Il s'agit de la commande fs_setacl qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
fs_setacl - Définit l'ACL pour un répertoire
SYNOPSIS
fs setacl est <annuaire>+ -acl <accès liste entrées>+
[-clair] [-négatif] [-identifiant] [-si] [-Aide]
fs sa -d <annuaire>+ -a <accès liste entrées>+
[-c] [-n] [-identifiant] [-si] [-h]
fs ensemble -d <annuaire>+ -a <accès liste entrées>+
[-c] [-n] [-identifiant] [-si] [-h]
DESCRIPTION
La fs setacl La commande ajoute les entrées de la liste de contrôle d'accès (ACL) spécifiées avec le -acl
argument à l'ACL de chaque répertoire nommé par le est argument.
Si la est L'argument désigne un chemin d'accès dans l'espace fichier DFS (accessible via l'AFS/DFS
Migration Toolkit Protocol Translator), il peut s'agir d'un fichier ou d'un répertoire. L'ACL
doit déjà inclure une entrée pour "mask_obj", cependant.
Seules les entrées d'utilisateur et de groupe sont des valeurs acceptables pour le -acl argument. Ne placez pas
entrées de machine (adresses IP) directement sur une ACL ; à la place, faites de l'entrée de la machine un groupe
membre et placez le groupe sur la liste de contrôle d'accès.
Pour effacer complètement l'ACL existante avant d'ajouter les nouvelles entrées, fournissez le -clair
drapeau. Pour ajouter les entrées spécifiées à la section "Droits négatifs" de l'ACL (refuser
droits à des utilisateurs ou des groupes spécifiés), fournissent les -négatif drapeau.
Pour afficher une liste de contrôle d'accès, utilisez la commande fs listacl. Pour copier une ACL d'un répertoire vers
un autre, utilisez le fs copie commander.
ATTENTION
Si l'ACL accorde déjà certaines autorisations à un utilisateur ou à un groupe, les autorisations
spécifié avec le fs setacl la commande remplace les autorisations existantes, plutôt que d'être
ajouté à eux.
La définition d'autorisations négatives est généralement inutile et déconseillée. En omettant simplement
un utilisateur ou un groupe de la section « Droits normaux » de l'ACL est normalement suffisant pour
empêcher l'accès. En particulier, notez qu'il est vain de refuser les autorisations qui sont accordées
aux membres du système : tout groupe d'utilisateurs sur la même ACL ; l'utilisateur n'a qu'à émettre le
déconnecter commande pour recevoir les autorisations refusées.
Lorsqu'on inclut le -clair option, assurez-vous de rétablir une entrée pour le propriétaire de chaque répertoire
qui inclut au moins l'autorisation "l" (recherche). Sans cette autorisation, il est
impossible de résoudre les raccourcis "point" (".") et "point point" ("..") à partir du
annuaire. (Le propriétaire du répertoire a implicitement l'autorisation "a" (administrateur)
même sur une ACL effacée, mais il faut savoir l'utiliser pour ajouter d'autres autorisations.)
OPTIONS
est <annuaire>+
Nomme chaque répertoire AFS, ou répertoire ou fichier DFS, pour lequel définir l'ACL. Partiel
les chemins sont interprétés par rapport au répertoire de travail courant.
Spécifiez le chemin de lecture/écriture vers chaque répertoire (ou fichier DFS), pour éviter l'échec qui
résulte d'une tentative de modification d'un volume en lecture seule. Par convention, la lecture/écriture
le chemin est indiqué en plaçant un point avant le nom de la cellule à la seconde du chemin
niveau (par exemple, /afs/.abc.com). Pour une discussion plus approfondie du concept de
chemins en lecture/écriture et en lecture seule via l'espace fichier, consultez le fs mkmount référence
.
-acl <accès liste entrées>+
Définit une liste d'une ou plusieurs entrées ACL, chacune étant une paire qui nomme :
· Un nom d'utilisateur ou un nom de groupe tel qu'indiqué dans la base de données de protection.
