abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
včera 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 1
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 25
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
5.12. 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 50
5.12. 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 10
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 17
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 785 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama
Štítky: není přiřazen žádný štítek

Dotaz: ACL

12.10.2010 17:08 Petr Novy
ACL
Přečteno: 963×

Diskuse vznikla z vlákna této diskuse.


Udelal jsem test:
server:/home/TEST# ls -l
celkem 8
drwxrwx---+ 2 petr Domain Users 4096 12. říj 16.22 aaa
drwx------+ 2 petr Domain Users 4096 12. říj 16.22 bbb
server:/home/TEST# 
server:/home/TEST# 
server:/home/TEST# 
server:/home/TEST# getfacl aaa
# file: aaa
# owner: petr
# group: Domain\040Users
user::rwx
group::r-x
group:public:rwx
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:public:rwx
default:mask::rwx
default:other::---

server:/home/TEST# getfacl bbb
# file: bbb
# owner: petr
# group: Domain\040Users
user::rwx
group::r-x            #effective:---
group:public:rwx        #effective:---
mask::---
other::---
default:user::rwx
default:group::r-x
default:group:public:rwx
default:mask::rwx
default:other::---
/home/TEST/bbb jsem vytvoril jinde a nakopiroval do /home/TEST/ ..ostatni uzivatele public ale nemaji na soubor pristup pres Sambu. /home/TEST/aaa jsem vytvoril v /home/TEST/ a uzivatele public jej mohou pouzit?

Kde je tedy problem?

Řešení dotazu:


Odpovědi

12.10.2010 17:08 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Udelal jsem test:
server:/home/TEST# ls -l
celkem 8
drwxrwx---+ 2 petr Domain Users 4096 12. říj 16.22 aaa
drwx------+ 2 petr Domain Users 4096 12. říj 16.22 bbb
server:/home/TEST# 
server:/home/TEST# 
server:/home/TEST# 
server:/home/TEST# getfacl aaa
# file: aaa
# owner: petr
# group: Domain\040Users
user::rwx
group::r-x
group:public:rwx
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:public:rwx
default:mask::rwx
default:other::---

server:/home/TEST# getfacl bbb
# file: bbb
# owner: petr
# group: Domain\040Users
user::rwx
group::r-x            #effective:---
group:public:rwx        #effective:---
mask::---
other::---
default:user::rwx
default:group::r-x
default:group:public:rwx
default:mask::rwx
default:other::---
/home/TEST/bbb jsem vytvoril jinde a nakopiroval do /home/TEST/ ..ostatni uzivatele public ale nemaji na soubor pristup pres Sambu. /home/TEST/aaa jsem vytvoril v /home/TEST/ a uzivatele public jej mohou pouzit?

Kde je tedy problem?
12.10.2010 17:12 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
server:/home/TEST# getfacl aaa
group:public:rwx
mask::rwx

server:/home/TEST# getfacl bbb
group:public:rwx        #effective:---
mask::---
Stačilo si ten výpis pořádně prohlédnout – pro soubor bbb máte masku nastavenou na ---. A ještě vám tam getfacl píše efektivní práva do komentáře…

Příště prosím „neunášejte“ nesouvisející dotaz a když se ptáte na novou věc, zadejte to v Poradně jako nový dotaz.
12.10.2010 17:17 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Dobre, omlouvam se. Na /home/TEST jsem vytvoril ACL prava stejne jako kolega. Jak tedy nastavit, aby /home/TEST mel prava vzdy pro skupinu public rwx a to v pripade, ze jakykoliv uzivatel /ktery ma pravo/ bude do slozky kopirovat, ci soubory a adresare vytvaret?
12.10.2010 17:23 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Práva po vytvoření ovlivňuje Default ACL, které se nastavují přes parametr -d setfacl. Když soubory či adresáře kopírujete, záleží na konkrétním programu (ostatně každý program může nastavit i práva při vytvoření), ale normální chování je takové, že se z původního souboru zkopírují i práva (pokud o nich program ví – program, který nezná ACL a kopírování si implementuje po svém je samozřejmě neokopíruje).
12.10.2010 17:47 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Ano, default ACL jsem nastavil stejne jako kolega Gusta. Poradite mi tedy prosim, co delam spatne?
12.10.2010 17:49 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
getfacl TEST

