Domain Admins nicht für ACLs für Dateizugriffe geeignet?

german

#1

Hallo allerseits,
wir nutzen den UCS 4.01 unter anderem als Dateiserver. Dabei habe ich die Zugriffsrechte mittels ACLs (setfacls -R -m …) gesetzt. Erteile ich aber der Gruppe Domain Admins Zugriffsrechte, so haben die Mitglieder trotzdem keinen Zugriff. Erst wenn ich der von mir selbst erstellten Gruppe s_EDV, in der die selben Mitglieder enthalten sind, den Zugriff erteile, klappt es auch.

Dürfen die vorgegebenen Gruppen für ACLs nicht verwendet werden?

Gruß,
Peter


#2

Hallo,

spontan fällt mir auf, daß “Domain Admins” ein Leerzeichen beinhaltet, die selbsterstellte Gruppe “s_EDV” aber nicht. Kann es eventuell schon am fehlenden Quoting liegen? Hat setfacls einen Fehler gemeldet? Kann man mit getfacl(s) sehen, ob die ACLs gesetzt wurden oder nicht?

viele Grüße
Frank Greif.


#3

Es kann gut sein, dass es an dem Leerzeichen im Namen “Domain Admins” liegt.

# getfacls Ordner ... group:Domain\040Admins:rwx ...
Das Leerzeichen wird in den ACLs durch \040 ersetzt. Dabei spielt es keine Rolle ob ich beim Setzen der ACLs den Gruppennamen in Anführungszeichen " " setze oder ob ich das Leerzeichen durch einen Backslach \ einleite.

[code]# setfacls …g:“Domain Admins”:…
oder

setfacls …g:Domain\ Admins:…[/code]

Dabei habe ich natürlich zum Testen die ACLs regelmäßig durch ‘setfacl -b’ gelöscht.


#4

Hallo,

heißt das: das Setzen von ACLs funktioniert? Danach ist ja das Leerzeichen nicht mehr von Bedeutung, denn in der ACL wird ohnehin nur die UID gespeichert (das kann man sehen, indem man eine ACL für eine Gruppe setzt und dann die Gruppe löscht).

Dann bleibt noch die Frage übrig: funktioniert der Zugriff jetzt? Die gesamte Logik der POSIC ACLs ist in

man 5 acl

beschrieben. Wenn es immer noch nicht geht mit dieser Gruppe, müßte man schon mal die vollständige ACL für ein Testobjekt sehen.

viele Grüße
Frank Greif.