...
Codeblock | ||
---|---|---|
| ||
nfs4_setfacl --edit $PATH |
und abrufen:
Codeblock | ||||
---|---|---|---|---|
| ||||
nfs4_getfacleditacl $PATH |
Alternativ gibt es das Tool nfs4-acl-editor
, welches jedoch nicht weit verbreitet is ist als GUI-Tool .
Auf den Compute-Nodes sind die Tools
Codeblock | ||||
---|---|---|---|---|
| ||||
mmeditacl
mmputacl
mmgetacl |
zu verwenden, die sich allerdings in ihrer Syntax von nfs_setfacl
unterscheiden, und eventuell nicht alle Funktionen abbilden. (Siehe die dazugehörigen man-pages, sowie https://www.ibm.com/support/knowledgecenter/en/STXKQY_4.2.1/com.ibm.spectrum.scale.v4r21.doc/bl1adm_mmputacl.htm)
Syntax (nfs4_setfacl)
Die vollständige Syntax ist leider nicht sehr gut verständlich. Daher ein lautet:
Codeblock | ||||
---|---|---|---|---|
| ||||
type:flags:principal:permissions |
Typ
Es gibt vier verschiedene Typen an ACL-Einträgen, die die Bedeutung der Berechtigungen regeln:
Typ | Bedeutung | Beschreibung |
---|---|---|
A | Erlauben (Allow) | Erlaube dem Nutzer die gegebenen Berechtigungen |
D | Verweigern (Deny) | Verweigere dem Nutzer die gegebenen Berechtigungen |
U | Protokollieren (Audit) | Protokolliere Zugriffe des Nutzers auf die gegebenen Berechtigungen |
L | Alarmieren | Erzeuge einen Systemweiten Alarm beim Zugriff des Nutzers auf die gegebenen Berechtigungen |
Für uns sind nur die ersten beiden Typen relevant.
Flags
Flags steuern z.B. die Weitergabe / Vererbung der ACLs an Unterordner / Dateien:
Flag | Bedeutung | Beschreibung |
---|---|---|
g | Gruppe | Der angegebene "Principal" ist eine Gruppe, kein Nutzer |
d | Verzeichnis-Vererbung | Vererbe die Berechtigungen an neue Unterverzeichnisse |
f | Dateivererbung | Vererbe die Berechtigungen an neue Dateien |
n | Einzelvererbung | Vererbe die Berechtigungen nur an Unterverzeichnisse der 1. Ebene |
i | Nur Vererbung | Die Berechtigungen gelten nur für neue Unterverzeichnisse / Dateien (entsprechend d oder f ) und nicht für das aktuelle Verzeichnis |
Principal
"Principal" ist der Nutzer oder die Gruppe (entsprechend Flag g) für den die Berechtigungen gelten. Es gibt zusätzlich drei Sondertypen: OWNER@
, GROUP@
und EVERYONE@
, die den POSIX-Berechtigungen owner/group/other entsprechen.
Berechtigungen
Berechtigungen steuern die tatsächlichen Berechtigungen des jeweiligen ACL-Eintrags.
Berechtigung | Bedeutung für Dateien | Bedeutung für Ordner |
---|---|---|
r | Dateien lesen | Ordnerinhalte auflisten |
w | Dateien schreiben | Neue Dateien anlegen |
a | Daten an Datei anhängen | Unterordner anlegen |
x | Dateien ausführen | Ordner öffnen |
d | Datei löschen | Ordner löschen |
D | - | Datei oder Unterordner im Ordner löschen |
t | Attribute lesen | |
T | Attribute schreiben | |
n | "Named Attributes" lesen | |
N | "Named Attributes" schreiben | |
c | NFSv4-ACL lesen | |
C | NFSv4-ACL schreiben | |
o | chown | |
y | synchronous I/O |
Ein paar Beispiele:
Recht | NFS4-Flags |
---|---|
Nur Ordner öffnen (benötigt für den Zugriff auf Unterordner) | rxc |
Nur Lesen | rtncy |
Nur Schreiben | waDtTNcCy |
Vollzugriff | rwaDdxtTnNcCoy |
Vollzugriff ohne ACL ändern | rwaDdxtTnNcoy |
Zusätzlich gibt es noch Flags für die Vererbung der Rechte
Eine Vollständige ACL für einen Ordner mit zusätzlichen Berechtigungen für einen weiteren Nutzer und Vererbung für Unterordner / Dateien könnte beispielsweise so aussehen:
Codeblock | ||||
---|---|---|---|---|
| ||||
A::OWNER@:rwaDdxtTnNcCoy
A:fd:Nutzername@hilbert.hpc.uni-duesseldorf.de:rwaDxtncy
A::GROUP@:rxtncy
A::EVERYONE@:rxtncy |
Siehe auch: man nfs4_acl
...
Weitere Anleitungen: https://www.rz.uni-augsburg.de/service/cfs/FAQ/acl-details/