich insofern was machen läßt. Danke! -- mfg, Michael Prokop www.michael-prokop.at
* Michael Prokop schrieb am 06.Okt.2001:
Saturday, October 06, 2001, 4:41:22 PM, you wrote:
Wenn das so ist, denn ja, obwohl ich es sehr merkwürdig finde, daß Du nur zu einer Gruppe gehörst. Sprech doch mal mit Deinem Superuser. Es ist seine Aufgabe das System zu Deiner Zufriedenheit einzurichten. Wenn er es nicht will, dann frage ihm, warum nicht.
Naja, das Problem ist, dass dieser Sysadmin eigentlich seinen Job nicht wirklich verdient ;-) Nein, im Ernst, leider ist der nicht wirklich entgegenkommend.... ich hoffe trotzdem, dass sich insofern was machen läßt.
Hast Du Dir schon mal cvs angesehen? Bernd -- Bitte die Etikette beachten: http://home.t-online.de/~f.walle/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
Hallo Bernd, Saturday, October 06, 2001, 7:09:43 PM, you wrote:
Naja, das Problem ist, dass dieser Sysadmin eigentlich seinen Job nicht wirklich verdient ;-) Nein, im Ernst, leider ist der nicht wirklich entgegenkommend.... ich hoffe trotzdem, dass sich insofern was machen läßt.
Hast Du Dir schon mal cvs angesehen?
Ja, aber ich bin noch in der Anschauphase ;-) Nein im Ernst, habe es nur relativ oberflächlich betrachtet, aus Zeitgründen. Aber ich möchte mich dahinterklemmen und mich dabei einleben. Ich kann ja bei cvs User-Rechte definieren oder? Aber sind die Einstellungen nicht von root durchzuführen? Kann ich auch als "Benutzer" cvs so konfigurieren, dass ich gewissen Personen Zutritt erlaube und andere Aussperre? Dann ist es auf jeden Fall eine tolle Methode, die ich meinen Studiengangskollegen lernen kann :-) Danke dir! -- mfg, Michael Prokop
Hi Michael On Sat, Oct 06, 2001 at 02:27:00PM +0200, Michael Prokop wrote:
Jetzt meine Frage: Gibt es eine Möglichkeit, die Berechtigungen so zu setzen, dass nur Kleingruppenmitglieder Zugang zu dem Ordner haben? Mir ist klar, dass dies mittels Gruppengliederung möglich ist, allerdings kann dies nur Root durchführen. Aber können "normale User" denn nicht nur gewisse Personen aus einem Ordner explizit aussperren oder anderen dies genehmigen?
Das Problem ist das explizite aussperren einer Person, dafür gibt es afaik kein wirklich gutes Boardmittel da die Philosophie von unix filesystemen das erlauben ist und weniger das verbieten. Bitte nicht falsch verstehen, natürlich kann man fast alles per Gruppen abbilden aber es greift halt immer die Einschränkung das die Gruppenstruktur nur von root verändert werden kann/sollte und aufwendige acls erst mit neuen filesystemen verfügbar werden sollen. Wenn ich dieses Problem in dieser Grössenordnung hätte, würde ich einen Mechanismus auf Basis einer Web-Datenbank bauen die Projektverantwortliche kennt welche dann für bestimmte Projektordner die Zugriffsberechtigungen verwaltet. Darauf aufbauend würden dann ein paar Perlscripte die Drecksarbeit im System erledigen, wie zb. Gruppen anlegen/löschen user darin eintragen/löschen rechte auf verzeichnisse/dateien setzen etc. pp. Das würde aber ein /etwas/ umfangreicheres Pflichtenheft vorraussetzen als deine doch recht allgemeine mail. -- MfG. Falk
Hallo Liste, hallo Michael, bei der Verfolgung diese Threads habe ich jetzt folgende Probleme: Michael Prokop wrote:
Hallo,
hätte folgende (nicht-reale) Situation:
was heißt hier "nbicht-real"?
Es gibt eine Linux-Maschine, auf der ca. 1000 User einen ^^^^ Was sind den sonst noch für Rechner vorhanden?
Shell-Zugang haben. Es gibt einen Systemadministrator mit
Brauchen alle einen Shell-Zugang?
Root-Rechten. 100 User müssen Projekte erstellen, deren Kleingruppen aus ca. 5 Personen bestehen. Natürlich sollen jetzt die anderen 95 Personen nicht in den Ordner mit der Projektarbeit gelangen können, in dem die Arbeit der 5 Personen liegt.