# file: TEST
# owner: root
# group: root
user::rwx
group::r-x
group:public:rwx
mask::rwx
other::---
default:user::rwx
default:group::r-x
default:group:public:rwx
default:mask::rwx
default:other::---
12.10.2010 17:59 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Nevidím nic, co byste dělal špatně ani co by se chovalo špatně nebo neočekávaně. Máte nastavena default ACL na adresáři a soubor aaa v něm vytvořený je zdědil. Soubor bbb jste odněkud zkopíroval, takže mu zůstala zachována ta práva, která měl původní soubor.
12.10.2010 18:23 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Aha, ja prave potrebuji, aby ke vsemu, "co se objevi" v tom adresari TEST dostala skupina public. Takze to tedy nelze?
12.10.2010 18:27 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Pomocí klasických unixových práv ani linux ACL ne. Možná to můžete obejít použitím incronu a každému novému souboru či adresáři ta práva automaticky nastavit.
12.10.2010 20:57 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: ACL a SAMBA
Možná to můžete obejít použitím incronu a každému novému souboru či adresáři ta práva automaticky nastavit.

Naposledy když jsem zkusil incron tak jsem moc nadšený nebyl. To už je lepší použít inotifyutils. Ale proč se s tím kašlat, na resetování práv stačí normální cron jednou za 5 minut.

Jinak k původnímu dotazu. Pokud neomezíte počet způsobů jak se tam ten soubor může dostat tak si nepomůžete ani s ACL. V unixu má každý právo si dělat se *svým* souborem co chce, včetně odepření přístupu ostatním nebo naopak zpřístupněním pro celý svět. Navíc jsou tu chuťovky typu že přesun souboru (mv) není totéž jako kopie a smazání, odkazy na tentýž soubor ze dvou míst (hardlinky) atp.
In Ada the typical infinite loop would normally be terminated by detonation.
12.10.2010 21:13 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Ja chci ve "sdilene slozce pro skupinu" vytvaret soubory, presouvat do ni soubory, kopirovat do ni soubory a mazat soubory.

PS:

skupina public - Pepa, Franta, Jarda
1. Pepa nakopiruje nebo presune soubor do public - muze ho precist, smazat a presunout i Franta i Jarda
2. Franta nakopiruje nebo presune soubor do public - muze ho precist, smazat a presunout i Pepa i Jarda
3. Jarda nakopiruje nebo presune soubor do public - muze ho precist, smazat a presunout i Pepa i Franta
:-)
12.10.2010 22:23 srsen
Rozbalit Rozbalit vše Re: ACL a SAMBA
tak podle me je tohle presne polozena otazka, ale nevidim zadnou odpoved.... hmmm, taky by me to zajimalo
13.10.2010 06:14 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: ACL a SAMBA
Dejte si do cronu chmod resp. setfacl a než dopíšete další příspěvek tak to budete mít.
In Ada the typical infinite loop would normally be terminated by detonation.
13.10.2010 07:28 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Ano, jak pisu nize, tak to v cronu mam. Jen kazdy radil ACL, tak jsem se do nich pustil. Lze to, co pozaduji nastavit pomoci ACL? ANO nebo NE?
14.10.2010 07:12 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: ACL a SAMBA
Lze to, co pozaduji nastavit pomoci ACL? ANO nebo NE?

Určitě, uděláte to tak, že nastavíte ACL práva a masku jak mají být rekurzivně na všech souborech. Konec.
In Ada the typical infinite loop would normally be terminated by detonation.
14.10.2010 07:19 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: ACL a SAMBA
PS. pokud se ptáte jestli cron NEBO acl, tak to ne. Je potřeba použít oboje.
In Ada the typical infinite loop would normally be terminated by detonation.
13.10.2010 11:03 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Nastavte sdílené složce pro skupinu práva rwx pro danou skupinu, a uživatelé z dané skupiny tam pak mohou vytvářet soubory, přesouvat je do ní, kopírovat je i mazat. Pokud uživatelé chtějí, aby k souboru měla přístup daná skupina, mohou tomu souboru ta práva nastavit.

