Administratorhandbuch:ACL

Aus Delixs
Version vom 24. April 2005, 05:42 Uhr von Kirmse (Diskussion | Beiträge) (Beginn der Übertragung des Textes von Arktur 3.5)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Nutzung von ACLs

Warum Access Control Lists?

ein Beispiel: im Schulnetz soll eine Übersicht bereitgestellt werden, welche Aufgaben zur Vorbereitung der Abiturfeier von wem erfüllt werden und wie der Stand der Realisierung ist. Der Schülersprecher soll die Übersicht bearbeiten können, die Schüler des Abiturjahrgangs diese Liste lesen, sonst keiner.

Dieser Fall kann mit den normalen Unix-Rechten (Besitzer, Gruppe und Sonstige) einfach realisiert werden. Aber auch der Schülersprecher muss sich auf die Prüfungen vorbereiten und ist deswegen nicht immer erreichbar und soll demzufolge von seinem Stellvertreter unterstützt werden.

Jetzt sieht es mit den Unix-Rechten schlecht aus: zwei Benutzer sollen schreiben dürfen, die Schüler des Abiturjahrgangs lesen und alle anderen dürfen nichts. Was nun?

Spielen wir die möglichen Lösungen durch:

  • Der Stellvertreter kann sich als Schülersprecher einloggen -> nicht gut
  • Einen neuen User, unter dem sich beide einloggen können -> auch nicht gut. Insbesondere läst sich dann nicht nachvollziehen, wer etwas geändert hat.
  • eine spezielle Gruppe für den Schülersprecher und den Stellvertreter. Würde hier zwar gehen, aber sollten verschieden Aufgaben von verschiedenen Gruppen realisiert werden müssen, steigt die Anzahl der möglichen Gruppen rasant (2^n) -> dann wird's unüberschaubar

Genau jetzt kommen die POSIX Access Control Lists (ACL) ins Spiel: Access Control Lists sind eine Erweiterung des traditionellen UNIX-Berechtigungsschemas. Es können damit zusätzlich zu den Berechtigungen für den Besitzer, die Besitzergruppe und für Andere auch Berechtigungen für weitere Benutzer und Gruppen angegeben werden. Ausserdem kann definiert werden, welche Berechtigungen neu erzeugte Dateien erhalten sollen.

Die Ausgangssituation

Da wir ja weitere Berechtigungen vergeben wollen, sollten wir uns ersteinmal ein Bild über die schon vergebenen Rechte machen und dabei gleich den Befehl getfacl kennenlernen. Betrachten wir zuerst einen Lehrer mmustermann.

wird fortgesetzt

-- Kirmse 07:42, 24. Apr 2005 (CEST)