Hallo ML, mit den ACL's komme ich noch nicht so ganz klar. Gegeben ist folgender Ordner: drwxr-xr-x 4 root root 4096 Apr 27 15:01 biomart/ Auf diesen Ordner und alle Unterordner möchte ich einem weiteren User Vollzugriff gewähren. Also habe ich folgendes gemacht: setfacl -n -R -m u:darren.oakley:rwx biomart/ Ich habe -n gesetzt, da sich mir der Sinn dieser "mask" noch nicht ganz erschlossen hat. Prüfe ich anschließend die ACL's, bin ich etwas überrascht: idcc-devel:/opt # getfacl biomart/ # file: biomart/ # owner: root # group: root user::rwx user:darren.oakley:rwx #effective:r-x group::r-x mask::r-x other::r-x Effektiv hat der User nur r-x, also nicht das gewünschte. Ich habe es auch überprüft, als der genannte User kann ich in dem Ordner nicht schreiben. Wieso ist das so ? Was hat das mit der mask auf sich ? man setfacl sagt dazu: "The mask entry is set to the union of all permissions of the owning group, and all named user and group entries." Ich verstehe das folgendermaßen: Diese mask ergibt sich aus der Summe der Berechtigungen der besitzenden Gruppe und aller explizit in den ACL's aufgeführten Benutzer und Gruppen. Stimmt das so ? Wie werden diese Berechtigungen verknüpft ? Mit AND oder OR ? Vielen Dank für erhellende Antworten. Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Aufsichtsratsvorsitzende: MinDir'in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 Im Kampf um das Unerreichbare verliert alles Erreichte seinen Wert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, On Donnerstag 29 April 2010, Lentes, Bernd wrote:
Wie werden diese Berechtigungen verknüpft ? Mit AND oder OR ?
Verbieten geht vor Erlauben. Wenn der User in einer Gruppe ist, der der schreibende Zugriff verboten ist, dann darf er das nicht, auch wenn der User selbst es anhand seiner eigenen Rechte dürfte. Liebe Grüße Erik -- "Wenn du den letzten Zug getan hast ... die letzte Rauchwolke sich blau in der Luft verflüchtigen gesehen hast, ist es für eine sensible Natur unmöglich, nicht eine gewisse Melancholie zu empfinden." W. Somerset Maugham Erik P. Roderwald * Uhlenhoffweg 18 * 21129 Hamburg Telefon: +49 (0)40 8510 3150 * Fax: +49(0)40 8510 3148 http://www.zigarren-rollen.de http://www.roderwald.de http://blogs.roderwald.de http://forum.roderwald.de http://twitter.com/erikrode -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Lentes,! On Do, 29 Apr 2010, Lentes, Bernd wrote:
Hallo ML,
mit den ACL's komme ich noch nicht so ganz klar. Gegeben ist folgender Ordner: drwxr-xr-x 4 root root 4096 Apr 27 15:01 biomart/
Auf diesen Ordner und alle Unterordner möchte ich einem weiteren User Vollzugriff gewähren. Also habe ich folgendes gemacht: setfacl -n -R -m u:darren.oakley:rwx biomart/
Ich habe -n gesetzt, da sich mir der Sinn dieser "mask" noch nicht ganz erschlossen hat. Prüfe ich anschließend die ACL's, bin ich etwas überrascht:
idcc-devel:/opt # getfacl biomart/ # file: biomart/ # owner: root # group: root user::rwx user:darren.oakley:rwx #effective:r-x group::r-x mask::r-x other::r-x
Effektiv hat der User nur r-x, also nicht das gewünschte. Ich habe es auch überprüft, als der genannte User kann ich in dem Ordner nicht schreiben.