· Une ou plusieurs autorisations ACL, indiquées soit en combinant les lettres individuelles
ou par l'un des quatre mots abrégés acceptables.
dans cet ordre, séparés par un espace (ainsi chaque instance de cet argument a deux
les pièces). Les abréviations AFS acceptées et les mots abrégés, et la signification de chacun,
sont les suivants:
a (administrer)
Modifiez les entrées sur l'ACL.
d (supprimer)
Supprimer les fichiers et sous-répertoires du répertoire ou les déplacer vers un autre
répertoires.
je (insérer)
Ajoutez des fichiers ou des sous-répertoires au répertoire en copiant, déplaçant ou créant.
k (verrouillage)
Définissez des verrous en lecture ou en écriture sur les fichiers du répertoire.
l (rechercher)
Répertoriez les fichiers et sous-répertoires du répertoire, indiquez le répertoire lui-même et
émettre le fs liste commande pour examiner l'ACL du répertoire.
r (lire)
Lire le contenu des fichiers dans le répertoire ; émettez la commande "ls -l" pour indiquer le
éléments du répertoire.
w (écrire)
Modifier le contenu des fichiers dans le répertoire, et émettre le UNIX chmod commande à
changer leurs bits de mode.
A, B, C, D, E, F, G, H
N'ont aucune signification par défaut pour les processus du serveur AFS, mais sont disponibles pour
applications à utiliser pour contrôler l'accès au contenu du répertoire dans
moyens supplémentaires. Les lettres doivent être en majuscule.
all Égal aux sept autorisations ("rlidwka").
aucun
Pas de permissions. Supprime l'utilisateur/groupe de l'ACL, mais ne garantit pas qu'ils
n'ont aucune autorisation s'ils appartiennent à des groupes qui restent sur la liste de contrôle d'accès.
lire
Égal aux autorisations « r » (lecture) et « l » (recherche).
écrire
Égal à toutes les autorisations à l'exception de « a » (administer), c'est-à-dire « rlidwk ».
Il est acceptable de mélanger des entrées qui combinent les lettres individuelles avec des entrées qui
utilisez les mots abrégés, mais n'utilisez pas les deux types de notation au sein d'un individu
appariement de l'utilisateur ou du groupe et des autorisations.
Accorder les autorisations "l" (recherche) et "i" (insérer) sans accorder le "w"
(écrire) et/ou "r" (lecture) est un cas particulier et accorde des droits
approprié pour les répertoires "dropbox". Voir la section BOÎTES DE DÉPT pour plus de détails.
Si vous définissez des ACL sur un chemin d'accès dans l'espace fichier DFS, consultez la documentation DFS pour le
format approprié et valeurs acceptables pour les entrées DFS ACL.
-clair
Supprime toutes les entrées existantes sur chaque ACL avant d'ajouter les entrées spécifiées avec le
-acl argument.
-négatif
Place les entrées ACL spécifiées dans la section « Droits négatifs » de chaque ACL,
refusant explicitement les droits à l'utilisateur ou au groupe, même si les entrées sur le
accompagnant la section « Droits normaux » de l'ACL leur accorde des autorisations.
Cet argument n'est pas pris en charge pour les fichiers ou répertoires DFS, car DFS ne
implémenter des autorisations ACL négatives.
-identifiant Place les entrées ACL sur l'ACL du conteneur initial de chaque répertoire DFS, qui sont
les seuls objets du système de fichiers pour lesquels cet indicateur est pris en charge.
-si Place les entrées d'ACL sur l'ACL d'objet initial de chaque répertoire DFS, qui sont les
uniquement les objets du système de fichiers pour lesquels cet indicateur est pris en charge.
-Aide
Imprime l'aide en ligne de cette commande. Toutes les autres options valides sont ignorées.
BOÎTES DE DÉPT
Si un utilisateur accédant a les autorisations "l" (recherche) et "i" (insertion) sur un répertoire, mais
pas les autorisations "w" (écriture) et/ou "r" (lecture), l'utilisateur se voit implicitement
capacité d'écrire et/ou de lire n'importe quel fichier qu'ils créent dans ce répertoire, jusqu'à ce qu'ils ferment le
déposer. Cela permet aux répertoires de style "dropbox" d'exister, où les utilisateurs peuvent déposer
fichiers, mais ne peuvent pas les modifier ultérieurement ni modifier ou lire les fichiers déposés dans le
répertoire par d'autres utilisateurs.
