POSIX ACLs auf NFS Mounts

german

#1

Posix ACLs auf NFS Mounts

Die Benutzung von POSIX-ACLs auf NFS-Dateisystemen ist durch eine Erweiterung des Kernels möglich, vorausgesetzt das Dateisystem auf dem sich die Freigabe befindet, unterstützt POSIX-ACLs. In UCS unterstützen die Dateisysteme XFS und EXT3 POSIX-ACLs. Um besonders schützenswerte Objekte mit Sicherheitsfunktionen zu belegen, sollten POSIX-ACLs für exportierte NFS-Dateisysteme eingesetzt werden. In Umgebungen, bei denen nicht alle NFS-Clients POSIX-ACLs unterstützen, sollte auf den Einsatz von ACLs verzichtet werden, oder zumindest die Übersetzung der Zugriffsanforderungen auf dem POSIX-ACL fähigen NFS-Server sorgfältig durchgeführt werden.

Die Grundberechtigungen für Verzeichnisse und Dateien für den Besitzer, die Besitzergruppe und für alle anderen werden auch als minimale POSIX-ACLs bezeichnet. Darüber hinaus können auch Berechtigungen für weitere Benutzer oder Gruppen existieren. Eine ACL, in der es außer den Grundberechtigungen weitere Einträge gibt, nennt man erweiterte POSIX-ACLs. Sind erweiterte POSIX-ACLs für Verzeichnisse und Dateien gesetzt, ist dies daran zu erkennen dass der Befehl “ls -al” ein “+” hinter den Berechtigungen anzeigt.

Im folgenden werden zwei Kommandozeilen-Dienstprogramme für den Umgang mit POSIX-ACLs beschrieben:

Kurze Erklärung der Default-ACLs:
Default-ACLs können nur auf Verzeichnisse angewendet werden. Sie definieren, welche ACLs automatisch auf neue Unterverzeichnisse oder Dateien gesetzt werden.

Kommando: getfacl[ul]
[li]Syntax: getfacl [Optionen] [Datei…][/li]
[li]Beschreibung: Das Kommando “getfacl” dient dazu, Access und Default ACLs von
Dateien und Verzeichnissen anzeigen zu lassen.[/li]
[li]Beispiel: getfacl -d blafasel.txt[/li]
[li]Erklärung des Beispiels: Nur die Default ACLs für die Datei blafasel.txt werden angezeigt[/li][/ul]

Kommando: setfacl[ul]
[li]Syntax: setfacl [Optionen] [::] [Datei…][/li]
[li]Beschreibung: Dieses Kommando dient dazu, Access und Default ACLs von Dateien und
Verzeichnissen zu erstellen und zu verändern.[/li]
[li]Beispiel: setfacl -m user:foo:rwx mydir[/li]
[li]Erklärung des Beispiels: Der Benutzer “foo” bekommt Lese-, Schreib- und
Ausführrechte für das Verzeichnis “mydir”[/li][/ul]

Die Kommandozeilen Befehle “getfacl” und “setfacl” sind in den entsprechenden Man-Pages ausführlich dokumentiert.

Unter KDE besteht ausserdem die Möglichkeit einer grafischen Verändrung der ACLs. Mit Hilfe von “Konqueror”, dem KDE Datei- und Web Browser, ist es möglich, die entsprechenden Verzeichnisse oder Dateien, die über erweiterte POSIX ACLs verfügen, unter “Eigenschaften” -> “Berechtigungen” -> “Erweiterte Berechtigungen” zu bearbeiten.

Auch von Windows-Clients aus können ACLs verändert werden. Diese Möglichkeit besteht nur dann wenn Windows-Rechner über eine eigenständige Domäne verfügen. Die Anpassung der ACLs wird mit Hilfe von Samba realisiert.

An den Windows-Clients werden Berechtigungen(ACLs) auf den entsprechenden Verzeichnissen und Dateien, über den Eigenschaften-Dialog im Windows-Explorer eingestellt. Dabei wird eine Datei oder ein Verzeichnis markiert und mit rechter Maustaste der Eigenschaften-Dialog => Sicherheit, aufgerufen. Hier können jetzt die ACLs eingestellt werden.