Die mask gibt die maximale möglichen Rechte an. Da du verhindert hast, dass die mask recalculated wird, bleibt effektvi bei dir nur r-x übrig. Setze die maske auf rwx und du erhälst Dein gewünschtes Verhalten. Mit freundlichen Grüßen Christian -- Das Mißverständnis ist die diplomatische Form der Ausrede. -- Lothar Schmidt -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Bernd, On Thursday 29 April 2010 17:51:03 Lentes, Bernd wrote:
user:darren.oakley:rwx #effective:r-x mask::r-x
IMHO: effective = user:darren.oakley & mask U.A. diese Seite hat mir bei den ACLs sehr geholfen: http://www.vanemery.com/Linux/ACL/linux-acl.html Roman -- Roman Fietze Telemotive AG Büro Mühlhausen Breitwiesen 73347 Mühlhausen Tel.: +49(0)7335/18493-45 http://www.telemotive.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Roman Fitze schrieb:
Hallo Bernd,
On Thursday 29 April 2010 17:51:03 Lentes, Bernd wrote:
user:darren.oakley:rwx #effective:r-x mask::r-x
IMHO:
effective = user:darren.oakley & mask
Deine Webseite erklärt die mask ganz gut: "Hmmm...what's the mask entry? This is the effective rights mask. This entry limits the effective rights granted to all ACL groups and ACL users. The traditional Unix User, Group, and Other entries are not affected. If the mask is more restrictive than the ACL permissions that you grant, then the mask takes precedence." Also gibt die mask die max. möglichen Rechte für alle User und Gruppen vor, die in den ACL's explizit genannt sind. Somit würde ich doch sinnvollerweise die mask generell auf rwx setzen, damit sie mir "nicht im Weg rum steht" ? Noch eine Frage: Gegeben ist: drwxr-xr-x 4 root root 4096 Apr 27 15:01 biomart/ Anschließend: idcc-devel:/opt # setfacl -R -m u:darren.oakley:rwx biomart/ idcc-devel:/opt # l total 28 drwxr-xr-x 6 root root 4096 Apr 27 14:52 ./ drwxr-xr-x 23 root root 4096 Apr 29 21:15 ../ drwxrwxr-x+ 4 root root 4096 Apr 27 15:01 biomart/ Wieso ist jetzt die owning group auf rwx ? Und wieso gibt getfacl eine andere Auskunft für die owning group ? idcc-devel:/opt # getfacl biomart/ # file: biomart/ # owner: root # group: root user::rwx user:darren.oakley:rwx group::r-x mask::rwx other::r-x Es gilt, was getfacl sagt, ich habe es ausprobiert. Aber wieso bekomme ich mit zwei Werkzeugen unterschiedliche Auskünfte ? Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi, (Bitte kürze deine Zeilenlänge auf akzeptable Werte.) On Fr, 30 Apr 2010, Lentes, Bernd wrote:
Also gibt die mask die max. möglichen Rechte für alle User und Gruppen vor, die in den ACL's explizit genannt sind. Somit würde ich doch sinnvollerweise die mask generell auf rwx setzen, damit sie mir "nicht im Weg rum steht" ?
Schrieb ich doch gestern bereits.
Noch eine Frage: Gegeben ist: drwxr-xr-x 4 root root 4096 Apr 27 15:01 biomart/
Anschließend: idcc-devel:/opt # setfacl -R -m u:darren.oakley:rwx biomart/ idcc-devel:/opt # l total 28 drwxr-xr-x 6 root root 4096 Apr 27 14:52 ./ drwxr-xr-x 23 root root 4096 Apr 29 21:15 ../ drwxrwxr-x+ 4 root root 4096 Apr 27 15:01 biomart/
Wieso ist jetzt die owning group auf rwx ?
Weil das nicht mehr die owning group ist, sondern eben die Mask. Die Mask ist somit ein optimistischer Wert für Programme, die mit ACLs nicht zurecht kommen.
Und wieso gibt getfacl eine andere Auskunft für die owning group ?
idcc-devel:/opt # getfacl biomart/ # file: biomart/ # owner: root # group: root user::rwx user:darren.oakley:rwx group::r-x mask::rwx other::r-x
Es gilt, was getfacl sagt, ich habe es ausprobiert. Aber wieso bekomme ich mit zwei Werkzeugen unterschiedliche Auskünfte ?
siehe oben. Mit freundlichen Grüßen Christian -- Dass man gerade nur denkt, wenn man das, worüber man denkt, nicht ausdenken kann! -- Goethe, Maximen und Reflektionen, Nr. 613 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi opensuse-de! On Fr, 30 Apr 2010, Christian Brabandt wrote:
Weil das nicht mehr die owning group ist, sondern eben die Mask. Die Mask ist somit ein optimistischer Wert für Programme, die mit ACLs nicht zurecht kommen.
Nachtrag: Ich habe mal versucht, das Thema in Deutsch zu erklären: https://blog.256bit.org/archives/653-Die-Funktionsweise-von-ACLs.html Mit freundlichen Grüßen Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Christian Brabandt -
Erik P. Roderwald -
Lentes, Bernd -
Roman Fietze