V Linuxu se přístupová práva nastavují pro soubor, nikoli pro cestu, takže tam nemůže fungovat automatická dědičnost práv v hierarchii souborového systému. Třeba když máte jeden soubor ve dvou adresářích (pomocí hardlinku), která práva by dědil?
13.10.2010 15:22 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Jde ale o to, ze uzivatele jsou jen cleney skupiny "public", ale jejich vychozi skupina je/muze byt rozdilna. Soubor tedy musi byt prinejmensim vytvoren s pravy skupiny "public"..takze tohle to preci neresi...?
13.10.2010 15:31 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Uživatel může ke svým souborům nastavit práva ke všem skupinám, kterých je členem.
13.10.2010 17:23 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
To ano, ale uzivatel1 bude ve "vychozi" skupine1 a uzuvatel2 ve skupine2. Oba budou i ve skupine public. Uzivatel1 vytvori soubor, ktery bude mit prava pro skupinu1. Tak jak se tam tedy muze dostat uzivatel, ktery je ve skupine public? pristup je pres NFS, tudiz se aplikuje umask.. Omlouvam se asi za hloupe dotazy, ale jde mi jen o upresneni. DIky.
13.10.2010 17:52 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Pokud uživatel vytvoří soubor, ke kterému skupina2 nemá přístup, tak se k němu člen skupiny2 samozřejmě nijak nedostane. Ale vy jste psal o případu, kdy uzivatel1 vytvoří soubor, ke kterému dá skupině2 přístup.
>id
uid=1001(uzivatel1) gid=1001(skupina1) skupiny=1002(skupina2),1003(skupina3)
>touch test
>ls -l test
-rw-r--r-- 1 uzivatel1 skupina1 0 13. říj 17.47 test
>chgrp skupina2 test
>ls -l test
-rw-r--r-- 1 uzivatel1 skupina2 0 13. říj 17.47 test
>setfacl -m g:skupina3:rw- test
>getfacl test
# file: test
# owner: uzivatel1
# group: skupina2
user::rw-
group::r--
group:skupina3:rw-
mask::rw-
other::r--
Členové skupiny1 teď mají právo soubor test číst, členové skupiny3 mají právo do něj zapisovat. Vám to funguje jinak?
13.10.2010 18:24 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Ano, kdyz ACL nastavim na jiz vytvoreny soubor/adresar, je vse OK a funguje to tak, jak pisete. Ja ale prava menit nechci/nemuzu --> uzivatel to neumi atd.. Takze ja potrebuji, aby se ta prava nastavila automaticky do urcite slozky na jeji i nove vznikly obsah. Chci adresar, ktery bude pripojen pomoci NFS na klientech s Ubuntu. Zastupce na plose, napr. PRO_VSECHNY. Takze pepa napise dopis, nakopci ho do adresare PRO_VSECHNY a franta ho zedituje nebo smaze. Nikdo nema o pravech ani paru, tudis menit je nebudou...
13.10.2010 18:43 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Pokud chcete práva měnit automaticky bez ohledu na to, co chce uživatel, použijte cron, incron nebo něco podobného.
13.10.2010 18:59 VSi | skóre: 28
Rozbalit Rozbalit vše Re: ACL a SAMBA
Tady už se dostáváme k definici, co jsou vlastně ta "práva". Uvažujete to slovo jako "co kdo smí, bez limitů konkrétní implementace" nebo "práva, jak je chápe linux a ext3"? To je totiž zásadní rozdíl.

Dotaz je jasný, a v praxi potřebný, taky už jsem se s tím setkal. Bez hlubší znalosti "omezení", která dává linux, tam požadavek na práva měnit automaticky nikde není. Požadavek je: "chci, aby ke všemu, co je v adresáři X měli neomezený přístup uživatelé A, B, C".

Je třeba jasně říct: linux, resp. systém práv a ACL na ext3 požadované chování nativně neumí, protože není možné nastavovat práva na adresáře, která by se přenášela na obsažené soubory. Je možné nastavit práva souborům, a pomocí ACL definovat práva pro nově vytvářené soubory. Jak je vidět, kopírování a přesouvání tím není postihnuto. Je tedy nutné problém obejít pomocí vynucené změny práv na souborech (cron, incron).

