Sowohl das GPFS als auch NFS unterstützen ACLs. Diese lassen sich auf dem Login-Node wie folgt setzen:
| Codeblock | ||||
|---|---|---|---|---|
| ||||
nfs4_setfacl --edit $PATH |
...
| Codeblock | ||||
|---|---|---|---|---|
| ||||
mmeditacl mmputacl mmgetacl |
...
Es gibt vier verschiedene Typen an ACL-Einträgen, die die Bedeutung der Berechtigungen regeln:
| Typ | Bedeutung | Beschreibung |
|---|---|---|
| A | Erlauben (Allow) | Erlaube dem Nutzer die gegebenen Berechtigungen |
| D | Verweigern (Deny) | Verweigere dem Nutzer die gegebenen Berechtigungen |
| U | Protokollieren (Audit) | Protokolliere Zugriffe des Nutzers auf die gegebenen Berechtigungen |
| L | Alarmieren | Erzeuge einen Systemweiten Alarm beim Zugriff des Nutzers auf die gegebenen Berechtigungen |
Für uns sind nur die ersten beiden Typen relevant.
...
Flags steuern z.B. die Weitergabe / Vererbung der ACLs an Unterordner / Dateien:
| Flag | Bedeutung | Beschreibung |
|---|---|---|
| g | Gruppe | Der angegebene "Principal" ist eine Gruppe, kein Nutzer |
| d | Verzeichnis-Vererbung | Vererbe die Berechtigungen an neue Unterverzeichnisse |
| f | Dateivererbung | Vererbe die Berechtigungen an neue Dateien |
| n | Einzelvererbung | Vererbe die Berechtigungen nur an Unterverzeichnisse der 1. Ebene |
| i | Nur Vererbung | Die Berechtigungen gelten nur für neue Unterverzeichnisse / Dateien (entsprechend d oder f) und nicht für das aktuelle Verzeichnis |
Principal
"Principal" ist der Nutzer oder die Gruppe (entsprechend Flag g) für den die Berechtigungen gelten. Es gibt zusätzlich drei Sondertypen: OWNER@, GROUP@ und EVERYONE@, die den POSIX-Berechtigungen owner/group/other entsprechen.
...
Berechtigungen steuern die tatsächlichen Berechtigungen des jeweiligen ACL-Eintrags.
| Berechtigung | Bedeutung für Dateien | Bedeutung für Ordner |
|---|---|---|
| r | Dateien lesen | Ordnerinhalte auflisten |
| w | Dateien schreiben | Neue Dateien anlegen |
| a | Daten an Datei anhängen | Unterordner anlegen |
| x | Dateien ausführen | Ordner öffnen |
| d | Datei löschen | Ordner löschen |
| D | - | Datei oder Unterordner im Ordner löschen |
| t | Attribute lesen | |
| T | Attribute schreiben | |
| n | "Named Attributes" lesen | |
| N | "Named Attributes" schreiben | |
| c | NFSv4-ACL lesen | |
| C | NFSv4-ACL schreiben | |
| o | chown | |
| y | synchronous I/O | |
Ein paar Beispiele:
| Recht | NFS4-Flags |
|---|---|
| Nur Ordner öffnen (benötigt für den Zugriff auf Unterordner) | rxc |
| Nur Lesen | rtncy |
| Nur Schreiben | waDtTNcCy |
| Vollzugriff | rwaDdxtTnNcCoy |
| Vollzugriff ohne ACL ändern | rwaDdxtTnNcoy |
...