2
Unterschied ACL und setzen der Rechte per chown u. chmod
Hallo zusammen!
Ich bin noch relativ neu im Linuxbereich und hätte da eine kleine Verständnisfrage:
Könnte mir jemand bitte (in einfachen Worten
) den Unterschied bei der Rechtevergabe von ACL und chown/chmod erklären?
Genauer gesagt interessiert es mich, wieso es manchmal nötig ist per chown/chmod Rechte zu setzen, obwohl diese Rechte eigentlich schon per ACL korrekt gesetzt sind.
Wir haben hier einen OpenSuse Server laufen, der eigentlich nur Dateischleuder ist und mit diversen Scripten Sicherungen von anderen Servern zieht. Die Rechtevergabe in den Freigaben ist eigentlich relativ einfach.
Pro Land gibt es im AD eine Benutzergruppe und jeweils ein Verzeichnis auf der Suse. Die Länder sind relativ tief verschachtelt, aber das sollte ja keine Rolle spielen.
Die Rechte soll er sich eigentlich aus dem AD ziehen und ich bin eigentlich der Meinung (mit meinem beschränkten Wissen), dass eine mit setfacl gesetzte ACL eigentlich Vorrang haben sollte vor einem chmod was die effektiven Berechtigungen für einen Nutzer angeht.
An sich klappt das ja auch in der Regel, aber es kommt hin und wieder vor, dass neu angelegte Unterverzeichnisse irgendwie die falschen Rechte mitbekommen und daher manchmal sogar für den User, der das Verzeichnis angelegt hat, nicht zugreifbar sind.
Erstaunlicherweise scheinen die ACLs aber richtig gesetzt zu sein, aber man bekommt dieses Fehlverhalten nur weg, wenn man sowohl die ACL neu setzt als auch (und das verstehe ich nicht so wirklich) per chown/chmod nochmal die gleichen Rechte setzt, die eigentlich in der ACL schon definiert sind. Führe ich nur einen der beiden Schritte aus (setfacl oder chmod/chown) dann bringt das nichts.
Achja, ich habe auf ein Mapping der Gruppen per net groupmap usw. verzichtet und benutze den direkten Zugriff auf das AD also z.B. setfacl -R -d -m group:lokaledomain.local\\benutzergruppe_a:rwx /verzeichnis
Da das nur selten schief läuft, kann ich ja eigentlich nichts grundsätzliches falsch gemacht haben, aber trotzdem würde mich interessieren, woher dieses merkwürdige Verhalten herrührt.
Danke schon mal im Voraus.
Ich bin noch relativ neu im Linuxbereich und hätte da eine kleine Verständnisfrage:
Könnte mir jemand bitte (in einfachen Worten
) den Unterschied bei der Rechtevergabe von ACL und chown/chmod erklären?Genauer gesagt interessiert es mich, wieso es manchmal nötig ist per chown/chmod Rechte zu setzen, obwohl diese Rechte eigentlich schon per ACL korrekt gesetzt sind.
Wir haben hier einen OpenSuse Server laufen, der eigentlich nur Dateischleuder ist und mit diversen Scripten Sicherungen von anderen Servern zieht. Die Rechtevergabe in den Freigaben ist eigentlich relativ einfach.
Pro Land gibt es im AD eine Benutzergruppe und jeweils ein Verzeichnis auf der Suse. Die Länder sind relativ tief verschachtelt, aber das sollte ja keine Rolle spielen.
Die Rechte soll er sich eigentlich aus dem AD ziehen und ich bin eigentlich der Meinung (mit meinem beschränkten Wissen), dass eine mit setfacl gesetzte ACL eigentlich Vorrang haben sollte vor einem chmod was die effektiven Berechtigungen für einen Nutzer angeht.
An sich klappt das ja auch in der Regel, aber es kommt hin und wieder vor, dass neu angelegte Unterverzeichnisse irgendwie die falschen Rechte mitbekommen und daher manchmal sogar für den User, der das Verzeichnis angelegt hat, nicht zugreifbar sind.
Erstaunlicherweise scheinen die ACLs aber richtig gesetzt zu sein, aber man bekommt dieses Fehlverhalten nur weg, wenn man sowohl die ACL neu setzt als auch (und das verstehe ich nicht so wirklich) per chown/chmod nochmal die gleichen Rechte setzt, die eigentlich in der ACL schon definiert sind. Führe ich nur einen der beiden Schritte aus (setfacl oder chmod/chown) dann bringt das nichts.
Achja, ich habe auf ein Mapping der Gruppen per net groupmap usw. verzichtet und benutze den direkten Zugriff auf das AD also z.B. setfacl -R -d -m group:lokaledomain.local\\benutzergruppe_a:rwx /verzeichnis
Da das nur selten schief läuft, kann ich ja eigentlich nichts grundsätzliches falsch gemacht haben, aber trotzdem würde mich interessieren, woher dieses merkwürdige Verhalten herrührt.