Třeba AFS má vlastní systém ACL, kde se práva nastavují jen na adresáře, a tam se požadovaného chování dosáhne velmi snadno. Tenhle případ použití právě ukazuje na slabé místo unix práv + "POSIX" ACL.
14.10.2010 08:44 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Požadavek je: "chci, aby ke všemu, co je v adresáři X měli neomezený přístup uživatelé A, B, C".
Požadavek je jasný, a zaznělo na něj mnoho odpovědí. Konkrétně k vaší interpretaci zde zazněla včera tato odpověď, ze které je snad jasné, že požadavek „co je v adresáři“ je v Linuxu nesmyslný, protože v Linuxu takovýhle princip neexistuje. V Linuxu se nastavují práva souborům, a jeden soubor může být v několika adresářích, takže vlastnost „je [právě v jednom] adresáři“ není definována.
13.10.2010 19:06 Emil Janda
Rozbalit Rozbalit vše Re: ACL a SAMBA
Pane Jirasku, nic ve zlem, ale tazatel jasne rekl, co potrebuje a jak to ma ted nastavene. Pouziva cron, a jak jsem to pochopil, tak chtel elegantnejsi reseni. Je hezke, ze jste tema oznacil jako "vyresene", ale pritom se vicemene nevyresilo nic a tazatel muze max. zustat u sveho puvodniho nastaveni, ktere je zrejme funkcni. ACL proste toto neresi, ale diky tomuto vlaknu jsem zjistil, proc kazdy kdo odpovi "ACL", tuto problematiku dal nerozvyne.Preji hezky vecer. E. Janda
13.10.2010 19:27 VSi | skóre: 28
Rozbalit Rozbalit vše Re: ACL a SAMBA
Ano, odpověď je ACL + nastuduj si podrobnosti z dokumentace. Pak se lze ptát dál na konkrétní problémy. Nic "lepšího" už v linuxu není, takže co nejde udělat pomocí ACL, tak to "prostě nejde". A jedině to lze obejít pomocí nehezkých a nesystémových věcí typu cron/incron. Sám se většinou snažím popsat řešení vč. případných problémů. Ale každý nemá vždy tolik času nebo chuti se rozepisovat, a pomoci může i jen nasměrování k nastudování určité věci. Nicméně z odpovědí pana Jirsáka tady mám taky pocit, že nechce přiznat, že požadovanou věc prostě nelze snadno udělat.
14.10.2010 07:23 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: ACL a SAMBA
Nic "lepšího" už v linuxu není, takže co nejde udělat pomocí ACL, tak to "prostě nejde". A jedině to lze obejít pomocí nehezkých a nesystémových věcí typu cron/incron.

To je pravda jen u DAC systémů (unix práva, ACL, ...)

Pokud použijete MAC nástroje (selinux, smack, apparmor ...) tak si nastavení přístupu můžete vynutit centrální politikou bez ohledu na zbytek systému.

Jedinej problém je ten, že použitím MAC se nezbavíte toho DAC a musíte to stejně podpořit cronem nebo nějakým jiným hackem (např. že každý MAC-uživatel vystupuje pod uid 0 a podobně).
In Ada the typical infinite loop would normally be terminated by detonation.
14.10.2010 09:00 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Nicméně z odpovědí pana Jirsáka tady mám taky pocit, že nechce přiznat, že požadovanou věc prostě nelze snadno udělat.
Já jsem několikrát napsal, že požadovaná věc nedává z hlediska unixového přístupu k souborovému systému žádný smysl. Nevím, jak chcete rozhodovat o tom, zda nesmyslné zadání má nebo nemá snadné řešení.
14.10.2010 18:25 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: ACL a SAMBA
Já jsem několikrát napsal, že požadovaná věc nedává z hlediska unixového přístupu k souborovému systému žádný smysl. Nevím, jak chcete rozhodovat o tom, zda nesmyslné zadání má nebo nemá snadné řešení.

"Nejde to" se píše jinak ;)
In Ada the typical infinite loop would normally be terminated by detonation.
14.10.2010 08:53 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: ACL a SAMBA
Tazatel nenapsal zrovna moc jasně, co chce. V diskusi padlo několik řešení podle toho, co přesně vlastně tazatel chce, s vysvětlením toho, proč to tak funguje a proč jsou představy tazatele mylné. Většina z těch řešení tady byla popsána dokonce opakovaně.

Pokud má někdo utkvělou představu, že přístupová práva v Linuxu nejsou řešena na úrovni souborů ale na úrovni cesty, může mít pocit, že vysvětlení, jak je to doopravdy, není řešením jeho problému. V takovém případě ale není chyba ve vysvětlení, ale v dotyčném, který trvá na té chybné představě.

