Zugriffsrechte ACLs vs. POSIX

[maceis]

Hallo zusammen,

gibt es irgendwo eine Dokumentation, in welcher Reihenfolge die Zugriffsrechte sich auswirken.

Was passiert z.B., wenn der Zugriff mit ACLs für eine Gruppe verboten ist, mit POSIX für eine andere Gruppe erlaubt ist und ein Benutzer Mitglied in beiden Gruppen ist?

Wie sieht es im obigen Beispiel aus, wenn es nur um eine Grupe geht, ACL verbietet, POSIX erlaub den Zugriff.

Danke und Gruß
maceis

 

[Cathul]

Öhm... im UNIX Umfeld bekannt sind mir jetzt die gängigen Zugriffsrechte auf Basis "Eigentümer - Gruppe - Andere" und die POSIX-ACLs, welche weitergehende Vergaben von Berechtigungen erlauben. Aber eine Unterscheidung zwischen ACL und Posix habe ich noch nirgends gesehen.


Falls du das so meinst, wie ich es beschrieben habe, sprich "Eigentümer - Gruppe - Andere" und POSIX, dann erweitern die POSIX ACLs die gängigen, sprich, selbst wenn ein Benutzer keine Rechte über Eigentümer, Gruppe oder andere besitzt, kann man ihm über POSIX ACLs dennoch Berechtigungen erteilen.
Zumindest unter Linux kann man mit setfacl die POSIX ACLs sehr feingranular setzen.

 

[oneOeight]

k.a. wie aktuell oder genau das ist:
http://www.bresink.de/osx/193281/Docs-de/ACL.html

 

[maceis]

Danke, das hilft mir schon weiter.

 

[newsaktuell]

Rechtejustierung: grob posix - fein acl

kurze Ergänzung:

Zuerst werden die Posix-Rechte abgearbeitet und danach die ACL-Rechte. Das kann man auch leicht prüfen. Ich arbeite in den meisten Fällen auf Gruppenbasis nur noch mit ACL um Recht zu erteilen, - übergeordnet wird der Eigentümer und die Gruppe als Posix-Recht an das Account des "ServerAdmin" abgetreten. Ausnahme ist nur das HomeDir des Benutzers. Hier ist es am einfachsten, die vereinfachte Posix-Rechtestruktur anzuwenden (Eigentümer Lesen+Schreiben, Gruppe und Jeder - keine Rechte).

Widersprüche, wie angedeutet, heben sich auf! Es macht aus meiner Sicht sehr viel Sinn, wenn schon ACL da ist auch nur noch ACL zu nutzen! Nutze den Vorteil!

Im Terminal werden die angewandten ACL-Rechte durch ein zusätzliches "+" angezeigt. Im Terminal gehen ACL-Rechte durch manuellen Eingriff u. U. bei Veränderung verloren! (Backups mit rsync incl. ACL Option -E)

In dem oben angegebenen Link wird von Marcel Bresink angegeben, das ACL-die Aktionen verlangsamt. Nun, - das kann ich nicht unbedingt bestätigen.

 

[maceis]

In diesem konkreten Fall geht es mir um folgendes:

Mac OS X Server 10.5 und Clients 10.5; nur Netzwerkbenutzer mit serverbasierten Homes

Ich habe ein freigegebenes Verzeichnis, in dem alle Benutzer einer bestimmten Gruppe Dateien anlegen dürfen. Alle angelegten Dateien sollen von allen Benutzern der Gruppe gelesen, geändert und gelöscht werden dürfen.
Lässt sich mit ACLs und Vererbung vom übergeordneten Verzeichnis aus eigentlich leicht umsetzen.

Ich hatte nur zwischendurch mal komische Effekte, dass Benutzer auf Dateien, die ein anderer Benutzer angelegt hatte, keine Schreibrechte hatte.

Für solche Fälle wünsche ich mir dann eine knappe, aber präzise Dokumentation, wie Rechte abgearbeitet werden.

 

[little_pixel]

Vielleicht hilft Dir auch noch folgende Info: Die ACLs-Liste wird von oben nach unten abgearbeitet.

Viele Grüße