Notez, cependant, que la fonctionnalité de la boîte de dépôt n'est pas parfaite. Le serveur de fichiers n'a pas
savoir quand un fichier est ouvert ou fermé sur le client, et donc le serveur de fichiers toujours
permet à un utilisateur accédant de lire ou d'écrire dans un fichier dans un répertoire "dropbox" s'il en possède
le fichier. Alors que le client empêche l'utilisateur de lire ou de modifier ses
fichier plus tard, cela n'est pas appliqué sur le serveur de fichiers, et ne devrait donc pas être invoqué pour
sécurité.
De plus, si les autorisations "dropbox" sont accordées à "system:anyuser", non authentifié
les utilisateurs peuvent déposer des fichiers dans le répertoire. Si un utilisateur non authentifié dépose un fichier dans
le répertoire, le nouveau fichier appartiendra à l'ID utilisateur non authentifié et est donc
potentiellement modifiable par n'importe qui.
Dans un effort pour essayer de réduire la publication accidentelle de données privées, le serveur de fichiers peut
refuser les demandes de lecture de fichiers « dropbox » provenant d'utilisateurs non authentifiés. Par conséquent,
le dépôt de fichiers en tant qu'utilisateur non authentifié peut échouer arbitrairement si "system:anyuser" a
obtenu des autorisations de dépôt. Bien que cela devrait être rare, ce n'est pas complètement
évitables, et donc pour cette raison compter sur des utilisateurs non authentifiés pour pouvoir déposer
fichiers dans une boîte de dépôt est ne pas RECOMMANDÉ.
EXEMPLES
L'exemple suivant ajoute deux entrées à la section « Droits normaux » de la
ACL du répertoire de travail : la première entrée accorde les autorisations "r" (lecture) et "l" (recherche) à
le groupe pat:friends, tandis que l'autre (en utilisant le raccourci "write") donne toutes les permissions
sauf "a" (administer) à l'utilisateur "smith".
% fs setacl -dir . -acl pat: amis rl smith écrire
% fs listacl -chemin .
Liste d'accès pour . est
Droits normaux :
pat: amis rl
forgeron
L'exemple suivant comprend le -clair flag, qui supprime les autorisations existantes (comme
affiché avec le fs liste commande) à partir du répertoire de travail courant rapports
sous-répertoire et les remplace par un nouvel ensemble.
% fs listacl -dir rapports
La liste d'accès aux rapports est
Droits normaux :
système:authuser rl
pat: amis rlid
forgeron
pat rlidwka
Droits négatifs :
Terry R.L.
% fs setacl -clear -dir reports -acl pat all smith write system:anyuser rl
% fs listacl -dir rapports
La liste d'accès aux rapports est
Droits normaux :
système: n'importe quel utilisateur rl
forgeron
pat rlidwka
L'exemple suivant utilise le est ainsi que -acl car il définit l'ACL pour plus de
un répertoire (à la fois le répertoire de travail courant et son public sous-répertoire).
% fs setacl -dir . public -acl pat: amis rli
% fs listacl -chemin . Publique
Liste d'accès pour . est
Droits normaux :
pat rlidwka
pat: amis rli
La liste d'accès pour le public est
Droits normaux :
pat rlidwka
pat: amis rli
PRIVILÈGE EST REQUIS
L'émetteur doit disposer de l'autorisation « a » (administrateur) sur l'ACL de l'annuaire, membre de
le groupe system:administrators, ou, dans un cas particulier, doit être le propriétaire UID du top-
level répertoire du volume contenant ce répertoire. La dernière disposition permet au
UID propriétaire d'un volume pour réparer les erreurs accidentelles d'ACL sans nécessiter l'intervention d'un
membre du système : administrateurs.
Les versions antérieures d'OpenAFS étendaient également l'autorisation d'administration implicite au propriétaire de
n'importe quel répertoire. Dans les versions actuelles d'OpenAFS, seul le propriétaire du répertoire de niveau supérieur
du volume a cette autorisation spéciale.
Utilisez fs_setacl en ligne à l'aide des services onworks.net