Danke schon mal im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125449
Url: https://administrator.de/contentid/125449
Printed on: April 25, 2024 at 13:04 o'clock
2 Comments
Latest comment
Hi hushpuppies,
ACL ist eine Erweiterung zu den Rechten. Damit können User anderen Usern Zugriff
auf ihre Dateien gewähren/entziehen, auch wenn diese User nicht in ihrer Gruppe sind.
Ohne ACL müßte ein User andere User in entsprechende Gruppen verschieben. Das ist aber nicht
möglich, da entsprechende Befehle zum einen nur von root aufgerufen werden können, zum anderen
würden diese Befehle Systemdateien modifizieren wollen, auf die nur root Schreibzugriff hat.
Allerdings ist dies eine Einbahnstrasse:
Entziehe ich einem User den Zugriff auf meine Datei(en) mit ACL und der User ist Mitglied
meiner Gruppe(Rechte: rw-), so hat er trotzdem Zugriff auf meine Datei(en).
Rechte haben im Falle eines Widerspruchs also Vorrang vor ACL und nicht, wie von dir vermutet,
umgekehrt.
Dein Problem, dass Unterverzeichnisse die falschen Rechte bekommen, könnte daran liegen, dass
übergeordnete Verzeichnisse keine Default-ACL haben. Die Rechte des übergeordneten Verzeichnis'
werden dann einfach nicht weitervererbt.
Auch kennen viele Shell-Kommandos und Programme keine ACL's, so dass diese einfach gelöscht werden,
indem ich ein(e) Verzeichnis(Datei) z.B. nur durch Kopieren anlege oder nur mit einem
Programm neu abspeichere.
Dass allerdings ein User ein Unterverzeichnis anlegen kann und dann keinen Zugriff darauf hat . . .
also um das nachzuvollziehen, muß man sich, glaube ich, 'ne ziemlich wirre Konfiguration einfallen lassen.
Was Dateien angeht, ist das schon eher nachvollziehbar: Ein User könnte durchaus in mein Verzeichnis schreiben,
trotzdem gehört ihm die Datei mit den Rechten rw-------, dann habe ich natürlich keinen Zugriff darauf,
auch wenn mir das Verzeichnis gehört.
Also mein Fazit aus HOWTO's zu ACL: Ich würde erstmal die Möglichkeiten mit Linux und Samba ausschöpfen und dann
prüfen, ob ACL überhaupt nötig ist.
Hier was zum Lesen -> http://wiki.ubuntuusers.de/ACL
Gruß
Günni
ACL ist eine Erweiterung zu den Rechten. Damit können User anderen Usern Zugriff
auf ihre Dateien gewähren/entziehen, auch wenn diese User nicht in ihrer Gruppe sind.
Ohne ACL müßte ein User andere User in entsprechende Gruppen verschieben. Das ist aber nicht
möglich, da entsprechende Befehle zum einen nur von root aufgerufen werden können, zum anderen
würden diese Befehle Systemdateien modifizieren wollen, auf die nur root Schreibzugriff hat.
Allerdings ist dies eine Einbahnstrasse:
Entziehe ich einem User den Zugriff auf meine Datei(en) mit ACL und der User ist Mitglied
meiner Gruppe(Rechte: rw-), so hat er trotzdem Zugriff auf meine Datei(en).
Rechte haben im Falle eines Widerspruchs also Vorrang vor ACL und nicht, wie von dir vermutet,
umgekehrt.
Dein Problem, dass Unterverzeichnisse die falschen Rechte bekommen, könnte daran liegen, dass
übergeordnete Verzeichnisse keine Default-ACL haben. Die Rechte des übergeordneten Verzeichnis'
werden dann einfach nicht weitervererbt.
Auch kennen viele Shell-Kommandos und Programme keine ACL's, so dass diese einfach gelöscht werden,
indem ich ein(e) Verzeichnis(Datei) z.B. nur durch Kopieren anlege oder nur mit einem
Programm neu abspeichere.
Dass allerdings ein User ein Unterverzeichnis anlegen kann und dann keinen Zugriff darauf hat . . .
also um das nachzuvollziehen, muß man sich, glaube ich, 'ne ziemlich wirre Konfiguration einfallen lassen.
Was Dateien angeht, ist das schon eher nachvollziehbar: Ein User könnte durchaus in mein Verzeichnis schreiben,
trotzdem gehört ihm die Datei mit den Rechten rw-------, dann habe ich natürlich keinen Zugriff darauf,
auch wenn mir das Verzeichnis gehört.
Also mein Fazit aus HOWTO's zu ACL: Ich würde erstmal die Möglichkeiten mit Linux und Samba ausschöpfen und dann
prüfen, ob ACL überhaupt nötig ist.
Hier was zum Lesen -> http://wiki.ubuntuusers.de/ACL
Gruß
Günni
Vielen Dank für die ausführliche Antwort.
Jetzt verstehe ich den Unterschied und Nützlichkeit wesentlich besser
Jetzt verstehe ich den Unterschied und Nützlichkeit wesentlich besser