ACK
Jetzt meine Frage: Gibt es eine Möglichkeit, die Berechtigungen so zu setzen, dass nur Kleingruppenmitglieder Zugang zu dem Ordner haben? Mir ist klar, dass dies mittels Gruppengliederung möglich ist, allerdings kann dies nur Root durchführen. Aber können "normale User" denn nicht nur gewisse Personen aus einem Ordner explizit aussperren oder anderen dies genehmigen?
Vermutlich ist dies nicht möglich, aber welche Möglichkeiten gibt es? Kann dies mittels eigener/externer Programme realisiert werden?
AFAIR wenn die Projektuser keinen Shellzugang brauchen oder sich zwei User merken können ;-), könnte man das vieleicht mit SAMBA realisieren. cu Gerald
Hallo Gerald, Saturday, October 06, 2001, 8:17:20 PM, you wrote:
bei der Verfolgung diese Threads habe ich jetzt folgende Probleme:
Michael Prokop wrote:
hätte folgende (nicht-reale) Situation:
was heißt hier "nbicht-real"?
Ich habe ein Situation genommen, die ich in meiner Umgebung nicht direkt in der Konfiguration kenne. Allerdings ist sie in der Art vorhanden. Siehe unten.
Es gibt eine Linux-Maschine, auf der ca. 1000 User einen ^^^^ Was sind den sonst noch für Rechner vorhanden?
Es geht um ein Netzwerk über 2 Standorte (Entfernung ca. 50 km), Netzwerk ist hauptsächlich Win NT 4.0 bzw. bei mir Win 2k als Workstation, Win2k als Server, in ein paar Wochen wir auf WinXP umgestellt. Da wir uns alle in Ausbildung befinden und unterschiedliche Bereiche haben, gibt es auch Java Enterprise Edition auf Cluster-Server,.... unter anderem eben auch einen Linux-Rechner, auf dem jeder User zwischen 100 und 200 MB Webspace zur Verfügung hat. Zweck ist das Kennenlernen der Shell (nicht jeder unserer Studenten hat daheim einen Linux-Rechner zur Verfügung) und Webspace (public_html halt)...
Shell-Zugang haben. Es gibt einen Systemadministrator mit
Brauchen alle einen Shell-Zugang?
Ja, Ausbildungszwecke. Finde ich eigentlich nicht schlecht (wobei ich als Linux-Freund natürlich sowieso mein Linux daheim habe, und für Windoof-Freunde gibts halt auch noch Cgywin als Alternative)...
Root-Rechten. 100 User müssen Projekte erstellen, deren Kleingruppen aus ca. 5 Personen bestehen. Natürlich sollen jetzt die anderen 95 Personen nicht in den Ordner mit der Projektarbeit gelangen können, in dem die Arbeit der 5 Personen liegt.
ACK
Jetzt meine Frage: Gibt es eine Möglichkeit, die Berechtigungen so zu setzen, dass nur Kleingruppenmitglieder Zugang zu dem Ordner haben? Mir ist klar, dass dies mittels Gruppengliederung möglich ist, allerdings kann dies nur Root durchführen. Aber können "normale User" denn nicht nur gewisse Personen aus einem Ordner explizit aussperren oder anderen dies genehmigen?
Vermutlich ist dies nicht möglich, aber welche Möglichkeiten gibt es? Kann dies mittels eigener/externer Programme realisiert werden?
AFAIR wenn die Projektuser keinen Shellzugang brauchen oder sich zwei User merken können ;-), könnte man das vieleicht mit SAMBA realisieren.
:-) Naja, eben mit Webspace (der vor allem zur Präsentation von Projekten gedacht ist und auch genutzt wird)... Samba ist insofern nicht direkt notwendig, da wir ja ein (Bemerkung: in unserem Bereich sehr auber konfiguriertes) Win-Netzwerk haben. Es geht wie gesagt rein um die Möglichkeit, auf diesem Linux-Rechner Projekte durchzuführen. Mir ist schon klar, dass ich meine Projekte auf einem Win-Rechner sichern kann, auch auf Linux-Systemen, nur muss ich als Linux-Freund meinen Windooflern oft erklären, warum das so und so ist. Ich erzähle halt nicht gerne Geschichten, deren Hintergrund ich nicht kenne, vor allem wenn es Alternativen gibt. Ich denke die Aussage von Falk Sauer ist da eine gute Argumentation: --> Das Problem ist das explizite aussperren einer Person, dafür gibt es afaik kein wirklich gutes Boardmittel da die Philosophie von unix filesystemen das erlauben ist und weniger das verbieten. --> Ich wollte nur sichergehen, ob es nicht Alternativen zu den Bordmitteln gibt, oder ich etwas nicht verstanden habe. Danke an alle für die Hilfe und Informationen! -- mfg, Michael Prokop www.michael-prokop.at
Hallo Liste, hallo Michael, Michael Prokop wrote:
:-) Naja, eben mit Webspace (der vor allem zur Präsentation von Projekten gedacht ist und auch genutzt wird)... Samba ist insofern nicht direkt notwendig, da wir ja ein (Bemerkung: in unserem Bereich sehr auber konfiguriertes) Win-Netzwerk haben.
