Sowohl das GPFS als auch NFS unterstützen ACLs. Diese lassen sich auf dem Login-Node wie folgt setzen:
Codeblock | ||||
---|---|---|---|---|
| ||||
nfs4_setfacl --edit $PATH |
...
Codeblock | ||||
---|---|---|---|---|
| ||||
mmeditacl mmputacl mmgetacl |
...
Es gibt vier verschiedene Typen an ACL-Einträgen, die die Bedeutung der Berechtigungen regeln:
Typ | Bedeutung | Beschreibung |
---|---|---|
A | Erlauben (Allow) | Erlaube dem Nutzer die gegebenen Berechtigungen |
D | Verweigern (Deny) | Verweigere dem Nutzer die gegebenen Berechtigungen |
U | Protokollieren (Audit) | Protokolliere Zugriffe des Nutzers auf die gegebenen Berechtigungen |
L | Alarmieren | Erzeuge einen Systemweiten Alarm beim Zugriff des Nutzers auf die gegebenen Berechtigungen |
Für uns sind nur die ersten beiden Typen relevant.
...
Flags steuern z.B. die Weitergabe / Vererbung der ACLs an Unterordner / Dateien:
Flag | Bedeutung | Beschreibung |
---|---|---|
g | Gruppe | Der angegebene "Principal" ist eine Gruppe, kein Nutzer |
d | Verzeichnis-Vererbung | Vererbe die Berechtigungen an neue Unterverzeichnisse |
f | Dateivererbung | Vererbe die Berechtigungen an neue Dateien |
n | Einzelvererbung | Vererbe die Berechtigungen nur an Unterverzeichnisse der 1. Ebene |
i | Nur Vererbung | Die Berechtigungen gelten nur für neue Unterverzeichnisse / Dateien (entsprechend d oder f ) und nicht für das aktuelle Verzeichnis |
Principal
"Principal" ist der Nutzer oder die Gruppe (entsprechend Flag g
) für den die Berechtigungen gelten. Es gibt zusätzlich drei Sondertypen: OWNER@
, GROUP@
und EVERYONE@
, die den POSIX-Berechtigungen owner/group/other entsprechen.
...
Berechtigungen steuern die tatsächlichen Berechtigungen des jeweiligen ACL-Eintrags.
Berechtigung | Bedeutung für Dateien | Bedeutung für Ordner |
---|---|---|
r | Dateien lesen | Ordnerinhalte auflisten |
w | Dateien schreiben | Neue Dateien anlegen |
a | Daten an Datei anhängen | Unterordner anlegen |
x | Dateien ausführen | Ordner öffnen |
d | Datei löschen | Ordner löschen |
D | - | Datei oder Unterordner im Ordner löschen |
t | Attribute lesen | |
T | Attribute schreiben | |
n | "Named Attributes" lesen | |
N | "Named Attributes" schreiben | |
c | NFSv4-ACL lesen | |
C | NFSv4-ACL schreiben | |
o | chown | |
y | synchronous I/O |
Ein paar Beispiele:
Recht | NFS4-Flags |
---|---|
Nur Ordner öffnen (benötigt für den Zugriff auf Unterordner) | rxc |
Nur Lesen | rtncy |
Nur Schreiben | waDtTNcCy |
Vollzugriff | rwaDdxtTnNcCoy |
Vollzugriff ohne ACL ändern | rwaDdxtTnNcoy |
...