Jinak pro linux existují i projekty, které přístupová práva řeší na úrovni cest – nevím ale, jak moc jsou aktuální a spolehlivé.
12.10.2010 19:38 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: ACL a SAMBA
Problém je, že si neuvědomujete, co by váš požadavek ve skutečnosti znamenal: aby to mohlo fungovat, musel byste v daném adresáři zakázat jakoukoli změnu vlastníka/skupiny/práv. To vaše "objevil se" jsou totiž ve skutečnosti tři samostatné akce: za prvé se vytvoří soubor (v tom okamžiku se aplikuje default ACL), za druhé se do něj zkopírují data z původního a za třetí se mu určitým způsobem (podle programu, který kopírování prováděl, a jeho parametrů) nastaví vlastník/skupina/práva. Jediný způsob, jak zamezit té třetí části, by byl zakázat jakoukoli změnu u jakéhokoli souboru v daném adresáři (a to se navíc ani nebavíme o tom, že na soubor ve skutečnosti mohou vést odkazy ze dvou různých adresářů).
12.10.2010 20:22 VSi | skóre: 28
Rozbalit Rozbalit vše Re: ACL a SAMBA
co by váš požadavek ve skutečnosti znamenal: aby to mohlo fungovat, musel byste v daném adresáři zakázat jakoukoli změnu vlastníka/skupiny/práv
Ne nutně. Je to spíš znak "nedokonalosti" unixových práv, resp. rozšíření "POSIX" ACL. NT ACLs resp. NFSv4 ACLs umí tzv. dědění, tj. na vše v libovolné hloubce pod určitým adresářem se aplikují jeho práva - "přidávají" se k těm nastaveným přímo na souboru. Na úrovni podadresářů lze dědění zastavit, ale běžným uživatelům jde tuto možnost odepřít. Jen nevím, jak přesně se potom chovají symbolické / pevné odkazy.

Zásadní problém u POSIX ACL je právě to kopírování / přesouvání. Ale Windows ve spojení se Sambou se při kopírování/přesouvání chovají velmi rozumně, a výsledek zpravidla odpovídá očekávání. Naopak prosté kopírování pomocí cp nebo chování některých linuxových programů do práv dodatečně zasahuje, což pak použitelnost ACL snižuje. Nelze ale asi říct, který přístup je lepší.
12.10.2010 20:52 dromedar
Rozbalit Rozbalit vše Re: ACL a SAMBA
To s tim ntfs neni tak uplne pravda. Pokud soubory kopirujete, tak se to chova, jak popisujete. Ale nedejboze soubory presunovat v ramci jednoho oddilu. Pak se prava na souboru zachovavaj!!! Takze pak mate ve slozce soubor, ktery pulka lidi neotevre. Tak je to pry dobre, vece maly mekky. Zlaty novellsky pristup z Novell NetWare 3.12

PS Cim to, ze uz deset let neni na trhu system na sdileni souboru s nejcasteji vyzadovanym chovanim "Soubor ma prava podle slozky, ve ktere je, at se deje, co se deje"
12.10.2010 20:59 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
Mam nastavenou sambu tak, ze proste ve sdileni public natvrdo prida skupinu public pro cteni, zapis a spousteni.. parametry force group atd. Jenze na klientech s Ubuntu jsem zacal pouzivat NFS (Samba mi prosla jako obklika) a nejsem schopny dosahnout stejneho vysledku. Nasel jsem tady na foru strohe odpovedi na podobne otazky --> ACL a konkretne nic vic, ale jak ted zjistuju, je to asi temer nemozne. Proto zatim pouzivam na doladeni prav cron po peti minutach, ktery mi prava meni -- to mi neprijde ale moc koser.
12.10.2010 21:03 VSi | skóre: 28
Rozbalit Rozbalit vše Re: ACL a SAMBA
Pravda, chování při přesouvání souborů ve Windows silně závisí na tom, jestli jde o stejný "disk". Novell NetWare práva jsou skutečně to nejlepší, co jsem zatím viděl. I když i tam občas vznikaly kuriózní situace, kdy si někdo sebral veškerá práva na svůj home a nemohl to sám vrátit zpět. NetWare služby na trhu stále jsou, a pořád se používají - v rámci SLES, resp. Open Enterprise Server. Zajímavý je třeba také Novell ZenWorks pro správu Windows i Linux strojů. Co jsem viděl, tak dohromady je to skutečně pěkná věc, srovnatelná a často lepší než MS AD a spol.
12.10.2010 21:03 Petr Novy
Rozbalit Rozbalit vše Re: ACL a SAMBA
ano, tu formulaci jsem pouzil zamerne pro to, ze ve vsech moznostech (jako kopie, vytvoreni, presunuti a nevim co jeste) byly data pro skupinu pristupna

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.