Worauf ich hier hinaus will ist, bei Samba kann ich auf share-Ebene "admin user=" angeben. Nur muß SAMBA dann so eingerichtet sein, das man nicht über die shell rankommt. Das heißt ich sperre alle shell-user aus und lege die benötigten SAMBA-user an, die dann aber keinen Zugang zur shell haben. D. h. für User die beides nutzen wollen/müssen sid dan eben zwei User vorhanden einmal für die shell und einmal für SAMBA. Und wenn ihr ein vernünftiges Windowsnetz habt und ihr in Ausbildung seid wie du erwähntest, wäre der Aufbau eines SAMBA-Servers mit kompletter einbindung ins WIN-Netz doch auch eine rezvolle Aufgabe, dann brauchs auch den SAMBA-User nicht mehr, da dann der Win-User benutzt werden kann.
Es geht wie gesagt rein um die Möglichkeit, auf diesem Linux-Rechner Projekte durchzuführen. Mir ist schon klar, dass ich meine Projekte auf einem Win-Rechner sichern kann, auch auf Linux-Systemen, nur muss ich als Linux-Freund meinen Windooflern oft erklären, warum das so und so ist. Ich erzähle halt nicht gerne Geschichten, deren Hintergrund ich nicht kenne, vor allem wenn es Alternativen gibt. Ich denke die Aussage von Falk Sauer ist da eine gute Argumentation: --> Das Problem ist das explizite aussperren einer Person, dafür gibt es afaik kein wirklich gutes Boardmittel da die Philosophie von unix filesystemen das erlauben ist und weniger das verbieten. --> Ich wollte nur sichergehen, ob es nicht Alternativen zu den Bordmitteln gibt, oder ich etwas nicht verstanden habe.
Wenns nur um WEB-Sachen geht schau mal nach ZOPE, midgardt, phpBB also "Contentmanagementsystemen" oder "Autorensystemen". CVS ist ja schon genannt worden. Ich sehe mal im Buch nach wie das mit der Projectverwaltung ist. FTP-Server dürften vieleicht auch helfen. (Kenne ich mich nicht mit aus.[Da bin ich noch DAU]) Als kommerzielle Lösung fällt mir im Moment nur BSCW ein (http://www.bscw.de). Aber ich glaube das alle Lösungsvorschläge daran scheitern werden, wenn sich mit der gleichen Userkennung unter der shell wie auch in den vorgeschlagenem einloggen. cu Gerald
Hi Gerald/Michael On Sun, Oct 07, 2001 at 12:26:42AM +0200, Gerald Goebel wrote: ich hab die 2. ebene nicht gelöscht. ;-)
Es geht wie gesagt rein um die Möglichkeit, auf diesem Linux-Rechner Projekte durchzuführen. Mir ist schon klar, dass ich meine Projekte auf einem Win-Rechner sichern kann, auch auf Linux-Systemen, nur muss ich als Linux-Freund meinen Windooflern oft erklären, warum das so und so ist. Ich wollte nur sichergehen, ob es nicht Alternativen zu den Bordmitteln gibt, oder ich etwas nicht verstanden habe.
es gibt mit Sicherheit Ansätze, ich weis nicht wieweit sich PHP-Project dafür eignet (ich weis nicht mal ob es nur die zeitachse oder auch files zu verwalten imstande ist, ich kenns nur dem Namen nach)
CVS ist ja schon genannt worden. Ich sehe mal im Buch nach wie das mit der Projectverwaltung ist.
dafür brauchts in der Umgebung aber auch ne Oberfläche
Aber ich glaube das alle Lösungsvorschläge daran scheitern werden, wenn sich mit der gleichen Userkennung unter der shell wie auch in den vorgeschlagenem einloggen.
wie gesagt, ne DB Lösung die genau das gewünschte (und möglichst erstmal nicht mehr) verwaltet und gut, eine ideale Beschäftigung für einen oder 2 der Studenten (mit Vorwissen, die gibts immer) die dabei ne Menge lernen werden. -- MfG. Falk
participants (4)
-
B.Brodesser@t-online.de -
Falk Sauer -
Gerald Goebel -
Michael Prokop