Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Codeblock
languagebash
nfs4_setfacl --edit $PATH

und abrufen:

Codeblock
languagebash
titleNFSv4 ACL abrufen (Login Node)
nfs4_getfacleditacl $PATH

Alternativ gibt es das Tool nfs4-acl-editor, welches jedoch nicht weit verbreitet is ist als GUI-Tool (Frage).

Auf den Compute-Nodes sind die Tools

Codeblock
languagebash
titleNFSv4 ACLs auf Compute Nodes
mmeditacl
mmputacl
mmgetacl

zu verwenden, die sich allerdings in ihrer Syntax von nfs_setfacl unterscheiden, und eventuell nicht alle Funktionen abbilden. (Siehe die dazugehörigen man-pages, sowie https://www.ibm.com/support/knowledgecenter/en/STXKQY_4.2.1/com.ibm.spectrum.scale.v4r21.doc/bl1adm_mmputacl.htm)

Syntax (nfs4_setfacl)

Die vollständige Syntax ist leider nicht sehr gut verständlich. Daher ein lautet:

Codeblock
languagebash
titlenfs4_setfacl syntax
type:flags:principal:permissions

Typ

Es gibt vier verschiedene Typen an ACL-Einträgen, die die Bedeutung der Berechtigungen regeln:

TypBedeutungBeschreibung
AErlauben (Allow)Erlaube dem Nutzer die gegebenen Berechtigungen
DVerweigern (Deny)Verweigere dem Nutzer die gegebenen Berechtigungen
UProtokollieren (Audit)Protokolliere Zugriffe des Nutzers auf die gegebenen Berechtigungen
LAlarmierenErzeuge einen Systemweiten Alarm beim Zugriff des Nutzers auf die gegebenen Berechtigungen

Für uns sind nur die ersten beiden Typen relevant.

Flags

Flags steuern z.B. die Weitergabe / Vererbung der ACLs an Unterordner / Dateien:

FlagBedeutungBeschreibung
gGruppeDer angegebene "Principal" ist eine Gruppe, kein Nutzer
dVerzeichnis-VererbungVererbe die Berechtigungen an neue Unterverzeichnisse
fDateivererbungVererbe die Berechtigungen an neue Dateien
nEinzelvererbungVererbe die Berechtigungen nur an Unterverzeichnisse der 1. Ebene
iNur VererbungDie Berechtigungen gelten nur für neue Unterverzeichnisse / Dateien (entsprechend d oder f) und nicht für das aktuelle Verzeichnis

Principal

"Principal" ist der Nutzer oder die Gruppe (entsprechend Flag g) für den die Berechtigungen gelten. Es gibt zusätzlich drei Sondertypen: OWNER@, GROUP@ und EVERYONE@, die den POSIX-Berechtigungen owner/group/other entsprechen.

Berechtigungen

Berechtigungen steuern die tatsächlichen Berechtigungen des jeweiligen ACL-Eintrags.

BerechtigungBedeutung für DateienBedeutung für Ordner
rDateien lesenOrdnerinhalte auflisten
wDateien schreibenNeue Dateien anlegen
aDaten an Datei anhängenUnterordner anlegen
xDateien ausführenOrdner öffnen
dDatei löschenOrdner löschen
D-Datei oder Unterordner im Ordner löschen
tAttribute lesen
TAttribute schreiben
n"Named Attributes" lesen
N"Named Attributes" schreiben
cNFSv4-ACL lesen
CNFSv4-ACL schreiben
ochown
ysynchronous I/O

Ein paar Beispiele:

RechtNFS4-Flags
Nur Ordner öffnen (benötigt für den Zugriff auf Unterordner)rxc
Nur Lesenrtncy
Nur SchreibenwaDtTNcCy
VollzugriffrwaDdxtTnNcCoy
Vollzugriff ohne ACL ändernrwaDdxtTnNcoy

Zusätzlich gibt es noch Flags für die Vererbung der Rechte

Eine Vollständige ACL für einen Ordner mit zusätzlichen Berechtigungen für einen weiteren Nutzer und Vererbung für Unterordner / Dateien könnte beispielsweise so aussehen:

Codeblock
languagebash
titleACL Beispiel
A::OWNER@:rwaDdxtTnNcCoy
A:fd:Nutzername@hilbert.hpc.uni-duesseldorf.de:rwaDxtncy
A::GROUP@:rxtncy
A::EVERYONE@:rxtncy

Siehe auch: man nfs4_acl

...

Weitere Anleitungen: https://www.rz.uni-augsburg.de/service/cfs/FAQ/acl-details/